网络运维与网络安全 学习笔记2023.12.1

网络运维与网络安全 学习笔记 第三十二天
在这里插入图片描述

今日目标

ACL原理与类型、基本ACL配置、高级ACL配置
高级ACL之ICMP、高级ACL之telnet

ACL原理与类型

项目背景

为了企业的业务安全,要求不同部门对服务器有不同的权限
PC1不能访问Server
PC2允许访问Server
允许其他所有流量互通
在这里插入图片描述

项目分析

如果想要控制设备之间的连通性,必须搞清楚数据转发的路径
在数据转发路径上的某些节点设备上,使用控制策略,过滤数据包

解决方案

现网中,实现流量访问控制的方法有两种
①控制路由条目–在数据包转发路径上的三层设备上,通过路由策略,拒绝路由条目,从而确保数据包无法互通
②控制数据包转发–在数据包转发路径上的任何一个设备的接口下,调用专门的“流量控制工具”,比如ACL

ACL概述

ACL ( Access Control List ) ,访问控制列表
主要用于在众多类型的数据包中,“匹配/抓取”感兴趣的数据
是一个包含了多个“规则”的列表,不同规则通过“规则号”进行区分√每个“规则”都包含︰动作+条件两部分内容
动作分为︰允许(permit)和拒绝(deny)
条件分为︰地址(address)和通配符(wildcard bits)
ACL举例
acl 2000
rule 10 permit source 192.168.1.0 0.0.0.255.
ACL讲解
2000,表示的是“ACL的名字”,可以通过ID表示,也可通过字符表示
Rule,表示的是“规则”
10,表示的是“规则号”,取值范围是0-4294967294
Permit,表示的是动作–允许;(deny表示的是动作-拒绝)
Source,表示当前的“规则”检查的是数据包的“源”地址
源IP地址,表示的是“源IP地址的范围”
通配符,表示的是“与源IP地址对应的通配符”
ACL类型
基本ACL一只能匹配“源IP地址”,不能匹配其他的信息,匹配数据不精准,所用的ID取值范围是:2000 - 2999
高级ACL一可以匹配“源IP地址”、“目标IP地址”、“协议号”、“端口号”等,匹配的数据更加精准,所用的ID取值范围是:3000- 3999

配置思路

确定PC1与Server之间的数据转发路径
确定转发路径上的转发设备有哪些,判断在哪个设备上配置ACL
判断数据包在每个端口上的转发方向,确定ACL的配置命令和调用方向

配置命令

配置ACL
acl 2000
rule 10 deny source 192.168.1.0 0.0.0.255
调用ACL
interface gi0/0/0
traffic-filter outbound acl 2000
验证与测试
PC1> ping 192.168.100.1,不通
PC1> ping 192.168.2.1,通
PC2> ping 192.168.100.1,通

配置步骤

在这里插入图片描述
①配置终端设备–PC1
地址: 192.168.1.1
掩码: 255.255.255.0
网关:192.168.1.254
②配置终端设备–PC2
地址: 192.168.2.1
掩码: 255.255.255.0
网关:192.168.2.254
③配置终端设备- Server
地址: 192.168.100.1
掩码: 255.255.255.0
网关:192.168.100.254
④配置网络设备–R1
system-view //进入系统模式
[Huawei]sysname R1 //更改设备名称
[R1]interface gi0/0/1 //连接PC1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 //配置IP地址
[R1-GigabitEthernet0/0/1]quit
[R1]interface gi0/0/2 //连接PC2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 //配置IP地址
[R1-GigabitEthernet0/0/2]quit
⑤配置ACL
[R1]acl 2000 //创建基本ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface g0/0/0 //连接Serverl1的接口
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
[R1-GigabitEthernet0/0/0]quit
⑥测试
display acl all //查看设备上所有的ACL
display acl 2000 //查看ACL2000的内容
PC1不能ping通Server1
PC2可以ping通Server1
PC1可以ping通PC2

项目总结

ACL用来匹配数据包,并实现数据包的过滤
ACL的类型分为:基本ACL和高级ACL,使用不同的ID范围表示
基本ACL,只能匹配数据包的源P地址,匹配数据不精准
高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号等字段,匹配数据包更加精准
ACL必须先配置,再调用,并且在端口调用时是有方向的

基本ACL配置

项目背景

公司存在2个部门,为了确保业务安全,需规划安全控制策略
不允许“售后服务部”以任何的方式访问“财务部”服务器
“售后服务器”可以访问网络的任何其他设备
在这里插入图片描述

