当前位置: 首页 > news >正文

使用华为eNSP组网试验⑸-访问控制

  今天练习使用华为sNSP模拟网络设备上的访问控制,这样的操作我经常在华为的S7706、S5720、S5735或者H3C的S5500、S5130、S7706上进行,在网络设备上根据情况应用访问控制的策略是一个网管必须熟练的操作,只是在真机上操作一般比较谨慎,现在模拟器上试验就轻松了许多。

  先准备一个全网通的环境:

  上面是全网通的环境,验证:

  路由器Router1的静态路由:

ip route-static 1.1.1.1 255.255.255.255 11.11.12.1
ip route-static 3.3.3.3 255.255.255.255 11.11.11.2
ip route-static 4.4.4.4 255.255.255.255 11.11.11.2
ip route-static 5.5.5.5 255.255.255.255 11.11.11.2
ip route-static 11.11.13.0 255.255.255.0 11.11.11.2
ip route-static 11.11.14.0 255.255.255.0 11.11.11.2
ip route-static 172.16.2.0 255.255.255.0 11.11.11.2
ip route-static 172.16.11.0 255.255.255.0 11.11.11.2
ip route-static 192.168.9.0 255.255.255.0 11.11.12.1
ip route-static 192.168.19.0 255.255.255.0 11.11.12.1
ip route-static 192.168.29.0 255.255.255.0 11.11.12.1

  路由器Router2的静态路由:

ip route-static 1.1.1.1 255.255.255.255 11.11.11.1
ip route-static 2.2.2.2 255.255.255.255 11.11.11.1
ip route-static 4.4.4.4 255.255.255.255 11.11.13.1
ip route-static 5.5.5.5 255.255.255.255 11.11.14.1
ip route-static 11.11.12.0 255.255.255.0 11.11.11.1
ip route-static 172.16.2.0 255.255.255.0 11.11.13.1
ip route-static 172.16.11.0 255.255.255.0 11.11.14.1
ip route-static 192.168.9.0 255.255.255.0 11.11.11.1
ip route-static 192.168.19.0 255.255.255.0 11.11.11.1
ip route-static 192.168.29.0 255.255.255.0 11.11.11.1

  一、基于MAC地址拒绝网络设备上网

  这个方式可以通过访问控制列表限制IP、将这个IP放入黑洞、禁用接口等来实现,下面通过流策略来完成操作。

  假如限制IP地址为192.168.9.3的计算机,我们可以得到它的Mac地址为54-89-98-B4-4C-48。

  ①在交换机SW1上创建访问控制列表4019;

acl number 4019rule 10 deny source-mac 5489-98b4-4c48

  ②在交换机SW1上创建流分类tc1,并且匹配访问控制列表4019;

traffic classifier tc1 operator andif-match acl 4019

  ③在交换机SW1上创建流行为tb1,并且设置为拒绝;

traffic behavior tb1deny

  ④在交换机SW1上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1classifier tc1 behavior tb1

  ⑤在交换机SW1的端口GigabitEthernet0/0/0的入口处绑定流策略tp1。

interface GigabitEthernet0/0/2port link-type accessport default vlan 10traffic-policy tp1 inbound

  简单的写,也可以直接在端口上绑定访问控制列表:

interface GigabitEthernet0/0/2port link-type accessport default vlan 10traffic-filter inbound acl 4019

  也可以达到限制该计算机的上网,效果是一样的。

  二、限制访问目的设备

  假定172.16.2.5是服务器地址,拒绝192.168.9.0网段访问,但是允许192.168.19.0和192.168.29.0的网段访问。

  ①在交换机SW2上创建访问控制列表3019;

acl number 3019rule 10 deny ip source 192.168.9.0 0.0.0.255 destination 172.16.2.5 0

  ②在交换机SW2上创建流分类tc1,并且匹配访问控制列表3019;

traffic classifier tc1 operator andif-match acl 3019

  ③在交换机SW2上创建流行为tb1,并且设置为允许;

traffic behavior tb1permit

  ④在交换机SW2上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1classifier tc1 behavior tb1

  ⑤在交换机SW2的端口GigabitEthernet0/0/1的入口处绑定流策略tp1。

interface GigabitEthernet0/0/1port link-type accessport default vlan 300traffic-policy tp1 inbound

  上面的操作等价于:

interface GigabitEthernet0/0/1port link-type accessport default vlan 300traffic-filter inbound acl 3019

