网络运维与网络安全 学习笔记2023.11.25

网络运维与网络安全 学习笔记 第二十六天
在这里插入图片描述

今日目标

ACL原理与类型、基本ACL配置、高级ACL配置
高级ACL之ICMP、高级ACL之telnet

ACL原理与类型

项目背景
为了企业的业务安全,要求不同部门对服务器有不同的权限
PC1不能访问Server
PC2允许访问Server
允许其他所有流量互通
在这里插入图片描述
项目分析
如果想要控制设备之间的连通性,必须搞清楚数据转发的路径
在数据转发路径上的某些节点设备上,使用控制策略,过滤数据包
解决方案
现网中,实现流量访问控制的方法有两种
控制路由条目 - 在数据包转发路径上的三层设备上,通过路由策略,拒绝路由条目,从而确保数据包无法互通
控制数据包转发 - 在数据包转发路径上的任何一个设备的接口下,调用专门的“流量控制工具”,比如ACL
配置命令
在这里插入图片描述
①配置终端设备 - PC1
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备 - PC2
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备 - Server
地址:192.168.100.1
掩码:255.255.255.0
网关:192.168.100.254
④配置网络设备 - R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/1 //连接PC1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 //配置IP地址
[R1-GigabitEthernet0/0/1]quit
[R1]interface GigabitEthernet0/0/2 //连接PC2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 //配置IP地址
[R1-GigabitEthernet0/0/2]quit
⑤配置ACL
[R1]acl 2000 //创建基本ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/0 //连接Server1的接口
[R1-GigabitEtherner0/0/0]traffic-filter outbound acl 2000
[R1-GigabitEtherner0/0/0]quit
⑥测试
display acl all //查看设备上所有的ACL
display acl 2000 //查看ACL2000的内容
PC1不能ping通Server1
PC2不能ping通Server2
PC1可以ping通PC2

ACL概述

ACL(Access Control List),访问控制列表
主要用于在众多类型的数据包中,“匹配/抓取”感兴趣的数据
是一个包含了多个“规则”的列表,不同规则通过“规则号”进行区分
每个“规则”都包含:动作 + 条件 两部分内容
动作分为:允许(permit)和拒绝(deny)
条件分为:地址(address)和通配符(wildcard bits)

ACL解析

ACL 举例
acl 2000
rule 10 permit source 192.168.1.0 0.0.255
ACL讲解
2000,表示的是”ACL的名字“,是可以通过ID表示,也可通过字符表示
Rule,表示的是”规则“
10,表示的是”规则号“,取值范围是0-4294967294
Permit,表示的是动作 - 允许;(deny 表示的是动作 - 拒绝)
Source,表示当前的”规则“检查的是数据包的”源“地址
源IP地址,表示的是”源IP地址的范围“
通配符,表示的是”与源IP地址对应的通配符“
ACL类型
基本ACL-只能匹配”源IP地址“,不能匹配其他的信息,匹配数据不精准,所用的ID取值范围是:2000-2999
高级ACL-可以匹配”源IP地址“、”目标IP地址“、”协议号“、”端口号“等,匹配数据更加精准,所用ID取值范围是:3000-3999
配置思路
确定PC1与Server之间的数据转发路径
确定转发路径上的转发设备有哪些,判断在哪个设备上配置ACL
判断数据包在每个端口上的转发方向,确定ACL的配置命令和调用方向
配置命令
配置ACL
acl 2000
rule 10 deny source 192.168.1.0 0.0.0.255
调用ACL
interface gi0/0/0
traffic-filter outbound acl 2000
验证与测试
PC1>ping 192.168.100.1 , 不通
PC1>ping 192.168.2.1 , 通
PC2>ping 192.168.100.1 , 通
项目总结
ACL用来匹配数据包,并实现数据包的过滤
ACL的类型分为:基本ACL和高级ACL,使用不同的ID范围表示
基本ACL,只能匹配数据包的源IP地址,匹配数据不精准
高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号等字段,匹配数据包更加精准
ACL必须先配置,再调用,并且再端口调用时是有方向的。

