有了基本的 h l 的知识,高级 h l 就很容易理解。高级 h l 高级在什么地方呢?它不像基本 h l 只检查数据包的原 ip 地址,高级 h l 可以检查数据包里面几乎所有的信息, 原 ip 地址,目的地址啊, ip 头部里面的优先级。然后呢, t c p 原端口,目的端口或者 u d p 的端口,以及 t c p 的各种各样的标志力, 包含了三层和四层的信息。从这个角度来看呢,如果路由器运行访问控制列表这个路由器呢,它实际上不是一个纯的三层的一个设备,这是 它的一个命令,它的命令呢,你看参数非常之多啊,一堆除了参数之很多之外呢, a c l, 它的使用方式跟基本 a c l 啊,实际上没什么区别。因此呢,下面我们通过具体的例子来给大家演示 啊。我这边的例子是这样子的,就是在这边的一个 top 里面呢,网络已经全通了哈,路由表已经全部配置好了, 这边呢可以测试一下给大家看。这个 ip 地址网段呢,一七二点一点零点零,野马是十六位的哈,这个是一九二点一六八点十点零,这边是一七二点二点零点零,野马十六位 啊,从这左边的计算机可以拼通右边的计算机, 一七二点二点零点一。好,这边有一台服务器,这台服务器是一个 vivo 服务器,点二点零点二五零,这个 vivo 服务器呢,我们从这边设置一下, 设置一个 http 的目录,这个目录我放在,我先把停电好,刚才已经设好了 好,桌面上有一个目录,这个新建文件夹,把它设好,这个里面呢,你有一个什么呢?有一个页面啊,设置好之后呢,要把这个 pc, 要把在哪?这边哈, 要把这个启动起来,这样子的话,这台计算机呢,就变成一台 vivo 服务器。那需要拿客户端来测试,这边有一 一个 http 的客户端啊, ip 地址都已经设好了,我们把它打开,打开之后呢, 在这边有一个 h t 客户端的信息, h t d p ctrl 信息输入对方的 ip 地址,点击获取啊,因此呢,这边成功可以拿到抵迫点 h t n, 你可以把它保存 啊,保存在哪里?随便保存在桌上哈,保存在桌面上以后,你就可以打开这个就模拟什么呢?模拟啊,我们已经成功拿了一个网页,非常简单,里面只有几个字,哈喽,总而言之,在这个 top 里面呢,现在我全网是通的,而且这个 vivo 浏览器就是这个 h t t p 的客户端呢,不是 vivo 浏览器啊,可以来访问 h t p 的服务器的网页。这边 是正常了。现在呢,我有这么一个需求,这个需求是这样子的哈,就是假设啊,我这边的计算机, 我担心有有一些人来攻击我的 http 服务器,因此呢,我想限制左边的计算机对 http 的访问呢,只能访问八零张口啊,你不能聘 啊,不能拼,目前呢是可以拼,对不对?可以拼通这台服务器,它是一台服务器, 温饱福气。我们允许客户端左边的对他的访问,仅允许访问 tgp 的八零端口,我不允许你听通,但是呢,我这边还有别的计算机啊,你不要影响我这边的计算机和这边的计算机进行通讯啊, 因此呢,简单来讲呢,我只是想保护这一台服务器,其他的无做保护,那么这样子的话,我们就可以使用扩展防控力表来进行啊,实现标准防控力表是实现不了的,因为标准防控控制表只检查 连 ip 地址,连端口号都不检查,对吧?那现在呢,我们准备在哪地方来实现呢?准备在这台路由器来实现。 在哪个接口上来实现呢?在这个接口上来实现。那现在呢,我们要配置防温控制列表 a c l, 采用扩展防控列表,它的编号就 b b g 三千以上。好,我们不允许,首先我们要允许这边的计算机访问这边的八零端口 口,对吧?那么应该有一条规则啊,有一条规则, perme, 既然是八零端口采用 http 协议,那在传输层呢,它使用的是 tcp perme, tcp 协议。然后呢,其实你这边会可以写原 mac 地,呃,原 ip 地址 source, ip 地址 soul, ip 地址是 n 里,对不对 啊?实际上华为的防控列表,它的配置啊,比斯科的要简单一点,如果你这边不限制,其实你完全可以不写,因此这个 sos 可以不写。那目标呢?目标我们就要写了哈,目标的 ip 地址就是一九一七二 点二点零点二五零,对不对?然后这个是一台主机,那我们通配服呢,就用零,对吧?更关键的,我们这边要写上端口号, 因为这边的从这边过来来访问这个数据,目标的端口号是八零端口,对吧?八零端口端口号可以采用 eq, eq 就等于 gt, 就大于这个小于或者一个范围,我们这边呢就等于等于什么服务呢?你这边可以去找三 w 服务, 对吧?啊,你这条命令一敲呢,就意味着我们允许所有的计算机发送 数据包到一七二点二点零点二五零端,口号是八零端口,对吧?但是呢,我们不允许这边的计算机拼动这边呢,因此我们还要有一条命令, dni, 对吧? ip 啊,目标是什么呢?一七二点二点零点二五零,不允许他啊。然后呢,这个迪耐 ip ip 应该还有通,佩服。零哈,好吧,最后一条呢,建议大家手工把它写上蓬密 ip 啊,这条命令呢,如果是转发数据包,其实你是可以不写的啊,好, display list 对吧?那最终呢,我们要把它应用在接口上零杠零接口上 traffic filter, 应该是 filter 对吧?啊,三千 in 的方向啊,呃,应该是 open 啊, 英泵 a c l 三千应该是这样写哈,好, display a c l 看一下有没有写错,对吧?它的步长是五啊,应该我看一下 t c p 应该没有错吧。然后 dis 配绿色,你可以查看应用在的接口的 in 的方向。现在呢,我们来测试一下,首先测试一下从这个 pgg 再来拼是否可以拼通, 你发现不能通了吧,拼不通了吧,拼不通了,会不会影响我客户端来访问 http 的网页了啊?因此呢,我们要打开这边来进行测试 啊。客户端重新还是拿这个地址获取还是可以获取说明网页还是可以浏览,当然你可以从这边也可以拼哈这个客户端呢,他的拼啊,一级二点一六点,哎,不是点一六点二哈,点二点零点二五零啊,拼几次啊?拼两次, 就是从这客户端要聘这个客户端,那应该也是不通的,对不对? 点击发送失败一次,失败两次,那就对了,对吧?这样子的话,从这边你可以访问他的网页,但是呢,你不能聘他,那其他的会不会影响呢?我们关键的要聘 点一就是这台计算机拼这台计算机有没有影响?没有影响,那这台计算机拼这台计算机呢?同样你可以测试,应该也是没有影响的 啊,那么这样子的话,我们就实现了使用。呃,扩展防控列表。就是啊,高级防控列表实现比较高级的功能。刚才呢,我们在 r 一路由器上这个接口来应用的列表,这个其实是比较正确的,为什么呢?因为这个数据包如果从这台计算机要发往这边啊,如果是聘包哈,假设是聘聘 icmp 包吗?这个路由器看到这个数据包并不是 tce 的包,他从这个接口就把数据包丢掉了,因此呢,不会从这个接口发出去,这个路由器也收不到数据包。这个电动呢,既不占用带宽,然后后面的计算机也不需要工作 清楚吧?也就是说路由器你要丢数据包,你早一点把它丢掉,你不要啊,等很长时间啊,把它丢掉,就是 后面呢一堆人已经做了无用的事情,你再把它丢掉,那么这样子的话效率比较低啊。这就是扩展防控列表了,我们他检查的这个数据,数据的项目数比较多,比较啊详细, 尽可能把扩展防空列表呢,靠近远啊,靠近远。好,现在呢,我稍微变态一下,我假设现在我一定要求 你在 r 二路由器上的,呃,这个接口二方向接口来做防控列表,我要求你在这个接口的二方向来做防控列表,那么我们应该又应该怎么做呢?啊?我先把这个应用把它先删掉哈。安度先安度掉哈 啊 under 应该是这一好 啊,你安度掉以后呢?从这台 g m g 应该开始又可以拼二五零了吧。啊,这个列表不在了吧。现在呢我们跟大家讲我希望你在 这个接口上奥方向来做防空列表啊,先不考虑效率的问题啊,那现在在这边我们要怎么做呢?你们要分析一下哈啊,要分析一下。这个 你一定要求我在出接口的方向来做,那我只能针对出接口的流量来进行过滤的吗?对不对?那不允许这边的计算机来拼通那回来的 ib 数据包,那原 ib 数据包肯定是谁啊?是他的对不对? 对不对啊?慕尼 ip 数据包应该是它了吧哈,我们目前呢,呃应该是只允许这台 服务器的数据包回来吧,对不对? t c p 的数据包回包可以回来吧。那如果是 t c p 的数据包回来,这边的计算机访问他的网页数据包回来,这时候数据流量有什么特点呢?原 ip 地址是他 问目的 i b d, 指示它原端口号是多少?原端口号是八零端口,目里端口号是多少?