  但是显然流策略可以实现的目的更广泛,虽然ACL可以实现的目的也很多。
  上面的写法可以变化,访问控制列表为允许,那么流行为就是禁止,效果也是一样的。

  三、限制上网速度

  假定现在要限制IP地址为192.168.9.0的网段的网速,可以通过下面的设置来完成。

  ①在交换机SW1上创建访问控制列表3019;

acl number 3019rule 10 permit ip source 192.168.9.0 0.0.0.255

  ②在交换机SW1上创建流分类tc1,并且匹配访问控制列表3019;

traffic classifier tc1 operator andif-match acl 3019

  ③在交换机SW1上创建流行为tb1,并且设定网速的限制;

traffic behavior tb1car cir 1024 pir 4096 cbs 128000 pbs 512000 green pass yellow pass red discardstatistic enable

  限定网速为1M,最大为4M。

  ④在交换机SW1上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1classifier tc1 behavior tb1

  ⑤在交换机SW1的端口GigabitEthernet0/0/0的入口处绑定流策略tp1。

interface GigabitEthernet0/0/3port link-type accessport default vlan 20traffic-policy tp1 inbound

  四、策略路由

  可以根据不同的IP决定数据流走不同的路由,有一些应用对不同的路由选择有需求,这个时候可以使用流策略来完成。

  实验图:

  上面的图示中,192.168.9.3最终访问172.16.1.2,192.168.19.3访问172.16.2.2,从而通过策略路由来达到隔离访问的目的,也可以限定网速,比如一条线路为高速,一条线路为一般速度,可以根据源IP来决定是否走高速。

  路由器R0:

[V200R003C00]
#sysname Router0
#snmp-agent local-engineid 800007DB03000000000000snmp-agent 
#clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#drop illegal-mac alarm
#undo info-center enable
#set cpu-usage threshold 80 restore 75
#
acl number 3010  rule 10 permit ip source 192.168.9.0 0.0.0.255 
acl number 3020  rule 10 permit ip source 192.168.19.0 0.0.0.255 
#
traffic classifier tc20 operator orif-match acl 3020
traffic classifier tc10 operator orif-match acl 3010
#
traffic behavior tb20redirect ip-nexthop 11.11.13.2
traffic behavior tb10redirect ip-nexthop 11.11.11.2
#
traffic policy tp10classifier tc10 behavior tb10classifier tc20 behavior tb20
#
aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http
#
firewall zone Localpriority 15
#
interface GigabitEthernet0/0/0ip address 11.11.11.1 255.255.255.252 
#
interface GigabitEthernet0/0/1ip address 11.11.13.1 255.255.255.252 
#
interface GigabitEthernet0/0/2ip address 11.11.9.2 255.255.255.252 traffic-policy tp10 inbound
#
interface NULL0
#
ip route-static 192.168.9.0 255.255.255.0 11.11.9.1
ip route-static 192.168.19.0 255.255.255.0 11.11.9.1
#
user-interface con 0authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  路由器R1:

[V200R003C00]
#sysname Router1
#snmp-agent local-engineid 800007DB03000000000000snmp-agent 
#clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#drop illegal-mac alarm
#undo info-center enable
#wlan ac-global carrier id other ac id 0
#set cpu-usage threshold 80 restore 75
#
aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http
#
firewall zone Localpriority 15
#
interface GigabitEthernet0/0/0ip address 11.11.11.2 255.255.255.252 arp-proxy enable
#
interface GigabitEthernet0/0/1ip address 172.16.1.1 255.255.255.0 arp-proxy enable
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0ip address 2.2.2.2 255.255.255.255 
#
ospf 1 router-id 2.2.2.2 import-route staticarea 0.0.0.0 network 2.2.2.2 0.0.0.0 network 11.11.11.2 0.0.0.0 network 11.11.12.2 0.0.0.0 
#
ip route-static 192.168.9.0 255.255.255.0 11.11.11.1
ip route-static 192.168.19.0 255.255.255.0 11.11.11.1
#
user-interface con 0authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  路由器R2:

[V200R003C00]
#snmp-agent local-engineid 800007DB03000000000000snmp-agent 
#clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#drop illegal-mac alarm
#undo info-center enable
#set cpu-usage threshold 80 restore 75
#
aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http
#
firewall zone Localpriority 15
#
interface GigabitEthernet0/0/0ip address 11.11.13.2 255.255.255.252 
#
interface GigabitEthernet0/0/1ip address 172.16.2.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0ip address 3.3.3.3 255.255.255.255 
#
ospf 1 router-id 3.3.3.3 import-route staticarea 0.0.0.0 network 3.3.3.3 0.0.0.0 network 11.11.13.2 0.0.0.0 network 11.11.14.2 0.0.0.0 
#
ip route-static 192.168.9.0 255.255.255.0 11.11.13.1
ip route-static 192.168.19.0 255.255.255.0 11.11.13.1
#
user-interface con 0authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  通过流策略还可以做很多其他的事情,比如限制协议、限制私密访问、限制端口、隔离特殊应用等等,这些在特殊条件下可以根据需要可以使用流策略来完成。

相关文章:

使用华为eNSP组网试验⑸-访问控制

今天练习使用华为sNSP模拟网络设备上的访问控制&#xff0c;这样的操作我经常在华为的S7706、S5720、S5735或者H3C的S5500、S5130、S7706上进行&#xff0c;在网络设备上根据情况应用访问控制的策略是一个网管必须熟练的操作&#xff0c;只是在真机上操作一般比较谨慎&#xff…...

iPhone苹果手机闹钟智能跳过节假日怎么设置?

国内绝大多数的手机用户使用的操作系统只有三个&#xff0c;安卓、鸿蒙和苹果的ios。而iPhone苹果手机的忠实用户是非常多的&#xff0c;所以日积月累中用户数量也就非常庞大&#xff0c;并且相当一部分用户都是上班族。而工作忙碌的上班族因为事情比较多&#xff0c;为了避免自…...

TenDB Cluster 简介

文章目录 1.简介2.TSpider3.TenDB4.Tdbctl5.TenDB Cluster Operator参考文献 1.简介 TenDB Cluster 是腾讯游戏 CROS DBA 团队提供的 MySQL 分布式关系型数据库解决方案。主要特点包括&#xff1a;透明分库分表、高可用的 MySQL 集群服务&#xff0c;透明及在线的扩容及缩容&a…...

【刷题笔记10.6】LeetCode:翻转二叉树

LeetCode&#xff1a;翻转二叉树 一、题目描述 给你一颗二叉树的根节点root&#xff0c;翻转这颗二叉树&#xff0c;并返回其根节点。 二、分析 我们在做二叉树题目时候&#xff0c;第一想到的应该是用 递归 来解决。 仔细看下题目的 输入 和 输出&#xff0c;输出的左右…...

【高阶数据结构】图详解第一篇:图的基本概念及其存储结构(邻接矩阵和邻接表)

文章目录 1. 图的基本概念1.1 什么是图1.2 有向图和无向图1.3 完全图1.4 邻接顶点1.5 顶点的度1.6 路径1.7 路径长度1.8 简单路径与回路1.9 子图1.10 连通图1.11 强连通图1.12 生成树 2. 图的存储结构2.1 邻接矩阵2.2 邻接矩阵代码实现结构定义构造函数添加边打印图测试 2.3 邻…...

IPV4跟IPV6的区别

如今互联网快速发展ipv4已经满足不了现在的需求&#xff0c;那么这时候就需要用更大的地址空间来代替&#xff0c;这时候ipv6就可以满足这一需求&#xff0c;相比ipv4它有更大的地址空间可供使用。下面我将分享一下有何区别。 IPv4与IPv6之间的区别: 1、地址长度的区别:IPv4具…...

利用fitnesse实现api接口自动化测试

上午在园子里乱逛&#xff0c;看了不少小伙伴们分享的接口测试方面的知识&#xff0c;仔细想想&#xff0c;我做接口测试也有几个年头了&#xff0c;大家所叙述到的一些经验或多或少&#xff0c;我也曾遇到过&#xff0c;突然意识到知识的点滴积累是多么的重要&#xff0c;我记…...

【LeetCode】1154.一年中的第几天

题目描述&#xff1a; 给你一个字符串 date &#xff0c;按 YYYY-MM-DD 格式表示一个 现行公元纪年法 日期。返回该日期是当年的第几天。 示例 1&#xff1a; 输入&#xff1a;date "2019-01-09" 输出&#xff1a;9 解释&#xff1a;给定日期是2019年的第九天。示…...

