网络运维与网络安全 学习笔记2023.12.1

我叫好心态2023-12-11 10:39

网络运维与网络安全 学习笔记 第三十二天

今日目标

ACL原理与类型、基本ACL配置、高级ACL配置

高级ACL之ICMP、高级ACL之telnet

ACL原理与类型

项目背景

为了企业的业务安全,要求不同部门对服务器有不同的权限

PC1不能访问Server

PC2允许访问Server

允许其他所有流量互通

项目分析

如果想要控制设备之间的连通性,必须搞清楚数据转发的路径

在数据转发路径上的某些节点设备上,使用控制策略,过滤数据包

解决方案

现网中,实现流量访问控制的方法有两种

①控制路由条目--在数据包转发路径上的三层设备上,通过路由策略,拒绝路由条目,从而确保数据包无法互通

②控制数据包转发--在数据包转发路径上的任何一个设备的接口下,调用专门的"流量控制工具",比如ACL

ACL概述

ACL ( Access Control List ) ,访问控制列表

主要用于在众多类型的数据包中,"匹配/抓取"感兴趣的数据

是一个包含了多个"规则"的列表,不同规则通过"规则号"进行区分√每个"规则"都包含︰动作+条件两部分内容

动作分为︰允许(permit)和拒绝(deny)

条件分为︰地址(address)和通配符(wildcard bits)
ACL举例

acl 2000

rule 10 permit source 192.168.1.0 0.0.0.255.
ACL讲解

2000,表示的是"ACL的名字",可以通过ID表示,也可通过字符表示

Rule,表示的是"规则"

10,表示的是"规则号",取值范围是0-4294967294

Permit,表示的是动作--允许;(deny表示的是动作-拒绝)

Source,表示当前的"规则"检查的是数据包的"源"地址

源IP地址,表示的是"源IP地址的范围"

