【无标题】EVEACL概述

最新推荐文章于 2024-07-19 17:35:15 发布
最新推荐文章于 2024-07-19 17:35:15 发布
阅读量985 收藏 26
点赞数 14
文章标签: 网络 everything
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72244935/article/details/137937717
版权

ACL是关于网络安全的配置。

随着大规模开放式网络的开发,网络面临的威胁也就越来越多。网络安全问题成为网络管理员必须面对的问题。

一方面,为了业务的发展,必须允许对网络资源的开放访问权限;

另一方面,又必须确保数据和资源的尽可能安全。网络安全采用的技术很多,而通过ACL可以对数据流进行过滤,是实现基本的网络安全手段之一。

基于IPv4和IPv6的ACL功能、工作原理、使用原则、标准ACL和扩展ACL 以及IPv4 ACL和 IPv6 ACL的配置。

访问控制列表(Access Control List,ACL)是控制网络访问的一种有利的工具。

所谓ACL就是一种路由器配置脚本,它根据从数据包包头中发现的信息(源地址、目的地址、源端口、目的端口和协议等)来控制路由器应该允许还是拒绝数据包通过,从而达到访问控制的目的。

ACL是Cisco IOS 软件中最常用的功能之一,其应用非常广泛,可以实现如下典型的功能:

①限制网络流量以提高网络性能。

②提供基本的网络访问安全。

③控制路由更新的内容。

④在QoS实施中对数据包进行分类。

⑤定义IPSec VPN的感兴趣流量。

⑥定义策略路由的匹配策略。

下面某车企内网使用的ACL

实验拓扑图

2.配置脚本实现互通(协议可以直接粘贴复制)

S1

enable

configure terminal

no ip domain-lookup

no logging on

hostname S1

vlan 80

name SheBeiGuanLi

vlan 105

name SheJiZhongXin

vlan 107

name GongChengZhongXin

vlan 109

name CheShiZhongXin

vlan 111

name YanJiuYuan

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.1 255.255.255.0

no shutdown

exit

interface vlan 105

description SheJiZhongXin

ip address 172.16.105.1 255.255.255.0

no shutdown

exit

interface vlan 107

description GongChengZhongXin

ip address 172.16.107.1 255.255.255.0

no shutdown

exit

interface vlan 109

description CheShiZhongXin

ip address 172.16.109.1 255.255.255.0

no shutdown

exit

interface vlan 111

description YanJiuYuanFTP

ip address 172.16.111.1 255.255.255.0

no shutdown

exit

interface gigabitethernet 0/0

description SheJiZhongXin

switch trunk encapsulation dot1q  

switchport mode trunk

switchport trunk allowed vlan 80,105

exit

interface gigabitethernet 0/1

description GongChengZhongXin

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,107

exit

interface gigabitethernet 0/2

description CheShiZhongXin

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,109

exit

interface gigabitethernet 1/1

description YanJiuYuan

switchport mode access

switchport access vlan 111

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

end

write

copy running-config startup-config

S2

enable

configure terminal

no ip domain-lookup

no logging on

hostname S2

vlan 80

name SheBeiGuanLi

vlan 105

name SheJiZhongXin

exit

interface gigabitethernet 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,105

exit

interface gigabitethernet 1/3

description Network Administrator

switchport mode access

switchport access vlan 80

exit

interface gigabitethernet 1/1

description SJZX

switchport mode access

switchport access vlan 105

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.2 255.255.255.0

no shutdown

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

end

write

copy running-config startup-config

S3

enable

configure terminal

no ip domain-lookup

no logging on

hostname S3

vlan 80

name SheBeiGuanLi

vlan 107

name SheJiZhongXin

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.3 255.255.255.0

no shutdown

exit

interface gigabitethernet 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,107

