实训 扩展访问控制列表配置

哈喽，今天我们接着来说 acl 的另外种版本，扩展版，扩展版要比标准版细化的多。前面我说过标准版的 acu 他只针对原地址继续过滤， 而扩张版他除了根据原地址之外，还能根据目的地址端、口号、协议等进行过滤。好，现在我们来看一下他的命令格式， 命令看起来要比标准版的要多哈，要复杂，不过这个没关系，只要理解了他的原理，其实还是很简单的。 我们来看一下阿塞斯干利斯坦，这个是 acr 的基本命令，昨天我说过。 接着后面那个 number 就是编号，从一到九十九是标准版，一百 百到一百九十九是扩展版。至于你想定义他是标准的还是扩展的，就是取决于这个数字。比如你输入一到九十九任意一个数字，那么他就是标准版的。如果你输入一百到一百九十九的任意一个数字，那么他就是扩展版的。 这个很简单，理解好，接着往后面看，空密跟低耐就是允许跟拒绝的意思，意思就是你定义这条访问控制列表究竟是允许通过的还是拒绝通过的，两者只能选其一。 接着看协议，协议什么意思呢？比如我们访问网站的时候用的是 htvp 协议，文件传输是 ftp， 执行拼命令的时候用的是 icmp， 甚至可以指定 tcp 或者是 udb。 原地址，原地址就是发送端的 ip 地址。原地址通配符呢，就是他的纸网页码。 这里我需要重点说明一下，这里的纸网页码配置的时候跟我们在那个计算机上配置的时候完全不一样的。 在我们计算机上配置的指网页吗？举个例子啊，一般都是二五五点二五五点、二五五点零，但是在他这里配置的话，他是反向解析，那就是零点零点零点二五五， 正向解析就是二五五点二五五点二五五点零，这里一定要注意。接着往后面看，括号里面的 gt e q n e q 对应着大于等于小于的意思，他是什么意思呢？比如你在这里定义一个 gt 空格八零， 意思就是你发送端只要大于八厘米以上的端口，都将允许或者拒绝反问。至于拒绝或者允许，取决于你前面那个定义为坡密或者是钉烂。 如果你这里定义为 eq 八零，那么他就只针对于八零这个端口进行过滤，最后面那个 n eq 就是小于的意思，道理都是一样。 接下来就配置墓地地址跟墓地地址的纸网页码，还有端口等信息，配置的方法跟我刚刚说的是一模一样的。现在我们来举个例子，禁止八十八这个网段，对 幺九二点幺六八点一点一这台主机反问八零端口，但是其他是可以反问，怎么做呢？ 首先定义一个扩展 s 幺，刚刚我说了一百到一百九十九就是扩展 s 幺，这里我定义为幺零幺。上面说要禁止八十八这个网段进行反问，所以后面跟着丁耐，然后 tcp 定义他这个协议，紧接着跟着发送端的 ip 地址，也就是这个禁止访问的八十八网段，跟着他的纸网页码。纸网页码一定要这样写， 因为他是反向解析，所以我这里输入为零点零点零点二五五，实际上他的正向解析就是二五五点二五五点二 五点零，紧接着后面有个 houst， 如果你不加这个 host， 他就会对目的地的整个网段进行过滤。如果你加了这个 host， 意思就是指明了当一台主机的 ip 地址， 因为他上面的要求是对某一个 ip 地址进行反问，而不是说对某一个网段进行反问。所以要在前面加一个 post， 然后目的地的 ip 地址纸网页码一 q 八零，因为他指明了不能反问八零端口，一 q 就是等于的意思，等于八零端口 这条命令结束之后，还需再加一条，也是编号跟他一模一样的允许所有数据包。 为什么要加这条命令？我在这里说明一下，因为在他的系统中，他默认隐藏着一条拒绝所有数据包的命令，就是定耐 any any acl 的过滤规则，他是从上往下依次过滤的， 只要满足了其中一条，他要么就转发，要么就丢弃数据包，而不会再依次往下去匹配了。 所以在实际当中，配置的时候一定要注意，不管是配置了多少条 acl， 但最后一定要配置一条允许所有数据包通过的命令， 否则的话，绝大部分都能匹配到最后一条拒绝所有。好了， acr 在这里就已经结束了，再见。

欢迎回来，接下来我们学习第二个高级实现任务，那么是我们 icpip 的话这个法文控制列表， 那么在讲这个内容之前，我们回顾一下，像我们这个路由器，他的功能就是用来这个分组转发我们数据，实现我们网络的互联，那么我们只要组建了网络，那么就可能会出现各种各样的这个网络攻击。那例如我们同学随着常见的病毒 打个比方，我们有这个不法分子通过他的这个主机连接到你的网络里面来，对你的网络里面的主机进行相关的数据进行这一个修改啊，删除啊，以及倒数等等。 那么这个问题怎么办呢？我们就想到就是用这一个防火墙，那么像我们这个访问控制列表，他就有这么一个防火墙的功能， 当然他的功能是比较简单单一的，那么他只能够这个一些基础的这么一个防防火。 好了，明白我们这个控制内表他的功能以后，接下来我们具体来看一看他能够完成哪些任务。那么第一个点就是我们功能简介，功能简介里面我们 sl 也是我们的访问控制内表，他是基于我们这个 tcpip 协议的， 主要是基于他的，但别的协议也可以，他用的是过滤我们这个流入流出路由器的数据包，那凡是要对我们数这个路路由器进行访问，以及路由器里面发送数据出去的，他都可以进行过滤。 好。第二个是我们 ip 访问控制列表的过滤的准则，那么他可以三种这个端口，那么第一个是我们的原地址和目的地址，是我们从某个地址过来的，我们全部把它限制，不允许访问。 第二个在某一个端口反过来的不允许。