目里端口号不知道,因为我们知道 t p t c p 的连接啊,客户端端口号通常是随机的,因此呢我们从这个接口上过滤的时候,我们就只能过滤原 ip 地址和原端口号,清楚吧啊 ok, 好,现在呢我们这边来做哈, 还是定义一个 acl, 比如说是三千啊,但是呢,这个啊,规则是怎么写呢? d 耐啊, tcp 啊,原 ip 地址啊,为什么要原 ip 地址啊?因为是回包吗? 一七二点二点零点二五零,对不对?好, ok, 然后呢,原端口号 eq 八零或者你 eq 三 w 也是一样哈,目的端口号要不要匹配?不需要匹配回车对吧?这是迪耐的,哎,不对哦,这是变成迪耐了,应该是 团灭才对哈 啊,我们要按住,直接按住 rule 五就行了,后面一串都不需要敲了哈啊,呃,然后呢,把这个 rule 应该是 per mi 哈, per mi 敲错了这一串哈, 然后呢,撸了 deny ip 数据包,原 ip 地址是一七二点二点零点二五零零端口,其他的撸了 perme 就行了哈,这条命令呢,可以不敲,但是呢,我把它敲上,这样子看的比较清楚, 对吧? permit deny, 那需要在哪个接口上来做 啊?我们要求跟这个机打零杠,零接口对不对啊? traffic f f i c 应该是 shelter, 然后这个是啊, open 的方向,三千 a c l 对吧? 好,现在呢,我们来看一下,也没问题,没问题,对吧? display a c l。 哦,好,现在呢,来进行测试。首先来测试是否可以拼通,现在应该不通了吧,而且你拼的时候你会发现 这边的 ac 了,已经卖去了,对不对?说明呢,被这条路表啊,这个规则把它丢掉了吧。现在呢,这个是否可以来访问外部网页了? get 还是可以对不对?还是可以,那你 来查看这个列表是被这个匹配吧,其他的计算机呢?你来 pin 点一,这个是可以匹配的吧,可以通的吧啊,然后,呃,另外一台就我就不撤了哈,这个列表呢?你查看 是被这个匹配吧啊,通过这种方式我们也可以实现,当然这种方式来实现效率比较低,因为数据包已经过来了,路由器还把网页已经返回回来,你到这个路由器这个接口惩罚丢掉,那之前的数据包我不白转发了吗?对吧?这就是啊 扩展防控列表,那扩展防控列表呢?我们刚才讲了尽可能靠近原。呃,基本的 acl 呢?尽可能靠近,靠近目的,为什么呢?因为他只能检查原 ip 地址 啊,举着你 ip 地址。好,下面呢,我们再通过另外一个案例哈,给大家啊,看一下扩展防防控力表的一个功能。 好,这个 top 五是这样子的啊,很简单,三台路由器啊,网络地址都已经写在上面了,这个地址呢是这个路由器黄口的地址,这个路这个地址是这个防伪口的这个地址啊,然后呢啊,三台路由器的 路由表我都已经全部配置好了,全网,而且都是可以通的。从啊一,你看,啊一的防伪口是一九二点一六八点一点一啊,可以拼通,一九二点一六八点三点三 啊,总而言之全网是通的。现在呢,我假设这边这一块是内网,这一块呢是外网啊,是外网,我们呢 想利用啊高级防空控制列表来实现。呃,一个比较简单的一个防火墙的一个功能,保护我们的内网。意味的意味的从阿一什么?阿一可以跳内外网,阿一,从这个接口可以跳内外网。呃,现在呢,应该也是可以啊,跳内 杠 a。 一九二点一六八点一点一。 tell it 一九二点一,六八点三点三。好吧,那可以 tell it 成功吧,对不对?好,目前呢,如果没有保护之前呢,从外网应该也可以 tell it 过来,我先退出来哈, 从外网应该也可以 talene 过来, talene 杠 a。 一九二点一,六八点三点三,一九二点一,六八点一点一。 are you 也可以跳那个就是内网可以跳内外网,外网可以跳内内网啊,然后拼也是一样哈,拼这边的拼一九二点一,六八点一点一也是通的。 有了防火墙之后呢,我们希望从内网可以跳连外网,但是外网不能跳连内网。拼也是一样,从内网可以拼外网,外网不能拼进来。哎,那因此呢,从外网来看呢,这个就相当一个黑匣子嘛,这个世界上防火墙一个 啊,功能你做好以后呢,很基本的一个表象,看起来就是这样的,我可以骗你,我可以骗你,但是你不能骗我,你也不能骗我, 对吧?那么怎么来实现呢?我们先一个来,我们先来分析拼,好吧,我们知道拼包是这样子的哈,数包数据包,如果要拼从内网拼外网,那发出去的 ip 数据包是 ac i c n p 的 ac 的数据包回来的数据包是 ac, 你 play 对不对? depi, 那么从这个接口进不就是 depi 的这个数据包吗?那如果外网主动来聘呢?那这时候我从这个接口收到的包应该是 depi 呃,艾克的数据包吧,因此呢,我就可以这样子,我不允许这个接口 艾克的数据包进来,那你想拼我拼不通的,但是呢,如果我拼出去是可以,因为我回来的包是什么?艾克里 play, 因此呢,我在阿尔上面呢,我来做防空列表哈。 acl, 很明显这个必须使用什么呢? 扩展防控列表,就是高级防控列表,我这边呢,使用三千吧,直接使用三千。好吧,那么我定义的是什么呢?鼎奈 规则哈,规则比耐 i c n p 啊, i c n p。 然后呢?我对他的呃,原 i b 地址目的 i b 地址我不知道限制。为什么呢?因为我也不知道内网是哪台计算机,外网哪台计算机,对不对?但是呢,我可以限制 i c n p 的类型吧, 因为高级防空列表其实它可以控制的参数非常多。那这个类型呢?就是这个了啊,这个哈,我们要把这个艾克 回车,把这个点赖就点赖掉了嘛,对吧,那这样子的话,回包就回不来了。那同时呢,我把呃盆蜜把它加上啊,盆蜜 ip 把它加上,好吧。 啊,因为你如果 deny 你要允许其他的数据包要回来,对不对? display list, 好,现在呢,我把它应用在接口上, 这个这个接口上 traffic policy 应该是 filter 哈, filter, 然后呢,是音泵的方向哈,注意,快注意哈, a c l 三千对不对?好,现在你这样来做, 我们来测试一下啊,从 r e 路由器上,现在呢,再来 pin, 外面 pin, 这个没问题吧, 对不对?从内网拼外网没问题吧?从外网拼内网,你再来拼,现在拼不通了吧。为什么拼不通呢?因为这个 aclacl 哦,你可以看到 它的数据包匹配到这条对不对?是 i c m p 的艾克的数据包吧,因为你拼进来啊,好, 拼的问题解决了,下面呢,我们要解决另外一个问题, tell it 的问题。 tell it 这个问题其实相对来说比较复杂, 因为 tenone 呢,最终使用的是 t c p 的数据包。我们知道 t c p 有三次握手啊,如果三次握手是内网的计算机发起的,第二次握手是这样子吧,第三次握手是这样子,对不对? 在第一次握手里面,他 tcp 的标志位是 s y n, 回来的数据包是 s y n 杠逗号, a c k 出去的数据包还是 a c k? 然后下面其他的来回的数据包都是带 a c k 位的, 那大家也没有注意到,实际上在 tcp 的整个传输里面,哪一个数据包是不带 a c k 的?就是第一次握手的第一个数据包不带 a c k 的,清楚吧?好,知道这个特点之后呢,我们就可以这样利用哈, 如果数据包如果是外网主动想跳呢?那第一次握手肯定是他发起的嘛,带了 syn 对不对?那有没有 a c k 位啊?没有。因此呢,我们只要把数据包不带 a c k 位的,我把它 进来,把它丢掉,其他的我全部通通放行,会不会影响?如果内网访问外网的数据包的回来啊,不会,对吧?因此呢,我这边的规则大家看清楚哈,推出来 aclacl 三千,华为的这个剪写很不习惯哈, a c l 三千,然后 display list。 好,现在呢,我需要在这条命令规则之前呢,插入一条路由对不对啊?插入一条规则对不对?比如说撸了八啊,这个呢,是要拒绝,对吧? t c p 的数据包啊, t c p, 然后呢,这个原 ip 地址,茉莉 ip 地址我们不做过滤,但是呢,我们关心的是 t c p 的标志位 t c p 的 flag, 什么样的标志位啊?什么样的标志位, 我们要把它呃过滤掉或者把它放行啊?这边应该是盆蜜才对哈,应该是盆蜜 t c p, 因为 a c k 的我们是要把它放行嘛?盆蜜 t c p, 然后 t c p 的标志位,我们是 a c k, 对不对?好 disk, 大家有没有发现问题?好,其他的这个允许,其他的这个 t c p 我们应该怎么样?其他的 t c p 我们应该把它抵赖掉,因此呢,我们应该有一个 入了九,对不对啊?迪奈 t c p 回车好 display 历史啊。现在呢,如果有一个 t c p 的数据包来回,呃,如果是外面跳的进来的, 外面跳了进来的,和第一条不匹配,和第二条也不匹配,和第三条就匹配,就丢掉了吧,对不对啊?如果是,呃,数据包跳了出去的,要回包回回来,回包回,回来是带 a g k v 吧,就被捧命了对不对? 然后呢,会不会影响我们 i c n p 的数据包回包啊?出去回包 i c n p 的数据包回包是 at 你 play, 第一条不匹配,第二条不匹配,第三条也不匹配,第四条匹配,对吧?好,现在呢,这个列表,如果我们可以把这个不长重新编号一下哈 啊 style 啊, dspe 绿色大家有没有看清楚来?好,现在呢,我们要测试一下啊,在哪地方测试呢?在阿姨上测试。首先会不会影响我的 pin 啊? pin 出去也没问题吧, 现在可以拼的出去吧,能不能拼的回来,拼不回来吧,没有影响对不对?然后呢,我们要看跳内了哈?跳内?呃,你自己用黄为口添到里可以不用黄为口也可以。我直接用这个跳内,简单一点哈。啊?跳内出去可以,跳内吧, 正常吧?现在呢,外面能不能跳的进来呢?一九二点,一六八点,一点一跳的不进来了吧, 对不对?那这样子的话,我们呢在 r 二路由器上使用这个扩展的就是高级的 a c l 来实现了一个非常基本的一个 呃呃,防火墙,当然这边还有 udb 的问题没有解决。好吧,那这一小节呢啊,我们通过两个案例来介绍了扩展或者高级 a c l 的一个使用,谢谢大家。