项目分析

对数据流量进行控制,所以选择使用工具-ACL
要求“不能以任何方式”访问,所以采用“基本ACL”
要求“允许访问”其他设备,所以调用在“服务器网关”设备上

解决方案

如图配置设备IP地址
配置路由条目,确保不同网段之间互通
测试设备之间的连通性,所有网段均可互通
确定部署ACL的设备-R2
确定部署ACL的接口–财务服务器“网关”接口
配置ACL,过滤源IP地址为“售后服务部”网段
在R2连接“服务器”的接口的出方向,调用ACL
验证并测试ACL

配置命令

配置路由条目-R1
ip route-static 192.168.2.0 24 192.168.12.2
ip route-static 192.168.3.0 24 192.168.12.2
配置路由条目-R2
ip route-static 192.168.1.0 24 192.168.12.1
创建ACL-R2
acl 2000
rule 10 deny source 192.168.1.0 0.0.0.255
调用ACL-R2
interface gi0/0/2
traffic-filter outbound acl 2000
验证与测试ACL
[R2]display acl all,查看设备上所有的ACL
[R2] display traffic-filter applied-record,查看设备上已经被调用的ACL
PC1> ping 192.168.3.1 ,不通
[R1] ping -a 192.168.1.254 192.168.3.1,不通
PC2> ping 192.168.3.1 ,通
[R2] ping -a 192.168.2.254192.168.3.1,通

配置步骤

在这里插入图片描述
①配置终端设备-PC1
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备-PC2
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备–财务服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
④配置网络设备–R1
system-view //进入系统模式
[Huawei]sysname R1 //更改设备名称
[R1]interface gi0/0/1 //连接Client1
[R1-GigabitEthernet0/0/1] ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/1] quit
[R1]interface gi0/0/0 //连接R2的接口
[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0] quit
[R1]ip route-static 192.168.2.0 24 192.168.12.2 //去往PC2的路由条目
[R2]ip route-static 192.168.3.0 24 192.168.12.2 //去往财务服务器的路由
⑤配置网络设备–R2
system-view //进入系统模式
[Huawei]sysname R2 //更改设备名称
[R2]interface gi0/0/1 //连接 PC2
[R2-GigabitEthernet0/0/1] ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/1] quit
[R2]interface gi0/0/0 //连接R1的接口
[R2-GigabitEthernet0/0/o] ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/0] quit
[R2]interface gi0/0/2 //连接服务器的接口
[R2-GigabitEthernet0/0/2] ip address 192.168.3.254 24
[R2-GigabitEthernet0/0/2] quit
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1
⑥配置网络设备–SW1
undo terminal monitor
sysname SW1
[SW1]vlan 10
[SW1-vlan10] quit
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 10
[SW1-GigabitEthernet0/0/2]quit
⑦配置网络设备–SW2
undo terminal monitor
sysname sw2
[SW2]vlan 20
[SW2-vlan20] quit
[Sw2]interface GigabitEthernet 0/0/1
[Sw2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1] port default vlan 20
[SW2-GigabitEthernet0/0/1]quit
[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2] port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 20
[SW2-GigabitEthernet0/0/2]quit
⑧配置控制策略并调用
[R2]acl 2000 //创建基本ACL
[R2-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255
[R2-acl-basic-2000]quit
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 //过滤出向流量
[R2-GigabitEthernet0/0/2]quit

项目总结

基本ACL只能匹配源IP地址,过滤数据的效率非常高
基本ACL有一个默认的隐含的动作是“允许所有”
基本ACL尽量调用在距离“目标设备”近的设备/接口上

高级ACL配置

项目背景

为了增强企业内网安全,实施业务隔离以及访问权限控制
三个部门属于不同的IP地址网段
售后部仅仅能访问Server1上的Web服务,不能访问其他服务
售后部可以访问行政部的所有设备的任何服务
除了上述权限外,售后部不能访问网络中的其他任何地方
在这里插入图片描述

项目分析

不同部门之间存在特定业务流量控制,所以用高级ACL
高级ACL可以精确区分流量,尽量调用在距离源设备近的地方

解决方案

如图配置设备IP地址
配置路由条目,确保不同网段之间互通
测试设备之间的连通性,所有网段均可互通
确定部署ACL的设备-R1
确定部署ACL的接口一PC1“网关”接口
配置高级ACL,精确匹配业务流量
在R1连接“PC1”的接口的入方向,调用ACL
验证并测试ACL