第三个某一种协议我们限制他，那么像这三种过滤准则，我们稍微记一记，我们后面会这三种进行这个分开的这个配置。 第三大点是我们房屋内表的分类，那么分为两类，重点把握好我们这个标准房屋控制内表和我们这个扩展房屋控制内表，那么这两类里面要掌握内容，分别是我们这一个范围标准的是幺九九， 然后是我们这个扩展的是幺零零到幺九九，这两个我们记一记。还有我们就是我们这个标准的，他只能够检查我们这个原地址， 而我们的扩展的，那么上面这三种啊，他全部能够实现，那么包括我们的目的地址端口号和我们协议，那么这个地方当然 包括我们这个原地址。好，那么说我们防控制列表呢？这个分类这个两个数字我们记一记是要考的，然后我们这一个标准的只能检查原地址也是要考的，那么其他的话就在我们这扩展里面了。 好，第二个是配置反目控这个控制列表，那么这个地方我们稍微留意一下，也就是说你先得去做一个列表，然后把这个列表配置到我们某一个端口，或者某一个什么这个虚拟端端中端，那么这是两个步骤。 好，那么先学习第一个步骤，那么是我们控制列表的创建，控制列表的创建里面啊，我们这个看一下，可以定义访问列表，然后将其应用到接口中，那么相当匹配，然后通过我们这个，这个是决定是通过还是拒绝，那这个我们注意一下，要么就允许，要么就拒绝。那么在我们 这一个判断的过程中，我们有一个很大的原则，就是他遇到这个某一个语句不匹配时，才会去检测下一个语句。反过来说就是说我们某一个 ip 地址，假设大家访问我们路由器，那么如果第一条语句里面他没有被拒绝 啊，或者说没有被匹配，他就会访问我们列表里面的下一条语句，这个明白。 当然我们在这个思考路由器里面，我们引发了一个叫做拒绝语句，那么就说如果在我们整个列表里所有的允许语句里面都没有找到我们这一个 app 地址，那么这一个 app 地址那么会被我们拒绝。 好，我们看一看，那么这个 sl 语句中也是我们防空的列表中，那么这个顺序非常重要。 如果需要允许我们的这么一个，嗯，地址 app 地址的话，所有的原地是通过路由器，那么应该先配置我们拒绝， 拒绝我们的 gap 地址，然后再配置允许其他的。那有同学会说这个我们不写可不可以，也就说我们的允许其他的，那么这个是不可以的。刚刚我们讲过了，我们的四个路由器里面，他隐含了拒绝的这么一个功能，那么你拒绝前面这个，那么其他的自然也被拒绝了。 好，第一个点，我们来看一看两个重要的参数，分别是我们的表号和名称，那么名称我们用的比较少一点，一般用一个数字来表示我们的表号，我们刚才前面所讲的我们这个一到九十九，然后一百到一百九十九，这是我们这个表号。 第二个是我们通佩服野马，那么这个通佩服野马我们前面学过了一个什么磁网野马，他们两个刚好是一个反， 我们也可以称这个充沛福岩码为我们的繁码，他也是由四个八位啊这个数字组成， 还有三十二位，那么现在我们要去书写一个通贝府野马，我们只需要把直往野马的二五五改成我们的零，把我们的零改成二五五，那么这里面其实是很简单的原理，就是说我们在这个访问的过程中， 指望里面我们的这个通佩服野马，如果他是一的我们就允许，如果是零的我们就禁止，因为我们野马里面就是由零和一组成的。 好，这是我们第一个他两个钻的参数。第二个我们具体来配置我们这一个 ip 地址，我们来看第一条命令，那么我是全这一个配置标准访问控制列表，然后我们命令格式是那个赛斯利斯特，然后是我们 这一个列表号，就我们刚才讲的一到九十九，或是一百到一百九十九，然后是我们允许还是拒绝我们的原地址， 刚我们讲了我们这一个标准的他是什么原地址就可以了，我们在前面这地方讲了我们标准防空的内表，他只要检查我们这个原地址，所以我们写面的时候，后面写的是我们的原地址，而且我们注意一下 这个原地址里面我们还需要写我们的这个繁码，那么繁码我们可以看看当前这个是我们的原地址，那么带我们的直网野马二五点二五点二五点零，那么呢这个繁码就是我们零点零点零点二五五，那么这是我们当前这么一条命令，也是我们的 反复控制列表配置完毕，配置完毕好了以后，接下来我们要这一个进行我们的应用接口的这个配置，那这里我们用的是我们的 ctanec 控制 这么一个端口，我们的就是我们康子端口的话，我们是 nime vty 零五这端口。 mx， 那么这个 class， 我们的十十是我们刚刚的这个编号，也是我们的刚刚所讲的表号， 那么表号然后是硬硬的话表示从外面去访问我们这一个啊零五选中端，那么是因为我们当前这么一条，那么这里我们只允许这一个进去，其他的全部是拒绝的。 好，接下来我们就得把这个命令来简单的这个运行一下，看看我们这个结果是不是跟我们想的是一样的。 打开我们虚拟器，然后创建一个我们的路由器创业路就好的话，我们电影吉他，那么到我们命令行窗口，在命令行窗口里面，我们等这个路由器那么运行完毕，这是开启 起啊，开启完毕好了以后，我们第一个问题要进入到我们这个啊配置模式下面来，那么大家屏幕上面啊，这个题是我们师傅，我要初始化，那么这个初始化我们可以不需要了，来一个 no 就可以了，可以好了后再次回收见。