粉丝285获赞1007
怎么在华为路由器上配置 a 四 l 实现禁止用户上网呢?在这个实验中,上面这台 p c 的地址是一点十,下面这台 p c 是一点二十,他们都可以访问这台服务器。一点一二三,现在通过 a 四 l 的配置来禁止上面这台 p c 一点十去访问一点一二三。 具体的做法是我们首先创建一个 asl 的这个过滤规则,创建的方法是打上 asl, 然后再给 asl 起个名字,这个名字的话我们可以随便起,只要好认就可以。然后接下来呢要写 asl 的类型, asl 有两个类型,一个是基本,一个是高级。 如果说在这个实验中需求比较简单,我们就可以用基本 acr 好,撬完回车以后呢,就可以写上这个 acr 的规则,这个规则呢,写完入这以后,加上一个拒绝,这个点赞呢是拒绝的意思,拒绝原地址为幺九二幺六八点一点幺零的这个用户上网, 然后后面再想他的通配服演马,如果只是针对这一台电脑,那么通配服演马就可以写四个零,是一个比较精确的好。当然我们要允许其他人上网,允许其他人上网的话,那么就可以写安利啊,这代表其他所有人 好。写完这条 asl 以后呢,他还是没有用的,必须得进入他这个路由器的接口,在这个接口上我们来调用这个 asl, 这样的话就可以实现 asl 的包过滤好。调用的方法就是进入路由器的这个接口,然后打上 traffic filter, 接下来呢,我们就跟上这个 对数据包进来的方向进行检查好,然后再写上 a 四 l 的这个名字就可以了。 好,现在我们来测试一下,用上面这台 p c 再去访问一点,一二三的时候呢,他就发现了访问超时已经不能正常访问了,但是下 这一台电脑去访问是没有任何问题的,那么这个时间呢?就算配置成功,大家如果想要系统学习如何从零到一搭建企业网络,可以点击下方链接预约我们的训练营直播课,只需输入手机号码即可免费参与。
路由器如何配置 sl 流量过滤?华为路由器 acr 包过滤怎么配呢?在这个实验中,我们希望让一点一可以正常访问外网,但 二十一点二是禁止访问外网的。这个时候我们可以打开路由器来创建一个 acr, 编号为二零零幺,然后根据我们的需要来写入相应的规则。如果说允许某台主机上网,我们就写 pramat, pramat 完以后呢,跟上原地址为 幺九二幺六八点一点一,然后再写上通配符严码。当然另外一条规则是拒绝 原地址为幺九二幺六八点一点二上网,我们就写上一个抵赖的拒绝的规则。如果说其他的主机都是允许的,那么我们可以在底下再 跟上一个允许,所有接下来把这个 acr 调用在路由器必经的这个零杠零接口上就可以了。通过揣贝特 face 这条命令,把刚才的 acr 做一个观点, 好,这样的话,这台路由器就会将记零杠零杠零收到的数据包进行过滤,过滤的规则是按照 a 四幺二零零幺设定的规则进行过滤。现在我们来测试一下,用一点一去拼外网是没有问题的, 接下来把一点一改成一点二 再来测试,发现呢就已经拼不同了,就说明呢,我们的 acr 已经实现了流量的过滤。 小弟,看你的骨骼惊奇,是万中无一的练武奇才,维护世界和平就靠你了。我这里有本秘籍,我看与你有缘就就送给你吧。等等,这本不适合还有。
acl 呢,在很多地方都要用到它啊,包括后面的 nat 啦。呃,也需要用到它,路由过滤了也需要用到它。那这一小节呢,简单啊,来看一下 acl 的比较经常用的几个场合。 呃,首先来看一下怎么样来使用 a c l 来控制 tell 呢?我们看这样的一个例子哈,这个例子里面呢,这个很简单的一个东西,就是路由器呢,上面有,这边呢,有很多防伪口,有四个防伪口。 i 路由器呢,和它之间已经跑 ip 的哈,已经跑一 ip 的路由协议跑的是版本二,然后 i 一路由器呢,也已经学到了很多的路由表,四点一点一,这些路由表都学到了啊,现在全网也是通知。 那在 i e 路由器呢,我已经开启了 tell name, 跳呢,已经开起来了。那现在呢,我们从 r 二来跳呢?它 r, 哎,现在是在 r 一吗?这是 啊,这兔脚,我刚才已经 tele 了过了哈,现在从 r tele 呢,我们 tele 呢呢? r 不是有四个防伪口吗?我们拿这个防伪口来 tele 呢,它 tele 呢 啊,杠 a, 这个跳脸的参数呢,大家可以看一下,杠 a 就是指明原 ip 地址啊,原 ip 地址,如果你不指明呢啊,跳呢,肯定是拿这个接口来跳呢,对不对? 杠 a 啊,我这边有四个地址嘛,十点一点一点一,呃,对方的 ip 地址是一九二点一六八点 一,二点一,输入密码,华为, ok, 这个代表跳内成功了吧,我换一个 ip 地址,点二点一也跳呢,也可以成功 退退出来。现在呢,我想在 i e 上做控制啊,我只允许 i b 地址为十点一的进行 tell it。 呃呃,不这样子,反过来吧,十点一开头的不能 tell it 过来。十点二的开头的可以 tell it 过来。这个其实主要是目的是什么呢? 我们的路由器配完以后呢?我们,呃,肯定是要远程 k t 二类网管的吧,但是呢,我们为了保证安全性呢, 可以这样做,就是可以限制只有管理员可以跳,那过来,其他人不能跳那,或者管理员所在的网段那个办公室,因为他那一帮人都是管理员嘛,对不对?来 进行跳奶,这个可以通过 a c l 来实现,那这个 a c l 实现,你看,我可以定一个 a c l, 假设这个是二,呃,就叫二零零一,好吧,或者我也给他取一个名字,用命名的防控力。好吧,跳奶 就叫太阳脸啊,而且呢,这个是叫 basket。 好,这个我们拒绝哈。拒绝,首先规则,拒绝什么呢? 拒绝十点一开头对不对?十点一开头的,那就是 sos, sos 忘了啊,十点一点一点零点零,零点零点二五,一点二五,对不对?好, 那么我们之前不说过了吗?默认情况下,他应该有一个蓬密的 n e, 对不对?那我们就蓬密 n e 先不加上吧,然后紧接着怎么做呢?在接口下面,接口的 use interface v k vt 八下面这边呢,可以配置一个 a g l, 对吧?而且你可以 应用一个。哎呦,他这边还只能用编号,只能用编号,那现在这样子吧,我用 display 卡伦,这个实际上他也是一个编号,看到没有,你用命名,他身上会自动加个编号,这个编号呢,那就是 acl 二九九九,对吧?然后是英镑的方向,进来的方向,那现在呢,如果你这样做,我从 r 用这个接口的 ip 地址 十点一点一点一跳呢,你就发现现在跳练不了了,对不对?因此呢,这样子可以控制,那是否用换一个接口可以呢?我们要测试一下哈,点二点二, 用这个这个接口来的地址是否可以跳两个回车,你会发现他也是不行。这个就是我们之前所说的 dispay acl。 哦,你这边呢,有一个规则是拒绝是不是? 那后默认的规则是什么了?默认的规则应该是路啊,后边应该有个棚米,对不对?但是呢,不同的模块他的处理是不一样的。 tony 这个模块呢,他的处理是这样子, 如果我没有发现到一条盆面的渔具,一条都没有盆面,我就不允许跳了,因此呢,我们现在应该怎么办呢?啊?我们应该是在 acl 上面,我们要更改,对不对?加上一条手工加上一条盆面渔具, a c l 到哪去了?这个哈, 啊, display list, 然后呢? ruler 回车, pomi 直接回车啊, display list, 大家可以看它自动编号加十,对不对?现在呢,我们重新再跳呢? 啊,重新再跳练,可以跳练过来了吧?啊,退出来,然后呢?刚才我是以哪个地址啊?是以十点二点二点一的跳练,可以的吧?