基本ACL配置

项目背景
公司存在2个部门,为了确保业务安全,需规划安全控制策略
不允许"售后服务部"以任何的方式访问"财务部"服务器
"售后服务器"可以访问网络的任何其他设备
在这里插入图片描述
项目分析
对数据流量进行控制,所以选择使用工具 - ACL
要求“不以任何方式”访问,所以采用“基本ACL”
要求“允许访问”其他设备,所以调用在“服务器网关”设备上
解决方案
配置思路
如图配置设备IP地址
配置路由条目,确保不同网段之间可以互通
测试设备之间的连通性,所有网段 均可互通
确定部署ACL的设备 - R2
确定部署ACL的接口 - 财务服务器“网关”接口
配置ACL,过滤源IP地址为“售后服务部”网段
在R2连接“服务器”的接口的出方向,调用ACL
验证并测试ACL
配置命令
在这里插入图片描述
①配置终端设备 - PC1
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备 - PC2
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备 - 财务服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
④配置网络设备 - R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/1 //连接PC1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/1]quit

[R1]interface GigabitEthernet0/0/0 //连接R2的接口
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]quit

[R1]ip route-static 192.168.2.0 24 192.168.12.2 //去往PC2的路由条目
[R1]ip route-static 192.168.3.0 24 192.168.12.2 //去往财务服务器的路由条目
⑤配置网络设备 - R2
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet0/0/1 //连接PC2
[R2-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/1]quit

[R2]interface GigabitEthernet0/0/0 //连接R1的接口
[R2-GigabitEthernet0/0/0]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/0]quit

[R2]interface GigabitEthernet0/0/2 //连接服务器的接口
[R2-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R2-GigabitEthernet0/0/2]quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往PC1的路由条目
⑥配置网络设备 - SW1
undo terminal monitor
system-view
[Huawei]sysname SW1
[SW1]vlan 10
[SW1-vlan10]quit

[SW1]interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/1]quit

[SW1]interface GigabitEthernet0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]quit
⑦配置网络设备 - SW2
undo terminal monitor
system-view
[Huawei]sysname SW2
[SW2]vlan 20
[SW2-vlan20]quit

[SW2]interface GigabitEthernet0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 20
[SW2-GigabitEthernet0/0/1]quit

[SW2]interface GigabitEthernet0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 20
[SW2-GigabitEthernet0/0/2]quit
⑧配置控制策略并调用
[R2]acl 2000
[R2-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255
[R2-acl-basic-2000]quit

[R2]interface GigabitEthernet0/0/2
[R2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
[R2-GigabitEthernet0/0/2]quit

配置路由条目 - R1
ip route-static 192.168.2.0 24 192.168.12.2
ip route-static 192.168.3.0 24 192.168.12.2
配置路由条目 - R2
ip route-static 192.168.1.0 24 192.168.12.1
创建ACL - R2
acl 2000
rule 10 deny source 192.168.1.0 0.0.0.255
调用ACL - R2
interface GigabitEthernet0/0/2
traffic-filter outbound acl 2000
验证与测试ACL
[R2]display acl all,查看设备上所有的ACL
[R2]display traffic-filter applied-record,查看设备上已经被调用的ACL
PC1>ping 192.168.3.1,不通
[R1]ping -a 192.168.1.254 192.168.3.1,不通
PC2>ping 192.168.3.1,通
[R2]ping -a 192.168.2.254 192.168.3.1,通
总结
基本ACL只能匹配源IP地址,过滤数据的效率非常高
基本ACL有一个默认的隐含的动作是“允许所有”
基本ACL尽量调用在距离“目标设备”近的设备/接口上