我们来到我们的这个管理模式里面，然后再来到我们这个 配置模式里面来，那么当前我们来到这个康菲格井号这么一个配置模式里面，接下来啊，我们就第一步先来创建我们的列表，那么我们刚刚讲到了 x， 然后 这里是横线不是空格，然后 list 我们的表号，我们给定位十，那么这个原则，按照我们刚刚前面所讲的应的标准的配置的话，应该是我们的一到九十九十，好了以后我们来允许，允许我们这 这个某一个地址能够通过，那就让我们看一看我们这个地址是哪一个，那么地址是二幺幺啊，幺零五幺三零点，那么这是我们当中这个我们将来把它写上去， 那么允许的是我们的二幺幺点幺零五点幺三零点零，然后接下来写他的反码，反码的话就是我们直往严码的这一个啊逆操作，那么零点零点，零点后面是二五五， 那么这样我们就写完成了，我们按回射键，回键好了以后我们没有提示用的错误信息，那么说明我们的命令与狙是运行成功的。 那么说我们第一步我们这个表号为十的防空的内表，我们创建好了，创建好，然后接下来我们要把它应用到我们某一个端口上面去，那么就让我们需要这个来，嗯，进入到我们的训练中， nine vty， 然后还是我们刚才讲的零五这个端口的没来进这个端口好了以后我们看一看命令提示符，那么端口母提示符里面，然后我们来应用这么一个端，这一个内表 x， 那么 class， 然后是我们的十号，我们的表号十号，然后我们限制这个应用在我们的进入端口，我们应，那么如果是发出端口的话，我们 out 来向我们回头见，那么当前我们就配置完毕，那么现在我们的这个信用中端也在我们天天的连接端口的话，只允许通过这么一个 ip 地址才能够去访问他， 也就说通过这个地址才能够远程登录他，那么如果不是这个地址的是不能够去远程登录我们当前路由器的。好，接下来我们再来看一看我们当前啊所配置的这个情况，那么这我们需要回到我们的 全局模式下面来，也是我们的井号模式下面来，井号模式上面好了以后我们竖，然后我们这个 access， 然后我们的利斯特，利斯斯来回再见，那么这个时候我们看屏幕上面，当前我们是标准的 ip， 这个防控的列表 表号为十，然后这个是一个编号序号编管他，然后允许我们当前这个地址来访问我们这个 vt y 零杠零五，那么就是我们当前这个命令的演示，我们讲这个地方，接下来我们继续来看后面内容， 后面利用二是直允许这两台主机登录我们路由器，那么前面是啊，我们这个直网，这是两台主机，那咱们想一想我们主机 他是不是没有指望眼码了，那么没有指望眼码，他自然也就没有反码，那么这时啊，我们就不需要写我们的反码了，那这样我们看看那赛车历史的那个，前面是一样的，接下来是我们的表号为二十，然后允许当前这一个 ip 地址， 然后后面再允许下面这个 ipad 地址，然后我们是 x 二十，然后这里是拒绝 any， any， 那么就让我们拒绝所有的主机，允许我们当前这两个主机以后其他的主机是严禁访问的。 好，这样同样我们来看一下这个练习操作。在屏幕上面我们再来创建一个路由器，然后点击打开它， 来到命令这个窗口模式下面来， 稍等一下，我们启动这个 路由器，然后漏，那么当前我们来这个双人下面去以后啊，我们进行到我们相应的这个命令体式服里面来。 好，那么来到我们当前这么一个配置模式下面，接下来我们来这个允许两个主机，那么两个主机分别是我们这个幺八二，这一个，我们把它复制一下。 好，我们一起来看一看，那么是 x， 我们的这个粉红色列表命令，那么历史命令写完了以后，我们给他取一个表号，二十二十。好了以后我们来允许， 那么刚才我们复制了这么一个是我们的幺八二点幺零五点幺三零点幺幺幺，允许这么一个主机登录我们路由器，那么这个是主机，所以我们后面不带我们的繁码，直接按回头键，那么当前屏幕上面 我们看到命令没有提示任何的错误信息，那么第一个主机我们就配置好了，接下来我们配置第二个主机，那么是 x， 然后同样的历史的命令， 接着我们同样的也可以给大家教一个简单方法，就是按一下我们方上键，上上键，那么会把上面这一条命令啊复制下来，复制下来好了以后把后面这一个主机号把它改一改， 那么这样我们第二条就配置完毕。那么现在我们再来看一看我们的要求，我们的要求是什么？只允许我们当前这两个主机能够登录，那么其他的全部不允许， 全部不允许，全部允许，那么我们想一想这个命令我们要不要写嘞？我们不写也没关系，因为我们默认的全部是拒绝的，当然你要写上去也没问题。那么说我们这个赛事， 然后我们 least 我们第一轮啊，二十列表里面的话，第一轮我们这一个 any， 那么 any 表示任何的任意的，那么任何的任意的全部被我们拒绝， 那么在我们前面讲了我们的命令，当他第一条这一个满足以后，后面的就不再进行判断了。如果第一条不满足，我们就运行第二条，那么现在我们假设一下有这么一个情况，我们现在有这么一台主机，二二二点幺幺二点七点五六， 那么这么一个主机现在访问我们路由器，那么现在我们来用来控这个访我们的这个控控制内表，那下面运行这一条，这一条是不是不满足？不满足那么应该运行下一条，那么这一条满足，那么就不再运行后面的了，那么就可以了，考虑原谅方法。 如果我们这里来一个五十七的话，那么当前这里我们不满足，这里不满足，那么暑假运行记后面的，如果我们来源于我们当前这一个主机，那么他就在一条就停下来了，所以我们的顺序啊很重要。那么如果咱们想一想，把当前这条命令放到最前面来， 那么后面这两条命令还会运行吗？根本就不运行，没有任何的意义了，他运行这条命令的时候，他只有判断是拒绝的，所以后面两条就不会运行，那么哪怕你当前我们这条这个主席来访问这个路由器，他都是不成功的。 好，我们接下来，那么当前啊，我们这个控制列表我们就配置完毕，配置完毕好了以后，接下来我们就来这个应用到我们端口上面去，那么我们 nine 还是我们这个虚拟中端，那么零五接下来我们端端中端的这个配置。