如果你还是用这个地址十点一点一这个地址,你就发现不能跳练了,对不对?这个是正确的,对吧?啊,通过这种方式呢,我们可以控制 tell 内的就是谁究竟可以 tell? it, 这是 a c l 的一个应用的一个场合。那下面呢,我们呃介绍一下基于时间的 a c l, a c l 呢?后边其实可以跟上一个时间啊,比如说 啊, a c l, 我们举个例子哈,二零零二回车 规则啊, deny source, 呃,十点一点一点一点一,后面呢,零可以跟着一个时间范围,看到没有?可以跟一个时间范围啊,这个时间范围呢,我们先来定义,看一下时间范围。怎么定义哈, 这边呢,关于时间范围的定义有两种模式,一个是相对时间,相对时间呢,基本上是它是属于循环的,比如说啊,一个星期里面, 每天的早上九点到晚上的六点,每一天或者说工作日星期一到星期五啊,或者 呃,每个月的十一号,采用这种方式也是可以的。每个月行不行?每个月好像不行哈,应该是只能是每个星期哈啊,每个星期他是以 主要是以星期。第二种模式呢,它是绝对时间,就是从啊某一刻,比如说是今天,今天是二零一五年,比如说是个呃,二月十五号,然后呢, 十点零分零秒到二零二零年,几点几分几秒,他是一个绝对时间,这两个呢,他可以合在一起啊,可以合在一起。下面呢,我们来通过具体演示来给大家展示一下这个时间的一个配置。首先呢,我们先定一个时间范围,比如说这个时间范围呢,我们就 叫 work day 啊, work day 啊, what time? 工作时间哈,工作时间,然后呢,你就可以如果 form 就是写绝对时间了哈,如果你不写 form, 那不是绝对时间哈, 早上的九点啊,单单他只有十分,没有秒啊,到哪里呢?到下午的呃,十八点对不对?后面呢,可以跟 星期对吧?如果你他的星期零是星期天,这就是星期一。如果你这样写的就是每一周的星期一的上午九点到晚上的 十八点是每个星期一的哈,是每个星期一。那除此之外呢,还有别的一些写法,你可以写这样子的话,就是每一天的啊。如果你写 working day, 那就是星期一到星期五,你可以写 off day, off day 就是星期六,星期天 这两个 ok。 那么我由于我这边定义的是工作时间,因此呢,我这边应该写 working 啊, working day。 好,如果你说星期六我也上班星期六,那你一块把它加上啊 display, 你可以看一下现在我们定义了一个什么? 我们定义的一个时间的范围是九点到十八点,是哪些天呢? 是 working day, 就是星期一到星期五以及星期六,那就意味着从星期一到星期六每一天,那现在呢?这个时间范围呢?没有激活。为什么时间没范围没有激活呢?你看一下我这个路由器的时间, 大家可以看到目前呢是九点到十一点,而且今天是 sunday 啊,今天是星期天啊, ok。 然后呢,我们在 acl 里面就可以来调用他,对吧?比如说我在上班的时间,我就不允许你上网啊,不允许你上网,那我就 deny, 呃,规则哈, deny, 这个直接或者把时间范围直接加上哈,这个是刚才是定义的,叫啥 对不对?然后入了 per me 啊, display, lisa, 那这就意味着什么呢?在工作时间我把所有的数据包全部给你丢掉啊,在 其他的时间我把它开放啊, ok, 呃,我建议是这样子哈,因为 a c l 呢?最后一条呢? 有的场合他是盆蜜,有的场合是不盆蜜,对不对?因此呢,你自己最好把最后一条命令呢也把它敲上 啊,人工控制到底是盆蜜还是迪耐啊,不要采用默认值。如果采用默认值,我也不知道他到底默认是盆蜜还是迪耐,经常会搞错。好吧,这个是基于时间的好吧,基于时间有个很重要的问题,请大家务必要保证路由器的这个时间是正确的。 但是呢,我们知道华为的路由器呢,比较低端路由器,你把它关掉重启,它的时间会丢掉,对不对?因此呢,这时候你可以采用 n t p, 就是相当于在一个网络里面呢,就是在一个网络里面有很多路由器啦啊,我让所有路由器的时间跟它同步, 我保证一台路由器时间他不会丢失,关机以后也不会不会不见了哈啊,或者说你可以把这个所有路由器的时间跟我们网络上的 ntp 的服务器来进行同步 啊。那关于 n t p 的配置,我简单介绍一下,大家呢,如果想了解 n t p 呢,呃,去找相应的资料。好吧,假设我这台 r 二路由器想作为 n t p 的服务器,那么我只需要到 n t p service enable, 把它敲上,它就变成一台 n t p 的服务器。实际上这条命令呢,你不需要敲,因为它是命,它是 monon 值。然后呢,你配置一个 n t p 的 啊,时间的参参考应该有一个这个哈啊,这个就意味着这他是 时钟元的等级,那现在我把它配于等级二, r 二呢,就成为一台 n t p 的服务器。那在客户端这边呢, n t p 你要指明 service n t p 的 service 吧,我记得是 n t p service 这样子哈,指明 unicas 的 server 是谁? unicass 的 server 啊,其实你也可以指批啊, ip 地址呢?一九二点一六八点一二点二, 对吧?就是我。呃,我,你是服务器,我指向你,那么这样子的话,他就会做同步 display n t p 的 service status, 那你可以看到它的时间同步,如果同步了两台,这个时间应该是一样的。 display clock 这边呃零九幺幺 幺二八零九啊,这个还是不太一样哈。这个呢,在 e s p n t p。 好像我上次做实验也发现有点些小问题啊。 n t p。 请大家自己去参见啊,其他的资料啊。因此在 配置记忆时间的防空列表大请大家务必要把路由器的时间搞清楚。来啊,否则的话你说上班不能。呃,不能上网啊。上班不能上网,结果现在已经到下班了啊,还不能上网啊,因为路由器的时间是错的。好吧,这个是记忆时间的防空列表, 下面呢我们要基于呃讲一下路由过滤啊,路由过滤,路由过滤呢?防空滤表也可以用来做路由过滤。这个例子呢就是 r 二路由器和 i 路由器现在已经是在运行 i p i 一路由器呢,收到了很多路由 表 dispay 路径 table 了,四点一点一点二点都收到了。现在呢,我假设二二路由器发布路由给他的时候啊,不要把四点一 开头的就是十点一点一和十一点二不要开开头的不要发送给他。我,我不想意味着我不想让这个网络让路由器。呃,这边所接的计算机可以连到我这边来。那怎么样来做呢? 我们在二二上来做哈。假设我定一个防空列表,这个就叫两千,好吧。啊,那这个撸了应该是 deny 了哈,因为我不想让他发布了。十点一点一点零点零零点零点二五点二五,对不对? 好,这,呃,应该还有 source 哈。 好,然后紧接着也要需要注意哈,其他 是要保密哈,不然的话路由器过滤路由表,如果这条你不加,他也是 deny 的哈,也是 deny, 因此我刚才讲了,呃,最好把最后一条我们手工加上,那么这样子的话就 deny 掉,他是怎么样来 deny 呢?就是路由器 ip, 他不是会路由更新吗? 路由更新里面的 ip 的呃,路由表如果他的网络地址和这个是匹配的,就被抵赖掉了吗?那定义的这个列表之后呢?我们必须在 ip 里面来使用 ip a c l 啊,我们可以做路由个过滤哈,路由过滤应该是 这个哈, filter policy a c 佬的编号,我们刚才定义 的是多少 display? a c l 哦,你可以看到应该是两千,对不对? 直接敲两天。然后呢,这边有 in 的 export 和 input example, 就是我往外发布的时候我要应用列表, input 就是我从别人搜到,当然你刚才如果在 r e 上来做 a c l 也可以啊,那就是应用在 input 的方向对不对?我这边就放到 export 的方向。好,你这样做以后再来看防空列表。哎,再来看路易表,你会发现阿,一路由器上就没有十点一点一,十点一点二的路易表了,只有十点二点一和十点二开头的路易表,这个是 a c l 的另外一个应用场合。 最后呢,我们要看一下 a c l 的另外一个顺序规则的作用顺序,深度优先,深度优先。什么叫深度优先呢?实际上就是呃,叫野马的最长匹配原则。我们举个例子, 假设我有写一个 a c l, 哈, a c l 两千,好,这个规则呢?是这样子,撸了,对吧?呃,我把编号,编号,把它加上好五,比如说是,呃, deny 吧, 一九二,点一六八,哎,呃,这样子吧,点零点零零点二五五,点二五五,点二五五,然后呢? ruler 六 perme 一九二,点一六八,点一点零,零点 零点零,呃,点二五五,好,撸了二十,我故意把编号乱写哈,然后再 deny, 点一零点零点零点零,哈,好,那这样子哈。