当前位置: 首页 > news >正文

Packet Tracer - IPv4 ACL 的实施挑战(完美解析)

 

目标

·         在路由器上配置命名的标准ACL。

·         在路由器上配置命名的扩展ACL。

·         在路由器上配置扩展ACL来满足特定的 通信需求。

·         配置ACL来控制对网络设备终端线路的 访问。

·         在适当的路由器接口上,在适当的方向上 配置ACL。

·         验证已配置 ACL 的运行。

背景/场景

在这个Packet Tracer练习中,您要配置扩展IPv4 ACL、 命名的标准IPv4 ACL和命名的扩展IPv4 ACL,来满足特定的通信需求。

说明

步骤1: 验证新公司网络的连通性。

首先,在配置ACL之前 测试网络的连通性。所有主机都应该可以ping通所有其他主机。

步骤2:按照需求配置 标准和扩展 ACL。

配置ACL以满足以下要求:

重要指南:

o    请 在 ACL 末尾明确配置 deny any 语句。

o    尽可能 使用简便参数 (host 和 any)。

o    按照这里指定的顺序, 编写ACL语句来满足要求。

o    在最有效的位置和方向上应用ACL。

ACL 1 的要求

o    创建 ACL 101

o    明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

o    不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

o    放行所有其他流量。

ACL 2 的要求

o    使用 ACL 编号 111

o    HQ LAN 1 中的主机都不能访问分支机构服务器。

o    放行所有其他流量。

ACL 3 的要求

o    创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

o    只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

ACL 4 的要求

o    创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

o    分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

o    放行所有其他流量。

步骤3:验证 ACL 的操作。

a.     按照拓扑,测试下列设备之间的连通性。 注意测试结果是否成功。

注意:使用 show ip access-lists 命令 来验证 ACL 的操作。使用 clear access list counters 命令 来重置匹配计数器。

问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

b.     从互联网向内部服务器发起测试连接。

问题2:

从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?

要想拒绝这个流量,应该在访问列表中 添加哪些语句?

根据上述内容我们来进行相关的配置:

ACL 1 的要求

o    创建 ACL 101

o    明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

HQ(config)#access-list 101 deny tcp any host 192.168.1.70 eq ftp

o    不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

HQ(config)#access-list 101 deny icmp any 192.168.1.0 0.0.0.63

o    放行所有其他流量。

HQ(config)#access-list 101 permit ip any any

ACL 2 的要求

o    使用 ACL 编号 111

o    HQ LAN 1 中的主机都不能访问分支机构服务器。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

o    放行所有其他流量。

HQ(config)#access-list 111 permit ip any any

ACL 3 的要求

o    创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

HQ(config)#ip access-list standard vty_block

o    只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

HQ(config-std-nacl)# permit 192.168.1.64 0.0.0.7

HQ(config)#interface GigabitEthernet0/0/0

HQ(config-if)# ip access-group 111 in

HQ(config-if)#interface Serial0/1/0

HQ(config-if)# ip access-group 101 in

HQ(config-if)#line vty 0 4

HQ(config-line)# access-class vty_block i

ACL 4 的要求

o    创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

Branch(config)#ip access-list extended branch_to_hq

o    分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

Branch(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

Branch(config-ext-nacl)# deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

o    放行所有其他流量。

Branch(config-ext-nacl)# permit ip any any

Branch(config-ext-nacl)#interface Serial0/1/1

Branch(config-if)# ip access-group branch_to_hq out

回答一下问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。

答:可以ping 成功,因为 ACL 允许分支 PC 向企业 Web 服务器 发起。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。

答:分支路由器上 branch_to_hq ACL 的最后一行是 permit ip any。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。

答:ping 未成功,因为流量被访问列表阻止。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

答:HQ 路由器上访问列表 111 中的语句 10 拒绝到分支服务器的所有流量。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。

答:外部服务器可以访问 Enterprise Web Server 上的网页。 不会阻止到 Enterprise Web Server 的 HTTP 流量。所以是可以ping成功的。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

答:HQ 路由器上访问列表 101 中的第 20 行允许此流量。

HQ(config)#access-list 101 permit ip any any

回答一下问题2:

从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?

答:从 Internet 用户 PC 到 Branch Server 的 FTP 连接成功。

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?

