HCIA(ACL)
第七节
ACL:访问控制列表
访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝
定义感兴趣流量-----帮助其他软件抓流量
匹配规则:
至上而下,逐一匹配,上调匹配按照上条执行,不在查看下条。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。
分类:
标准---仅关注数据包中的源IP地址
扩展---关注数据包中的源 目标IP地址 协议号 端口号
标准ACL中,由于标准ACL仅关注数据包中的源IP地址,故越靠近目标越好,可以尽可能的避免误杀。
2000-2999 标准 3000-3999 扩展
注意:一个编码是一张规则,一张规则可以容纳大量具体的规则
[R2]acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
ACL在地址匹配时,会使用通配符
255.255.255.0 0.0.0.255 他可以进行0 1 的穿插
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000
[R2-acl-basic-2000]rule permit source any 规定 允许 所有IP通过
[R2]ACL name classroomA
扩展ACL 关注数据包中的源IP以及目标IP
由于扩展ACL可以对数据流量进行精确分析,故越靠近源越好。
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
在关注源/目标IP地址的同时,再关注目标端口号
Telnet---远程登录 基于TCP23号端口工作
条件:1.登录设备与被登陆设备之间必须可达
2.被登陆设备必须开启telnet设定
[R2]aaa 进入aaa服务
[R2-aaa]local-user ABC privilege level 15 password cipher 123456
[R2-aaa]local-user ABC service-type telnet
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R1-acl-adv-3000]rule deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
规定 拒绝 tcp行为中的 源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为
[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0
规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为
一个接口的入或者出方向上 只能调用一张acl表格
NAT:网络地址转换
公有IP和私有IP的区别
公有IP----全球唯一 可以你在互联网中通信 付费使用
私有IP----本地唯一 不能在互联网中通信 免费试用
A类:10.0.0.0---10.255.255.255
B类:172.16.0.0------172.31.255.255
C类:192.168.0.0-----192.168.255.255
NAT-----网络地址转换,在边界路由器上,进行公有地址和私有地址间的转化
NAT的分类: 静态NAT 动态NAT NAPT 端口映射
在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。
静态NAT:
我们在私网的边界路由器上建立并维护一张静态地址表,静态地址表映射了公有地址和私有地址间 一一对应的关系
[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2
[R2]display nat static 查询nat映射关系
动态NAT
静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的,而不是写死的,所以动态NAT不在意一对一的关系,而是实现多对多的转化。
使用端口进行分辨 转化的形式----NAPT(端口地址转化)也叫PAT
为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上维护一张源端口号和私网IP地址的映射关系表,因为端口号的取值范围是1-65535,故有65535个,所以NAPT同时支持通过的数据包的最大量即为65535个,这就形成了一对多的动态NAT,华为中称这种NAPT为EASY IP。 当上网需求非常大时,一个公网IP可能不够用,我们也可以同时使用多个公网IP,这样就能形成65535的倍数增长,形成多对多的NAPT。
一对多
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R2-GigabitEthernet0/0/1]nat outbound 2000
多对多
创建公网地址池
[R2]nat address-group 1 12.1.1.2 12.1.1.10
其中包含 12.1.1.12------12.1.1.10
注意:1.必须是公网 2.必须是连续的IP
[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
在该接口上 将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化
No-pat 添加则代表为静态多对多 不添加则是动态多对多
静态多对多:多个一对一
动态多对多:多个一对多
端口映射
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10 80
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.2.20 80
相关文章:
HCIA(ACL)
第七节 ACL:访问控制列表 访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝 定义感兴趣流量-----帮助其他软件抓流量 匹配规则: 至上而下,逐一匹配,上调匹配按照上条执行…...
react基础之reactHooks
文章目录 React Hooks 使用指南常用 Hooks使用规则 小结 React Hooks 使用指南 React Hooks 是 React 16.8 引入的一种新特性,允许在函数组件中使用状态和其他 React 特性,而无需编写类组件。以下是一些基础的 Hooks 及其使用规则。 常用 Hooks useSta…...
Java基础0-Java概览
Java概览 一、Java的主要特性 Java 语言是简单的: Java 丢弃了 C 中很少使用的、很难理解的、令人迷惑的那些特性,如操作符重载、多继承、自动的强制类型转换。特别地,Java 语言不使用指针,而是引用。并提供了自动分配和回收内存…...