配置命令

配置路由条目-R1
ip route-static 0.0.0.0 0 192.168.12.2
配置路由条目-R2
ip route-static 192.168.1.0 24 192.168.12.1
ip route-static 192.168.3.0 24 192.168.23.3
配置路由条目-R3
ip route-static 0.0.0.0 0 192.168.23.2
创建ACL-R1
acl 3000
rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80
rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
rule 30 deny ip source 192.168.1.1 0 destination any
调用ACL-R1
interface gi0/0/2
traffic-filter inbound acl 3000
验证与测试ACL
[R1]display acl all ,查看设备上所有的ACL
[R1] display traffic-filter applied-record,查看设备上已经被调用的ACL
PC1通过http客户端访问Server1,成功
PC1通过ping 访问Server1,失败
PC1 ping PC2 ,成功
PC1访问其他网段,失败

配置步骤

在这里插入图片描述
①配置终端设备–售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备–行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备–Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置web服务︰指定web服务器目录,启动web服务
④配置网络设备-R1
system-view //进入系统模式
[Huawei]sysname R1 //更改设备名称
[R1]interface gi0/0/2 //连接售后服务部
[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2] quit
[R1]interface gi0/0/0 //连接R2的接口
[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0] quit
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
⑤配置网络设备-R2
system-view //进入系统模式
[Huawei]sysname R2 //更改设备名称
[R2]interface gi0/0/2 //连接行政部
[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2] quit
[R2]interface gi0/0/1 //连接R1 的接口
[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1] quit
[R2]interface gi0/0/0 //连接 R3的接口
[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0] quit
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3
⑥配置网络设备-R3
system-view //进入系统模式
[Huawei]sysname R3 //更改设备名称
[R3]interface gi0/0/2 //连接Web服务器
[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit
[R3]interface gi0/0/1 //连接R2的接口
[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1] quit
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2
⑦在R1上配置并调用ACL
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80
[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
[R1] interface gi0/0/2
[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000

项目总结

高级ACL匹配数据更加精准,适合细分业务流量的管理控制
高级ACL尽量调用在距离“源设备”近的设备/接口上

高级ACL之ICMP

项目背景

为了增强企业内网安全,实施业务隔离以及访问权限控制
三个部门属于不同的IP地址网段
售后部仅仅能ping 通Server1,不能访问其他服务
售后部可以访问行政部的所有设备的任何服务
除了上述权限外,售后部不能访问网络中的其他任何地方
在这里插入图片描述

项目分析

不同部门之间存在特定业务流量控制,所以用高级ACL
高级ACL可以精确区分流量,尽量调用在距离源设备近的地方

解决方案

如图配置设备IP地址
配置路由条目,确保不同网段之间户通
测试设备之间的连通性,所有网段均可互通
确定部署ACL的设备一R1
确定部署ACL的接口一PC1“网关”接口
配置高级ACL,精确匹配业务流量
在R1连接“PC1”的接口的入方向,调用ACL
验证并测试ACL

配置命令

配置路由条目-R1
ip route-static 0.0.0.0 0 192.168.12.2
配置路由条目-R2
ip route-static 192.168.1.0 24 192.168.12.1
ip route-static 192.168.3.0 24 192.168.23.3
配置路由条目-R3
ip route-static 0.0.0.0 0 192.168.23.2
创建ACL-R1
acl 3000
rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0
rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
rule 30 deny ip source 192.168.1.1 0 destination any
调用ACL - R1
interface gi0/0/2
traffic-filter inbound acl 3000
验证与测试ACL
[R1]display acl all ,查看设备上所有的ACL
[R1] display traffic-filter applied-record,查看设备上已经被调用的ACL
PC1通过http客户端访问Server1,失败
PC1通过ping 访问Server1,成功
PC1 ping PC2,成功
PC1访问其他网段,失败

配置步骤

在这里插入图片描述
①配置终端设备–售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备–行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备–Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置web服务︰指定web服务器目录,启动web服务
④配置网络设备-R1
system-view //进入系统模式
[Huawei]sysname R1 //更改设备名称
[R1]interface gi0/0/2 //连接售后服务部
[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2] quit
[R1]interface gi0/0/0 //连接R2的接口
[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0] quit
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
⑤配置网络设备-R2
system-view //进入系统模式
[Huawei]sysname R2 //更改设备名称
[R2]interface gi0/0/2 //连接行政部
[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2] quit
[R2]interface gi0/0/1 //连接R1 的接口
[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1] quit
[R2]interface gi0/0/0 //连接 R3的接口
[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0] quit
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3
⑥配置网络设备-R3
system-view //进入系统模式
[Huawei]sysname R3 //更改设备名称
[R3]interface gi0/0/2 //连接Web服务器
[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit
[R3]interface gi0/0/1 //连接R2的接口
[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1] quit
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2
⑦在R1上配置并调用ACL
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0
[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
[R1] interface gi0/0/2
[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000