 答:需要修改 HQ 路由器上的访问列表 101 以拒绝此流量

要想拒绝这个流量,应该在d访问列表中 添加哪些语句?

 答:需要将语句“deny tcp any host 192.168.2.45 eq 21”或“deny tcp any host 192.168.2.45 range 20 21”添加到访问列表 101 中。

 完成截图如下:

附录一键完成脚本如下:

Router HQ

enable

conf t

access-list 101 deny tcp any host 192.168.1.70 eq ftp

access-list 101 deny icmp any 192.168.1.0 0.0.0.63

access-list 101 permit ip any any

ip access-list standard vty_block

permit 192.168.1.64 0.0.0.7

access-list 111 deny ip any host 192.168.2.45

access-list 111 permit ip any any

int g0/0/0

ip access-group 111 in

int s0/1/0

ip access-group 101 in

line vty 0 4

access-class vty_block in

end


Router Branch

enable

conf t

ip access-list extended branch_to_hq

deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

permit ip any any

int s0/1/1

ip access-group branch_to_hq out

end

相关文章:

Packet Tracer - IPv4 ACL 的实施挑战(完美解析)

目标 在路由器上配置命名的标准ACL。 在路由器上配置命名的扩展ACL。 在路由器上配置扩展ACL来满足特定的 通信需求。 配置ACL来控制对网络设备终端线路的 访问。 在适当的路由器接口上,在适当的方向上 配置ACL。…...

Langchain-chatchat源码部署及测试实验

一年多前接触到Langchain-chatchat的0.2版本,对0.2版本进行了本地部署和大量更新,但0.2版本对最新的大模型支持不够好,部署框架支持也不好且不太稳定,特别是多模态大模型,因此本次主要介绍0.3版本的源码部署,希望对大家有所帮助。Langchain-chatchat从0.3版本开始,支持更…...

【Linux】线程(第十六篇)

目录 线程 1.线程基本概述: 2.线程类型: 3.线程间的共享资源与非共享资源 4.线程原语 1.线程创建函数 2.获取当前线程id的函数 3.回收线程资源 4.将线程设置为分离态 5.结束线程 6.退出线程 线程 1.线程基本概述: 是操作系统能够…...

2024华为杯研赛E题保姆级教程思路分析

E题题目:高速公路应急车道紧急启用模型 今年的E题设计到图像/视频处理,实际上,E题的难度相对来说较低,大家不用畏惧视频的处理,被这个吓到。实际上,这个不难,解决了视频的处理问题,…...

国内可以使用的ChatGPT服务【9月持续更新】

首先基础知识还是要介绍得~ 一、模型知识: GPT-4o:最新的版本模型,支持视觉等多模态,OpenAI 文档中已经更新了 GPT-4o 的介绍:128k 上下文,训练截止 2023 年 10 月(作为对比,GPT-4…...

Linux环境Docker安装Mongodb

Linux环境Docker安装Mongodb 环境要求拉取指定版本镜像创建映射目录(相当于数据存放于容器外,容器被删除不会影响数据)启动容器 进入mongo命令行为指定db创建新用户查看mongodb的容器id进入命令行查看所有db切换db为指定db创建新用户使用新账…...

PyTorch 池化层详解

在深度学习中,池化层(Pooling Layer)是卷积神经网络(CNN)中的关键组成部分。池化层的主要功能是对特征图进行降维和减少计算量,同时增强模型的鲁棒性。本文将详细介绍池化层的作用、种类、实现方法&#xf…...

Intel架构的基本知识

1.字节序 CPU的字节序分为LittleEndian和BigEndian。 所谓Endian,就是多字节数据在内存中的排列方式。 例如,假设有一个整数0x11223344: LittleEndian的排列方式是,从内存的低地址开始,依次存放 0x44 0x33 0x22 0x11; BigEndian的排列方式是,从内存的低地址开始,依…...

Element Plus 中Input输入框

通过鼠标或键盘输入字符 input为受控组件,他总会显示Vue绑定值,正常情况下,input的输入事件会正常被响应,他的处理程序应该更新组件的绑定值(或使用v-model)。否则,输入框的值将不会改变 不支…...

大模型中常见 loss 函数

loss 函数 首先,Loss 是允许不降到 0 的,模型计算的 loss 最终结果可以接近 0。 可以成为 loss 函数的条件## 常用 loss 以下函数调用基于 Pytorch,头文件导入: import torch.nn as nn 均方差(MSE) nn.…...