通配符,表示的是"与源IP地址对应的通配符"
ACL类型

基本ACL一只能匹配"源IP地址",不能匹配其他的信息,匹配数据不精准,所用的ID取值范围是:2000 - 2999

高级ACL一可以匹配"源IP地址"、"目标IP地址"、"协议号"、"端口号"等,匹配的数据更加精准,所用的ID取值范围是:3000- 3999

配置思路

确定PC1与Server之间的数据转发路径

确定转发路径上的转发设备有哪些,判断在哪个设备上配置ACL

判断数据包在每个端口上的转发方向,确定ACL的配置命令和调用方向

配置命令

配置ACL

acl 2000

rule 10 deny source 192.168.1.0 0.0.0.255

调用ACL

interface gi0/0/0

traffic-filter outbound acl 2000

验证与测试

PC1> ping 192.168.100.1,不通

PC1> ping 192.168.2.1,通

PC2> ping 192.168.100.1,通

配置步骤

①配置终端设备--PC1

地址: 192.168.1.1

掩码: 255.255.255.0

网关:192.168.1.254

②配置终端设备--PC2

地址: 192.168.2.1

掩码: 255.255.255.0

网关:192.168.2.254

③配置终端设备- Server

地址: 192.168.100.1

掩码: 255.255.255.0

网关:192.168.100.254

④配置网络设备--R1

system-view //进入系统模式

[Huawei]sysname R1 //更改设备名称

[R1]interface gi0/0/1 //连接PC1

[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 //配置IP地址

[R1-GigabitEthernet0/0/1]quit

[R1]interface gi0/0/2 //连接PC2

[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 //配置IP地址

[R1-GigabitEthernet0/0/2]quit

⑤配置ACL

[R1]acl 2000 //创建基本ACL

[R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.255

[R1-acl-basic-2000]quit

[R1]interface g0/0/0 //连接Serverl1的接口

[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

[R1-GigabitEthernet0/0/0]quit

⑥测试

display acl all //查看设备上所有的ACL

display acl 2000 //查看ACL2000的内容

PC1不能ping通Server1

PC2可以ping通Server1

PC1可以ping通PC2

项目总结

ACL用来匹配数据包,并实现数据包的过滤

ACL的类型分为:基本ACL和高级ACL,使用不同的ID范围表示

基本ACL,只能匹配数据包的源P地址,匹配数据不精准

高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号等字段,匹配数据包更加精准

ACL必须先配置,再调用,并且在端口调用时是有方向的

基本ACL配置

项目背景

公司存在2个部门,为了确保业务安全,需规划安全控制策略

不允许"售后服务部"以任何的方式访问"财务部"服务器

"售后服务器"可以访问网络的任何其他设备

项目分析

对数据流量进行控制,所以选择使用工具-ACL

要求"不能以任何方式"访问,所以采用"基本ACL"

要求"允许访问"其他设备,所以调用在"服务器网关"设备上

解决方案

如图配置设备IP地址

配置路由条目,确保不同网段之间互通

测试设备之间的连通性,所有网段均可互通

确定部署ACL的设备-R2

确定部署ACL的接口--财务服务器"网关"接口

配置ACL,过滤源IP地址为"售后服务部"网段

在R2连接"服务器"的接口的出方向,调用ACL

验证并测试ACL

配置命令

配置路由条目-R1

ip route-static 192.168.2.0 24 192.168.12.2

ip route-static 192.168.3.0 24 192.168.12.2

配置路由条目-R2

ip route-static 192.168.1.0 24 192.168.12.1

创建ACL-R2

acl 2000

rule 10 deny source 192.168.1.0 0.0.0.255

调用ACL-R2

interface gi0/0/2

traffic-filter outbound acl 2000

验证与测试ACL

[R2]display acl all,查看设备上所有的ACL

[R2] display traffic-filter applied-record,查看设备上已经被调用的ACL

PC1> ping 192.168.3.1 ,不通

[R1] ping -a 192.168.1.254 192.168.3.1,不通

PC2> ping 192.168.3.1 ,通

[R2] ping -a 192.168.2.254192.168.3.1,通

配置步骤

①配置终端设备-PC1

地址:192.168.1.1

掩码:255.255.255.0

网关:192.168.1.254

②配置终端设备-PC2

地址:192.168.2.1

掩码:255.255.255.0

网关:192.168.2.254

③配置终端设备--财务服务器

地址:192.168.3.1

掩码:255.255.255.0

网关:192.168.3.254

④配置网络设备--R1

system-view //进入系统模式

[Huawei]sysname R1 //更改设备名称

[R1]interface gi0/0/1 //连接Client1

[R1-GigabitEthernet0/0/1] ip address 192.168.1.254 24

[R1-GigabitEthernet0/0/1] quit

[R1]interface gi0/0/0 //连接R2的接口

[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24

[R1-GigabitEthernet0/0/0] quit

[R1]ip route-static 192.168.2.0 24 192.168.12.2 //去往PC2的路由条目

[R2]ip route-static 192.168.3.0 24 192.168.12.2 //去往财务服务器的路由

⑤配置网络设备--R2

system-view //进入系统模式

[Huawei]sysname R2 //更改设备名称

[R2]interface gi0/0/1 //连接 PC2

[R2-GigabitEthernet0/0/1] ip address 192.168.2.254 24

[R2-GigabitEthernet0/0/1] quit

[R2]interface gi0/0/0 //连接R1的接口

[R2-GigabitEthernet0/0/o] ip address 192.168.12.2 24

[R2-GigabitEthernet0/0/0] quit

[R2]interface gi0/0/2 //连接服务器的接口

[R2-GigabitEthernet0/0/2] ip address 192.168.3.254 24

[R2-GigabitEthernet0/0/2] quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1