包使用你指定的接口地址来做什么？原地址 ok 吗？那我现在希望是模拟什么阿尔的环回口到阿三的环回口之间的这么一个连同性能理解吧。所以说这块咱们需要带原品啊这块咱们需要带原品。 好，那啊这个华为也是一样的三台路由器啊，一二二三啊，然后呢咱们一样就是要过滤什么过滤啊？二去往啊三的这个聘包然后呢来放行你们的弹腰带是吧放行你们的弹腰带。 好，这边的话我们来看一下怎么配啊 好等待设备启动啊 哈哈。 esp 好，这是 ar 一对吧。 ar 二 ar 三啊，依旧是创建环回口啊，然后呢物理接口的话咱们配一下地址 好运行完成 啊。 r 也是一样的，返回考地址的话是二点二点二点二啊，奇比特的零杠零杠一考地址十二点一点点 运行 spf 宣告环回口宣告连接阿一的接口，阿三 宣告三的黄灰桶宣告这边是十三点一点点三。好，现在做好之后的话等待他们之间来进临界关系啊 啊因为这些实验的话之前咱们都给大家讲过，所以说这边我就不浪费时间了啊。重点来讲咱们 acl 的配置啊，我是什么键盘？我是那个菲尔口啊，菲尔可 菲尔可的那个茶轴的啊，菲尔可的茶轴 其实我觉得声音挺大的了声音挺大的 好了啊，这块的话我们就来看一下他的 ac 要怎么配啊。那上来呢，先在阿三上开启他的这个拆腰带的功能对吧，叫 u 字印他 face vty 零到四啊，他说考音棒的哦是吧。然后接下来奥的那天是 mod 三 a， 然后接下来退出来，在 c a 里面啊， logouri id mintry glifi 十五 iphone 的 sifiit me 啊，然后接下来 logouniligirist fpad ok， 那这块的话，我们先在二跟三之间互拼一下， 信到 a 对吧？先写原地址，再写目的地址， 但听不通，尴尬， 发现只有一个领域， 发现接口地址没有敲上去，我也是尴尬呀。 好了，邻居起来了，我就说呢， 好吧，邻居都有了，路也也都有了，再来拼一把，疯了吧啊，二跟三之间的连 通信没问题啊。然后今天我们来胎儿代替一下，这个需要在 u 字母右下，胎儿带他啊，三点杠 a 啊， 先写原地址，二点二点二点二，目的地址三点三，三三啊，用户名艾特米，密码艾特米进来了吧。啊，这就是华为的排行大卡，跟四科一样的。好，那接下来咱们老套路啊，我希望在阿姨上创建 acel 来过滤二访问三的流量。 那我来问大家，你需要在华为上类似于像斯科那样加一个 pammi 的 ip i， 你吗？需不需要？ 大家觉得需不需要？斯科是需要的，你们觉得华为需不需要 华为？然而并不需要是吧，为什么？因为华为的 a 四幺，他默认没有那个隐藏的 diny 啊，就是华为真的特别人性化，他的主张市场 什么呢？就是，对吧，你希望用微信号来过滤流量，那你的 ace 能够匹配到的流量你放心或者过滤啊，你请便。那对于你对吧， ace 不能匹配到的流量，我不会帮你擅作 善做主张的啊，我不会帮你就是说对吧，帮你就是清一色的给干掉，或者是清一色的给放行，就是对于所有其他流量，你就当根本没有 ac 存在一样，你该怎么着怎么着，对吧？你能转发就转发，你不能转发你就该丢弃，丢弃反而跟我没有关系，你不要甩锅给我是吧。基本上这么一个情况， 所有怀疑啊，开发这个路由功能的跟 acl 功能的可能不是一波人啊，就是为了避免大家之间相互甩锅啊，所以说这块就是职责划分的比较清楚啊。好，那这边的话咱不吐槽了，我们来看一下 acco 创建啊，这个华为 acl 创建的话很简单啊， acl 啊，你可以直接写男本啊，也可以直接写内幕啊，内幕的话叫比耐。什么比耐 icmp 啊，血力耗三千， 他的好处就是可以带一个名字啊，也可以带一个数字，你在调用的时候可以调用他的名字，也可以调用他的数字，能理解我的意思吧，这个就特别爽啊，那接下来指定每一个语句的序列号自然不在话下啊，序列号十的语句啊，抵奈 啊，比那什么呢？比那 smp 啊， houst 啊，他没有 hose 他，他就是直接写 r 的地址啊， 反马全零，你可以用一个零二表示啊，然后接下来去访问阿三的三点，三点三点三，反马一个零就能表示，然后接下来他说什么？ icmp 的太棒，他的 icmp 的太炮啊，不好意思， 这个华为为了照顾咱们，看这个配置啊，特别人性化，前面加一个 saose， 后面加一个 face 啊，告诉你了，前面是原地址啊，后面是目的地址， 然后接下来 icm p 的类型啊，咱们是 ico ok 吧。哎，这就是咱们 acl 的配置啊， 非常好懂啊。啊，这个 acu 的名字叫什么？ dna cmp 啊，他的数字的名字是三千啊，你看一个 acu 包含两个名字，牛不牛逼。 然后接下来这是第一个 ace， 序列号十对吧，咱们可以手工指定的吗？然后他是比耐的，比耐原地址为他目的地只为他的 icmp 类型为 ico 的流量。好吧，我就是做这么一个比耐，然后接下来其他都没写对吧，那所有其他的流量 你就对吧，自然转发就好了，你能转发你就转发，你若不能转发，那就算货拉倒是吧，那接下来这个 acl 等怎么用呢？在街口啊，吉比特的零杠零杠零口 啊，这个接口啊，叫 chifacofeel 啊， acl chife flicl acl 啊， chife flilt 啊，先写方向啊，英镑的 acl 叫抵奈什么下划线 icm p 哎啊，还要加内幕啊， 底那下滑线 icl， 好吧，这就是调用 acl 的方式啊。