项目总结

高级ACL匹配数据更加精准,适合细分业务流量的管理控制
高级ACL尽量调用在距离“源设备”近的设备/接口上
一个ACL中存在多个条目时,数据的匹配顺序是按照rule号从小到大依次执行
在ACL条目匹配数据的过程中,如果有一个条目匹配成功,后续的条目就不再查看,直接执行动作“permit”或者“deny"
如果ACL中的所有条目,都没有匹配成功,则执行最后一个隐含的条目

高级ACL之telnet

项目背景

为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE
仅仅允许192.168.1.254远程登录R2,其他设备不可以
拒绝R1的任何IP地址远程登录R3,其他设备都可以
在这里插入图片描述

项目分析

针对远程登录操作,访问的都是设备的“远程登录”虚拟接口
对于虚拟接口,使用“基本ACL”,可实现“远程登录”过滤

解决方案

如图配置设备IP地址
配置路由条目,确保不同网段之间互通·测试设备之间的连通性,所有网段均可互通
确定部署ACL的设备–R2和R3
确定部署ACL的接口一R2和R3的“远程访问”虚拟接口
配置基本ACL,仅仅匹配允许的IP地址即可
在R2和R3的“远程登录”虚拟接口的入方向,调用ACL
验证并测试ACL

配置命令

配置路由条目-R1
ip route-static 0.0.0.0 0 192.168.12.2
配置路由条目-R2
ip route-static 192.168.1.0 24 192.168.12.1
ip route-static 192.168.3.0 24 192.168.23.3
配置路由条目-R3
ip route-static 0.0.0.0 0 192.168.23.2
配置R2的远程访问功能
user-interface vty 0 4
authentication-mode password
please configure the login password (maximum length 16): HCIE
配置R3的远程访问功能
user-interface vty 0 4
authentication-mode password
please configure the login password (maximum length 16): HCIE
创建ACL- R2
acl 2000
rule 10 permit source 192.168.1.254 0
调用ACL - R2
user-interface vty 0 4
acl 2000 inbound
创建ACL - R3
acl 2000
rule 10 deny source 192.168.1.254 0
rule 20 deny source 192.168.12.1 0
rule 30 permit source any
调用ACL- R3
user-interface vty 0 4
acl 2000 inbound
验证与测试ACL
[R2]display acl all,查看设备上所有的ACL
[R3] display acl all ,查看设备上所有的ACL
telnet -a 192.168.1.254 192.168.12.2,登陆成功
telnet 192.168.12.2,登录失败
telnet 192.168.23.3,登录失败
telnet -a 192.168.1.254 192.168.23.3,登录失败
telnet 192.168.23.3,登录成功

配置步骤

在这里插入图片描述
①配置终端设备–售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
②配置终端设备–行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
③配置终端设备–Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置web服务︰指定web服务器目录,启动web服务
④配置网络设备-R1
system-view //进入系统模式
[Huawei]sysname R1 //更改设备名称
[R1]interface gi0/0/2 //连接售后服务部
[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2] quit
[R1]interface gi0/0/0 //连接R2的接口
[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0] quit
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
⑤配置网络设备-R2
system-view //进入系统模式
[Huawei]sysname R2 //更改设备名称
[R2]interface gi0/0/2 //连接行政部
[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2] quit
[R2]interface gi0/0/1 //连接R1 的接口
[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1] quit
[R2]interface gi0/0/0 //连接 R3的接口
[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0] quit
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3

[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode password //指定认证方式为密码认证
Please configure the login password (maximum length 16): HCIE //配置密码为HCIE
⑥配置网络设备-R3
system-view //进入系统模式
[Huawei]sysname R3 //更改设备名称
[R3]interface gi0/0/2 //连接Web服务器
[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit
[R3]interface gi0/0/1 //连接R2的接口
[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1] quit
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2