高级ACL配置

项目背景
为了增强企业内网安全,实施业务隔离以及访问权限控制
三个部门属于不通的IP地址网段
售后部仅仅能访问Server1上的Web服务,不能访问其他服务
售后部可以访问行政部的所有设备的任何服务
除了上述权限外,售后部不能访问网络中的其他任何地方
在这里插入图片描述
** 项目分析**
不同部门之间存在特定业务流量控制,所以用高级ACL
高级ACL可以精确区分流量,尽量调用在距离源设备近的地方
解决方案
如图配置设备IP地址
配置路由条目,确保不同网段之间互通
测试设备之间的连通性,所有网段均可互通
确定部署ACL的设备 - R1
确定部署ACL的接口 - PC1“网关”接口
配置高级ACL,精准匹配业务流量
在R1连接“PC1”的接口的入方向,调用ACL
验证并测试ACL
配置命令
配置路由条目 - R1
ip route-static 0.0.0.0 0 192.168.12.2
配置路由条目 - R2
ip route-static 192.168.1.0 24 192.168.12.1
ip route-static 192.168.3.0 24 192.168.23.3
配置路由条目 - R3
ip route-static 0.0.0.0 0 192.168.23.2
创建ACL - R1
acl 3000
rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80
rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
rule 30 deny ip source 192.168.1.1 0 destination any
调用ACL - R1
interface GigabitEthernet0/0/2
traffic-filter inbound acl 3000
验证与测试ACL
[R1]display acl all ,查看设备上所有的ACL
[R1]display traffic-filter applied-record,查看设备上已经被调用的ACL
PC1通过http客户端访问Server1,成功
PC1通过ping访问Server1,失败
PC1 ping PC2,成功
PC1访问其他网段,失败
总结
高级ACL匹配数据更加精准,适合细分业务流量的管理控制
高级ACL尽量调用再距离“源设备”近的设备/接口上
配置步骤
在这里插入图片描述
①配置终端设备 - 售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备 - 行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备 - Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置Web服务:指定Web服务器目录,启动Web服务
④配置网络设备 - R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/2 //连接售后服务部
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]quit

[R1]interface GigabitEthernet0/0/0 //连接R2的接口
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]quit

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
⑤配置网络设备 - R2
system-view
[Huawei]sysname R2

[R2]interface GigabitEthernet0/0/2 //连接行政部
[R2-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2]quit

[R2]interface GigabitEthernet0/0/1 //连接R1的接口
[R2-GigabitEthernet0/0/1]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1]quit

[R2]interface GigabitEthernet0/0/0 //连接R3的接口
[R2-GigabitEthernet0/0/0]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0]quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3
⑥配置网络设备 - R3
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet0/0/2 //连接web服务器
[R3-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit

[R3]interface GigabitEthernet0/0/1 //连接R2的接口
[R3-GigabitEthernet0/0/1]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1]quit

[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2
⑦在R1上配置并调用ACL
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80
[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any

[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000

高级ACL之ICMP

项目背景
为了增强企业内外安全,实施业务隔离以及访问权限控制
三个部门属于不用的IP地址网段
售后部仅仅能ping通Server1,不能访问其他服务
售后部可以访问行政部的所有设备的任何服务
除了上述权限外,售后部不能访问网络中的其他任何地方
在这里插入图片描述
项目分析
不同部门之间存在特定业务流量控制,所以用高级ACL
高级ACL可以精确区分流量,尽量调用在距离源设备近的地方
配置思路
如图配置设备IP地址
配置路由条目,确保不同网段之间互通
测试设备之间的连通性,所有网段均可互通
确定部署ACL的设备 - R1
确定部署ACL的接口 - PC1“网关”接口
配置高级ACL,精准匹配业务流量
在R1连接“PC1”的接口的入方向,调用ACL
验证并测试ACL
配置命令
配置路由条目 - R1
ip route-static 0.0.0.0 0 192.168.12.2
配置路由条目 - R2
ip route-static 192.168.1.0 24 192.168.12.1
ip route-static 192.168.3.0 24 192.168.23.3
配置路由条目 - R3
ip route-static 0.0.0.0 0 192.168.23.2
创建ACL - R1
acl 3000
rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80
rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
rule 30 deny ip source 192.168.1.1 0 destination any
调用ACL - R1
interface GigabitEthernet0/0/2
traffic-filter inbound acl 3000
验证与测试ACL
[R1]display acl all ,查看设备上所有的ACL
[R1]display traffic-filter applied-record,查看设备上已经被调用的ACL
PC1通过http客户端访问Server1,成功
PC1通过ping访问Server1,失败
PC1 ping PC2,成功
PC1访问其他网段,失败
配置步骤
在这里插入图片描述
①配置终端设备 - 售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备 - 行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备 - Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置Web服务:指定Web服务器目录,启动Web服务
④配置网络设备 - R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/2 //连接售后服务部
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]quit

[R1]interface GigabitEthernet0/0/0 //连接R2的接口
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]quit