SW绘制曲面
20241031第一次学习 参考教程:SolidWorks视频教程SW实战营绘制一个布满球体的不规则曲面_哔哩哔哩_bilibili 过程概述: STEP 1:创建平面草图并拉伸 STEP 2:从侧面(拉伸出来的面)绘制样条曲线 样条曲线需要画到实例的底面(图中接下来是要向下变形)薄板两侧都要绘制...
css知识点梳理2
1. 选择器拓展 在 CSS 中,可以根据选择器的类型把选择器分为基础选择器和复合选择器,复合选择器是建立在基础选择器之上,对基本选择器进行组合形成的。 复合选择器是由两个或多个基础选择器,通过不同的方式组合而成的…...
攻防世界 MISC miao~详解
下载压缩包,但是尝试解压的时候提示错误,刚开始以为是伪加密之类的,但是尝试了一圈之后,发现并没有问题。后面用bandizip打开,得到了一张图片: 拖到010editor里面查看,没有发现什么 于是用随波逐…...
使用 `tracert [options] <目标地址>` 命令的详细介绍
使用 tracert [options] <目标地址> 命令的详细介绍 什么是 tracert 命令? tracert(Trace Route)是一个用于追踪数据包从一台计算机到达另一台计算机的网络工具。它通过发送特定的数据包,观察这些数据包经过的路由节点&…...
闲一品交易平台:SpringBoot技术的新境界
摘 要 随着科学技术的飞速发展,社会的方方面面、各行各业都在努力与现代的先进技术接轨,通过科技手段来提高自身的优势,闲一品交易平台当然也不能排除在外。闲一品交易平台是以实际运用为开发背景,运用软件工程原理和开发方法&…...
【深入浅出】深入浅出transformer(附面试题)
本文的目的是为了帮助大家面试transformer,会结合我的面试经历以及看法去讲解transformer,并非完整的技术细致讲解,介意请移步。 结构 提到transformer网络模型,大家脑海中是否有这张图呢? 这是网络结构中经典的编解…...
苹果重大更新,macOS与iOS同时推出更新!功能真好用
前言 这几天,苹果更新了macOS和iOS的系统版本!macOS Sequoia 版本号15.1 iOS版本号18.1 小白更新设备系统的时间已经算比较晚的了,但好在更新得很及时!因为这次更新的功能很合小白的胃口啊!咱们先来看看本次更新了什么…...
刘艳兵-DBA016-在您的数据库中,SALES表存在于SH用户中,并且启用了统一审计。作为DBA,您成功执行了以下指令:
在您的数据库中,SALES表存在于SH用户中,并且启用了统一审计。作为DBA,您成功执行了以下指令: SQL> CREATE AUDIT POLICY sales_pol ACTIONS select on sh.sales; SQL> AUDIT POLICY sales_pol; 关于SALES_POL审计策略,哪个陈…...
力扣题目解析--整数反转
题目 给你一个 32 位的有符号整数 x ,返回将 x 中的数字部分反转后的结果。 如果反转后整数超过 32 位的有符号整数的范围 [−231, 231 − 1] ,就返回 0。 假设环境不允许存储 64 位整数(有符号或无符号)。 示例 1:…...
净水前置需要安装吗?
业主问净水前置需不需要安装?是必须安装吗?这个问题其实很难回答,如果说非要安装,有可能客户会感觉我们在这上面要挣钱, 有很多业主没有安装家里用水也没有问题,如果说不需要安装,现在…...
在深度学习研究方向有哪些创新点
以下是深度学习研究方向的一些创新点: 一、模型架构创新 Transformer架构及其扩展 自注意力机制 Transformer架构摒弃了传统的卷积神经网络(CNN)和循环神经网络(RNN)中的卷积和循环结构,引入了自注意力机…...
YOLOv11改进策略【卷积层】| 2024最新轻量级自适应提取模块 LAE 即插即用 保留局部信息和全局信息
一、本文介绍 本文记录的是利用轻量级自适应提取模块(LAE)模块优化YOLOv11的目标检测网络模型。LAE (Lightweight Adaptive Extraction) 在减少参数和计算成本的同时,能够提取更丰富语义信息的特征,克服了传统卷积方法难以捕捉全局信息的问题,并能更好地提取ROI特征。本文将…...
工作转型与个人突破提升:如何在社会浪潮中激流勇进
文章目录 一、写在前面二、技术人的迷茫三、做好项目经理其实很难四、从纯技术者转型为管理者面临的事五、最重要的技能【重磅推荐!免费简单内网穿透神器!支持linuxwindows】 一、写在前面 近期工作变动,虽然说对于开发者而言,工…...
mongodb:增删改查和特殊查询符号手册
前言 最近考虑开发游戏,网上推荐使用非关系数据库mongodb,因此浅尝了一番,并将一些语句和符号记录在这里。 相对于mysql、oracle这些关系型数据库,基于json文档的mongodb在很多地方都与之大不相同(可以类比为TCP握手连…...