⑥配置网络设备--SW1

undo terminal monitor

sysname SW1

[SW1]vlan 10

[SW1-vlan10] quit

[SW1]interface GigabitEthernet 0/0/1

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1-GigabitEthernet0/0/1]quit

[SW1]interface GigabitEthernet 0/0/2

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2] port default vlan 10

[SW1-GigabitEthernet0/0/2]quit

⑦配置网络设备--SW2

undo terminal monitor

sysname sw2

[SW2]vlan 20

[SW2-vlan20] quit

[Sw2]interface GigabitEthernet 0/0/1

[Sw2-GigabitEthernet0/0/1]port link-type access

[SW2-GigabitEthernet0/0/1] port default vlan 20

[SW2-GigabitEthernet0/0/1]quit

[SW2]interface GigabitEthernet 0/0/2

[SW2-GigabitEthernet0/0/2] port link-type access

[SW2-GigabitEthernet0/0/2]port default vlan 20

[SW2-GigabitEthernet0/0/2]quit

⑧配置控制策略并调用

[R2]acl 2000 //创建基本ACL

[R2-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255

[R2-acl-basic-2000]quit

[R2]interface GigabitEthernet 0/0/2

[R2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 //过滤出向流量

[R2-GigabitEthernet0/0/2]quit

项目总结

基本ACL只能匹配源IP地址,过滤数据的效率非常高

基本ACL有一个默认的隐含的动作是"允许所有"

基本ACL尽量调用在距离"目标设备"近的设备/接口上

高级ACL配置

项目背景

为了增强企业内网安全,实施业务隔离以及访问权限控制

三个部门属于不同的IP地址网段

售后部仅仅能访问Server1上的Web服务,不能访问其他服务

售后部可以访问行政部的所有设备的任何服务

除了上述权限外,售后部不能访问网络中的其他任何地方

项目分析

不同部门之间存在特定业务流量控制,所以用高级ACL

高级ACL可以精确区分流量,尽量调用在距离源设备近的地方

解决方案

如图配置设备IP地址

配置路由条目,确保不同网段之间互通

测试设备之间的连通性,所有网段均可互通

确定部署ACL的设备-R1

确定部署ACL的接口一PC1"网关"接口

配置高级ACL,精确匹配业务流量

在R1连接"PC1"的接口的入方向,调用ACL

验证并测试ACL

配置命令

配置路由条目-R1

ip route-static 0.0.0.0 0 192.168.12.2

配置路由条目-R2

ip route-static 192.168.1.0 24 192.168.12.1

ip route-static 192.168.3.0 24 192.168.23.3

配置路由条目-R3

ip route-static 0.0.0.0 0 192.168.23.2

创建ACL-R1

acl 3000

rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80

rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255

rule 30 deny ip source 192.168.1.1 0 destination any

调用ACL-R1

interface gi0/0/2

traffic-filter inbound acl 3000

验证与测试ACL

[R1]display acl all ,查看设备上所有的ACL

[R1] display traffic-filter applied-record,查看设备上已经被调用的ACL

PC1通过http客户端访问Server1,成功

PC1通过ping 访问Server1,失败

PC1 ping PC2 ,成功

PC1访问其他网段,失败

配置步骤

①配置终端设备--售后服务部

地址:192.168.1.1

掩码:255.255.255.0

网关:192.168.1.254

②配置终端设备--行政部

地址:192.168.2.1

掩码:255.255.255.0

网关:192.168.2.254

③配置终端设备--Web服务器

地址:192.168.3.1

掩码:255.255.255.0

网关:192.168.3.254

配置web服务︰指定web服务器目录,启动web服务

④配置网络设备-R1

system-view //进入系统模式

[Huawei]sysname R1 //更改设备名称

[R1]interface gi0/0/2 //连接售后服务部

[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24

[R1-GigabitEthernet0/0/2] quit

[R1]interface gi0/0/0 //连接R2的接口

[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24

[R1-GigabitEthernet0/0/0] quit

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

⑤配置网络设备-R2

system-view //进入系统模式

[Huawei]sysname R2 //更改设备名称

[R2]interface gi0/0/2 //连接行政部

[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24

[R2-GigabitEthernet0/0/2] quit

[R2]interface gi0/0/1 //连接R1 的接口

[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24

[R2-GigabitEthernet0/0/1] quit

[R2]interface gi0/0/0 //连接 R3的接口

[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24

[R2-GigabitEthernet0/0/0] quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1