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
⑤配置网络设备 - R2
system-view
[Huawei]sysname R2

[R2]interface GigabitEthernet0/0/2 //连接行政部
[R2-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2]quit

[R2]interface GigabitEthernet0/0/1 //连接R1的接口
[R2-GigabitEthernet0/0/1]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1]quit

[R2]interface GigabitEthernet0/0/0 //连接R3的接口
[R2-GigabitEthernet0/0/0]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0]quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3
⑥配置网络设备 - R3
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet0/0/2 //连接web服务器
[R3-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit

[R3]interface GigabitEthernet0/0/1 //连接R2的接口
[R3-GigabitEthernet0/0/1]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1]quit

[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2
⑦在R1上配置并调用ACL
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80
[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any

[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
项目总结
高级ACL匹配数据更加精准,适合细跟业务流量的管理控制
高级ACL尽量调用距离“源设备”近的设备/接口上
一个ACL中窜在多个条目时,数据的匹配顺序按照rule号从小到大依次执行
在ACL条目匹配数据的过程中,如果有一个条目匹配成功,后续的条目就不再查看,直接执行“permit”或者“deny”
如果ACL中的所有条目,都没有匹配成功,则执行最后一个隐含的条目

高级ACL之Telnet

项目背景
为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE
仅仅允许192.168.1.254远程登录R2,其他设备不可以
拒绝R1的任何IP地址远程登录R3,其他设备都可以
在这里插入图片描述
项目分析
针对远程登录操作,访问的都是设备的“远程登陆”虚拟接口
对于虚拟接口,使用“基本ACL”,可实现“远程登录”过滤
配置思路
如图配置设备IP地址
配置路由条目,确保不同网段之间互通
测试设备之间的连通性,所有网段均可互通
确定部署ACL的设备 - R2和R3
确定部署ACL的接口 - R2和R3的“远程访问”虚拟接口
配置基本ACL,仅仅匹配允许的IP地址即可
在R2和R3的“远程登录”虚拟接口的入方向,调用ACL
验证并测试ACL
配置命令
配置路由条目 - R1
ip route-static 0.0.0.0 0 192.168.12.2
配置路由条目 - R2
ip route-static 192.168.1.0 24 192.168.12.1
ip route-static 192.168.3.0 24 192.168.23.3
配置路由条目 - R3
ip route-static 0.0.0.0 0 192.168.23.2
配置R2的远程访问功能
user-interface vty 0 4
authentication-mode password
please configure the login password (maximum length 16):HCIE
配置R3的远程访问功能
user-interface vty 0 4
authentication-mode password
please configure the login password (maximum length 16):HCIE
创建ACL - R2
acl 2000
rule 10 permit source 192.168.1.254 0
调用ACL - R2
user-interface vty 0 4
acl 2000 inbound
创建ACL - R3
acl 2000
rule 10 deny source 192.168.1.254 0
rule 20 deny source 192.168.12.1 0
rule 30 deny source any
调用ACL - R3
user-interface vty 0 4
acl 2000 inbound
验证与测试ACL
[R2]display acl all ,查看设备上所有的ACL
[R3]display acl all ,查看设备上所有的ACL
telnet -a 192.168.1.254 192.168.12.2,登录成功
telnet 192.168.12.2,登录失败
telnet 192.168.23.3,登录失败
telnet -a 192.168.1.254 192.168.23.3,登录失败
telnet 192.168.23.3,登录成功
配置步骤
在这里插入图片描述
①配置终端设备 - 售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备 - 行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备 - Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置Web服务:指定Web服务器目录,启动Web服务
④配置网络设备 - R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/2 //连接售后服务部
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]quit

[R1]interface GigabitEthernet0/0/0 //连接R2的接口
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]quit

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
⑤配置网络设备 - R2
system-view
[Huawei]sysname R2

[R2]interface GigabitEthernet0/0/2 //连接行政部
[R2-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2]quit

[R2]interface GigabitEthernet0/0/1 //连接R1的接口
[R2-GigabitEthernet0/0/1]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1]quit

[R2]interface GigabitEthernet0/0/0 //连接R3的接口
[R2-GigabitEthernet0/0/0]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0]quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3

