1 00:00:00,410 --> 00:00:04,020 Acum, să implementăm câteva exemple de liste de acces extins la IP. 2 00:00:04,200 --> 00:00:11,060 În acest exemplu, spunem că permiteți traficul de la HDP de la 10 1 1 1 la 10 1 la 1. 3 00:00:11,070 --> 00:00:18,490 Cu alte cuvinte, gazdei ar trebui să li se permită să vorbească cu serverul, ci doar cu o oaie. 4 00:00:18,740 --> 00:00:27,340 Trebuie să negem tot traficul din subnetul 10 1 1 0 Sless 24 care merge la server. 5 00:00:27,350 --> 00:00:33,270 Cu alte cuvinte, oricine le-a cerut să nu primească acces la serverul respectiv. 6 00:00:33,440 --> 00:00:38,560 Vrem să permitem tot traficul din subnet în orice altă parte. 7 00:00:38,570 --> 00:00:42,890 Cu alte cuvinte, această gazdă, de exemplu, ar trebui să se poată conecta la acest router pentru a 8 00:00:42,890 --> 00:00:46,580 putea să se conecteze la router ar trebui să poată trimite trafic la acest MacBook. 9 00:00:46,580 --> 00:00:52,550 Acum, încă o dată, este foarte important să privim direcția traficului, astfel încât fluxul de trafic să fie 10 00:00:52,550 --> 00:00:59,900 de la stânga la dreapta, în timp ce practicile de bază și lista extinsă de acces la IP ar trebui plasate cât mai 11 00:00:59,900 --> 00:01:01,360 aproape posibil de sursă. 12 00:01:01,610 --> 00:01:04,650 Și, prin urmare, vom aplica lista de acces primită. 13 00:01:04,660 --> 00:01:06,270 Ethan Este 0 0. 14 00:01:06,350 --> 00:01:11,720 Avantajul de a face acest lucru, de asemenea, este că Ratta nu are nevoie pentru a procesa pachete inutil, care este doar 15 00:01:12,040 --> 00:01:14,720 de gând să fie scăzut în altă parte în rețea. 16 00:01:14,840 --> 00:01:18,700 Așadar, vom aplica lista de acces cât mai aproape posibil de sursă. 17 00:01:18,890 --> 00:01:22,410 Iar interfața cea mai apropiată este carnea din seria F Zira. 18 00:01:22,550 --> 00:01:31,950 Deci, prima declarație ar trebui să permită traficul HD de la 10 1 1 1 la 10 1 la 1 pe Rodda care intră în modul 19 00:01:31,950 --> 00:01:33,300 de configurare global. 20 00:01:33,330 --> 00:01:38,880 Pot să vorbesc cu el pe această listă și să observăm încă o dată că există o serie de numere. 21 00:01:39,120 --> 00:01:44,910 Vom alege una în acest interval de la 100 la 199, deoarece creăm o listă de acces extinsă pentru IP. 22 00:01:44,910 --> 00:01:54,330 Deci haideți să alegem 100 care să spună permis și să observați aici că putem permite mai multe protocoale. 23 00:01:54,360 --> 00:02:00,200 Acum, aici devine important să știm ce protocoale Hialeah protocoale de nivel inferior 24 00:02:00,210 --> 00:02:01,320 utilizează HTP. 25 00:02:01,320 --> 00:02:10,430 Deci, în acest exemplu căutăm să permitem HGP HGP să se bazeze pe TCAP cel puțin pentru același model. 26 00:02:10,560 --> 00:02:16,330 Deci, vom specifica TZP și Boadicea, putem specifica o sursă. 27 00:02:16,490 --> 00:02:19,150 Așa că o să fac așa. 28 00:02:20,750 --> 00:02:24,290 Și văd că pot să-mi pun bastonul meu Beths. 29 00:02:24,450 --> 00:02:25,720 Așa a fost sursa. 30 00:02:25,740 --> 00:02:28,400 Și acum trebuie să specificăm o destinație. 31 00:02:28,710 --> 00:02:33,940 În acest caz, destinația este 10 1 la 1, așa că faceți altfel. 32 00:02:33,940 --> 00:02:42,700 Am de gând să specificați o gazdă 10 1 2 la 1 și că este dacă apăs de semnul de întrebare la sfârșitul mi-a dat mai 33 00:02:42,700 --> 00:02:51,010 multe opțiuni aici, inclusiv egală, care permite să mă potrivesc pe un număr de port specific pentru mai mare decât care îmi permite să 34 00:02:51,160 --> 00:02:55,040 arăt la numere de port mai mari decât un anumit număr. 