exit

interface gigabitethernet 1/1

description GongChengZhongXin

switchport mode access

switchport access allowed vlan 107

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

end

write

copy running-config startup-config

S4

enable

configure terminal

no ip domain-lookup

no logging on

hostname S4

vlan 80

name SheBeiGuanLi

vlan 109

name CheShiZhongXin

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.4 255.255.255.0

no shutdown

exit

interface gigabite 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,109

exit

interface gigabite 1/1

description CheShiZhongXin

switchport mode access

switchport access vlan 109

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

end

write

copy running-config startup-config

VPC1-SJZX-1

ip 172.16.105.111/24 172.16.105.1

set pcname SJZX-1

save

VPC2-GCZX-1

ip 172.16.107.111/24 172.16.107.1

set pcname GCZX-1

save

VPC3-CSZX-1

ip 172.16.109.111/24 172.16.109.1

set pcname CSZX-1

save

FTP-Server-YJYFTP-1

ip 172.16.111.111/24 172.16.111.1

set pcname YJYFTP-1

save

Network_Administrator

ip 172.16.80.10/24 172.16.80.1

set pcname NetworkAdmin

save

测试所有PC均可ping通172.16.80.0/24网段的设备

3. 配置脚本-ACL控制

目标,只有Network-Admin才能访问172.16.80.0网段的设备,实现只有管理员才能管理交换机

S1

enable

configure terminal

no ip domain-lookup

no logging on

hostname S1

vlan 80

name SheBeiGuanLi

vlan 105

name SheJiZhongXin

vlan 107

name GongChengZhongXin

vlan 109

name CheShiZhongXin

vlan 111

name YanJiuYuan

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.1 255.255.255.0

no shutdown

exit

interface vlan 105

description SheJiZhongXin

ip address 172.16.105.1 255.255.255.0

no shutdown

exit

interface vlan 107

description GongChengZhongXin

ip address 172.16.107.1 255.255.255.0

no shutdown

exit

interface vlan 109

description CheShiZhongXin

ip address 172.16.109.1 255.255.255.0

no shutdown

exit

interface vlan 111

description YanJiuYuanFTP

ip address 172.16.111.1 255.255.255.0

no shutdown

exit

interface gigabitethernet 0/0

description SheJiZhongXin

switch trunk encapsulation dot1q  

switchport mode trunk

switchport trunk allowed vlan 80,105

exit

interface gigabitethernet 0/1

description GongChengZhongXin

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,107

exit

interface gigabitethernet 0/2

description CheShiZhongXin

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,109

exit

interface gigabitethernet 1/1

description YanJiuYuan

switchport mode access

switchport access vlan 111

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

access-list 110 remark Only_Network_Admin_Access80

access-list 110 permit ip 172.16.80.0 0.0.0.255 172.16.80.0 0.0.0.255

access-list 110 deny ip any any

interface gigabitethernet 0/0

ip access-group 110 in

interface gigabitethernet 0/1

ip access-group 110 in

interface gigabitethernet 0/2

ip access-group 110 in

interface gigabitethernet 1/1

ip access-group 110 in

end

write

copy running-config startup-config

S2

enable

configure terminal

no ip domain-lookup

no logging on

hostname S2

vlan 80

name SheBeiGuanLi

vlan 105

name SheJiZhongXin

exit

interface gigabitethernet 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,105

exit

interface gigabitethernet 1/3

description Network Administrator

switchport mode access

switchport access vlan 80

exit

interface gigabitethernet 1/1

description SJZX

switchport mode access

switchport access vlan 105

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.2 255.255.255.0

no shutdown

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

access-list 110 remark Only_Network_Admin_Access80

access-list 110 permit ip 172.16.80.0 0.0.0.255 172.16.80.0 0.0.0.255

access-list 110 deny ip any any

interface gigabitethernet 1/3

ip access-group 110 in

interface gigabitethernet 1/1

ip access-group 110 in

end

write

copy running-config startup-config

S3

enable

configure terminal

no ip domain-lookup

no logging on

hostname S3

vlan 80

name SheBeiGuanLi

vlan 107

name SheJiZhongXin

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.3 255.255.255.0

no shutdown

exit

interface gigabitethernet 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,107