(十六)Ubuntu 20.04 下搭建PX4+MATLAB 仿真环境(HITL)

在文章(十五)Ubuntu 20.04 下搭建PX4MATLAB 仿真环境我们学习了如何配置仿真环境,在本节,主要进行HITL的仿真环境搭建。 根据(十五)Ubuntu 20.04 下搭建PX4MATLAB 仿真环境完成配置到如下界面:…...

Matlab simulink建模与仿真 第十七章(补充离散库和补充数学库)

参考视频:simulink1.1simulink简介_哔哩哔哩_bilibili 一、补充离散库和补充数学库中的模块概览 1、补充离散库 注:每个版本的补充离散库不一定相同,也不是每个版本的库都有如上所有模块。 2、补充数学库 二、离散直接传递函数Ⅱ模块 1、…...

Android Glide:让图片加载从未如此简单

在 Android 开发中,图片加载一直是一个关键环节。无论是从网络还是本地加载图片,都需要考虑到性能、内存管理和用户体验等多个方面。而在这方面,Glide 成为了众多开发者的首选库之一。本文将带你深入了解 Glide 的强大之处,并介绍如何在项目中快速集成和使用 Glide。 为什…...

YOLOv9改进策略【注意力机制篇】| 2024 SCSA-CBAM 空间和通道的协同注意模块

一、本文介绍 本文记录的是基于SCSA-CBAM注意力模块的YOLOv9目标检测改进方法研究。现有注意力方法在空间-通道协同方面未充分挖掘其潜力,缺乏对多语义信息的充分利用来引导特征和缓解语义差异。SCSA-CBAM注意力模块构建一个空间-通道协同机制,使空间注意力引导通道注意力增…...

Obsidian 全部笔记共享配置文件,obsidian仓库-文件夹配置统一化

obsidian仓库-文件夹配置统一化 在每次新建obsidian仓库(vaults)时,仓库的主题和快捷键等都需要重新设置,这是因为每次创建新的仓库时 新仓库的配置文件都是默认配置但是如果通过复制粘贴旧配置文件来达到新仓库的配置和旧仓库一致的话,无法…...

c++可视化打印树

#include <iostream> #include <string>// 定义节点结构体 struct Node {std::string data;Node* left;Node* right;Node(const std::string& data) : data(data), left(nullptr), right(nullptr) {} };// 递归打印树 void printTree(Node* root, std::string …...

ElementUI 快速入门:使用 Vue 脚手架搭建项目

文章目录 一 . ElementUI 的基本安装1.1 通过 Vue 脚手架创建项目1.2 在 vue 脚手架中安装 ElementUI1.3 编写页面 ElementUI 是 Vue.js 的强大 UI 框架&#xff0c;让前端界面开发变得简单高效。本教程将带你从安装到实战&#xff0c;快速掌握 ElementUI 的核心技巧。 核心内容…...

算法打卡:第十一章 图论part02

今日收获&#xff1a;岛屿数量&#xff08;深搜&#xff09;&#xff0c;岛屿数量&#xff08;广搜&#xff09;&#xff0c;岛屿的最大面积 1. 岛屿数量&#xff08;深搜&#xff09; 题目链接&#xff1a;99. 岛屿数量 思路&#xff1a;二维遍历数组&#xff0c;先判断当前…...

广度优先搜索算法及其matlab程序详解

#################本文为学习《图论算法及其MATLAB实现》的学习笔记################# 算法用途 广度优先搜索算法的应用 算法思想 广度优先搜索算法的步骤: ①,标号,令。 ②当所有标号为 的、与顶点 相关联的边的端点都已标号时,则停止;否则,把与 相关联的边的未标号的…...

力扣 438找到字符串中所有字母异位词

https://leetcode.cn/problems/find-all-anagrams-in-a-string/ 题目描述 题目分析 异位词所表示的空间 P \text{P} P 即一字符串的所有排列,记 s i \bold{s_i} si​为以 s [ i ] s[i] s[i]开头的长度为 plen \text{plen} plen的 s s s子串 故本题可理解为求解 A n s Ans Ans…...

wordpress后台更新后 前端没变化的解决方法

使用siteground主机的wordpress网站&#xff0c;会出现更新了网站内容和修改了php模板文件、js文件、css文件、图片文件后&#xff0c;网站没有变化的情况。 不熟悉siteground主机的新手&#xff0c;遇到这个问题&#xff0c;就很抓狂&#xff0c;明明是哪都没操作错误&#x…...