35 00:02:55,450 --> 00:03:00,810 Toate mai puțin decât ceea ce permite să mă uit la numere de port mai puțin decât un număr specific. 36 00:03:01,030 --> 00:03:05,140 Tot gama care îmi permite să privesc numerele de port într-un anumit interval. 37 00:03:05,380 --> 00:03:07,370 Dar în acest caz căutăm HTP. 38 00:03:07,420 --> 00:03:09,650 Așa că am de gând să le pun la egalitate. 39 00:03:09,970 --> 00:03:17,680 Semnul de întrebare al lui Chris și nota că pot introduce un anumit număr de port dacă știu numărul 40 00:03:17,680 --> 00:03:21,640 sau pot folosi cuvântul și notează multe cuvinte aici. 41 00:03:21,860 --> 00:03:26,790 Dar observați ca exemplu utilizarea HGP a cuvântului GWW. 42 00:03:26,990 --> 00:03:31,570 Aș putea pune în 80 sau am putea pune în WW. 43 00:03:31,910 --> 00:03:38,600 Încă o dată remarcăm semnul dolarului doar că mi-a spus că mai sunt la stânga. 44 00:03:38,600 --> 00:03:44,930 Deci, dacă am pus controlul de comandă a. Mă vor duce la începutul liniei sau mă va controla, până 45 00:03:44,930 --> 00:03:50,090 la sfârșitul liniei, că dolarii spun doar că sunt mai multe căpușe decât ce se poate 46 00:03:50,090 --> 00:03:51,650 potrivi la ieșirea specifică. 47 00:03:51,680 --> 00:03:54,970 Așa că am ascuns ceva din text pentru a fi mai ușor de citit. 48 00:03:55,310 --> 00:04:00,890 Deci, pot lovi intrarea pentru a completa prima parte a listei de acces. 49 00:04:00,890 --> 00:04:05,980 Acum trebuie să negem tot traficul de la acea subrețea specifică către server. 50 00:04:06,890 --> 00:04:15,700 Aș putea să vin pe această listă 100 și în acest caz am specificat că neagă. 51 00:04:15,760 --> 00:04:19,930 Acum trebuie să specificăm un protocol, astfel încât să putem nega totul. 52 00:04:19,930 --> 00:04:30,140 Cu alte cuvinte, refuzați toate IP-urile la care se face oferta 1. 1. 0 pune moscurile cu machete. 53 00:04:30,290 --> 00:04:36,930 Destinația este gazda specifică, care este de 10. 0 1. 2 până la 12:58 intră. 54 00:04:37,340 --> 00:04:40,420 Așa că linia neagă tot traficul. 55 00:04:40,430 --> 00:04:52,120 Deci, cu alte cuvinte, tot traficul IP este refuzat din subrețeaua 10 1 1 0 10 1 1 0 cu moscheea relevantă care va găzdui 56 00:04:52,120 --> 00:04:57,620 10 1 la 1 care este ceea ce am configurat aici. 57 00:04:57,670 --> 00:05:03,430 Așadar, am creat cu succes a doua parte a listei de 58 00:05:03,460 --> 00:05:17,940 acces, părțile terțe spunând că permit întregul trafic din subrețea oriunde altundeva, așadar aș putea să spun doar lista de acces 100 Myrt IP și vom preciza că 59 00:05:17,940 --> 00:05:24,920 acea subrețea Tendo a risipit 1. 0 cu o moschee. 60 00:05:25,030 --> 00:05:26,780 Și în acest caz pot spune orice fel. 61 00:05:27,070 --> 00:05:36,300 Deci, ultimul pas este legarea listei de acces de pe interfață, astfel încât grupul de acces IP 100 să fie conectat. 62 00:05:36,450 --> 00:05:45,520 Acum, doar pentru a vă arăta ceea ce am configurat, lista de acces arată că în acest caz am o listă extinsă de 63 00:05:45,520 --> 00:05:47,110 acces la IP. 64 00:05:47,110 --> 00:05:53,600 Prima linie este întâlnirea TCAP din acea gazdă 10 1 1 1 pentru a găzdui 10 1 la 1. 65 00:05:53,710 --> 00:06:00,850 Am observat că pionierii au schimbat automat numărul portului în descrierea numelui w WW. 66 00:06:01,420 --> 00:06:08,140 A doua linie este refuzarea traficului de la acea subrețea la gazda 10 1 la 1, iar a treia linie permite 67 00:06:08,530 --> 00:06:10,540 traficul din acea subrețea oricum. 68 00:06:11,450 --> 00:06:21,520 Afișarea interfeței IP 0 0 îmi arată un exemplu în care lista de acces este legată la Fosset. 