Packet Tracer - IPv4 ACL 的实施挑战(完美解析)
目标
· 在路由器上配置命名的标准ACL。
· 在路由器上配置命名的扩展ACL。
· 在路由器上配置扩展ACL来满足特定的 通信需求。
· 配置ACL来控制对网络设备终端线路的 访问。
· 在适当的路由器接口上,在适当的方向上 配置ACL。
· 验证已配置 ACL 的运行。
背景/场景
在这个Packet Tracer练习中,您要配置扩展IPv4 ACL、 命名的标准IPv4 ACL和命名的扩展IPv4 ACL,来满足特定的通信需求。
说明
步骤1: 验证新公司网络的连通性。
首先,在配置ACL之前 测试网络的连通性。所有主机都应该可以ping通所有其他主机。
步骤2:按照需求配置 标准和扩展 ACL。
配置ACL以满足以下要求:
重要指南:
o 请勿 在 ACL 末尾明确配置 deny any 语句。
o 尽可能 使用简便参数 (host 和 any)。
o 按照这里指定的顺序, 编写ACL语句来满足要求。
o 在最有效的位置和方向上应用ACL。
ACL 1 的要求
o 创建 ACL 101。
o 明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。
o 不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。
o 放行所有其他流量。
ACL 2 的要求
o 使用 ACL 编号 111
o HQ LAN 1 中的主机都不能访问分支机构服务器。
o 放行所有其他流量。
ACL 3 的要求
o 创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。
o 只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。
ACL 4 的要求
o 创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。
o 分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。
o 放行所有其他流量。
步骤3:验证 ACL 的操作。
a. 按照拓扑,测试下列设备之间的连通性。 注意测试结果是否成功。
注意:使用 show ip access-lists 命令 来验证 ACL 的操作。使用 clear access list counters 命令 来重置匹配计数器。
问题1:
从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。
从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?
在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?
b. 从互联网向内部服务器发起测试连接。
问题2:
从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?
要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?
要想拒绝这个流量,应该在访问列表中 添加哪些语句?
根据上述内容我们来进行相关的配置:
ACL 1 的要求
o 创建 ACL 101。
o 明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。
HQ(config)#access-list 101 deny tcp any host 192.168.1.70 eq ftp
o 不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。
HQ(config)#access-list 101 deny icmp any 192.168.1.0 0.0.0.63
o 放行所有其他流量。
HQ(config)#access-list 101 permit ip any any
ACL 2 的要求
o 使用 ACL 编号 111
o HQ LAN 1 中的主机都不能访问分支机构服务器。
HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45
o 放行所有其他流量。
HQ(config)#access-list 111 permit ip any any
ACL 3 的要求
o 创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。
HQ(config)#ip access-list standard vty_block
o 只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。
HQ(config-std-nacl)# permit 192.168.1.64 0.0.0.7
HQ(config)#interface GigabitEthernet0/0/0
HQ(config-if)# ip access-group 111 in
HQ(config-if)#interface Serial0/1/0
HQ(config-if)# ip access-group 101 in
HQ(config-if)#line vty 0 4
HQ(config-line)# access-class vty_block i
ACL 4 的要求
o 创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。
Branch(config)#ip access-list extended branch_to_hq
o 分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。
Branch(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63
Branch(config-ext-nacl)# deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63
o 放行所有其他流量。
Branch(config-ext-nacl)# permit ip any any
Branch(config-ext-nacl)#interface Serial0/1/1
Branch(config-if)# ip access-group branch_to_hq out
回答一下问题1:
从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。
答:可以ping 成功,因为 ACL 允许分支 PC 向企业 Web 服务器 发起。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。
答:分支路由器上 branch_to_hq ACL 的最后一行是 permit ip any。
从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。
答:ping 未成功,因为流量被访问列表阻止。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?
答:HQ 路由器上访问列表 111 中的语句 10 拒绝到分支服务器的所有流量。
HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45
在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。
答:外部服务器可以访问 Enterprise Web Server 上的网页。 不会阻止到 Enterprise Web Server 的 HTTP 流量。所以是可以ping成功的。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?