【Python】 -- 趣味代码 - 小恐龙游戏

文章目录 文章目录 00 小恐龙游戏程序设计框架代码结构和功能游戏流程总结01 小恐龙游戏程序设计02 百度网盘地址00 小恐龙游戏程序设计框架 这段代码是一个基于 Pygame 的简易跑酷游戏的完整实现,玩家控制一个角色(龙)躲避障碍物(仙人掌和乌鸦)。以下是代码的详细介绍:…...

PHP和Node.js哪个更爽?

先说结论&#xff0c;rust完胜。 php&#xff1a;laravel&#xff0c;swoole&#xff0c;webman&#xff0c;最开始在苏宁的时候写了几年php&#xff0c;当时觉得php真的是世界上最好的语言&#xff0c;因为当初活在舒适圈里&#xff0c;不愿意跳出来&#xff0c;就好比当初活在…...

【大模型RAG】Docker 一键部署 Milvus 完整攻略

本文概要 Milvus 2.5 Stand-alone 版可通过 Docker 在几分钟内完成安装&#xff1b;只需暴露 19530&#xff08;gRPC&#xff09;与 9091&#xff08;HTTP/WebUI&#xff09;两个端口&#xff0c;即可让本地电脑通过 PyMilvus 或浏览器访问远程 Linux 服务器上的 Milvus。下面…...

Spring Boot面试题精选汇总

&#x1f91f;致敬读者 &#x1f7e9;感谢阅读&#x1f7e6;笑口常开&#x1f7ea;生日快乐⬛早点睡觉 &#x1f4d8;博主相关 &#x1f7e7;博主信息&#x1f7e8;博客首页&#x1f7eb;专栏推荐&#x1f7e5;活动信息 文章目录 Spring Boot面试题精选汇总⚙️ **一、核心概…...

IT供电系统绝缘监测及故障定位解决方案

随着新能源的快速发展&#xff0c;光伏电站、储能系统及充电设备已广泛应用于现代能源网络。在光伏领域&#xff0c;IT供电系统凭借其持续供电性好、安全性高等优势成为光伏首选&#xff0c;但在长期运行中&#xff0c;例如老化、潮湿、隐裂、机械损伤等问题会影响光伏板绝缘层…...

[大语言模型]在个人电脑上部署ollama 并进行管理,最后配置AI程序开发助手.

ollama官网: 下载 https://ollama.com/ 安装 查看可以使用的模型 https://ollama.com/search 例如 https://ollama.com/library/deepseek-r1/tags # deepseek-r1:7bollama pull deepseek-r1:7b改token数量为409622 16384 ollama命令说明 ollama serve #&#xff1a…...

如何应对敏捷转型中的团队阻力

应对敏捷转型中的团队阻力需要明确沟通敏捷转型目的、提升团队参与感、提供充分的培训与支持、逐步推进敏捷实践、建立清晰的奖励和反馈机制。其中&#xff0c;明确沟通敏捷转型目的尤为关键&#xff0c;团队成员只有清晰理解转型背后的原因和利益&#xff0c;才能降低对变化的…...

LangChain【6】之输出解析器:结构化LLM响应的关键工具

文章目录 一 LangChain输出解析器概述1.1 什么是输出解析器&#xff1f;1.2 主要功能与工作原理1.3 常用解析器类型 二 主要输出解析器类型2.1 Pydantic/Json输出解析器2.2 结构化输出解析器2.3 列表解析器2.4 日期解析器2.5 Json输出解析器2.6 xml输出解析器 三 高级使用技巧3…...

【Java】Ajax 技术详解

文章目录 1. Filter 过滤器1.1 Filter 概述1.2 Filter 快速入门开发步骤:1.3 Filter 执行流程1.4 Filter 拦截路径配置1.5 过滤器链2. Listener 监听器2.1 Listener 概述2.2 ServletContextListener3. Ajax 技术3.1 Ajax 概述3.2 Ajax 快速入门服务端实现:客户端实现:4. Axi…...