HCIA(ACL)
第七节
ACL:访问控制列表
访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝
定义感兴趣流量-----帮助其他软件抓流量
匹配规则:
至上而下,逐一匹配,上调匹配按照上条执行,不在查看下条。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。
分类:
标准---仅关注数据包中的源IP地址
扩展---关注数据包中的源 目标IP地址 协议号 端口号
标准ACL中,由于标准ACL仅关注数据包中的源IP地址,故越靠近目标越好,可以尽可能的避免误杀。
2000-2999 标准 3000-3999 扩展
注意:一个编码是一张规则,一张规则可以容纳大量具体的规则
[R2]acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
ACL在地址匹配时,会使用通配符
255.255.255.0 0.0.0.255 他可以进行0 1 的穿插
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000
[R2-acl-basic-2000]rule permit source any 规定 允许 所有IP通过
[R2]ACL name classroomA
扩展ACL 关注数据包中的源IP以及目标IP
由于扩展ACL可以对数据流量进行精确分析,故越靠近源越好。
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
在关注源/目标IP地址的同时,再关注目标端口号
Telnet---远程登录 基于TCP23号端口工作
条件:1.登录设备与被登陆设备之间必须可达
2.被登陆设备必须开启telnet设定
[R2]aaa 进入aaa服务
[R2-aaa]local-user ABC privilege level 15 password cipher 123456
[R2-aaa]local-user ABC service-type telnet
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R1-acl-adv-3000]rule deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
规定 拒绝 tcp行为中的 源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为
[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0
规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为
一个接口的入或者出方向上 只能调用一张acl表格
NAT:网络地址转换
公有IP和私有IP的区别
公有IP----全球唯一 可以你在互联网中通信 付费使用
私有IP----本地唯一 不能在互联网中通信 免费试用
A类:10.0.0.0---10.255.255.255
B类:172.16.0.0------172.31.255.255
C类:192.168.0.0-----192.168.255.255
NAT-----网络地址转换,在边界路由器上,进行公有地址和私有地址间的转化
NAT的分类: 静态NAT 动态NAT NAPT 端口映射
在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。
静态NAT:
我们在私网的边界路由器上建立并维护一张静态地址表,静态地址表映射了公有地址和私有地址间 一一对应的关系
[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2
[R2]display nat static 查询nat映射关系
动态NAT
静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的,而不是写死的,所以动态NAT不在意一对一的关系,而是实现多对多的转化。
使用端口进行分辨 转化的形式----NAPT(端口地址转化)也叫PAT
为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上维护一张源端口号和私网IP地址的映射关系表,因为端口号的取值范围是1-65535,故有65535个,所以NAPT同时支持通过的数据包的最大量即为65535个,这就形成了一对多的动态NAT,华为中称这种NAPT为EASY IP。 当上网需求非常大时,一个公网IP可能不够用,我们也可以同时使用多个公网IP,这样就能形成65535的倍数增长,形成多对多的NAPT。
一对多
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R2-GigabitEthernet0/0/1]nat outbound 2000
多对多
创建公网地址池
[R2]nat address-group 1 12.1.1.2 12.1.1.10
其中包含 12.1.1.12------12.1.1.10
注意:1.必须是公网 2.必须是连续的IP
[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
在该接口上 将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化
No-pat 添加则代表为静态多对多 不添加则是动态多对多
静态多对多:多个一对一
动态多对多:多个一对多
端口映射
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10 80
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.2.20 80
相关文章:
HCIA(ACL)
第七节 ACL:访问控制列表 访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝 定义感兴趣流量-----帮助其他软件抓流量 匹配规则: 至上而下,逐一匹配,上调匹配按照上条执行…...
react基础之reactHooks
文章目录 React Hooks 使用指南常用 Hooks使用规则 小结 React Hooks 使用指南 React Hooks 是 React 16.8 引入的一种新特性,允许在函数组件中使用状态和其他 React 特性,而无需编写类组件。以下是一些基础的 Hooks 及其使用规则。 常用 Hooks useSta…...
Java基础0-Java概览
Java概览 一、Java的主要特性 Java 语言是简单的: Java 丢弃了 C 中很少使用的、很难理解的、令人迷惑的那些特性,如操作符重载、多继承、自动的强制类型转换。特别地,Java 语言不使用指针,而是引用。并提供了自动分配和回收内存…...