答:HQ 路由器上访问列表 101 中的第 20 行允许此流量。
HQ(config)#access-list 101 permit ip any any
回答一下问题2:
从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?
答:从 Internet 用户 PC 到 Branch Server 的 FTP 连接成功。
要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?
答:需要修改 HQ 路由器上的访问列表 101 以拒绝此流量
要想拒绝这个流量,应该在d访问列表中 添加哪些语句?
答:需要将语句“deny tcp any host 192.168.2.45 eq 21”或“deny tcp any host 192.168.2.45 range 20 21”添加到访问列表 101 中。
完成截图如下:
附录一键完成脚本如下:
Router HQ
enable
conf t
access-list 101 deny tcp any host 192.168.1.70 eq ftp
access-list 101 deny icmp any 192.168.1.0 0.0.0.63
access-list 101 permit ip any any
ip access-list standard vty_block
permit 192.168.1.64 0.0.0.7
access-list 111 deny ip any host 192.168.2.45
access-list 111 permit ip any any
int g0/0/0
ip access-group 111 in
int s0/1/0
ip access-group 101 in
line vty 0 4
access-class vty_block in
end
Router Branchenable
conf t
ip access-list extended branch_to_hq
deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63
deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63
permit ip any any
int s0/1/1
ip access-group branch_to_hq out
end
相关文章:
Packet Tracer - IPv4 ACL 的实施挑战(完美解析)
目标 在路由器上配置命名的标准ACL。 在路由器上配置命名的扩展ACL。 在路由器上配置扩展ACL来满足特定的 通信需求。 配置ACL来控制对网络设备终端线路的 访问。 在适当的路由器接口上,在适当的方向上 配置ACL。…...
Langchain-chatchat源码部署及测试实验
一年多前接触到Langchain-chatchat的0.2版本,对0.2版本进行了本地部署和大量更新,但0.2版本对最新的大模型支持不够好,部署框架支持也不好且不太稳定,特别是多模态大模型,因此本次主要介绍0.3版本的源码部署,希望对大家有所帮助。Langchain-chatchat从0.3版本开始,支持更…...
【Linux】线程(第十六篇)
目录 线程 1.线程基本概述: 2.线程类型: 3.线程间的共享资源与非共享资源 4.线程原语 1.线程创建函数 2.获取当前线程id的函数 3.回收线程资源 4.将线程设置为分离态 5.结束线程 6.退出线程 线程 1.线程基本概述: 是操作系统能够…...
2024华为杯研赛E题保姆级教程思路分析
E题题目:高速公路应急车道紧急启用模型 今年的E题设计到图像/视频处理,实际上,E题的难度相对来说较低,大家不用畏惧视频的处理,被这个吓到。实际上,这个不难,解决了视频的处理问题,…...
国内可以使用的ChatGPT服务【9月持续更新】
首先基础知识还是要介绍得~ 一、模型知识: GPT-4o:最新的版本模型,支持视觉等多模态,OpenAI 文档中已经更新了 GPT-4o 的介绍:128k 上下文,训练截止 2023 年 10 月(作为对比,GPT-4…...
Linux环境Docker安装Mongodb
Linux环境Docker安装Mongodb 环境要求拉取指定版本镜像创建映射目录(相当于数据存放于容器外,容器被删除不会影响数据)启动容器 进入mongo命令行为指定db创建新用户查看mongodb的容器id进入命令行查看所有db切换db为指定db创建新用户使用新账…...
PyTorch 池化层详解
在深度学习中,池化层(Pooling Layer)是卷积神经网络(CNN)中的关键组成部分。池化层的主要功能是对特征图进行降维和减少计算量,同时增强模型的鲁棒性。本文将详细介绍池化层的作用、种类、实现方法…...
Intel架构的基本知识
1.字节序 CPU的字节序分为LittleEndian和BigEndian。 所谓Endian,就是多字节数据在内存中的排列方式。 例如,假设有一个整数0x11223344: LittleEndian的排列方式是,从内存的低地址开始,依次存放 0x44 0x33 0x22 0x11; BigEndian的排列方式是,从内存的低地址开始,依…...