[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3

⑥配置网络设备-R3

system-view //进入系统模式

[Huawei]sysname R3 //更改设备名称

[R3]interface gi0/0/2 //连接Web服务器

[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24

[R3-GigabitEthernet0/0/2]quit

[R3]interface gi0/0/1 //连接R2的接口

[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24

[R3-GigabitEthernet0/0/1] quit

[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2

⑦在R1上配置并调用ACL

[R1]acl 3000

[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80

[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255

[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any

[R1] interface gi0/0/2

[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000

项目总结

高级ACL匹配数据更加精准,适合细分业务流量的管理控制

高级ACL尽量调用在距离"源设备"近的设备/接口上

高级ACL之ICMP

项目背景

为了增强企业内网安全,实施业务隔离以及访问权限控制

三个部门属于不同的IP地址网段

售后部仅仅能ping 通Server1,不能访问其他服务

售后部可以访问行政部的所有设备的任何服务

除了上述权限外,售后部不能访问网络中的其他任何地方

项目分析

不同部门之间存在特定业务流量控制,所以用高级ACL

高级ACL可以精确区分流量,尽量调用在距离源设备近的地方

解决方案

如图配置设备IP地址

配置路由条目,确保不同网段之间户通

测试设备之间的连通性,所有网段均可互通

确定部署ACL的设备一R1

确定部署ACL的接口一PC1"网关"接口

配置高级ACL,精确匹配业务流量

在R1连接"PC1"的接口的入方向,调用ACL

验证并测试ACL

配置命令

配置路由条目-R1

ip route-static 0.0.0.0 0 192.168.12.2

配置路由条目-R2

ip route-static 192.168.1.0 24 192.168.12.1

ip route-static 192.168.3.0 24 192.168.23.3

配置路由条目-R3

ip route-static 0.0.0.0 0 192.168.23.2

创建ACL-R1

acl 3000

rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0

rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255

rule 30 deny ip source 192.168.1.1 0 destination any

调用ACL - R1

interface gi0/0/2

traffic-filter inbound acl 3000

验证与测试ACL

[R1]display acl all ,查看设备上所有的ACL

[R1] display traffic-filter applied-record,查看设备上已经被调用的ACL

PC1通过http客户端访问Server1,失败

PC1通过ping 访问Server1,成功

PC1 ping PC2,成功

PC1访问其他网段,失败

配置步骤

①配置终端设备--售后服务部

地址:192.168.1.1

掩码:255.255.255.0

网关:192.168.1.254

②配置终端设备--行政部

地址:192.168.2.1

掩码:255.255.255.0

网关:192.168.2.254

③配置终端设备--Web服务器

地址:192.168.3.1

掩码:255.255.255.0

网关:192.168.3.254

配置web服务︰指定web服务器目录,启动web服务

④配置网络设备-R1

system-view //进入系统模式

[Huawei]sysname R1 //更改设备名称

[R1]interface gi0/0/2 //连接售后服务部

[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24

[R1-GigabitEthernet0/0/2] quit

[R1]interface gi0/0/0 //连接R2的接口

[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24

[R1-GigabitEthernet0/0/0] quit

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

⑤配置网络设备-R2

system-view //进入系统模式

[Huawei]sysname R2 //更改设备名称

[R2]interface gi0/0/2 //连接行政部

[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24

[R2-GigabitEthernet0/0/2] quit

[R2]interface gi0/0/1 //连接R1 的接口

[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24

[R2-GigabitEthernet0/0/1] quit

[R2]interface gi0/0/0 //连接 R3的接口

[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24

[R2-GigabitEthernet0/0/0] quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1