69 00:06:21,520 --> 00:06:24,100 Ethan Este Eros carne sirra. 70 00:06:24,260 --> 00:06:29,790 Așadar, am realizat ceea ce ne-am propus să facem pe baza acestor criterii. 71 00:06:29,880 --> 00:06:39,960 În acest exemplu, dorim să permităm traficului HGP și TFT de la subnetwork 10 1 1 0 slice 24 la 72 00:06:39,960 --> 00:06:40,840 server. 73 00:06:41,130 --> 00:06:49,490 Cu alte cuvinte, dispozitivele din subrețea ar trebui să poată deschide sesiunile HTTP și sesiunile DFT către server. 74 00:06:49,740 --> 00:06:54,420 Apoi dorim să negem tot traficul din subrețea către server. 75 00:06:54,420 --> 00:07:01,360 Cu alte cuvinte, dorim doar să permitem traficul HTP și TFT către server și niciun alt trafic. 76 00:07:01,500 --> 00:07:06,490 Dar dorim să permitem tot traficul din subnet în orice altă parte. 77 00:07:06,600 --> 00:07:13,200 Cu alte cuvinte, aceste dispozitive și subrețeaua ar trebui să poată accesa acest server la HTP și TFT, fie că nu ar 78 00:07:13,200 --> 00:07:16,610 trebui să poată folosi orice alte protocoale pentru a accesa serverul. 79 00:07:16,740 --> 00:07:21,930 Dar ar trebui să se poată conecta, de exemplu, la acest MacBook folosind orice protocol. 80 00:07:21,950 --> 00:07:26,570 Deci, primul lucru pe care trebuie să-l privim este direcția și din nou traficul 81 00:07:26,570 --> 00:07:29,290 curge din partea stângă spre partea dreaptă. 82 00:07:29,480 --> 00:07:34,720 Încă o dată, conform practicii noastre de bază, vom aplica lista de acces primită de la FASA. 83 00:07:34,730 --> 00:07:40,910 Ethan Este 0 0 pentru unul dintre noi, deoarece aceasta este interfața cea mai apropiată de sursa traficului. 84 00:07:42,010 --> 00:07:50,360 Deci, pentru a face acest lucru pe drumul nostru pentru a intra în configurația globală configurator gang lista de acces de top alege un număr. 85 00:07:50,360 --> 00:07:54,240 În acest caz, alegeți 101 deoarece este o listă extinsă de acces IP. 86 00:07:54,240 --> 00:08:02,480 Vreau să spun că este următoarea disponibilă alegeți comed și acest caz, care este protocolul nostru, vom permite 87 00:08:02,480 --> 00:08:08,270 atât HTP, cât și TFT P de la subrețea la server. 88 00:08:08,300 --> 00:08:20,430 Amintiți-vă că HTP folosește TZP Atlay pentru că TFT P folosește UDP Atlay pentru suficientă TCAP; sursa 89 00:08:20,430 --> 00:08:28,500 sursă are 10 1 1 0 moscheea wildcard 000 2:55. 90 00:08:28,610 --> 00:08:29,940 Deci asta e sursa noastră. 91 00:08:30,040 --> 00:08:32,560 Și acum trebuie să specificăm destinația. 92 00:08:32,560 --> 00:08:34,290 Destinația este minunată. 93 00:08:34,600 --> 00:08:38,500 10. 0 1. 2 la unul. 94 00:08:38,640 --> 00:08:43,660 Și acum putem alege fie egală, fie mai mare decât mai mică sau mai mică, și așa mai departe. 95 00:08:43,740 --> 00:08:46,500 În acest caz, vom spune egal cu portul 80. 96 00:08:46,500 --> 00:08:56,010 Cu alte cuvinte, HTP următoarea linie ar fi de 40 de 50 p, care înainte de a face asta să punem o remarcă doar pentru a 97 00:08:56,010 --> 00:08:58,060 face mai ușor de înțeles. 98 00:08:58,440 --> 00:09:08,150 Deci, aș spune că site-ul Remarque SMRT din Londra de la serverul din New York, de exemplu, și 99 00:09:10,950 --> 00:09:13,780 ei vor spune este 101. 100 00:09:13,880 --> 00:09:15,850 Întâlnit. 101 00:09:16,020 --> 00:09:20,610 În acest caz, trebuie să specificați UDP deoarece TFT utilizează UDP. 102 00:09:20,760 --> 00:09:21,570 Subnetul 103 00:09:24,860 --> 00:09:28,120 sursă care merge la destinație. 104 00:09:28,400 --> 00:09:32,270 În acest caz, o voi schimba doar pentru a vă arăta că ambele opțiuni vor funcționa. 