假设我有一个数据包, ip 地址是一九二,点一六八,点一点一,那这个数据包来了以后呢, 和第一条就匹配了吧。第一条 deni, 那第一排就把数据包给丢掉了吧?因为第一条他只要求 ip 地址是一九二开头的就完了吗?那第第六条,呃,第二条这个录了六会不会被应用?不会吧?录了二十会不会被应用?也不会吧? 那 lol 五,它其实的条件比较宽松,就是只要 ip 地址是一九二,点一六八,呃,一九二开头的 这个数据包就丢掉了,意味着凡是 ip 地址一九二开头的后面这两条会不会得到匹配?永远不会得到匹配啊,为什么呢?因为这边匹配的原码数 就是匹配位数匹配多少位啊?匹配八位。这边匹配位数匹配多少位啊?匹配二十四位。这边匹配位数匹配多少位啊?匹配的三十位,呃,三十二位,对不对?那么如果你这样写, 我们正常情况下应该是先,应该是先把这条调到前面去,然后呢,把这条调到前面去,这才是比较合理的,就是要把 匹配比较精确的,或者匹配位数比较多的要放在前面,否则的话,就是比较精确的放在后面,比较精确的那条雨季被废掉了,对不对?好,深度呢?如果我们管理员配 sl 的时候, 把这个顺序配错了,你采用的深度优先来匹配,他会帮你自动来调啊,这个顺序。好,现在呢,我们来演示一下啊, a c l, 比如说二五,呃,二幺零零,好吧,这个 a c l 我具体就不应用哈,比如说现在呢?哎,错了哈,错了错了, 安度 a c l 二幺零零,重新来哈, a c l 二幺零零。这边有个 match order, 你要选择 auto, 如果你不选择 auto, 默认就是 管理员,就是人工的配置顺序啊。然后呢,一旦你使用 auto 有规则,你就不能写十啊,写十,然后 per permit 啊,假设 permit 啊, sauce 一九二点零点零点零零点二 五点二五点二五啊,为什么呢?因为这个编号呢,你不允许控制他自动帮你编,你可以这么写,把这个编号去掉啊。 promis 对不对? display, 那第一条呢?他按照不长来来帮你, 这个步长呢,默认是 step, 是等于五,对吧? step 五,你可以改,你可以改,你改了 step 十,你只配他,马上变成十了,对不对? 然后呢,我们再敲第二条规则啊,这条第二条规则呢,比如说 perme 一九二点一六八点一点零零点零点零点二五,很明显这个比上面要精确,对不对啊?因此你回车以后,呃, perme ss 好,你 display list, 你会发现他自动把这条给你调到前面去了,对吧?因为这 这条他的匹配位数只有八位,这边匹配了二十四位。然后呢,我在这边再挑一条盆米啊,硕士,一九二点一六八点一点一。假设你,呃直接敲回车零吧。啊, display list, ok, 这条又跑到前面去了。然后呢,撸了,假设撸了 per me 回车 display, 它这个自动会把你放到最后面一条,因为这个匹配位数匹配多少位啊?匹配零位,这个呢,就是 a、 c、 l 的深度优先,它的排序是按照匹配范围就是匹配的位数来进行排序的,匹配位数比较长的放在前面。好吧,那这一小节呢,我们就补充了一下 a、 c、 l 的呃,一些使用,谢谢大家。
如何使用静态路由让不同网段的设备互相通信? ips 配完之后呢?那么我们左边的二一和二三能不能去访问这个二四呢?和他们相互之间能不能通信呢?答案是不能,不能通信云是因为网络不可达, 这是一个网络,这是另外一个网络,这边这个另外的网络呢?我们需要让一和三能够学习到同样的这左边这个网络,我们说让四能够去访问到,那可以使用动态路由或者是静态路由来实现,对吧?那么我们为了不影响 acl 这个东西,我们用静态路由, 那么同样在四指标写个回至的金牌旅游,那么这样的话我们左边和右边就 能正常通信了,这个就显示你看来自对方的回复。那么同样呢,我们在三上面来测试一下,他去访问二次,就这么次 答案也是一样就完了,可以通了。那么接下来我们要做什么呢?我们要我们在四这个设备上,我们开启一个远程登录功能,做一个三 a 起个名字,名字呢我们叫一二三吧,密码呢,我们叫一二三四五六吧。功能呢,我们一般用 charnette 远程登录开启。远程登录啊, 远程登录一旦开启之后,我们在一这个设备上 可以登录用户。零一二三,密码,一二三评论,这说明四上面远程登录开启了,那么接下来我要做什么事情呢?我们要让一不能去访问四,就一跟四无法通信。
路由器如何配置 acl 实现流量过滤呢?如图,我们需要 pc 的电脑能够正常的访问到 pc 三,但不需要 pc 的电脑能够访问到 pc 二、具体的配置方法分为三步,首先,第一步,我们进入系统视图。第二步,我们创建一条 acl 规则,这里创建的是 acl 三千。 然后设定一条规则,使 pc 的电脑不能够访问到 pcr。 第三步,我们进入到 pc 的这台接口,将这条 acl 规则绑定到这个接口就可以了。
路由器如何实现 icl 禁止上网?怎么在华为路由器上配置 acr 实现禁止用户上网呢?在这个实验中,上面这台 pc 的地址是一点十,下面这台 pc 是一点二十,他们都可以访问这台服务器,一点一二三, 通过 a 四 l 的配置来禁止上面这台 pc 一点十去访问一点一二三。具体的做法是我们首先创建一个 a 四 l 的这个过滤规则, 创建的方法是打上 acl, 然后再给 acr 起个名字,这个名字的话我们可以随便起,只要好认就可以。然后接下来呢要写 acl 的类型, acl 有两个类型,一个是基本,一个是高级。如果说在这个实验中需求比较简单,我们就可以用基本 acr 好。撬完回车以后呢,就可以写上这个 a 四幺的规则,这个规则呢写完入这以后,加上一个拒绝, 这个迪娜呢是拒绝的意思,拒绝原地址为幺九二幺六八点一点幺零的这个用户上网,然后后面再写上他的通佩服严码,如果只是针对这一台电脑,那么通佩服严码就可以写四个零,是一个比较精确的。 当然我们要允许其他人上网,允许其他人上网的话,那么就可以写安利啊,这代表其他所有人 好。写完这条 a 四幺以后呢,他还是没有用的,必须得进入他这个路由器的接口,在这个接口上我们来调用这个 a 四幺,这样的话就可以实现 a 四幺的包过滤啊。调用的方法就是进入路由器的这个接口,然后打上 chifeex。 接下来呢,我就跟上这个对数据包进来的方向进行检查好,然后再写上 a 四 l 的这个名 字就可以了。好,现在我们来测试一下。用上面这台 pc 再去访问一点,一二三的时候呢,他就发现了访问超时已经不能正常访问了,但 下面这台电脑去访问是没有任何问题的。那么这个实验呢?就算配置成功,关注我,轻松掌握网络知识。
哎,大家好,我是 it 空间,嗯,我们对这拓谱呢还有个要求,那就是 啊,我们要实现啊,之前的我们各个 pc 啊,人事和销售部这个之间我们不允许互访。那我们这边呢?呃,我们配置完了是吧?嗯, 那由于这个软件的半个问题,但是我配置没问题,但是他是吧,他这个但还是能平通是吧?嗯, 但是,呃,我们现在还还有要求,就是要实现 vivo, vivo 服务器和这 ftp 服务器的一个房控制。 嗯,我们看一下这个要求,那要求是啊,销售部门的用户可以发往公司外边服务器 给大静置大静置房这个 ftp 服务器啊。那首先呢,我们要在销售部区域和啊, ice 区域和就是,嗯,串子区域啊,强防火墙功能啊。嗯, 这个销售部的区域这个 ic 啊,到他的级别安全级别为十。是啊,串死区域的安全级别为十四。那因此呢,我们要在皮啊,皮身上,我们要访问的话,那他的流量就是啊硬的方向那。 嗯,销售部,哦,根据就我们这个区域间防火墙默认的这个规则啊。嗯,销售部用户是无法防这个串色区域的服务器的啊, 那因此我们要创建一个 icl 三零零一。嗯,在英的榜方向,在英的榜方向啊, 明确放行这个销售部区域 发消不去访问这个全市区域的啊, vivo, vivo 福气啊, vip 服务器的爆版,那我们接。嗯,接着就直接下了配置就行了啊。 嗯,还是 同样我们要进一个进入到这个区域啊,因为没有音啊,不要没有音音啊, s a 男生一道踹死去 到串死区啊,我们看啊,我们进来以后呢,我们开启防火墙,启用防火墙的功能啊, 啊,爱本 选完以后呢,我们还是啊,这个 sm 三千三千零一。 这个呢?嗯, 入了啊,还是在三千零一啊? 入了十里啊,我们允许拼命,特允许 tcp 瘦死。幺七二点幺七二点幺六点二点零 零点零点零点二五五。 嗯,目的地,目的地址 没有端口啊。目的地址 在这边,不加端口。 目的地幺九二点幺六八点一点三零, 一点三零,野马为零啊,我们再加一条, 他的端口是 八零断口。 好,我们在这个进口部门退出 退出。