好了，在接口配置模式下， chifi 个飞腰腿，后面跟上方向入向或出线啊，咱们这入向的好吧，后面 acl 内蒙，如果你是要调 有命名式的，你要加内蒙，如果你加入数字形式的话，你也可以直接写什么，你也可以直接在这边写三千也是一样的。因为咱们这个 ac 要有两个名字吗？对吧，三千或者 dnacmp 都行，但是需要注意的是，后者怎么样会覆盖前面的 好吧，后面的会覆盖前面的。如果说你希望就是同一个方向调两个的话，请你先把前面的给干掉，然后再来调什么，再来调用后面的那个 ok 吗？ 啊，这个 ico 不是默认的，你可以不用加，你其实可以把所有类型的 icmp 流量都给过滤掉，但是这边的话呢，我只是想要过滤他的聘包啊。聘包的类型就是 icmp 的 ico ok 吗？啊，你没有必要一定要写命名的，你通过数字形式也可以啊，只不过就是我说我觉得这个命 名师的 acl 第一个比较帅嘛，对吧。第一个比较帅，第二个就是你的命名是 acl， 你通过这个 acl 的名称啊，你能更多的反映出这个 acl 的用途。好吧，因为你在线网环境中啊，你一台设备上可能会有 n 多 n 多的 acl， 对吧。有这么多 acl 存在，那咱们怎么区分哪个 acl 要用来干嘛， 对吧，那这个就是你们懂的是吧，给他起一个不错的名字就 ok 了。好演示一下 啊，聘杠 a 先带原地址再带目的地址。刚才是能通的，哎，现不通了吧，不是快死他太忙对吧。那若是你不带原聘呢？ 如果不带圆拼的话直接拼三点三点三啊。不带圆是能通的，因为我不带圆的话我的拼包原地是什么？十二点一点点二吗对吧。接下来 腰带底下啊，拍腰带，他带原条带答三啊。哎，也是可以的吧，没有任何问题。用户名密码 进来吧。是不是进来了。对，他不会显示不同的类型啊。思科会思科的话正常的不同显示为点啊，如果你是有陆游但是聘不通，他显示为什么显示为优啊，但华为就是聘不通就给你显示为 time 啊，也不能说差评啊，你也可以就是通过底 bug 吗？来看一下到底发生什么样的事情。可以吧，我觉得总而言之还是不错的啊， 反正华为这个 ac 要在配置上会更加人性化一些，你就算什么都不会啊，你看他的命令行提示啊，你也能够猜到他要求你配置什么东西好吗？好， 那这就是 acl 的，哈哈，好，那这就是 acl 的这么一个相关的配置啊，那当然，这个 acl 能配的东西特别特别多 啊。那大家回去呢，可以就是好好研究一下，然后呢把我们今天这个小实验呢给做一下。好吧，那回去做的时候呢，大家换一下。就是说我希望二不能胎腰带的三，但是二能拼三。好吧，我们课上做的是二不能拼三，但是能胎腰带的三。 回去你们做时候反过来啊，就是二不能抬腰带的三，但是他能拼三。 聘杠 a 的话就是在聘的后面带圆啊，胎儿带的杠 a 就是在胎儿带的后面带圆啊，你如果没有带圆的话，默认你是通过哪个接口发送流量，那这股流量的原地址就会使用你 出接口的地址来做，能理解吧？就是如果你带了圆，你的聘包不管通过哪个接口走，对吧？你的这个聘包的圆地址都是你指定的这个圆。 acl 不能在 r 上做啊，因为这股流量算是 r 始发流量啊，你在一个路由器的接口初向调用 acl 啊，你初向调用 acl 是不能过滤你的使发数据的，能理解吧？不能过滤你的使发数据 在接口出现掉内 cl， 只能过滤穿越流量，能理解吧？只能这个过滤穿越流量。所以说你只要在牙医上过滤， 因为说这股流量始发于 r 二吗？去往 r 三，那对于 r 一而言，这股流量就是穿越流量啊。穿越流量 acok 过滤，但是始发流量是不行的 好吧？好，那这节课的话咱们到此为止，大家拜拜。

好，我们首先来看一下与危难相关的啊，第一个技术啊， pv 呢啊？ pv 呢？ ok 啊，首先来看一下啊，我们线网当中啊面临什么样的一个问题，对吧？啊？有一个问题叫访问控制问题啊访问控制问题，这给大家举个例子啊这给大家举个例子 啊，一共有这么六台，呃，福气啊，六台福气啊， abcde 啊， abcde， 然后还有个 z， 对吧？他们都连到哪啊？他们都连到这个交换机上啊都连到交换机上啊，接口是这么多，对吧？大家可以看一下，然后 我们要实现一个呃，他们之间的一个访问控制啊，怎样的一个访问控制呢？ ok， 就是 abc 啊，这三台主机他们之间内部能够互通啊，能够互通，并且他们可以和网关进行通信啊，网关 他们他们三台都能访问到这，并且还能够和这个计费的一个福气啊，他们三个和和和，这个 z 啊也能够做访问，对吧？ ok， 这是地域第一个需求啊。 ok， 第二个需求啊，第一他们之间不能相互通信 啊他们不能之间不能相互通信，然后他们也只能和网关和机会服务性进行通信。在 d 和 z 他都能和 z 啊， d 和 d 都能和 z 啊进行一个通信，对吧？他能访问他，他也能访问他，他们还一个能访问这个网关啊，还能访问这个网观都能这样去访问， 这是第二个需求啊第二个需求，第三个需求叫什么啊？ z 啊，能与其他啊 z 能与其他这个主机进行通信啊，就是 z 啊，可以和其他所有的主机啊都进行通信啊。 b 能够返回互联网啊，也就返回网关了，对不对？他也能够出去， 就是这样的一个啊，需求啊，这样的一个需求啊，要实现这样的一个需求的话，大家想一下啊，可以怎么做呢？啊？可以怎么做啊？ ok， 是不是有种以前讲过的，对吧？最传统的吗？微量啊，微量，微量能不能解决？