4.物联网射频识别,RFID开发【智能门禁项目】

补充&#xff1a;学习路径 一。项目介绍及需求分析 1.酒店智能门禁使用场景介绍 1.客人入住 客人在前台办理入住手续&#xff0c;前台管理员通过门禁管理系统为客户开一张门禁卡 客户持卡到相应客房&#xff0c;用IC 卡刷卡开门 客人过了入住时间后&#xff0c;卡自动失效&a…...

CompletableFuture 和 Future 的选择,以及CompletableFuture的用法

在 Java 编程中&#xff0c;异步编程是一种重要的技术&#xff0c;它允许你在执行长时间运行的任务时不会阻塞主线程。为了支持异步编程&#xff0c;Java 提供了 Future 和 CompletableFuture 这两个关键的类。在本文中&#xff0c;我们将比较它们的特点、优缺点以及使用场景。…...

美国第三大财产和意外险公司利宝保险集团利用 OpenText EnCase 取证收集技术控制法律风险和成本

美国第三大财产和意外险公司利宝保险集团利用 OpenText EnCase 取证收集技术控制法律风险和成本 利宝保险集团通过内部取证收集技术控制法律风险和成本。OpenText EnCase Information Assurance&#xff08;以前称为 EnCase eDiscovery&#xff09;使保险公司巨头能够自信高效地…...

打包报错JavaScript heap out of memory

npm run build 的时候出现了Reached heap limit Allocation failed - JavaScript heap out of memory&#xff0c;报错信息如下图所示。 奇怪的时候这个报错信息在本地不会出现&#xff0c;通过jekins在服务器打包部署的时候才会出现。于是进入服务器执行下面一句代码&#xff…...

Android Camera FW 里的requestId和frameId

安卓相机frameworks里面经常出现requestId和frameId&#xff0c;最近简单看了一下代码&#xff0c;发现相关流程还是很复杂的&#xff0c;总结来看requestId 就是上层&#xff08;java&#xff09;发送的repeating(capture)请求的id&#xff0c;是从0开始递增的。 这是CameraD…...

代理IP与Socks5代理在技术世界的多元应用

在数字化时代&#xff0c;网络工程师的任务不仅是维护网络的稳定性&#xff0c;还需要应对各种技术挑战。代理IP与Socks5代理作为技术工具箱中的两把利器&#xff0c;在跨界电商、爬虫、出海业务、网络安全和游戏领域中发挥了关键作用。本文将深入探讨这两项技术在不同领域的多…...

计算机专业毕业设计项目推荐12-志愿者管理系统(Spring+Js+Mysql)

志愿者管理系统&#xff08;SpringJsMysql&#xff09; **介绍****各部分模块实现** 介绍 本系列(后期可能博主会统一为专栏)博文献给即将毕业的计算机专业同学们,因为博主自身本科和硕士也是科班出生,所以也比较了解计算机专业的毕业设计流程以及模式&#xff0c;在编写的过程…...

苹果文件传到mac电脑用什么软件?

在数字化时代&#xff0c;文件传输已经成为我们日常生活中不可或缺的一部分。然而&#xff0c;苹果用户在将手机文件传输到电脑时&#xff0c;往往会面临一些困扰。曾经的“文件传输助手”并不能完全满足用户的需求。于是&#xff0c;很多人开始寻找更便捷的解决方案。在本文中…...

深入理解Docker:简化部署与管理的利器

文章目录 引言Docker简介Docker的背景和发展Docker的优势和特点 Docker的基本概念和架构镜像&#xff08;Image&#xff09;容器&#xff08;Container&#xff09;仓库&#xff08;Repository&#xff09;Docker架构 Docker的常用命令和操作Docker的安装和配置Docker镜像的管理…...

软考对找工作有用吗?

软考是指软件技术专业资格考试&#xff0c;是由中国人力资源和社会保障部主管的一项国家级考试。软考的目标是评估和认证软件技术人员的专业能力&#xff0c;提高软件行业的整体素质和竞争力。那么&#xff0c;软考对找工作有用吗&#xff1f;本文将从以下几个方面进行分析。 首…...

Android系统启动之init进程启动+Zygote进程启动分析

一、基础概念理解 init进程 Android系统所有进程的祖先&#xff0c;是Android系统内核初始化完毕后&#xff0c;进入用户空间启动的第一个进程。 Android虚拟机 Dalvik虚拟机是谷歌自己设计的用于Android平台的虚拟机。Android4.4同时提供了Dalvik和ART虚拟机。Android5.0以后…...