嗯, 谁要吃你叫,我都不想叫,哎,谁 传出去。 然后呢?我们应用啊, 潘克丁,潘克斯,三零零一。 硬的方向,我刚才说是硬的方向, 我们拆开一下, 非要非要听, 还有点阴天见我还有谁 踹死他。 好,我们再这样看到啊,他已经配置完了啊,已经成功了。 我们看啊,允许了是 永。我们刚才看啊,拼的时候我们刚刚看啊,你在这里,我们如果 平测试, 我们允许的是一点三零啊,我们再看啊,目的往段是一点三零啊。是 来吧来吧,发送 啊,再加这个 tcp 才通的啊, tcp 不同。 嗯,在这获取一下啊,我们再获取他的地址是幺九二点幺六八点一点三零, 断口是八零断口啊, 我看能不能获取到啊。 没活就当 美容师傅。美容师傅,三零, 我没有放行啊。没,哎 哎,看通了, 二点零码,我们查看一下啊, 二点零,我是一点零头来的, 很奇怪啊,这个这个软件,呃,原动物这个软件真有点弄不明白啊。我们放行的是刚才是拼不通的,我们 现在痛了, 我们看拼一点一,他是不同的。 原来我们拼一点一他是不通的,那现在呢?我们放心,二点零的网的,他一点零通了。这个,这就这个软件,没办法,他就这样看,我们看他的一点零通了啊,放心,二点零他一点零,他一点零的网都要通了。 那好,不管了,反正配你方法。就是啊,就是这样的。 嗯,我们刚才也看了,是配这个硬的方向呀,硬的方向 再看一下啊,三零零一,三零零一呢?我们。是啊,允许的原地就是幺七二点,幺六点二点零啊,目的地直接,这也没问题啊, 目的地址,目的端口啊,这,这也没问题啊。嗯,好,不管他了,我们呢,我们接下来配置第二个啊, 看一下,我们再再做一个测试啊,有点奇怪啊, 他没有货,去打他没货, 因为他不通吗?他没有获取到, 哎,怎么把它带这样了? 拼的是一点零, 看一下睿智, 没问题。平 之前是平 好不管他了啊。嗯, 他就这样吧。啊,那我们就下了。 嗯,我现在啊有个新的要求。就是呢啊,嗯, nt 部门的用户呢?啊,可以随时访问 hiftp 服务器。嗯,但只能在每天的两点到十六天啊,才能开始访问啊。这个外国服务器啊, 嗯,哎,哎,访问 ftp 呢?随,随时可以访问啊,访问微博呢?嗯,他有时间限制,每天两点到十六十,每天十四点到十六点 才能发往外国啊。那我们在要开启一个 it, 嗯, itit 区的这个串子区的直接防火墙啊, 并且配置他的时间跨度,那个跨度 跨度为每天的十四点到十六点,然后创建一个 icl。 三零零三啊, 哎, 三千三万, 我还创建了一个,嗯, ac 啊,三零零一, 我们在啊,同样啊,我们先 这个区域 还是非要非要听, 谁家的胃啊,谁家的胃啊, a t 把踹死他去。 然后呢?开启这个防火墙的功能, 我们创建一个爱心啊。三千零三, 嗯,这件浏览,浏览,拼命的。 tcp 幺七二点一,呃, it 是幺七二点幺六点三点零 两,码是三个零点零点二五五, 目的地址, 目的地就是幺九二点幺六八点 一点一,一点三零, 端口是 端口是一颗八零八零端口啊, 他的他他他还没时间,哎, 他们人均 帅哎,帅帅帅, 平 看一下 eqeq 八零泰, 这每个版本不一样啊。 嗯,出了什么问题了? 不能加啊,后面不能再加了, 哎, 我要加时间了, 这是什么情况啊?如果说有知道的朋友, 然后在留言区可以留言啊, 不能加,不能加, 直接 啊。 往这看,入了便秘条,第二条有点偏密条。 tcp, 幺七二点幺七二点,有 六点三点零, 我们不能加时间啊,加加时间的这条命你就一问你就配完了,还有他的,嗯,三点零三点零零点零点零点二五五, 哪有出问题 哦。 tcps, 幺七二点幺六点三点零零点零点零 点二五五, 目的地址, 幺九二点幺六八点 一点幺零, 嗯,你看嘛,为零啊,严格匹配啊。嗯,他的这个目的端口是二十一 二十一号档口, 让我们再创建一条, 这是哪儿屏蔽他? s m p 啊? i c m p, 幺七二点幺六点还是三点零三点零, 目的地址,哎,零点零点零点二五 幺九二点幺六八点 一点幺零,啊, 你错了, 目的地站 幺九二 放哪去?幺九二点幺六八点 一点幺零, 野马为零, 再配第四条啊,有人来 pmat s m p s m p soss, 幺七二点幺六八幺六点?还是三点零? 三点零零点零点零点二五五幺九二点幺六八点一点 三零。 嗯啊,对对,还有个野马 我可以看一下啊, 我们这下面有三条啊,三条是 cl 啊,有四条 icl, 你可以放大看一下, 八零的默认啊,三 w 的八零 原地址三点零, 设定了一点一的目的地是一点零, ftp 啊,那个末端口二十一号端口是 ftp, 那我们看这位下面是 icp 啊, icp 爆网, 然后我们这个 acm 我们就配置完了。那接下来呢,我们 要在这个 icl 将这个 icl 三零零三应用在 it 区域和这串死区域之间的音的办法响 好,同样我们还是 非要非要,非要吟诗吟诗吟诗周 at a t 串死他, a t 串死他去,然后呢?他拍了肺,我非要踢 三零零三,三零零三啊,入方向,我们,然后呢?再查看一下啊, 退出去查看啊,退出去, 废物人废了,为了隐身任务 at 全是这方向。 你看到啊,我们这名车叫穿 sit 啊,开启状态 点啊, 平台 三零零三啊,用的我们这这样就配置完了, 那我们这个在这个 ar, ar, 这个幺二二零上面这防火墙的这个功能我们就配置完了。哦,我接下来呢,回来吧啊,把所有配置呢,我们做一块脚本出来, 嗯,然后呢,我们要在叫花鸡衣上,叫花鸡鸡上 哦,我们还没有,还有一个就是实现交换机上实现远程远程控制,这个, 哎呀,漏油啊,哎呀,漏油, 这个交换机上我们 这已经地址配置完了, 嗯,然后呢?我们还是啊有事 有三个英台 fsvty 零杠四,没有没有杠零,杠四, 激活 密码, 我们说个密码,说个密码自己随便说一个 测试, 然后我们再配这个 icl, icl 两千, 然后我们要配这个两件啊,我们要允许呢,嗯, 屏蔽前永选啊,原地址, 幺九二点幺六八点一点零, 一点幺零,一点幺零, 哎, 一点一,一点一,雅马威零 u 三, 要死要死, 推窗,他这个在这是不能进去的,有三维贴, 有有三,一台粉丝 vty 零到四啊,没有零到四啊, icl icl 两千, 婴宝婴宝宝小 拥抱,放心, 反正我们现在应该配置完了,配置完了我们去就这个扇子开那去 太阳耐克,太阳耐克 这边是二五四 幺九二点幺六八点一点二五四,密码是刚才的时候测试啊, 啊,看,我看进来了啊, 我们看已经能进来了啊,但是他这个软件,他这个实体机不一样啊,他这个功能功能上还是有缺失的啊, 他不支持他也不补全啊。 那好,那我们, 嗯,我们今天的这个视频呢,我们就讲到这里,我们再看。
a、 c、 l 的使用方法,首先呢,我来给社会配个 ip 地址,并且实现他们的网络互通啊,然后像我们配完 ip 地址之后的话,可不可以实现这个网络设备通信呢?目前只有直连可以通,就是一跟二之间属于直连,就他们直接可以通, 当然二和三也是直连,直连通信,我们测试一下吧,比如说在一上面去访问一二点,一点一点二,这个就属于什么直连网络, 十连能通,是不是意味着我们一跟三就能通线?不是啊,这个是通不了的,那我们就用个 ospf, 我们实现个全网互通啊,跑个动态为由。通过之后的话呢,我们还可以做什么事情?我们还可以在三上面去做一个远程登录,让他作为服务端,这样的话我们一跟二可以通过远程登录的方式去帮 三,对吧?所以这是最简单的一个网络通信本身呢?其实网络通信并不算难,但是我们 a、 c、 l 可以干嘛? acl, 它可以去匹配数据流,去控制我们的网红信。什么叫匹配数据流控制网红信啊?这个意思我们可以在一二三上面去运行,一个叫 acl, 先去抓取数据流,如果我先不想让一去访问三十等于点一, 我可以写 acl, 让一一拒绝访三名,但是这个 acl 的话,我不能在一上面去写 acl, 只能在二和三上面去运行,为什么呢? acl 的端口隔离啊。
华为路由器怎么配置 nat 呢?在这个实验中,左边是内网,地址段是幺九二幺六八点一点零二十四位,右边是外网,这个路由器的地址是四个六,现在呢,通过 nat 的配置实现内网可以直接访问外网。 配置的方法,首先我们先通过 acl 来指定要转换什么样的数据包,我们这里呢,要转换原地址为幺九二幺六八点一点零的数据包,所以我们要创建一个基本的 acl。 好,基本 excel 的这个编号是两千到三千,我们就写上一个两千, 然后呢, ruler permit 允许原地址为幺九二幺六八点一点零,然后雅马是 lcv 的。好,接下来呢,我们进入这个路由器的出角 接口,就是连接外网的接口,然后呢,再调用这个 a、 c、 l 就可以了。 好,打完这个命令以后呢,我们来测试一下,用这台 pc, 一来拼四个六,就是外网的这台路由器,看能不能通 好,现在发现呢,他可以正常的拼通,那么这个实验呢,就算配置成功,大家如果想学习更多交换机路由器相关的配置,可以参加我的网工实训课,只要点击视频下方的链接即可参与,还附送四十 gb 的学习资料包。