你可以看一下啊，如果用微量来解决 a、 b、 c、 c 之间，他们能够互相通进， ok， 应该是把这个，这两个，这三个画到同一个危难里面，是不是啊？画到同一个危难里面，然后这呃相当于 这个和这个他们之间不能通信，可能他们之间要画两个危难了，是吧？这个在一，这三个在一个危难，比如这是在危难十，可能这个在这个这 d 在危难二十， e 在危难三十，然后这个 z 在危难四十，最后的话可能你需要去到你的三层交换机上 啊，这可能是二型交换机都做不了的三交换机上去做。关于啊危难的啊，防控制列表啊，关于危难，然后这个 ac 啊，我们可以看一下他要配置多少啊？应该可以配啊，可以配， 但是他配置非常复杂，哦，对吧？首先你看第一个就是他们这些富强通信，这个不用说他们，呃，不能和这个什么 dj 进行通信， 还有盒子给自己，不能和第一进行，要和自己重新可以配，但是你想象一下他整个配置的一个过程，包括配置的一个步骤，会进行很多步，配置非常非常复杂。 这还只是你看几台主机啊？可能给他们五六台主机，如果，如果主机一多，你服务器一多，来个一下，来个一百台服务器，你要对他们之间进行一个访问控制， 你说这个难度是不是就加大了？非常非常大一些款房或者列表可能在写啊，多几百条啊，上千条，这个这个对我们日常韵味来讲就就有点难接受了，对不对？ 那那么有没有有没有一种这个更加简便的一个方法可以解决这个问题呢？有没有啊？当然有，对吧？聪明的人就发现了一个呀，一种协议啊，一个一个技术叫什么？这技术就叫屁味的啊，屁味的。 ok， 我们来看一下什么叫 p v l 啊？ p v l 的话，他可以将这个所有主机啊置于同一个指网啊，同一个指网，然后通过设置不同的这种接口的一个属性 啊，然后进行访问控制啊，相当于你呃，这几个主机，比如说这这几个主机可以在同一个啊开下下一张图啊，可以啊，可以在在同一个围栏里面，比如 在微量一百里面，对吧？然后给他们的这些这个具有具备相同访问权限的一些主机啊，给他分配相应的接口状态啊。他一共有三种啊，接口状态啊，三种交换机的一个接口状态，我们可以看一下，第一种叫啊， 也叫团体接口，这种接口的话他可以和这种啊这种混杂接口进行通信啊，他们内部之间也可以进行一个流量的一个交换。他这个不是刚才讲的啊，哪一个啊？这个 abc 吗？是不是啊？ abc 啊，他们内部之间啊是能够进行通信的，对吧？他们也能和网关进行通信啊，至于这两个就混在这口吗？把这两个设成对吧？混在这个他能和这两个，这个东西别的他都通讯不了，这这两个肯定通讯不了。这第一种借口形态叫团体接口啊，卡宾利。第二种叫隔离接口啊，隔离接口，他们啊， 只能和这种 pruber 这个接口进行通信啊，就是混杂接口啊，进行通信，然后他内部的一个接口之间是不能交换流量的。 ok， 这，这不是应征的，对吧？相当于哪个？下面一张图啊，这两个接口内部不能通信，但是他们能够和，对吧？网关和这个就会服务器统一。 ok， 这是第二种接口形态。那么第三种接口形态呢？就是混在接口了啊，他们是能够和，和，和那个什么啊？这个，这两个，呃，前面定义的这两种接口，对吧？他们都能和他们进行一个通行，相当于他是一个啊，接口，对不对？ ok， 这就是这个技术简不简单啊？就通过这个技术来解决了刚才的啊，一个访问控制问题啊，以前你可能要配几百条上千条访问控制列表啊，还要配危难， 我现在的话只需要配这样的一个接口就能够啊，解决啊，这个简不简单啊？简单，是吧？ ok， 这是关于这个技术啊， 大家明白啊，他到底解决什么问题啊？怎么解决的？解决什么问题，对吧？防控制问题怎么解决的，对吧？通过设置不同的端口的状态是吧？他端口分这么几种啊，这么几种类型， 好， ok， 这是这个技术基本上就讲完了啊，就这么简单啊，我们再来看一下哈。啊，这是，呃，他的一个这个 标题错了啊，不是微量，就是回顾回复，这就是应该是这个 pv 量的一个实验，对吧？ pv 量的一个实验，我们可以看一下啊，他这个就刚才那个，你可以可以去敲实验的啊， 模拟器好像不能支持啊模拟器好像不能支持啊，需要增肌，我们看一下他那个如果把刚才那个需求做实验模拟出来是怎样的呢？ 对吧？怎样的啊？首先组为呢一百啊，这几台主机都在一个组为呢啊一百里边。 ok， 然后 a、 b、 c 把它分成一组啊，这一组的话叫什么？你是刚才讲的课没有例题吗？对吧？啊？课没有例题， 很多立体的这个端口组，然后第一为一组，对吧？什么什么端口组？肯定是他那个格格局单口组吗？对吧？格局单口组， ok， 我们再看一下他具体怎么去实现的， 然后这是两个接口形态，两个接口形态，然后还有一个混搭接口形态，混杂设计，能够和这两个接口组都能进行通信的是两个接口，对吧？这两个接口肯定要把它配成这种混杂接口。看一下， 后面就是这个实验啊，敲的一些秘密啊，大家需要注意的是啊，要做 pv 站之前啊，这个 vtb 要设置成透明模式啊， vtb 干什么用的啊？不懂的 自己去查看，自己去查，这个 app 用的挺少的，你把设置成透明就可以了。 ok， 然后，呃，第一步，我要创建主微烂啊，对吧？创建主微烂，微烂一百，把它设置为 这个 pramer， 叫做微烂。第二步，创建这个团体微烂啊，把它这个微烂两百啊，这个是可是没有立体的微烂三百，这个是隔绝的啊，隔绝的。最后进行一个足微量和两个辅助微量的一个关联，对吧？足微量是这么多，然后关联进两个辅助微烂，两个辅助微烂， ok， 第一步完成了，然后就把相应的接口画到这个，呃，比如说这个一到三接口，对吧？