[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode password //指定认证方式为密码认证
Please configure the login password (maximum length 16): HCIE //配置密码为HCIE
⑦在R2上配置并调用ACL
[R2]acl 2000
[R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0
[R2-acl-basic-2000]quit
[R2]user-interface vty 0 4
[R2-ui-vty0-4]acl 2000 inbound
[R2-ui-vty0-4]quit
⑧在R3上配置并调用ACL
[R3]acl 2000
[R3-acl-basic-2000]rule 10 deny source 192.168.1.254 0
[R3-acl-basic-2000]rule 20 deny source 192.168.12.1 0
[R3-acl-basic-2000]rule 30 permit source any
[R3-acl-basic-2000]quit
[R3]user-interface vty 0 4
[R3-ui-vty0-4]acl 2000 inbound
[R3-ui-vty0-4]quit

项目总结

ACL最后有一个隐含的动作是“拒绝所有”
但是用traffic-filter调用时,ACL默认行为是“允许所有”
远程登录一个设备时,设备使用“虚拟接口” - vty 接口

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/208609.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

怎么让百度快速收录,百度SEO收录工具

百度收录对于一个网站的重要性不言而喻。拥有良好的百度收录意味着网站能够更好地被搜索引擎收录,为用户提供更精准的搜索结果。而怎样实现百度快速收录成为了许多网站管理员关注的焦点。 百度收录的重要性 百度是国内最大的搜索引擎之一,拥有数以亿计的…

春秋云镜:CVE-2022-28512

靶标介绍: Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。 该…

应用于智慧金融的AI边缘计算盒子+AI算法软硬一体化方案

传统金融营业厅存在运营管理模式落后、资源投放不平衡、从业人员培训效果不达预期、客户体验割裂等普遍现象; 部署英码数字金融解决方案,将助力企业从传统金融模式快速向数字金融模式转变,可针对每一个客户定制个性化“一对一”服务&#xff…

Mapper文件夹在resource目录下但是网页报错找不到productMapper.xml文件的解决

报错如下&#xff1a; 我的Mapper文件夹在resourse目录下但是网页报错找不到productMapper.xml。 结构如下&#xff1a;代码如下&#xff1a;<mappers><mapper resource"com/dhu/mapper/productMapper.xml" /> </mappers> 这段代码是在mybatis-co…

Python生成器:优雅而高效的迭代器

Python是一种强大而灵活的编程语言&#xff0c;拥有丰富的标准库和特性功能&#xff0c;其中之一就是 生成器。 生成器 是Python中一种非常实用的特性&#xff0c;它能帮助我们编写高效的代码&#xff0c;尤其是在处理大量数据时&#xff0c;它能够帮助我们更有效地处理迭代任…

ESP32-Web-Server编程- 通过滑动条向 Web 提交数据

ESP32-Web-Server编程- 通过滑动条向 Web 提交数据 概述 上一节我们讲述了通过文本框向 ESP32 发送字符串、数字。有时&#xff0c;我们需要向 ESP32 发送连续的值&#xff0c;这种需求可以通过在网页端实现滑动条来实现。 需求及功能解析 本节演示如何在 ESP32 上部署一个…

使用MD5当做文件的唯一标识,这样安全么?

使用MD5作为文件唯一标识符可靠么&#xff1f; 文章目录 使用MD5作为文件唯一标识符可靠么&#xff1f;什么是MD5&#xff1f;MD5的用途MD5作为文件唯一标识的优劣优势劣势 使用MD5作为文件唯一标识的建议其他文件标识算法结束语 什么是MD5&#xff1f; MD5&#xff08;Messag…

【doccano】文本标注工具——属性级情感分析标注自己的业务数据

笔记为自我总结整理的学习笔记&#xff0c;若有错误欢迎指出哟~ 【doccano】文本标注工具——属性级情感分析标注自己的业务数据 1.说明2.前提条件3.doccano创建项目4.添加数据集5.添加标签6.标注数据7.导出数据转换格式 1.说明 2.前提条件 确保doccano已经安装完成 可以参考文…

Elasticsearch:对时间序列数据流进行降采样(downsampling)

降采样提供了一种通过以降低的粒度存储时间序列数据来减少时间序列数据占用的方法。 指标&#xff08;metrics&#xff09;解决方案收集大量随时间增长的时间序列数据。 随着数据老化&#xff0c;它与系统当前状态的相关性越来越小。 降采样过程将固定时间间隔内的文档汇总为单…