华为单独子路由器配对教程,九州人买了一母娘子啊,一母娘子的话 就他包装里自带一个裸系,你自带的一个子的和母牛机放一块的,那个子的不用设置就可以插,插上就会变成男的就可以用啊。如果还有一个单独包装的纸要配对一下,怎么配对呢? 配对的话你就把母乳器和母乳器插一个,电机线上就插一块吗? 没有的话你就找个拖鞋板先擦一下,配对好你就可以拔下来,咱们看某洛西当啊,咱们擦上了, 看母鹿啊,母鹿接灯等一会就会变散,通知我伞伞,就是 他检测到了这个止住武器, 怎么等一会? 咱们看到这边 母鹿现金在闪了啊,咱们直播间没闪,咱们慢闪啊,但是慢闪咱们轻按一下,按一下,轻按 按一下这个 h 键,然后他闪的会变快,然后看,然后看直路线,直路线跟着闪了来,看他变成蓝灯了,变成蓝灯就配对好了啊, 然后然后等等五分钟,把这个路由器拔下来,插到别可以,就可以插到别的地方了。
那么我们接下来再来看一下我们的第三个规则。好,我们来 看一下我们的第三个规则,那么在第三个规则里面,我们是 a、 c l 两千零一,然后这里呢是一个规则零,对不对?那么规则零的动作是什么动作?整排列层 他只允许谁?他只允许前缀是一点一点一点零的,这样的一条路由可以留下来,对不对?那么最终第一条路由是不行,因为第一条路由的前缀是一点一点一点一,第二条是否可以? 第三条也可以,但是第四条时候不行,因为你第四条的前阵是一点一点零点零,一点零点零点零,所以最后两条都是不行的, 对吧?所以在这样的一个规则下,我们会发现最终我们留下来的路有有几条是不是留下来的?是两条,分别是一点一点一点零,杠二十四和一点一点一点零,杠二十五, 对吗?好,这是我们 acl 挑选出来的一个规则,那么如果这个时候我想进一步的限制是什么限制? 这五条路由里面我只想留幺点幺点幺点零,杠二十四,杠二十五,这条路由我是不要的,那我怎么来实现,对不对?那我们针对于这样的一个需求,我们就会发现一个问题,是什么问题? 第四 l 里面我们用通佩服野马去做限定,那这个限定其实只能决定你的前缀野马,我是不是决定不了,对不对?你像我们的这 规则下,幺点幺点幺点零,我们用通背符野马零,你只能挑出前面前这是幺点幺点零这样的一个限定,这个野马是二十四、二十五,二十六、二十七,我是不是决定不了?所以这呢是我们 acl 的一个缺陷,他不够灵活对不对?那如果我既想去 敲前缀,又想去限定野马怎么办?那我们只能用第二个工具,这个工具呢叫做前缀列表,地址前缀列表 ipprx slex。 那对于这个地址前缀列表来说呢?我们除了能够匹配 ip 地址的前缀之外,我们其实还可以进一步的去限定我们的野马长度啊。限定野马长度,那我们这里要注意一下啊, ipper fax 是 只能用在陆游过滤的控制层面,而不能用在 ip 豹纹过滤的转发层面啊。也就是说我们在陆游学习或者去发布,或者去做陆游引入的时候,你可以用 ipprax 来去把陆游挑出来。但是你比如说 想去做数据豹纹的控制,比如说我要过滤一些用户的数据豹纹,那就只能用 a c l, 不能用 ippry face 了啊。那么我们先来看一下为什么 ippre fax 他是可以限定我们的严码的。首先我们先来看一下 ippre fac, 那么配置的时候 ip ip pro fax, 这是配置的关键词,我们是一定要配到设备上去的。然后呢,我们在这里面每一个前缀列表都必须要有一个名字,那这个名字呢?比如说在这个例子里面是 past, 你可以是 abc 或者一二三都可以啊。那么这个 ippraxx 的名字呢?其实就像我们 a cl 里面的编号,两千两千零一,两千零二等等,这是同样的一个含义,那同样一个地址前阵列表里面,我们可以有多个节点构成,比如说这里的节点是节点十, 节点时就类似于 acl 里面的若零若一,我是由一系列的规则组成的,那么每一个节点同样也有一个执行的动作。而 mate 或者是点奈,那么排灭层呢?这条路由会被选上,留下来点奈的话会被过滤掉, 然后后面呢是我们的目的地址,这里要注意一下野马信息,不再用我们的通佩服野马了,他用的是正常的野马。那么为什么我们说 ip pro 死他可以去限制野马的长度?因为我们后面还可以继续跟参数鬼子一捆 nice 一捆啊。比如说在这个参数的一个限定下,他要求你 ip 地址的范围必须是幺零点零点零点零以十六,也就说你 我要挑的陆游,你前面十六位必须是幺零点零。那进一步,我对于这个野马还做了限制,野马的长度必须是大于等于二十四,小于等于二十八啊,这是我们的一个限定。 所以如果在这个线顶下,幺零点零点幺点零,杠二十四的路由我是不可以过,对吧?因为他前面十六位是幺零点零,幺零点零点二点零杠十五,他是不是也可以过幺零点零点二 二点幺九二杠二十六这条路由也可以通过,对不对?也是我们要挑的路由。那么如果有一条路由是幺幺点零 点幺点零刚二十四,这条路由能不能过?这条路由就过不了了,对不对?因为我们野马虽然是符合条件在二十四到二十八的范围内,但他的前缀是不是满足不了?他要求你的前缀必须是幺零点零,但是这里是不是 变成了幺幺点点,对不对?所以呢,我们说用 ipper 血词列词的他可以更加的灵活,因为他也可以去限定我们野马的一个长度,好,可以限定野马的长度。 好,这是我们 ippre face 的一个配置啊。默默我们来看一下,我们如果使用 ipprax 的话,能 不能够满足我们刚刚在 acl 里面实现不了的这个需求?我只留一条幺零点,幺点幺点零到二十四、八十五这条路有我不给他通过是可以的啊,我们来看一下,那我们在这里面呢配置了一个 ippre fax slex, 那他的名字呢?叫 pr e f 一,那他里面只有一个节点是节点十,那么针对于这个节点时,他的动作呢?是 mate 的这个动作, 那他对于前缀的要求是什么要求?他要求你的前缀必须是要点要点要点要,他要 像以前二十三、二十四个比特,必须是一点一点一点一,那在这样的一个限制下,我刚八的陆游,刚十六的陆游,这三条陆游,是不是这两条陆游是不是就已经被过滤掉了?因为他们的前缀 不是要点要点要点要。同时我对野马是不是有进一步的限制,他要求你的野马必须大于等于二十四,小于等于二十四,那么野马是不是其实就定在了二十四这里, 对不对啊?那么如果定在二十四的话,那么我的刚二十五的野马和杠三十二的野马是不是就被过滤掉了?所以最终能够留下来的路由是不是就只有一条,那就是幺点幺点幺点零,杠二十四, 所以在前阵列表的这样的一个控制下,我是不是可以把幺点幺点幺点零杠二十五这条路由给他过滤掉,因为我可以进一步对野马控制 好。这呢是我们 ipporesslex, 所以我们现在呢已经介绍了两种工具,如何去挑选。我们想要挑出来的路由是 acl, 一个是 ip pro x 列,那接下来掏出来的路由将被应用到哪里?那么我们需要使用对应的工具,那这个工具呢?第一个是 fatt, 这里我们要注意一下,他可以对接收或者发布的陆游来进行过滤,那这个 feel top 可以应用在哪?可以应用在 iss 里面, osp f 里面,以及 bgp 这些协议里面都可以用,都可以用,那他对于 接收到的路由来进行过滤,我们来看一下,不要走 pols, 那么我要过滤哪些路由?我是不通过 acl, 比如说两千,那这里就写一个两千给他挑出来,或者我们 ippre face 把前追列表的这个名字加在这里。因为是接收路由的这个方向,所以我们在这里会 有一个 airpods 这样的一个参数,如果我是向外去发布陆游的时候,那我这个参数数就变成 xpot 的参数了。 对,这个呢是我们的 flow pols, 就是 fel toplol 水操作不同的协议的时候,他的过程是不一样的。这里我们简单提一下, 像我们 i s i s osp f 真的是属于链路状态的一个路由协议,对不对?那链路状态的路由协议我们要注意一下啊,设备跟设备之间,他交互的是 lsa 的信息, 不是江湖路由信息的,对不对啊?那么 sutporese 他是不能对 lsa 来进行过滤的啊,这个是过滤不了的,这个我们要注意一下,那有人就说了,我的 fex poloxy 如何应用在 ss 和 ospf 里面,设备跟设备之间交互了 lsa 之后,这个 lsa 是不会被加入到哪里去? 加入到我们的 lsd b 数据库里面去,对不对?那接下来我们的设备是不是要根据这个数据库,利用 sbf 的算法去计算什么?