他们是把它画到这个啊，微量两百里面去，现在就画到微量这个往两百里面去啊，他这个端口形态，不，这个就不是十位，十位清末的 xs 了哈， sorry sorry sorry sorry sorry sorry sorry sorry sorry sorry sorry s v i。 然后 s v i。 下面有一条命令啊，是这个，对吧？先来做一个硬设，做一个硬设，最后的话，对，混杂接口，混杂接口，这也有一个硬设啊，也有一个把它配置成混杂接口，也配这样的一个硬设， ok， 整个配置就完成了，对吧？最后你如果要查看这个配置的一个效果的话，可以秀啊，秀就可以了，就是关于这个实验啊，有这个环境的可以去敲一下啊，这个模拟器应该是不是做不了的，也可以试一下，不知道现在最新的版本可不可以做啊？ 如果用 ivu 的话应该是没问题的。这个二层的这些鞋， ok， 又在思考一下解决什么问题，刚才已经讲过了， ok， 这是关于啊，关于这个屁味的啊，屁味的给大家去做了一个简单的介绍啊，简单的介绍。

好，这样，我们来讲这是扩张 sl， 我们看这个靠谱，我们要让 pc 一，不能把握 pc 二，但是可以把握 pc 三和二一， pc pc， pc 三买的都跑了， 我们现在来拼一下 pc 一，拼 pc 三， 在不做任何限制的情况下， pc 一拼 pc 商 pc 都是疼的。 接下来我们来配置 sl 朗姆， pc 一，不能反光 pc 二，但是可以反光， 屁事上好有勇气， 哎，对了， sl 拓展 sl 编号是三千到三千九百九十九，我们这个三千， 若拒绝流量，拒绝 pc 一的流量幺零点一点一点一， 拒绝原离子 幺零点一，耶耶， 一，目标地址 pc 一，不能反问 pc 二，目标地址是二零点一点一点一。 接下来我们要在街口上吊印，这次我们要在哪个街口上吊印呢？鸡，你看你看你看鸡，你看你看，一口都可以 退出，见不到机灵灵灵灵巧 吃饭。 英镑，这个是录流量，是英镑的 icl 三千， 现在我们来让 pc 再来拼 pc pc 三， pc 拼 pc 二， 我们发现是不疼了， ptc 一拼 ptc 三， 我们发现 pc 一偏偏， pc 三是疼的， pc 一拼路由器， 随便哪个借口腾腾的，这就是扩张 sl 的使劲。

这就是中北文化差异的体现。这期视频继续讲 acl， 比较一下不同厂商的设备再配置 acl 是有何差异？还没看过上期视频的同学，请先在视频中看完上期讲 acl 配置的视频， 接下来咱们比较一下中美两国网络通信行业两大厂商华为与思客在做 acl 配置时的差异。 总结起来一共有三点差异。第三点尤为重要。首先，名称差异，四个设备上配置的 acr 被称作标准 acr 和扩展 acr。 华为设备上配置的 acr 被称作基本 acr 和高级 acr。 其次，编号差异。思客设备上配置的标准 acl 编号范围一到九十九。扩展 acl 编号范围一百到一百九十九。华为设备上配置的基本 acl 编号 号范围两千到两千九百九十九，高级 acr 编号范围三千到三千九百九十九。第三点差异最重要。上期视频我使用华为模拟器演示配置时，讲到 华为设备配置 acr 规则是有个技巧，先写拒绝，再写允许。甚至视频结尾给出的配置都没写允许哪些网段通过。 就是因为华为设备在启用 acl 时，默认允许所有网段或流量通过，只需写出拒绝哪些即可。 而四合设备恰恰相反，默认拒绝所有，需要写的是允许哪些通过。这就是中美文化差异的体现。 我们的文化持开放包容态度，无论你来自何方，都会以坦诚的姿态先于接纳。只有需要特殊管控的网段和流量，我们才会对其做拒绝处理，其他一律 创新。通过两期视频，我给大家初步讲解了 s l 这个基础点，如果刷到视频的你想系统学习网络通信知识，或是有至于从事网络通信行业却还无从入门儿， 都可以在评论区留言或私信我，同时也帮忙关注点赞转发一下呗，感谢您的支持！

哈喽，今天来说一下 acl 反问控制列表他有什么用？他的作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发， 目的是对数据流进行管理和控制。比如在一些场合，比如你不想某个 ip 对某个 ip 进行访问，又或者你不想某个 ip 对某个 ip 禁止 htvp 访问，而其他服务可以访问， 这些 acr 都能做的到。 acr 他是由一系列规则组成，这些条件可以是数据的原地址、目的地址和端口号。本章中我以 c 十口路由器为例来介绍 acl 他的命令格式。 c 十口的 acr 分为标准和扩展两种版本。首先我们来看一下标准版，标准版相对于简单， 他只针对原地子进行过滤。举个例子，第一条 ss 干利斯特一，这是 acr 的基本命令。这个一是什么意思呢？刚刚我说了，他有两种版本 编号，从一到九十九是标准版，编号为一百到一百，九十九是拓展版。 后面那个对奈就是镜子的意思，镜子对八十八点这个网段出或者近。因为标准版他只限于针对原地址进行过滤，所以这个八十八点网段的是原 地址，原网段不是目的地网段。这里一定要注意。配置完这条命令之后，然后再进入接口模式，我这里举例说明，暂时定义他为一零杠零，实际操作的时候，你要看清路由器是哪个接口， 进入接口模式之后再把它调用过来激活他。这里有一点需要注意，就是你前面编号为多少的 acl， 在这里你调用多少的编号也要跟他前面是一一对应的，否则的话他是不生效的哈。 你前面选择一，那你调用过来的时候，这里也要选择一。最后面那个 out 就是粗的意思，意思就是说当八十八这个网段的数据到达这个接口的时候， 路由器他是不会让他出去的。好，标准版的 a 四幺介绍到这里已经结束了，明天我们继续介绍他的拓展 a 四幺。