[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3

⑥配置网络设备-R3

system-view //进入系统模式

[Huawei]sysname R3 //更改设备名称

[R3]interface gi0/0/2 //连接Web服务器

[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24

[R3-GigabitEthernet0/0/2]quit

[R3]interface gi0/0/1 //连接R2的接口

[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24

[R3-GigabitEthernet0/0/1] quit

[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2

⑦在R1上配置并调用ACL

[R1]acl 3000

[R1-acl-adv-3000]rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0

[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255

[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any

[R1] interface gi0/0/2

[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000

项目总结

高级ACL匹配数据更加精准,适合细分业务流量的管理控制

高级ACL尽量调用在距离"源设备"近的设备/接口上

一个ACL中存在多个条目时,数据的匹配顺序是按照rule号从小到大依次执行

在ACL条目匹配数据的过程中,如果有一个条目匹配成功,后续的条目就不再查看,直接执行动作"permit"或者"deny"

如果ACL中的所有条目,都没有匹配成功,则执行最后一个隐含的条目

高级ACL之telnet

项目背景

为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE

仅仅允许192.168.1.254远程登录R2,其他设备不可以

拒绝R1的任何IP地址远程登录R3,其他设备都可以

项目分析

针对远程登录操作,访问的都是设备的"远程登录"虚拟接口

对于虚拟接口,使用"基本ACL",可实现"远程登录"过滤

解决方案

如图配置设备IP地址

配置路由条目,确保不同网段之间互通·测试设备之间的连通性,所有网段均可互通

确定部署ACL的设备--R2和R3

确定部署ACL的接口一R2和R3的"远程访问"虚拟接口

配置基本ACL,仅仅匹配允许的IP地址即可

在R2和R3的"远程登录"虚拟接口的入方向,调用ACL

验证并测试ACL

配置命令

配置路由条目-R1

ip route-static 0.0.0.0 0 192.168.12.2

配置路由条目-R2

ip route-static 192.168.1.0 24 192.168.12.1

ip route-static 192.168.3.0 24 192.168.23.3

配置路由条目-R3

ip route-static 0.0.0.0 0 192.168.23.2

配置R2的远程访问功能

user-interface vty 0 4

authentication-mode password

please configure the login password (maximum length 16): HCIE

配置R3的远程访问功能

user-interface vty 0 4

authentication-mode password

please configure the login password (maximum length 16): HCIE

创建ACL- R2

acl 2000

rule 10 permit source 192.168.1.254 0

调用ACL - R2

user-interface vty 0 4

acl 2000 inbound

创建ACL - R3

acl 2000

rule 10 deny source 192.168.1.254 0

rule 20 deny source 192.168.12.1 0

rule 30 permit source any

调用ACL- R3

user-interface vty 0 4

acl 2000 inbound

验证与测试ACL

[R2]display acl all,查看设备上所有的ACL

[R3] display acl all ,查看设备上所有的ACL

telnet -a 192.168.1.254 192.168.12.2,登陆成功

telnet 192.168.12.2,登录失败

telnet 192.168.23.3,登录失败

telnet -a 192.168.1.254 192.168.23.3,登录失败

telnet 192.168.23.3,登录成功

配置步骤

①配置终端设备--售后服务部

地址:192.168.1.1

掩码:255.255.255.0

网关:192.168.1.254

②配置终端设备--行政部

地址:192.168.2.1

掩码:255.255.255.0

网关:192.168.2.254

③配置终端设备--Web服务器

地址:192.168.3.1

掩码:255.255.255.0

网关:192.168.3.254

配置web服务︰指定web服务器目录,启动web服务

④配置网络设备-R1

system-view //进入系统模式

[Huawei]sysname R1 //更改设备名称

[R1]interface gi0/0/2 //连接售后服务部

[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24

[R1-GigabitEthernet0/0/2] quit

[R1]interface gi0/0/0 //连接R2的接口

[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24

[R1-GigabitEthernet0/0/0] quit

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

⑤配置网络设备-R2

system-view //进入系统模式

[Huawei]sysname R2 //更改设备名称

[R2]interface gi0/0/2 //连接行政部

[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24

[R2-GigabitEthernet0/0/2] quit

[R2]interface gi0/0/1 //连接R1 的接口

[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24

[R2-GigabitEthernet0/0/1] quit

[R2]interface gi0/0/0 //连接 R3的接口

[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24

[R2-GigabitEthernet0/0/0] quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1