你的Mac book多久没有清洁键盘屏幕了,Mac清洁好帮手来了
你的Mac book键盘使用时间长了不会打油吗,你的屏幕使用久了不会沾灰吗,那你还不清洁一下 你不清洁的原因,是怕清洁键盘误触发吗,还是怕屏幕擦不干净白擦,还是觉得每次都要睡眠或关机再清洁很麻烦 Cleaner是Mac的清洁…...
ANA基因组数据库(ANAgdb)
ANA进化阶由早期发育的被子植物谱系组成,包括无油樟目(Amborellales)、睡莲目(Nymphaeales)和木兰藤目(Austrobaileyales),在进化上具有重要地位。 ANA基因组数据库(ANA…...
leetcode 704 二分查找
704. 二分查找 已解答 简单 相关标签 相关企业 给定一个 n 个元素有序的(升序)整型数组 nums 和一个目标值 target ,写一个函数搜索 nums 中的 target,如果目标值存在返回下标,否则返回 -1。 示例 1: 输入: nu…...
前端倒计时误差!
提示:记录工作中遇到的需求及解决办法 文章目录 前言一、误差从何而来?二、五大解决方案1. 动态校准法(基础版)2. Web Worker 计时3. 服务器时间同步4. Performance API 高精度计时5. 页面可见性API优化三、生产环境最佳实践四、终极解决方案架构前言 前几天听说公司某个项…...
STM32+rt-thread判断是否联网
一、根据NETDEV_FLAG_INTERNET_UP位判断 static bool is_conncected(void) {struct netdev *dev RT_NULL;dev netdev_get_first_by_flags(NETDEV_FLAG_INTERNET_UP);if (dev RT_NULL){printf("wait netdev internet up...");return false;}else{printf("loc…...
Map相关知识
数据结构 二叉树 二叉树,顾名思义,每个节点最多有两个“叉”,也就是两个子节点,分别是左子 节点和右子节点。不过,二叉树并不要求每个节点都有两个子节点,有的节点只 有左子节点,有的节点只有…...
企业如何增强终端安全?
在数字化转型加速的今天,企业的业务运行越来越依赖于终端设备。从员工的笔记本电脑、智能手机,到工厂里的物联网设备、智能传感器,这些终端构成了企业与外部世界连接的 “神经末梢”。然而,随着远程办公的常态化和设备接入的爆炸式…...
前端中slice和splic的区别
1. slice slice 用于从数组中提取一部分元素,返回一个新的数组。 特点: 不修改原数组:slice 不会改变原数组,而是返回一个新的数组。提取数组的部分:slice 会根据指定的开始索引和结束索引提取数组的一部分。不包含…...
【安全篇】金刚不坏之身:整合 Spring Security + JWT 实现无状态认证与授权
摘要 本文是《Spring Boot 实战派》系列的第四篇。我们将直面所有 Web 应用都无法回避的核心问题:安全。文章将详细阐述认证(Authentication) 与授权(Authorization的核心概念,对比传统 Session-Cookie 与现代 JWT(JS…...
:LeetCode 142. 环形链表 II(Linked List Cycle II)详解)
Java详解LeetCode 热题 100(26):LeetCode 142. 环形链表 II(Linked List Cycle II)详解
文章目录 1. 题目描述1.1 链表节点定义 2. 理解题目2.1 问题可视化2.2 核心挑战 3. 解法一:HashSet 标记访问法3.1 算法思路3.2 Java代码实现3.3 详细执行过程演示3.4 执行结果示例3.5 复杂度分析3.6 优缺点分析 4. 解法二:Floyd 快慢指针法(…...
node.js的初步学习
那什么是node.js呢? 和JavaScript又是什么关系呢? node.js 提供了 JavaScript的运行环境。当JavaScript作为后端开发语言来说, 需要在node.js的环境上进行当JavaScript作为前端开发语言来说,需要在浏览器的环境上进行 Node.js 可…...
React父子组件通信:Props怎么用?如何从父组件向子组件传递数据?
系列回顾: 在上一篇《React核心概念:State是什么?》中,我们学习了如何使用useState让一个组件拥有自己的内部数据(State),并通过一个计数器案例,实现了组件的自我更新。这很棒&#…...
Element-Plus:popconfirm与tooltip一起使用不生效?
你们好,我是金金金。 场景 我正在使用Element-plus组件库当中的el-popconfirm和el-tooltip,产品要求是两个需要结合一起使用,也就是鼠标悬浮上去有提示文字,并且点击之后需要出现气泡确认框 代码 <el-popconfirm title"是…...