标准 icl 的表号是多少？扩展访问控制列表的表号是多少？列表编号范围一到九九是标准 icl 列表编号范围一百到幺九九是扩展访问控制列表。关注我吧！

大家好，本次视频给各位介绍实训软件里面的基础测量、实训等外水准测量宜高法。首先先介绍一下如何运行实训客户端以及我们的实训软件。 先看一下我们实训软件的访问 ip 121、 37、 179、 193 冒号、 8082 冒号。需要以英文的格式进行输入。我们打开谷歌浏览器， 再输入框，里面输入实训软件的访问 ip。 ip 输入后按回车键即可跳转到软件登录界面。 可以点击右上角三个点的小图标，在更多工具选项里点击创建快捷方式， 我们给他创建一个快捷方式到桌面。下次方便我们快速打开实训软件。先把网页关掉，可以看到桌面有一个刚才创建的快捷方式，因为之前创建过快捷方式，所以把多余的图标删掉。 现在双击打开实训软件， 输入我们的教师账号和密码并登录，点击基础测量实训， 点击新增。可以创建一个实训项目。在实训项目栏里可以选择我们要创建的实训项目。 选择宜高为例，输入一个实训名称，实训名称可以根据各位老师的实际情况进行命名。点击不点。打开实训客户端。 进入客户端后，可以通过键盘上的 w 键、 s 键、 a 键、 d 键分别进行前进、后退、左移、右移的一个操作。 同时按住鼠标右键并拖拽鼠标，可以进行视角旋转。 接下来进行步点。以知点和带球点分别有内置点和手动选点两种方式。内 位置点有十五个点位坐标，也可以在场景里任意位置进行手动步点。我们以手旋点为例，手动步两个点位，先步以之点，再步一个带球点 不完点后，点击下方的确定不点。界面提示。上传成功后，把客户端最小化。然后设定一个实训时间。 实训类型分为考试和练习。选择一个班级， 然后输入策断表得分和成果计算表得分以及实训总分值。 其他分职选项可以根据实际需求填写显示结果。打开后学生提交成果就可以直接看到成绩。这边我们默认不打开，点击确定，这个实训项目就创建完成了。 接下来让学生登录自己的账号来进行实训练习。 我们这边登录一个学生账号， 进入软件后，点击基础测量实训，找到教师发布的实训项目及对应的实训名称。 点击开始就可以打开客户端进行练习操作。 客户端右上角的小地图，点击红色图标，可以进行放大或缩小。地图可以直接在地图上找练习位置，点击该位置可以快速移动过去。 客户端左侧有几个功能图标，分别为设置转点、安置仪器。重新架设提示开关帮助点击设置转点。在核实位置设立水准尺， 然后点击安置仪器。在安置仪器的时候可以实时显示测站点跟前后齿的间距。在合适位置安置仪器， 然后点击后视尺进行观测读数，可以看到右下角显示读数差不多是 1400。 将观测到的后视读数填写到侧段表中， 然后通过鼠标右键长按并拖拽旋转视角到前视尺，点击前视水准尺进行读数， 右下角显示读数差不多为 1400。 将前世毒术填写到测断表中，因为这条路段在场景设定里是相对平坦的，所以前后齿几乎没有高 他。各位老师可以根据自己的需求，在其他核实路段设定实训区域。第一次观测完成后，界面提示变动仪器高，点击左侧第二个图标安置仪器，就可以重新架设仪器。 然后同样先点击后视尺进行观测。读数右下角，读数显示差不多为 1510。 将读数填写到侧段表中。 然后转到前世尺进行观测。独树右下角独树显示差不多为 1510。 继续将独树填写到侧段表中。 界面提示迁战、放置前尺和安置仪器。点击左边第一个功能图标进行设置。转点鼠标点击点位立尺，然后点击左边第二个图标安置仪器。 同样先进行后市观测。读书 右下角读书差不多为 1400。 将读书填写到观测表中， 转到前世尺进行观测。独树右下角独树显示差不多为 1400。 将独树填写到侧段表中。 根据提示再次变动移高 照准后 智齿进行观测。读数右下角读书显示差不多为 1510。 将读书填写到观测表中， 转到前世尺进行观测。读数右下角，读数显示差不多为 1510。 将读数填写到观测表中。 此时这条路线已全部观测完成。接下来我们继续填写侧断表的内容。 高差等于后世简前世 平均高差，即为多次高 差的平均值。这边填写后是读数的总和，下面同样填写前是读数的总和。根据公式后，减前等于 5820， 减 5820 等于 0。 然后将各策展高差平均值和总高差平均值计算，并填写测断表。填写完成后，点击成果计算表继续填写。这边随便填写一个数值，作为后面的错误示范。 数据。填写完成后，点击提交按钮，提交后，学生端将不能进行任何操作，点击确定后提交。 我们登录教师端账号，就可以看到学生的实训成绩。 同样点击基础测量实训，在对应的实训项目右边点击成绩，再点击查看，可以看到学生的成果数据。在该界面可以看到错误栏扣分项， 教师也可以自己检查数据，确认是否有其他问题。点击成果计算表查看数据，填写错误的在下方有对应的扣分标明。最后教师可以根据学生的成果数据进行一个综合评语， 点击评分，完成最后的综合评分。 如果有多个学生练习或考试，教师点击成绩的时候，界面便会出现对应数量学生的成绩。以上是以高法操作讲解，谢谢观看。