[R2]user-inteface vty 0 4
[R2-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):HCIE
⑥配置网络设备 - R3
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet0/0/2 //连接web服务器
[R3-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit

[R3]interface GigabitEthernet0/0/1 //连接R2的接口
[R3-GigabitEthernet0/0/1]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1]quit

[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2

[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):HCIE
⑦在R2上配置并调用ACL
[R2]acl 2000
[R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0
[R2-acl-basic-2000]quit

[R2]user-interface vty 0 4
[R2-ui-vty0-4]acl 2000 inbound
[R2-ui-vty0-4]quit

⑦在R3上配置并调用ACL
[R3]acl 2000
[R3-acl-basic-2000]rule 10 deny source 192.168.1.254 0
[R3-acl-basic-2000]rule 20 deny source 192.168.12.1 0
[R3-acl-basic-2000]rule 30 deny source any
[R3-acl-basic-2000]quit

[R3]user-interface vty 0 4
[R3-ui-vty0-4]acl 2000 inbound
[R3-ui-vty0-4]quit
项目总结
ACL最后一个隐含的动作时“拒绝所有”
但是用traffic-filter 调用时,ACL默认行为是“允许所有”
远程登录一个设备时,设备使用“虚拟接口” - vty接口

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/170379.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MyBatis框架_01

Web后端开发_03 MyBatis框架 什么是MyBatis? MyBatis是一款优秀的持久层框架,用于简化JDBC的开发。MyBatis本是 Apache的一个开源项目iBatis,2010年这个项目由apache迁移到了google code,并且改名为MyBatis 。2013年11月迁移到Github。官网…

Transformer——decoder

上一篇文章,我们介绍了encoder,这篇文章我们将要介绍decoder Transformer-encoder decoder结构: 如果看过上一篇文章的同学,肯定对decoder的结构不陌生,从上面框中可以明显的看出: 每个Decoder Block有两个…

nrm安装及使用

一、介绍 nrm 是一个 Node.js 的 registry 管理工具,它允许你快速地在不同的 npm registry 之间进行切换。通过使用 nrm,你可以方便地将 npm 的 registry 切换为淘宝镜像、npm 官方镜像或者其他定制的镜像,以加快包的下载速度。nrm仓库请点击…

Python武器库开发-前端篇之CSS基本语法(三十)

前端篇之CSS基本语法(三十) CSS简介 CSS(层叠样式表)是一种用于描述网页外观和布局的样式表语言。它与 HTML 一起,帮助开发者对网页进行美化和布局。CSS通过定义网页元素的颜色、字体、大小、背景、边框等属性,使网页变得更加美…

redis 数据结构

redis 数据结构 动态字符串SDS 优点 获取字符串长度的时间复杂度O(1) 支持动态扩容,减少内存分配次数 新字符串小于1M – 新空间为扩展后字符串长度的两倍 1 新字符串大于1M – 新空间为扩展后字符串长度 1M 1. 内存预分配 二进制安全(记录了字符…

2023金盾杯线上赛-AGRT战队-WP

目录 WEB ApeCoin get_source ezupload easyphp MISC 来都来了 芙宁娜 Honor Crypto 我看看谁还不会RSA hakiehs babyrsa PWN sign-format RE Re1 WEB ApeCoin 扫描发现有源码泄露,访问www.tar.gz得到源码。 在源码中发现了冰蝎马。 Md5解码&am…

【可编程串行接口8251A】:用处、内部结构、各引脚的解释、工作方式

8251A的作用 微机内部的数据传送方式为并行方式。 若外设采用串行方式,则微机与外设之间需加串行接口。 串行接口基本功能就是:输入数据时,进行串/并转换;输出数据时,进行并/串转换。Intel8251A是一种可编程的通用同步…

frp V0.52.3 搭建

下载 https://github.com/fatedier/frp/releases/ 此版本暂时没有windows的,想在windows使用请下载v0.52.2 简易搭建 frps.toml的配置文件,以下12000、8500需要在云服务器中的防火墙中开放tcp # bindPort为frps和frpc通信的端口,需要在防…

渗透测试信息搜集

注:太简陋了,不忍直视 渗透测试信息收集 黑盒测试:给域名 灰盒测试:给域名、账户(或密码) 白盒测试:给域名、账户、密码 授权书 对安全公司进行授权 攻防演习 是对个人进行授权 渗透测试:&#xff0…