SW绘制曲面
20241031第一次学习 参考教程:SolidWorks视频教程SW实战营绘制一个布满球体的不规则曲面_哔哩哔哩_bilibili 过程概述: STEP 1:创建平面草图并拉伸 STEP 2:从侧面(拉伸出来的面)绘制样条曲线 样条曲线需要画到实例的底面(图中接下来是要向下变形)薄板两侧都要绘制...
css知识点梳理2
1. 选择器拓展 在 CSS 中,可以根据选择器的类型把选择器分为基础选择器和复合选择器,复合选择器是建立在基础选择器之上,对基本选择器进行组合形成的。 复合选择器是由两个或多个基础选择器,通过不同的方式组合而成的…...
攻防世界 MISC miao~详解
下载压缩包,但是尝试解压的时候提示错误,刚开始以为是伪加密之类的,但是尝试了一圈之后,发现并没有问题。后面用bandizip打开,得到了一张图片: 拖到010editor里面查看,没有发现什么 于是用随波逐…...
使用 `tracert [options] <目标地址>` 命令的详细介绍
使用 tracert [options] <目标地址> 命令的详细介绍 什么是 tracert 命令? tracert(Trace Route)是一个用于追踪数据包从一台计算机到达另一台计算机的网络工具。它通过发送特定的数据包,观察这些数据包经过的路由节点&…...
闲一品交易平台:SpringBoot技术的新境界
摘 要 随着科学技术的飞速发展,社会的方方面面、各行各业都在努力与现代的先进技术接轨,通过科技手段来提高自身的优势,闲一品交易平台当然也不能排除在外。闲一品交易平台是以实际运用为开发背景,运用软件工程原理和开发方法&…...
【深入浅出】深入浅出transformer(附面试题)
本文的目的是为了帮助大家面试transformer,会结合我的面试经历以及看法去讲解transformer,并非完整的技术细致讲解,介意请移步。 结构 提到transformer网络模型,大家脑海中是否有这张图呢? 这是网络结构中经典的编解…...
苹果重大更新,macOS与iOS同时推出更新!功能真好用
前言 这几天,苹果更新了macOS和iOS的系统版本!macOS Sequoia 版本号15.1 iOS版本号18.1 小白更新设备系统的时间已经算比较晚的了,但好在更新得很及时!因为这次更新的功能很合小白的胃口啊!咱们先来看看本次更新了什么…...
刘艳兵-DBA016-在您的数据库中,SALES表存在于SH用户中,并且启用了统一审计。作为DBA,您成功执行了以下指令:
在您的数据库中,SALES表存在于SH用户中,并且启用了统一审计。作为DBA,您成功执行了以下指令: SQL> CREATE AUDIT POLICY sales_pol ACTIONS select on sh.sales; SQL> AUDIT POLICY sales_pol; 关于SALES_POL审计策略,哪个陈…...
力扣题目解析--整数反转
题目 给你一个 32 位的有符号整数 x ,返回将 x 中的数字部分反转后的结果。 如果反转后整数超过 32 位的有符号整数的范围 [−231, 231 − 1] ,就返回 0。 假设环境不允许存储 64 位整数(有符号或无符号)。 示例 1:…...
净水前置需要安装吗?
业主问净水前置需不需要安装?是必须安装吗?这个问题其实很难回答,如果说非要安装,有可能客户会感觉我们在这上面要挣钱, 有很多业主没有安装家里用水也没有问题,如果说不需要安装,现在…...
在深度学习研究方向有哪些创新点
以下是深度学习研究方向的一些创新点: 一、模型架构创新 Transformer架构及其扩展 自注意力机制 Transformer架构摒弃了传统的卷积神经网络(CNN)和循环神经网络(RNN)中的卷积和循环结构,引入了自注意力机…...
YOLOv11改进策略【卷积层】| 2024最新轻量级自适应提取模块 LAE 即插即用 保留局部信息和全局信息
一、本文介绍 本文记录的是利用轻量级自适应提取模块(LAE)模块优化YOLOv11的目标检测网络模型。LAE (Lightweight Adaptive Extraction) 在减少参数和计算成本的同时,能够提取更丰富语义信息的特征,克服了传统卷积方法难以捕捉全局信息的问题,并能更好地提取ROI特征。本文将…...
工作转型与个人突破提升:如何在社会浪潮中激流勇进
文章目录 一、写在前面二、技术人的迷茫三、做好项目经理其实很难四、从纯技术者转型为管理者面临的事五、最重要的技能【重磅推荐!免费简单内网穿透神器!支持linuxwindows】 一、写在前面 近期工作变动,虽然说对于开发者而言,工…...
mongodb:增删改查和特殊查询符号手册
前言 最近考虑开发游戏,网上推荐使用非关系数据库mongodb,因此浅尝了一番,并将一些语句和符号记录在这里。 相对于mysql、oracle这些关系型数据库,基于json文档的mongodb在很多地方都与之大不相同(可以类比为TCP握手连…...