105 00:09:33,380 --> 00:09:41,360 Pot specifica serverul cu o moschee și în acest caz sunt setat egal și observ că acum 106 00:09:41,360 --> 00:09:50,030 protocoalele sunt diferite deoarece folosim UDP ca exemplu nu veți vedea HGP în această listă dar veți vedea TFT 107 00:09:50,700 --> 00:09:58,210 tija este inteligent suficient pentru a ști care dintre aceste protocoale utilizează UDP sau TZP. 108 00:09:58,430 --> 00:10:01,460 Și în acest exemplu am specificat UDP. 109 00:10:01,460 --> 00:10:03,170 Așa că am să spun 69. 110 00:10:03,560 --> 00:10:06,890 Este, de asemenea, o remarcă pentru a 111 00:10:10,010 --> 00:10:19,880 face acest lucru mai multe descriptori Exorcist 101 remark întâlnit TFT de la Londra site-ul la New York City, de exemplu. 112 00:10:20,130 --> 00:10:26,240 Această remarcă este, evident, doar pentru noi ca oamenii să știe ce se întâmplă și nu are niciun efect asupra routerului. 113 00:10:27,240 --> 00:10:33,840 Așadar, am permis traficul de tip sheepy și TFT din acea subrețea către server și acum ni sa spus 114 00:10:33,870 --> 00:10:37,500 să negem toate celelalte traficuri de la subrețea către server. 115 00:10:38,010 --> 00:10:48,040 Deci, lista de acces 101 neagă și pentru că acesta este un acces bazat pe IP, să începem să negem IP 10. 0 întrebat 116 00:10:48,060 --> 00:10:58,960 1. 0 0. 0 a fost adăugat 0 la 255 și ni se spune să refuze traficul numai de la adresa care se transmite serverului. 117 00:10:59,050 --> 00:11:03,120 Deci, destinația va fi gazdă oferită una sau două la una. 118 00:11:03,190 --> 00:11:05,570 Așadar, am îndeplinit al doilea criteriu. 119 00:11:05,740 --> 00:11:11,270 Ultimul pas este să permită tot traficul din subnet în orice altă parte. 120 00:11:12,250 --> 00:11:25,240 Așadar, am spune că lista de acces 101 comită 10 punct punct 1. 0 cu o moschee oriunde ultimul pas este de a le lega pe 121 00:11:25,240 --> 00:11:27,180 interfața de interfață. 122 00:11:27,190 --> 00:11:35,300 Serios, Sarah, conform celor mai bune practici, începe să o legăm în legătură și această interfață, astfel încât 123 00:11:35,300 --> 00:11:40,380 grupul IP X-ists să fie în 101 și asta e. 124 00:11:41,450 --> 00:11:50,540 În acest exemplu, dorim ca ProMED HGP și TFT să fie trafic de la orice fel la serverul 10 1 la 1, 125 00:11:50,540 --> 00:11:53,900 dar vom refuza tot traficul pe server. 126 00:11:53,900 --> 00:11:56,010 Deci lucrurile sunt puțin diferite. 127 00:11:56,060 --> 00:12:00,610 Permitem doar UDP și TFT de oriunde la server. 128 00:12:00,970 --> 00:12:09,830 Deci, traficul de la această gazdă, precum și aceste gazde trebuie să aibă acces la server, dar numai 129 00:12:09,840 --> 00:12:12,090 traficul HTP și TFG. 130 00:12:12,180 --> 00:12:18,330 Dacă ni s-a cerut să aplicăm doar o singură listă de acces, va trebui să o aplicăm în exterior, dacă 131 00:12:18,330 --> 00:12:19,490 Sarah este lăsată. 132 00:12:19,890 --> 00:12:25,500 Cu toate acestea, ni sa oferit opțiunea de a aplica liste de control multiple de acces pe 133 00:12:25,500 --> 00:12:34,020 care l-am aplica, de exemplu, pe 0 1 pe t, precum și pe grave 0 0 sau 1, ceea ce ar avea ca efect că traficul 134 00:12:34,020 --> 00:12:39,960 care va fi abandonat va fi abandonat mai devreme și mai degrabă decât să traverseze link-ul atunci când este 135 00:12:39,960 --> 00:12:42,520 scos ca atunci când folosești această setare. 