exit

interface gigabitethernet 1/1

description GongChengZhongXin

switchport mode access

switchport access allowed vlan 107

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

access-list 110 remark Only_Network_Admin_Access80

access-list 110 permit ip 172.16.80.0 0.0.0.255 172.16.80.0 0.0.0.255

access-list 110 deny ip any any

interface gigabitethernet 1/1

ip access-group 110 in

end

write

copy running-config startup-config

S4

enable

configure terminal

no ip domain-lookup

no logging on

hostname S4

vlan 80

name SheBeiGuanLi

vlan 109

name CheShiZhongXin

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.4 255.255.255.0

no shutdown

exit

interface gigabite 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,109

exit

interface gigabite 1/1

description CheShiZhongXin

switchport mode access

switchport access vlan 109

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

access-list 110 remark Only_Network_Admin_Access80

access-list 110 permit ip 172.16.80.0 0.0.0.255 172.16.80.0 0.0.0.255

access-list 110 deny ip any any

interface gigabitethernet 1/1

ip access-group 110 in

end

write

copy running-config startup-config

VPC1-SJZX-1

ip 172.16.105.111/24 172.16.105.1

set pcname SJZX-1

save

VPC2-GCZX-1

ip 172.16.107.111/24 172.16.107.1

set pcname GCZX-1

save

VPC3-CSZX-1

ip 172.16.109.111/24 172.16.109.1

set pcname CSZX-1

save

FTP-Server-YJYFTP-1

ip 172.16.111.111/24 172.16.111.1

set pcname YJYFTP-1

save

Network_Administrator

ip 172.16.80.10/24 172.16.80.1

set pcname NetworkAdmin

save

周业信
关注
  • 14
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 351
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 376
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
SpringBoot整合SSE,实现后端主动推送DEMO
zjy660358的专栏
07-17 375
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
docker build时的网络问题
最新发布
flynetcn的专栏
07-19 274
docker build网络问题
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 825
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 996
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
安徽京准:NTP网络时间服务器的几种应用场景
NTP授时服务器
07-19 202
安徽京准:NTP网络时间服务器的几种应用场景
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 898
计算机网络技术期末复习
CWPIN21的博客
07-17 1105
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
Java 网络编程(TCP编程 和 UDP编程)
weixin_61635597的博客
07-18 1181
我们开发的网络应用程序位于应用层,TCP和UDP属于传输层协议,在应用层如何使用传输层的服务呢?在应用层和传输层之间,则是使用套接Socket来进行分离。套接字就像是传输层为应用层开的一个小口,应用程序通过这个小口向远程发送数据,或者接收远程发来的数据。而这个小口以内,也就是数据进入这个口之后,或者数据从这个口出来之前,是不知道也不需要知道的,也不会关心它如何传输,这属于网络其它层次工作。Socket实际是传输层供给应用层的编程接口。Socket就是应用层与传输层之间的桥梁。
UDP协议
bushibrnxiaohaij的博客
07-17 1085
所以UDP在发送报文前只需要把把头的结构化字段填好,然后防止报文的前面就可以像服务器进行请求了,但是不管是服务器还是客服端,都一定存在大量的UDP报文,所以OS也一定要对这么多的报文进行管理,所以OS也会存在对报文描述的结构体,报文本质就是数据,所以就是一段缓冲区,所以描述报文的结构体里面一定会存在指针。UDP的报头非常简单,存在16位源端口和16为目的端口,16位UDP长度, 表示整个数据报(UDP首部+UDP数据)的最大长度,如果校验和出错, 就会直接丢弃。UDP协议是传输层的协议,是在应用层之下的。
如何保护你的网络安全?
m0_70655343的博客
07-15 854
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。
深入理解Linux网络(一):内核如何接收网络
又见南风的博客
07-18 842
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
响应“一机两用”政策号召 提高政务内外网安全
Canon_YK的博客
07-17 1035
随着一机两用政策的实施,即政府部门内部网络终端在特定情况下需同时连接政务内外网,如何在保证工作效率的同时,确保网络安全和数据安全,成为摆在面前的重要课题。未来,随着技术的不断发展和完善,沙箱技术将在政务内外网安全中发挥更加重要的作用。深信达的SDC沙箱技术已经和多个政企单位合作,高效便捷的沙箱技术已经大大提升了政务机关的内网安全,为政务机关业务的开展提供了强有力的安全保障。SDC沙箱技术能够对隔离环境中的网络行为进行实时监控和审计,包括网络连接的建立、数据的传输、应用程序的运行等。
堆叠和集群
2301_79810514的博客
07-18 322
堆叠 ID:设备的槽位号,在堆叠系统中管理和唯一标识一台成员交换机,不能冲突交换机的。1. 主交换机退出:备交换机升为主交换机,原备交换机重新计算拓扑并同步给成员交换机,2. 备交换机:作为主的备份,主交换机故障后备交换机接替业务,每个堆叠系统只有一台。3. 从交换机:堆叠系统中剩下的就是从交换机,可以多太,负责流量转发,备交换机故障。堆叠系统:多台设备堆叠后组成一台逻辑交换机称作堆叠系统,堆叠系统中的单台交换机教。成员退出:某台交换机离开堆叠系统,根据离开交换机的角色不同,对堆叠系统影响不同。
5 webSocket
ever__ever的博客
07-19 439
webSockets 是一种先进的技术;它可以在用户的浏览器和服务器之间打开交互式通信会话;使用此 API,您可以向服务器发送消息并接收事件驱动的响应,而无需通过轮询服务器的方式以获得响应
CH390H+STM32F1+LWIP
qq_28149763的博客
07-16 441
CH390H+STM32F1+LWIP(NO system)
构建国家公园应急指挥调度系统,助力国家公园体系大建设
PTTLINK的博客
07-17 818
该系统既满足平时的日常办公、会议会商、应急培训、应急演练需求,也能够应对战时的应急指挥、应急救援、应急决策等要求成 熟专业的融合通信技术,将已有各种通信系统、通信终端、通信手段 进行融合,实现扁平化指挥调度以及上下级分层联动,达到“看得见, 听得到,指挥得动”的效果。目前,我国的国家公园其内部普遍建有多种的通信系统,比如监控系统 、电话系统 、广播系统、单兵系统、对讲机系统等,这些通信系统往往无法跨系统互联互通,从而导致指挥调度不通畅、信息传递有阻碍、管理效率低下等问题。江苏三台山国家森林公园景色。
Linux RV1126开发板 + AIR780E模块配置RNDIS网络
wxj280306451的博客
07-18 992
此时,使用lsusb命令可以看到 AIR780E在开发板上枚举出来的PID和VID1d91 和 0001 就是VID和PID。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周业信

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值