你的Mac book多久没有清洁键盘屏幕了,Mac清洁好帮手来了
你的Mac book键盘使用时间长了不会打油吗,你的屏幕使用久了不会沾灰吗,那你还不清洁一下 你不清洁的原因,是怕清洁键盘误触发吗,还是怕屏幕擦不干净白擦,还是觉得每次都要睡眠或关机再清洁很麻烦 Cleaner是Mac的清洁…...
ANA基因组数据库(ANAgdb)
ANA进化阶由早期发育的被子植物谱系组成,包括无油樟目(Amborellales)、睡莲目(Nymphaeales)和木兰藤目(Austrobaileyales),在进化上具有重要地位。 ANA基因组数据库(ANA…...
leetcode 704 二分查找
704. 二分查找 已解答 简单 相关标签 相关企业 给定一个 n 个元素有序的(升序)整型数组 nums 和一个目标值 target ,写一个函数搜索 nums 中的 target,如果目标值存在返回下标,否则返回 -1。 示例 1: 输入: nu…...
OkHttp 中实现断点续传 demo
在 OkHttp 中实现断点续传主要通过以下步骤完成,核心是利用 HTTP 协议的 Range 请求头指定下载范围: 实现原理 Range 请求头:向服务器请求文件的特定字节范围(如 Range: bytes1024-) 本地文件记录:保存已…...
基于Docker Compose部署Java微服务项目
一. 创建根项目 根项目(父项目)主要用于依赖管理 一些需要注意的点: 打包方式需要为 pom<modules>里需要注册子模块不要引入maven的打包插件,否则打包时会出问题 <?xml version"1.0" encoding"UTF-8…...
《C++ 模板》
目录 函数模板 类模板 非类型模板参数 模板特化 函数模板特化 类模板的特化 模板,就像一个模具,里面可以将不同类型的材料做成一个形状,其分为函数模板和类模板。 函数模板 函数模板可以简化函数重载的代码。格式:templa…...
面向无人机海岸带生态系统监测的语义分割基准数据集
描述:海岸带生态系统的监测是维护生态平衡和可持续发展的重要任务。语义分割技术在遥感影像中的应用为海岸带生态系统的精准监测提供了有效手段。然而,目前该领域仍面临一个挑战,即缺乏公开的专门面向海岸带生态系统的语义分割基准数据集。受…...
Java求职者面试指南:计算机基础与源码原理深度解析
Java求职者面试指南:计算机基础与源码原理深度解析 第一轮提问:基础概念问题 1. 请解释什么是进程和线程的区别? 面试官:进程是程序的一次执行过程,是系统进行资源分配和调度的基本单位;而线程是进程中的…...
NPOI Excel用OLE对象的形式插入文件附件以及插入图片
static void Main(string[] args) {XlsWithObjData();Console.WriteLine("输出完成"); }static void XlsWithObjData() {// 创建工作簿和单元格,只有HSSFWorkbook,XSSFWorkbook不可以HSSFWorkbook workbook new HSSFWorkbook();HSSFSheet sheet (HSSFSheet)workboo…...
(一)单例模式
一、前言 单例模式属于六大创建型模式,即在软件设计过程中,主要关注创建对象的结果,并不关心创建对象的过程及细节。创建型设计模式将类对象的实例化过程进行抽象化接口设计,从而隐藏了类对象的实例是如何被创建的,封装了软件系统使用的具体对象类型。 六大创建型模式包括…...
零知开源——STM32F103RBT6驱动 ICM20948 九轴传感器及 vofa + 上位机可视化教程
STM32F1 本教程使用零知标准板(STM32F103RBT6)通过I2C驱动ICM20948九轴传感器,实现姿态解算,并通过串口将数据实时发送至VOFA上位机进行3D可视化。代码基于开源库修改优化,适合嵌入式及物联网开发者。在基础驱动上新增…...
【LeetCode】算法详解#6 ---除自身以外数组的乘积
1.题目介绍 给定一个整数数组 nums,返回 数组 answer ,其中 answer[i] 等于 nums 中除 nums[i] 之外其余各元素的乘积 。 题目数据 保证 数组 nums之中任意元素的全部前缀元素和后缀的乘积都在 32 位 整数范围内。 请 不要使用除法,且在 O…...
AD学习(3)
1 PCB封装元素组成及简单的PCB封装创建 封装的组成部分: (1)PCB焊盘:表层的铜 ,top层的铜 (2)管脚序号:用来关联原理图中的管脚的序号,原理图的序号需要和PCB封装一一…...