IP prefix-list及与ACL, route-map的比较
IP prefix-list及與ACL,route-map的比較
下面是一條標準的prefix-list,我們對其進行分析:
ip prefix-list100permit128.0.0.0/2ge16le24
ge=greater or equal le=less or equal
1、
R1(config)#ip prefix-list?
WORD Name of a prefix list
sequence-number Include/exclude sequence numbers in NVGEN
R1(config)#ip prefix-list100?
deny Specify packets to reject
description Prefix-list specific descriptin
permit Specify packets to forward
seq sequence number of an entry
基本的格式上和ACL還是差不多的。
2、關鍵的對於128.0.0.0/2的這個/2代表了什麼含義?
128.0.0.0換成2進制數為10000000000000000000000000000000
/2代表只對前面的2位必須match,即,前2位是不變的,在不帶ge16le24的情況下,prefix-list裏的128.0.0.0/2代表的是一個範圍,是從128.0.0.0/7到191.255.255.252/30,而加上ge16le24的意思就是ip地址mask從/16到/24
下面是幾個例:
prefix-list100permit0.0.0.0/0代表的是所有路由
prefix-list100permit0.0.0.0/32代表的是預設路由
prefix-list100permit0.0.0.0/0ge32代表的是所有host路由
3、在ACL裏,128.0.0.0/2是什麼含義?
下面是128.0.0.0的2進表達表示
10000000000000000000000000000000
在ACL裏,permit128.0.0.0/2,那就沒意義了,要使用128.0.0.0,最小的mask位數為7位(2的7次是128)
4、其實ACL也有方法定義一個範圍,以實現類似prefix-list的功能。
access-list10permit199.172.0.00.0.3.0,這裏這個0.0.3.0,即起了一個定義範圍的作用,0表示match,1表示不關心。這樣的話,199.172.0.0這個被定義物裏,前16個bit和最後8個bit都是被定死的,唯獨第三段的最後2bit是不關心的,可以變換,所以結果就是:
199.172.0.0
199.172.1.0
199.172.2.0
199.172.3.0
per199.172.1.00.0.254.0奇數路由
per199.172.0.00.0.254.0偶數路由
A bit mask used in access rules,IPSec rules,and NAT rules
to specify which portions of the packet's IP address must match the IP address in the rule
例:
1.1.1.1/8ge16le32
/8表示必須從參考的IP中匹配前8個2進位,因此所匹配的路由是1開頭實際匹配的是00000001,剛好8位。
但是後頭定義的是路由首碼的範圍,意義是,如果有路由是1.1.1.0/8那這樣的情況是不符合定義的,
因為他的首碼是8,而不是大於16小於32的範圍。
所以它不能通過,
那1.1.1.0/9呢?一樣也不是範圍內的,
那1.1.1.0/17呢?這條路由可以pass理由是他的首碼大於了16,小於32,
那2.2.2.0/17呢?這樣的情況雖然首碼符合了定義,但是路由是2.x.x.x,不符合參考IP前8個2進位必須為00000001,即等於1.x.x.x,
因此總結:首碼列表由2個部分組成,一個是參考的IP,一個是匹配的mask,
比如你要想匹配住2.x.x.x,
那我們只需要寫1.1.1.0/6ge7le32這樣的話,就是匹配了,
參考IP1.1.1.0中的前6個2,即是:00000001中的000000xx.x.x即可以是
00000000,00000001,00000002,00000003開頭的IP路由。
再來就是首碼範圍,這次的首碼範圍也變大了,是大於7。很多路由都會被匹配,如2.2.2.2/8這個路由也會PASS了。
在進行路由過濾和位址限制方面,Prefix-list佔用CPU的資源比採用access-list要少很多,它提供更快的訪問列表裝入速度,目前IOS版本11.1CC(17),11.3(3)和12.0都提供該項特性。
Prefix-list保存了access-list的多項重要特性:
1、Permit和Deny;
2、最先匹配法則;
3、基於Prefix長度的過濾(精確匹配或range匹配)
然而,與Route-map搭配使用的Prefix-list不支援包過濾。
Sequence Number用於內部正確標識“真正”的match(以最小的Sequence Num為准)。解釋如下:
1、Prefix-list可以採用增量方式從新定義,也就是說,它裏面的條目可以單獨增加或刪除,而無需像access-list一樣,一刪就得將整個access-list刪掉重寫。
2、To_DCC_Routes是這個prefix-list增量表的名字。
3、Seq10用於內部正確標識“真正”的match(以最小的Sequence Num為准)。
4、Match的工作原理與Access-list十分類似。
空的Prefix-list允許所有的首碼;
當Prefix-list中的任何一條都不滿足的話,就認為隱含拒絕;
當Prefix-list中的多項條目均滿足時,以最小的Sequence Num的那條作為匹配。
這裏有一個例子,如果有以下這樣的Prefix-list:
ip prefix-list abc deny10.0.0.0/8le32
ip prefix-list abc permit0.0.0.0/0le32
則10.1.0.0/16滿足上述兩條,但該Prefix會被拒絕,因為第一條才是真正的匹配。
ACL,prefix,route-map共同特點:
1>一個空的/不存在的acl&prefix預設是permit all,一個不存在的route-map預設是deny all
2>一個acl如果配置一條以上permit或deny語句,最後一筆為隱藏的deny all
3>route-map預設deny all(即使為空)
-----------------------------------------------------------------------
以下為各種例子,以如下的網路架構為網路環境:
R1(s1/0,192.168.1.1)===============(s1/0,192.168.1.2)R2
Case Study:ACL
R1#conf t
R1(config)#line vty04
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#access-class3in
R2#telnet192.168.1.1
Password:
R1>沒有阻擋可以直接進去
Summary:空的(未定義的)acl預設允許所有的主機。
-----------------------------------------------------------------------
Case Study:Route-map
R1(config)#router ospf100
R1(config-router)#default-information originate route-map sense
R1(config-router)#exit
R2#sh ip route
Gateway of last resort is not set
172.16.0.0/24is subnetted,2subnets
O172.16.1.0[110/65]via192.168.1.1,00:32:38,Serial1/0
C172.16.2.0is directly connected,Loopback0
192.168.1.0/30is subnetted,1subnets
C192.168.1.0is directly connected,Serial1/0