Element Plus 中Input输入框
通过鼠标或键盘输入字符 input为受控组件,他总会显示Vue绑定值,正常情况下,input的输入事件会正常被响应,他的处理程序应该更新组件的绑定值(或使用v-model)。否则,输入框的值将不会改变 不支…...
大模型中常见 loss 函数
loss 函数 首先,Loss 是允许不降到 0 的,模型计算的 loss 最终结果可以接近 0。 可以成为 loss 函数的条件## 常用 loss 以下函数调用基于 Pytorch,头文件导入: import torch.nn as nn 均方差(MSE) nn.…...
(十六)Ubuntu 20.04 下搭建PX4+MATLAB 仿真环境(HITL)
在文章(十五)Ubuntu 20.04 下搭建PX4MATLAB 仿真环境我们学习了如何配置仿真环境,在本节,主要进行HITL的仿真环境搭建。 根据(十五)Ubuntu 20.04 下搭建PX4MATLAB 仿真环境完成配置到如下界面:…...
Matlab simulink建模与仿真 第十七章(补充离散库和补充数学库)
参考视频:simulink1.1simulink简介_哔哩哔哩_bilibili 一、补充离散库和补充数学库中的模块概览 1、补充离散库 注:每个版本的补充离散库不一定相同,也不是每个版本的库都有如上所有模块。 2、补充数学库 二、离散直接传递函数Ⅱ模块 1、…...
Android Glide:让图片加载从未如此简单
在 Android 开发中,图片加载一直是一个关键环节。无论是从网络还是本地加载图片,都需要考虑到性能、内存管理和用户体验等多个方面。而在这方面,Glide 成为了众多开发者的首选库之一。本文将带你深入了解 Glide 的强大之处,并介绍如何在项目中快速集成和使用 Glide。 为什…...
YOLOv9改进策略【注意力机制篇】| 2024 SCSA-CBAM 空间和通道的协同注意模块
一、本文介绍 本文记录的是基于SCSA-CBAM注意力模块的YOLOv9目标检测改进方法研究。现有注意力方法在空间-通道协同方面未充分挖掘其潜力,缺乏对多语义信息的充分利用来引导特征和缓解语义差异。SCSA-CBAM注意力模块构建一个空间-通道协同机制,使空间注意力引导通道注意力增…...
Obsidian 全部笔记共享配置文件,obsidian仓库-文件夹配置统一化
obsidian仓库-文件夹配置统一化 在每次新建obsidian仓库(vaults)时,仓库的主题和快捷键等都需要重新设置,这是因为每次创建新的仓库时 新仓库的配置文件都是默认配置但是如果通过复制粘贴旧配置文件来达到新仓库的配置和旧仓库一致的话,无法…...
c++可视化打印树
#include <iostream> #include <string>// 定义节点结构体 struct Node {std::string data;Node* left;Node* right;Node(const std::string& data) : data(data), left(nullptr), right(nullptr) {} };// 递归打印树 void printTree(Node* root, std::string …...
ElementUI 快速入门:使用 Vue 脚手架搭建项目
文章目录 一 . ElementUI 的基本安装1.1 通过 Vue 脚手架创建项目1.2 在 vue 脚手架中安装 ElementUI1.3 编写页面 ElementUI 是 Vue.js 的强大 UI 框架,让前端界面开发变得简单高效。本教程将带你从安装到实战,快速掌握 ElementUI 的核心技巧。 核心内容…...
算法打卡:第十一章 图论part02
今日收获:岛屿数量(深搜),岛屿数量(广搜),岛屿的最大面积 1. 岛屿数量(深搜) 题目链接:99. 岛屿数量 思路:二维遍历数组,先判断当前…...
广度优先搜索算法及其matlab程序详解
#################本文为学习《图论算法及其MATLAB实现》的学习笔记################# 算法用途 广度优先搜索算法的应用 算法思想 广度优先搜索算法的步骤: ①,标号,令。 ②当所有标号为 的、与顶点 相关联的边的端点都已标号时,则停止;否则,把与 相关联的边的未标号的…...