微信这样的加人方式,既安全又解放双手

在当今竞争激烈的市场环境下&#xff0c;如何高效地管理和运营私域流量成为企业发展的关键。 1.批量自动化加好友的优势 &#xff08;1&#xff09;提高效率&#xff1a;批量自动化添加好友功能可以帮助企业添加大量潜在客户或目标客户。相比手动逐个添加好友&#xff0c;自动…...

JavaSec-RCE

简介 RCE(Remote Code Execution)&#xff0c;可以分为:命令注入(Command Injection)、代码注入(Code Injection) 代码注入 1.漏洞场景&#xff1a;Groovy代码注入 Groovy是一种基于JVM的动态语言&#xff0c;语法简洁&#xff0c;支持闭包、动态类型和Java互操作性&#xff0c…...

C++实现分布式网络通信框架RPC(3)--rpc调用端

目录 一、前言 二、UserServiceRpc_Stub 三、 CallMethod方法的重写 头文件 实现 四、rpc调用端的调用 实现 五、 google::protobuf::RpcController *controller 头文件 实现 六、总结 一、前言 在前边的文章中&#xff0c;我们已经大致实现了rpc服务端的各项功能代…...

基于当前项目通过npm包形式暴露公共组件

1.package.sjon文件配置 其中xh-flowable就是暴露出去的npm包名 2.创建tpyes文件夹&#xff0c;并新增内容 3.创建package文件夹...

OkHttp 中实现断点续传 demo

在 OkHttp 中实现断点续传主要通过以下步骤完成&#xff0c;核心是利用 HTTP 协议的 Range 请求头指定下载范围&#xff1a; 实现原理 Range 请求头&#xff1a;向服务器请求文件的特定字节范围&#xff08;如 Range: bytes1024-&#xff09; 本地文件记录&#xff1a;保存已…...

【Web 进阶篇】优雅的接口设计:统一响应、全局异常处理与参数校验

系列回顾&#xff1a; 在上一篇中&#xff0c;我们成功地为应用集成了数据库&#xff0c;并使用 Spring Data JPA 实现了基本的 CRUD API。我们的应用现在能“记忆”数据了&#xff01;但是&#xff0c;如果你仔细审视那些 API&#xff0c;会发现它们还很“粗糙”&#xff1a;有…...

解决本地部署 SmolVLM2 大语言模型运行 flash-attn 报错

出现的问题 安装 flash-attn 会一直卡在 build 那一步或者运行报错 解决办法 是因为你安装的 flash-attn 版本没有对应上&#xff0c;所以报错&#xff0c;到 https://github.com/Dao-AILab/flash-attention/releases 下载对应版本&#xff0c;cu、torch、cp 的版本一定要对…...

使用 Streamlit 构建支持主流大模型与 Ollama 的轻量级统一平台

🎯 使用 Streamlit 构建支持主流大模型与 Ollama 的轻量级统一平台 📌 项目背景 随着大语言模型(LLM)的广泛应用,开发者常面临多个挑战: 各大模型(OpenAI、Claude、Gemini、Ollama)接口风格不统一;缺乏一个统一平台进行模型调用与测试;本地模型 Ollama 的集成与前…...

Aspose.PDF 限制绕过方案:Java 字节码技术实战分享(仅供学习)

Aspose.PDF 限制绕过方案&#xff1a;Java 字节码技术实战分享&#xff08;仅供学习&#xff09; 一、Aspose.PDF 简介二、说明&#xff08;⚠️仅供学习与研究使用&#xff09;三、技术流程总览四、准备工作1. 下载 Jar 包2. Maven 项目依赖配置 五、字节码修改实现代码&#…...

Mysql8 忘记密码重置,以及问题解决

1.使用免密登录 找到配置MySQL文件&#xff0c;我的文件路径是/etc/mysql/my.cnf&#xff0c;有的人的是/etc/mysql/mysql.cnf 在里最后加入 skip-grant-tables重启MySQL服务 service mysql restartShutting down MySQL… SUCCESS! Starting MySQL… SUCCESS! 重启成功 2.登…...

mac 安装homebrew (nvm 及git)

mac 安装nvm 及git 万恶之源 mac 安装这些东西离不开Xcode。及homebrew 一、先说安装git步骤 通用&#xff1a; 方法一&#xff1a;使用 Homebrew 安装 Git&#xff08;推荐&#xff09; 步骤如下&#xff1a;打开终端&#xff08;Terminal.app&#xff09; 1.安装 Homebrew…...