实验室信息管理系统源码,LIS系统源码,lis源码

医学检验(LIS)管理系统源码,云LIS系统全套商业源码 随着全自动生化分析仪、全自动免疫分析仪和全自动血球计数器等仪器的使用,检验科的大多数项目实现了全自动化分析。全自动化分析引入后,组合化验增多,更好的满足了临床需要&…

springboot 返回problem+json

spring所有配置都在WebMvcAutoConfiguration中 其中有 ProblemDetailsExceptionHandler 容器中的一个组件 -ControllerAdvice用来集中处理异常的 -点进ResponseEntityExceptionHandler 包含这些异常,如果出现以下异常,会被springboot支持以RFC 7807规…

142.【Nginx负载均衡-01】

Nginx_基础篇 (一)、Nginx 简介1.背景介绍(1).http和三大邮局协议(2).反向代理与正向代理 2.常见服务器对比(1).公司介绍(2).lls 服务器(3).Tomcat 服务器(4).Apache 服务器(5).Lighttpd 服务器(6).其他的服务器 3.Nginx的优点(1).速度更快、并发更高(2).配置简单,扩…

1.1 半加器

输入1输入2结果进位0000101001101101 半加器: 实现1位的加法 根据结果可知输入1与输入2相加结果 -> 符合 异或门进位 -> 符合 与门最终要么有结果要么有进位,不存在即有结果也有进位 异或门的实现也可以由基本的3个 “与或非” 门实现 与:& , 或:| , 非:! 用这3个…

从前序与中序遍历序列构造二叉树(C++实现)

从前序与中序遍历序列构造二叉树 题目思路分析代码代码讲解 题目 思路分析 我们可以通过递归实现的二叉树构建函数。它根据给定的先序遍历序列和中序遍历序列构建一棵二叉树,并返回根节点。可以创建一个_build 函数,该函数负责构建二叉树的节点&#xff…

OSG粒子系统与阴影-自定义粒子系统示例<2>(5)

自定义粒子系统示例(二) 目前自定义粒子的方法有很多,在OSG 中使用的是 Billboard 技术与色彩融合技术。色彩融合是一种高级的渲染技术,如果读者有兴趣,可参看 OSG 粒子系统实现的源代码。这里采用简单的布告牌技术(osg::Billboard)与动画来实…

01背包问题

介绍 有N件物品和一个最多能被重量为W 的背包。第i件物品的重量是weight[i],得到的价值是value[i] 。每件物品只能用一次,求解将哪些物品装入背包里物品价值总和最大。 分析 优化后的代码 public class demo {static class Item{int index;String na…

OpenCV快速入门:相机标定——单目视觉和双目视觉

文章目录 前言一、相机标定的基本原理1.1 相机模型与坐标系1.1.1 相机模型1.1.2 坐标系 1.2 相机内参与外参1.2.1 内部参数1.2.2 外部参数 1.3 镜头畸变1.4 透视变换1.5 标定的重要性和应用场景 二、单目视觉2.1 单目视觉的原理2.1.1 单目视觉的原理2.1.2 单目视觉的公式2.1.3 …

MYSQL基础知识之【添加数据,查询数据】

文章目录 前言MySQL 插入数据通过命令提示窗口插入数据使用PHP脚本插入数据 MySQL 查询数据通过命令提示符获取数据使用PHP脚本来获取数据内存释放 后言 前言 hello world欢迎来到前端的新世界 😜当前文章系列专栏:Mysql 🐱‍👓博…

【c++】——类和对象(下) ——内存管理

作者:chlorine 专栏:c专栏 目录 💻 C/C内存分布 💻C语言中动态内存管理方式:malloc/calloc/realloc/free ​编辑 💻C内存管理方式 👉new/delete操作内置类型 👉new和delete操作自定义类型 &#x1f…

VSCode 警告:v-on event ‘@toggleClick‘ must be hyphenated

🚀 作者主页: 有来技术 🔥 开源项目: youlai-mall 🍃 vue3-element-admin 🍃 youlai-boot 🌺 仓库主页: Gitee 💫 Github 💫 GitCode 💖 欢迎点赞…