136 00:12:42,610 --> 00:12:48,870 Este ușor de citit între linii și să determinați ce vi se cere să faceți și ce 137 00:12:48,870 --> 00:12:51,720 restricții au fost introduse asupra soluțiilor dvs. 138 00:12:51,750 --> 00:12:57,180 Deci, pe traseul de înainte de a merge mai departe să vedem ce liste de acces au 139 00:12:57,180 --> 00:13:03,810 fost configurate astfel încât să pot face C'mon run run includ destul de lista de acces care doar arata-mi lista de acces 140 00:13:03,810 --> 00:13:06,100 parte din configurația de pe acest router. 141 00:13:07,140 --> 00:13:13,680 După cum puteți vedea aici, am creat X-uri ultimii trei ACL pentru ACL 142 00:13:17,300 --> 00:13:21,890 cinci extins ACL 100 și ACL extins 101. 143 00:13:22,270 --> 00:13:27,440 Observați că este mai ușor să vedeți ce se întâmplă atunci când comentariile sau descrierile au fost adăugate în 144 00:13:27,440 --> 00:13:30,790 lista de acces pentru a intra în modul de configurare la nivel. 145 00:13:30,890 --> 00:13:37,600 Pot să-l pun pe lista de acces pe una sau două pe fiecare TZP murdar. 146 00:13:37,760 --> 00:13:43,120 Orice gazdă 10 la 1 sau 2 la 1 sau Ra 147 00:13:45,670 --> 00:13:47,770 egală cu 80. 148 00:13:47,830 --> 00:13:50,790 Încă o dată, fiți foarte atent ceea ce tocmai am făcut acolo. 149 00:13:51,100 --> 00:13:56,030 Declarația respectivă fără lista de acces unul sau două ar fi eliminat întreaga listă de acces. 150 00:13:56,110 --> 00:14:02,490 Vă voi arăta într-un moment cum puteți edita linii individuale pe o listă de acces și o 151 00:14:02,500 --> 00:14:05,830 listă de acces 100 pentru a permite UDP. 152 00:14:06,100 --> 00:14:16,000 Orice gazdă 10 sau 1 sau 2 la 1 egal cu 69 care va realiza ceea ce ne-am propus să facem cu această primă 153 00:14:16,450 --> 00:14:28,150 afirmație și apoi trebuie să negem tot traficul de pe acel server pentru a accesa lista 1 pentru a refuza orice IP și nu te uita trebuie să pun 154 00:14:28,150 --> 00:14:33,420 sursa și destinația pe care o pot acum că este o greșeală. 155 00:14:33,420 --> 00:14:40,230 Acum, dacă o fac pe Monge, pot afișa lista de acces pe două. 156 00:14:40,620 --> 00:14:49,500 Veți observa aceste numere de linie 10 20 30 versiuni ulterioare ale Iowas-ului dreptul de a introduce automat numerele de linie pe 157 00:14:49,630 --> 00:14:56,410 fiecare linie creată, ceea ce este excelent pentru că ne permite să editați linii individuale dacă 158 00:14:56,520 --> 00:15:04,160 atingeți comanda nr. X lista dorită să refuze orice IP orice pentru a încerca să eliminați această ultimă linie. 159 00:15:04,210 --> 00:15:06,410 Se va elimina întreaga listă de acces. 160 00:15:06,690 --> 00:15:13,980 Deci, mai degrabă decât a face acest lucru pot face lista comună de acces IP extins, deoarece aceasta este o listă de acces 161 00:15:13,980 --> 00:15:16,590 extins IP și apoi am pus numărul în. 162 00:15:17,130 --> 00:15:27,730 Și apoi pot scrie nr. 13 pentru a elimina ca 30 de oprire a comenzii arată lista 163 00:15:27,760 --> 00:15:37,610 de acces unul sau două vă va arăta că ultima linie a fost eliminată și aș putea adăuga linia înapoi spunând 30 respinge orice 164 00:15:37,680 --> 00:15:40,790 gazde 10 1 la 2 la 1. 165 00:15:41,000 --> 00:15:48,930 Sau mai degrabă IP noapte orice gazdă 10 1 la 1 și nu face o emisiune a venit pe. 166 00:15:50,760 --> 00:15:57,040 Arată că linia a fost adăugată corect, astfel încât viața este mult mai ușoară. 167 00:15:57,040 --> 00:16:02,590 Mai degrabă decât să ștergi lista de acces și apoi să o recreezi de la zero sau să editezi un 168 00:16:03,160 --> 00:16:08,710 notepad, ai putea să o editezi direct pe tijă în ultima etapă din nou, ar fi să o legi 169 00:16:09,080 --> 00:16:11,470 pe interfață dacă e în mod serios zero.