力扣 438找到字符串中所有字母异位词
https://leetcode.cn/problems/find-all-anagrams-in-a-string/ 题目描述 题目分析 异位词所表示的空间 P \text{P} P 即一字符串的所有排列,记 s i \bold{s_i} si为以 s [ i ] s[i] s[i]开头的长度为 plen \text{plen} plen的 s s s子串 故本题可理解为求解 A n s Ans Ans…...
图像滤波---各项异性扩散滤波使用笔记及代码
图像滤波---各项异性扩散滤波使用笔记及代码 一、文章内容介绍二、各项异性扩散滤波和各项同性滤波1、各项同性滤波2、各项异性扩散滤波3、各项异性和各项同性的对比 三、各项异性扩散滤波的原理介绍四、各项异性扩散滤波公式五、公式中的参数使用说明1、扩散速率 λ \lambda λ…...
用Go语言构建健壮的并发系统:深入理解错误传播与处理
解锁Python编程的无限可能:《奇妙的Python》带你漫游代码世界 在当今的软件开发中,构建并发和分布式系统已经成为常态。然而,在这些系统中,错误的发生频率高且定位困难。如果我们能够深入考虑错误如何在系统中传播,以及最终如何呈现给用户,那么我们就能为自己、团队和用…...
掌握C#中的动态规划技术
C# 中的动态规划(Dynamic Programming, DP)是一种在数学、计算机科学和经济学中使用的,通过把原问题分解为相对简单的子问题的方式求解复杂问题的方法。动态规划通常用于优化问题,特别是那些具有重叠子问题和最优子结构性质的问题…...
C语言进阶【5】---数据在内存中的存储【2】(小数存储很难吗?)
本章概述 本章引要练习 浮点数的存储浮点数的取出小补充题目解析彩蛋时刻!!! 本章引要 常见的浮点数:3.1415,1E10等。其中,1E10是科学计数法的形式,它也就等于1*10^10。小数数据类型࿱…...
如何更新至CDS-Beta下载ERA5数据
数据下载网站 api 更新 api setup 更新api 2024年9月26日起老版的CDS将被停用,会搬迁到CDS-beta上。 创建一个新的CDS-beta账户,也可以使用之前的ECMWF账户。https://cds-beta.climate.copernicus.eu/vi ~/.cdsapirc ,登陆https://cds-bet…...
SQL编程题复习(24/9/20)
练习题 x25 10-120 统计每个班级期末成绩的最高分(Max),显示班级名称、期末最高成绩10-121 显示没有班导师的班级名称、院系名称10-122 将电子信息1班(班级编号:08)的班主任编号改为李丽清老师的编号(PTA题目表述错误&…...
react crash course 2024 (1)理论概念
state的作用 react hooks 而无需写一个class jsx 样式用 spa...
有关JS下隐藏的敏感信息
免责声明:本文仅做分享! 目录 JavaScript 介绍 核心组成 工具 FindSomething ** 浏览器检查 ** LinkFinder URLfinder ** SuperSearchPlus ** ffuf ParasCollector waymore Packer Fuzzer JS逆向 应用: 小结: Ja…...
Kafka 基于SASL/SCRAM动态认证部署,kafka加账号密码登录部署
文章目录 前言下载 kafka安装启动zookeeper添加账号密码 启动kafka修改kafka配置文件增加jaas授权文件修改启动文件,启动kafka检查是否部署成功 offset explore 连接 前言 其实挺简单的几个配置文件,问大模型一直没说到点上,绕晕了。SASL/SC…...
富格林:积攒经验阻挠欺诈套路
富格林指出,现货黄金这些年可谓是表现出色,相信上车现货黄金的投资者,都或多或少分得一杯满意的羹。不过话又说回来,不是所有投资者都可以轻松在现货黄金中获利,尤其是对投资小白而言,如果没有积累知识阻挠…...