计算我们的路由表?如停财宝,这个 写的不是很顺啊,是不是去计算我们的一个路由表,如今这一步对不对?那么在计算完形成路由的时候,添加到进入路由表的时候, 这个时候的方向我们是可以去做过滤的,好,可以去做过滤的,那么过滤后的路由是不是就不会被添加进入到我们的表象里面去了, 对吧?里面对于 i s s osp f 这样的恋入状态的协议来说,我只是在这个时候 才能用 feel 的 pose 来完成过滤,那么也就意味着我的邻居,比如说我在路由器 a 上,我把幺零点幺点幺点零这条路由给他过滤掉了,那么在路由器 a 的路由表里面,这条路由就看不到了,但是他的邻居 或者邻居 c 那里,这条路由依旧还是存在的,对不对?因为设备跟设备之间交互的是 lsa 的信息,我们的数据库还是完整的,这是我们要注意一下的一个地方 距离血量。比如说像 rap 这个协议来说,我们本来邻居跟邻居之间发布的就是路由信息,所以如果我在路由器 a 上把幺零点幺点零点零这条 条路由给他过滤了,他的邻居那里就没有了,就没有了啊,所以这个我们要注意一下,这个要注意一下。 好,这是我们操作的对象会不一样。好,这是 flagpol 水,那 flog pologace, 我们只能决定 陆游要么留下来,要么不让他留下来,把他给删掉。如果我想改陆游的属性,比如说把他开销改了,或者把他下一条改了等等,那这些动作只能在如此 polc 里面完成啊,那么如此 polc 是一种功能非常强大的陆游策略, 他可以跟 acl 前追列表 a s pass futis 是属于 bgp 里面的一个挑选陆游的工具啊,那么他可以根据这些我们的工具结合在一起使用, 去对路由进行一些控制啊。那对于如此 pos 来说,我们比如说这里是一个如此 polo 写的关键词,然后我们要给这个策略一个名字,同样他也有一系列的节点构成啊, 那每个节点他都会有对应的动作,而 mate 或者的 nice, 那为什么说他比较强大?因为在这个节点下,我们可以添加子句,那这个子句呢?有两类啊,一个叫 f max, 如果匹配这个是把路由挑出来,对不对? 那我们说他可以修改属性是怎么修改的? oplay, 比如说我把开销值给他,从原来的十改成二十,那么一个节点下面我们的 f max 跟 oplus 此句的数量是没有限定的,你可以 f max 跟 flplay 都不加,或者呢?比如说加个三个 fmx, 然 然后加一个 fline, 或者没有 flaplay 都可以。如果我有多个 fmax 的话,那 fmax 之间是一个雨的关系。 语的关系的意思,也就是说我必须同时都要满足所有 f max 的条件,这才是我要找的陆游,对不对? f max 是掏陆游啊。那么彭莱士修改对应的属性, 这个是 f max 之间的关系。那么一个路由策略里面我们可以有多个节点,比如说节点十,节点二十,节点三十,那各个节点之间的关系是一个货的关系, 货的关系的意思呢?也就说如果这个路由我匹配上了节点十,并且执行了节点十里面的操作的话,那么下面的节点二十,节点三十我就不会再去匹配了。好,所以这是一个货的关系。
a c l 使用时的两个注意点? a c l 在使用的时候有一些注意点啊,第一个最最重要的就是 a c l 必须调用在接口才能生效,你在路由器上说是只要是一九二一六八点一点一发来的,把我把他干掉,可问题是你要在哪个接口去检查一九二一六八点一点一呢? 对不对?所以我们要到接口上去把这个 ac 要去用起来啊,他才有用,这个要注意 ac 要的第二个点啊,第二个点就是 每个厂家啊,每个网络设备的厂家都定义了隐藏语句,但是这里有个问题啊,不通厂家定义的语句是不一样的啊,这里给大家说一下啊,我现在用的华为,我就先说华为啊, 华为默认语句是,默认语句是什么呢?是所有未定义的 都放行,如果你是斯科系的呢?设备呢?默认一句是啥呢?相反所有未定义的都拒绝,所以同样的一个东西啊,如果你在不同厂家的设备上去配,效果是完全不同的。
访问控制列表 acl 是一种基于包过滤的访问控制技术,他可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛的应用于 路由器和三层交换技术。借助于访问控制列表,可以有效的控制用户对网络的访问,从而最大程度的保障网络安全。进入系统,试图关闭提示信息, 创建恶联十二时三式命名交换机 s w 二、进入接口一零零一、 接口类型为 track, 允许左右弯通过进入接口一零零二、接口类型为 access, 允许关钥匙通过进入接口 一零零三,接口类型为 xs, 允许拨按二式通过进入接口一零零四、接口类型为 xs, 允许拨按三式通过 进入系统视图命名 swe。 关闭提示信息,创建 win。 十二是三十进入 vans, 配置 ip 地址,进入 van 二十配置 ip 地址 进入分三十配置 ip 地址 进入接口 j 零零一,接口类型为 trunk, 放通所有 wine。 p c 一,平通网关。 p c 一,平通 p c 二和 p c 三、 配置 a c l。 进入高级 s l, 配置编号为三百 deny 是不允许通过的意思。 p c 三,不允许访问 p c e。 网络。 permit 是允许通过的意思,允许访问其他网络 进入接口 g 零零一,意思是把 a c l 三千的配置这条规则放在 g 零零幺这个端口 之下,并在接口上配置。基于 a c l 对豹纹进行过滤。 p c 一,拼通。 p c 二, p c 一拼不通。 p c 三,整理配置。
华为路由器 nat 配置项目里使用一条专线如何进行配置?访问外网,接下来开始配置,首先进入路由器的一接口,配置 ip 地址,一九二点一六八点一点一。接下来进入连接外网的零接口,配置运营商给我们的 ip 地址幺幺七点一点一点八。 配置完成后, you 退出之后需要配置 n a t 地址转换,将内网的 ip 地址转换成公网 ip, 进行互联网访问。输入 a c l 两千,创建一个规则, 接着输入若 permit source 一九二点一六八点一点零,然后是零点零点零点二五五。这里的意思是这个规则允许哪些原地址去做 m a t 转换原地址就是幺九二点幺六八点 幺点零,这个段后面的零点零点零点二五是一个反延码。以上配置完成后,进入外网的零接口,输入 anatbotbot 两千,这里的两千就是之前创建的规则。 botbot 是出口的意思,在这个接口的出口方向调用这个规则。 以上配置完成后,再写一条缺损路由,指向运营商的网关,到这里就配置完成了。使用 pc 一去拼一下幺幺七点幺点幺点幺,可以拼通了。
今天我们来看一下如何用华为路由器有限的调节其他品牌的路由器来进行主网。首先我们拿到路由器之后,看一下背面的标签,用手机扫一下这个二维码,下载这个 app。 下载完 app 之后呢,我们把我们手机自带流量先给关了,然后我们看一下这个出手 wifi, 用手机搜一下这个 wifi 名称,我们打开设置,搜一下这个出手 wifi, 点击连接出手 wifi, 这个时候会跳到这个界面,一般我们直接退出去就可以,如果是苹果手机上面会有个取消,我们点取消不连接互联网使用,然后我们再退出去,同样的我们退出去,然后我们点一下我们刚刚下载的这个软件 app, 点一下这个时候会跳出来一个配置界面, 我们点立即配置,点微点微阅读,点开始配置,点创建一个网 发网络,这里识别到我的是自动获取的一个上网方式,如果你的是宽带拨号,你就要输入宽带账号和密码,然后我们看一下自动获取,设置一下,点自动获取输入密码,一二三四五六七八点下一步 打个勾哈,然后点下一步,点下一步,点开启就点保存,就是按照他的提示一步一步来就行,他会重新连接你的这个新设置好的 wifi, 然后我们开始点击开始体验, 这个时候配置就完成了。那么接下来我们如何去进行设置调节呢?点开设置里面,然后我们保持这个路由器连着这个新设置的 wifi, 我们连好之后,我们打开浏览器, 上面输入幺九二点幺六八点三点一,幺九二点幺六八点三点一,这个地址哈,在路由器的背面我们可以看到管理地址, 你是什么地址你就输入什么地址啊,我们点前往输入路由器的一个管理密码,就是你刚刚设置的密码,你已经同步了哈,点一下登录,右上角有三个点,我们点一下电脑版, 我们点一下我要上网,这个时候我们我们看到有个上网方式是自动获取,我们点一下博瑞 gap 调节模式,然后我们保存一下, 这个时候路由器就和你上端的路由器进行了一个调节,我们点一下我的 wifi, 这是你这个路由器的一个 wifi 名称和密码。离开之前别忘了帮我们点赞关注支持一下哦。