测试面试:不明白什么是质量保障

这是我面试经常问的一个问题&#xff0c;很多人并不明白其中的区别。 如上图&#xff0c;整体的质量体系架构图相对简单&#xff0c;主要包含三个部分&#xff1a;愿景&#xff08;高质量交付&#xff0d;快、好&#xff09;、能力&#xff08;中间三层不同的能力&#xff09;和…

kerberos详解

一、介绍 kerberos概述 Kerberos始于20世纪80年代早期麻省理工学院&#xff08;MIT&#xff09;的一个研究项目&#xff0c;是一个网络身份验证系统。Kerberos提供的完整定义是安全的、单点登录的、可信的第三方相互身份验证服务。 认证过程 相关概念 KDC&#xff08;key D…

HTML5 的全局属性 hidden 和 display:none 的关系

目录 1&#xff0c;hidden 和 display:none 的关系2&#xff0c;其他隐藏元素的方式2.1&#xff0c;语意上的隐藏2.2&#xff0c;视觉上的隐藏 1&#xff0c;hidden 和 display:none 的关系 hidden - MDN 参考 一句话总结&#xff1a;hidden 是HTML5 新增的全局布尔属性&…

Python | 轻量ORM框架Peewee的基础使用(增删改查、自动创建模型类、事务装饰器)

文章目录 01 简介02 安装03 自动创建模型类04 基础使用4.1 查询4.2 新增4.3 更新4.4 删除 05 事务 01 简介 在使用python开发的过程中&#xff0c;有时需要一些简单的数据库操作&#xff0c;而Peewee正是理想的选择&#xff0c;它是一个小巧而灵活的 Python ORM&#xff08;对…

Hdoop学习笔记(HDP)-Part.7 安装MySQL

七、安装MySQL mysql主从复制的原理&#xff1a; 1&#xff09;master将数据改变记录到二进制日志&#xff08;binary log&#xff09;中&#xff0c;也即是配置文件log-bin指定的文件&#xff08;这些记录叫做二进制日志事件&#xff0c;binary log events&#xff09;&#…

(六)Tiki-taka算法(TTA)求解无人机三维路径规划研究(MATLAB)

一、无人机模型简介&#xff1a; 单个无人机三维路径规划问题及其建模_IT猿手的博客-CSDN博客 参考文献&#xff1a; [1]胡观凯,钟建华,李永正,黎万洪.基于IPSO-GA算法的无人机三维路径规划[J].现代电子技术,2023,46(07):115-120 二、Tiki-taka算法&#xff08;TTA&#xf…

Windows环境 dockertopdesk 部署gitlab

1.在dockertopdesk里搜索 gitlab镜像 (pull)拉取镜像 2.运行镜像到容器 mkdir gitlab gitlab/etc gitlab/log gitlab/opt docker run -id -p 3000:80 -p 9922:22 -v /root/gitlab/etc:/etc/gitlab -v /root/gitlab/log:/var/log/gitlab -v /root/gitlab/opt:/var/opt/gitla…

IntelliJ IDEA 之初体验(上)

IntelliJ IDEA 是一款由 JetBrains 公司开发的强大的集成开发环境&#xff08;IDE&#xff09;&#xff0c;专注于 Java 开发&#xff0c;同时支持多种其他编程语言。本文将详细介绍 IntelliJ IDEA 的安装过程以及一些常用的基本操作。 第一步&#xff1a;下载与安装 IntelliJ…

【LeetCode每日一题合集】2023.11.20-2023.11.26 (二叉树中的伪回文路径)

文章目录 53. 最大子数组和解法1——DP解法2——分治&#xff08;维护区间、类似线段树的思想&#xff09; 2216. 美化数组的最少删除数&#xff08;贪心&#xff09;2304. 网格中的最小路径代价1410. HTML 实体解析器&#xff08;模拟&#xff09;2824. 统计和小于目标的下标对…

k8s ingress 无法找到端点

文章目录 ingress rule无法找到端点这个注解是什么意思呢&#xff1f;为何不生效呢&#xff1f;端点无法更新&#xff1f;如何确认ingressclass呢&#xff1f;修复端点无法发现的问题多个ingress controller 架构 ingress rule无法找到端点 在vnnox-cn集群创建ingress&#xf…

IntelliJ IDEA创建springboot项目时不能选择java8的问题解决方案

最近博主也有创建springboot项目&#xff0c;发现了IntelliJ IDEA在通过Spring Initilizer初始化项目的时候已经没有java8版本的选项了。 基于这个问题&#xff0c;有了这篇文章的分享&#xff0c;希望能够帮助大家克服这个困难。 如图&#xff0c;现在创建springboot项目的时…