[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode password //指定认证方式为密码认证

Please configure the login password (maximum length 16): HCIE //配置密码为HCIE

⑥配置网络设备-R3

system-view //进入系统模式

[Huawei]sysname R3 //更改设备名称

[R3]interface gi0/0/2 //连接Web服务器

[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24

[R3-GigabitEthernet0/0/2]quit

[R3]interface gi0/0/1 //连接R2的接口

[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24

[R3-GigabitEthernet0/0/1] quit

[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2

[R3]user-interface vty 0 4

[R3-ui-vty0-4]authentication-mode password //指定认证方式为密码认证

Please configure the login password (maximum length 16): HCIE //配置密码为HCIE

⑦在R2上配置并调用ACL

[R2]acl 2000

[R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0

[R2-acl-basic-2000]quit

[R2]user-interface vty 0 4

[R2-ui-vty0-4]acl 2000 inbound

[R2-ui-vty0-4]quit

⑧在R3上配置并调用ACL

[R3]acl 2000

[R3-acl-basic-2000]rule 10 deny source 192.168.1.254 0

[R3-acl-basic-2000]rule 20 deny source 192.168.12.1 0

[R3-acl-basic-2000]rule 30 permit source any

[R3-acl-basic-2000]quit

[R3]user-interface vty 0 4

[R3-ui-vty0-4]acl 2000 inbound

[R3-ui-vty0-4]quit

项目总结

ACL最后有一个隐含的动作是"拒绝所有"

但是用traffic-filter调用时,ACL默认行为是"允许所有"

远程登录一个设备时,设备使用"虚拟接口" - vty 接口

相关推荐
知本知至28 分钟前
基于open-gpu-kernel-modules的p2p vram映射bar1提高通信效率
网络·网络协议·p2p
数据安全小盾31 分钟前
2024年10款好用的图纸加密软件推荐|图纸加密用哪些加密软件?
大数据·运维·服务器·网络·web安全
bandaoyu36 分钟前
【RDMA】mlxconfig修改和查询网卡(固件)配置--驱动工具
服务器·网络·数据库
都先生38 分钟前
Linux FTP服务问题排查
linux·运维·服务器
limengshi1383921 小时前
通信工程学习:什么是NFVI网络功能虚拟化基础设施层
网络·学习·信息与通信
Amor风信子1 小时前
【简单记录】Linux系统安装ZooKeeper
linux·运维·zookeeper
月临水1 小时前
JavaEE: 深入探索TCP网络编程的奇妙世界(二)
网络·tcp/ip·java-ee
有续技术1 小时前
巴黎嫩事件对数据信息安全的影响及必要措施
网络·安全·web安全
bandaoyu2 小时前
【RDMA】mlxlink检查和调试连接状态及相关问题--驱动工具
linux·服务器·网络
超维机器人2 小时前
强化雨天巡检,智能巡检机器人确保变电站安全运行
运维·人工智能·安全·机器人
热门推荐
01组基轨迹建模 GBTM的介绍与实现(Stata 或 R)02RAG 实践- Ollama+RagFlow 部署本地知识库032024年高教社杯数学建模国赛C题超详细解题思路分析04yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)05CCF-CSP认证考试 202406-3 文本分词 100分题解06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07【SCS-CN】SCS-CN模型中CN值的确定08苍穹外卖面试总结09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10【详细】双系统 Ubuntu 如何给根目录扩容