註:不存在的route-map預設deny all。所以這個case的route-map永遠返回不滿足要求。-----------------------------------------------------------------------
R1(config)#router ospf100
R1(config-router)#default-information originate route-map sense
R1(config-router)#exit
R1(config)#route-map sense permit10
R2#sh ip route
Gateway of last resort is192.168.1.6to network0.0.0.0
172.16.0.0/24is subnetted,2subnets
O172.16.1.0[110/65]via192.168.1.1,00:32:38,Serial1/0 C172.16.2.0is directly connected,Loopback0
192.168.1.0/30is subnetted,1subnets
C192.168.1.0is directly connected,Serial1/0
O*E20.0.0.0/0[110/1]via192.168.1.6,00:00:12,Serial1/1
-----------------------------------------------------------------------
R1(config)#router ospf100
R1(config-router)#default-information originate route-map sense R1(config-router)#exit
R1(config)#route-map sense permit10
R1(config-route-map)#match ip add1
R2#sh ip route
Gateway of last resort is not set
172.16.0.0/24is subnetted,2subnets
O172.16.1.0[110/65]via192.168.1.1,00:32:38,Serial1/0 C172.16.2.0is directly connected,Loopback0
192.168.1.0/30is subnetted,1subnets
C192.168.1.0is directly connected,Serial1/0
-----------------------------------------------------------------------
R1(config)#router ospf100
R1(config-router)#default-information originate route-map sense R1(config-router)#exit
R1(config)#route-map sense deny10
R2#sh ip route
Gateway of last resort is192.168.1.6to network0.0.0.0 172.16.0.0/24is subnetted,2subnets
O172.16.1.0[110/65]via192.168.1.1,00:32:38,Serial1/0
C172.16.2.0is directly connected,Loopback0
192.168.1.0/30is subnetted,1subnets
C192.168.1.0is directly connected,Serial1/0
O*E20.0.0.0/0[110/1]via192.168.1.6,00:00:12,Serial1/1
-----------------------------------------------------------------------
R1(config)#router ospf100
R1(config-router)#default-information originate route-map sense R1(config-router)#exit
R1(config)#route-map sense deny10
R1(config-route-map)#match ip add1
R2#sh ip route
Gateway of last resort is not set
172.16.0.0/24is subnetted,2subnets
O172.16.1.0[110/65]via192.168.1.1,00:32:38,Serial1/0 C172.16.2.0is directly connected,Loopback0
192.168.1.0/30is subnetted,1subnets
C192.168.1.0is directly connected,Serial1/0
-----------------------------------------------------------------------
Case Study:Prefix-list
R1(config)#int lo0
R1(config-if)#ip add172.16.33.1255.255.255.0
R1(config-if)#no shut
R1(config-if)#ip ospf network point-to-point
R1(config-if)#exit
R1(config)#router ospf100
R1(config-router)#redistribute connected subnets
R1(config-router)#distribute-list prefix sense out connected
R1(config)#
R2#sh ip route
Gateway of last resort is not set
172.16.0.0/24is subnetted,4subnets
O172.16.44.0[33/65]via192.168.1.1,00:07:54,Serial1/0 O E2172.16.33.0[55/20]via192.168.1.1,00:00:01,Serial1/0 O IA172.16.1.0[44/65]via192.168.1.1,00:07:54,Serial1/0 C172.16.2.0is directly connected,Loopback0
192.168.1.0/30is subnetted,1subnets
C192.168.1.0is directly connected,Serial1/0
R1(config)#ip prefix-list sense seq5deny172.16.33.0/24
rtb#sh ip route
Gateway of last resort is not set
172.16.0.0/24is subnetted,3subnets
O172.16.44.0[33/65]via192.168.1.1,00:09:15,Serial1/0 O IA172.16.1.0[44/65]via192.168.1.1,00:09:15,Serial1/0 C172.16.2.0is directly connected,Loopback0
192.168.1.0/30is subnetted,1subnets
C192.168.1.0is directly connected,Serial1/0 Summary:空的prefix-list預設允許所有的路由。
-----------------------------------------------------------------------
Case Study:Integrate Route-map and ACL
R1(config)#router ospf100
R1(config-router)#default-information originate route-map sense R1(config-router)#exit
R1(config)#route-map sense deny5
R1(config-route-map)#match ip address33
R1(config-route-map)#
R2#sh ip route
Gateway of last resort is not set
172.16.0.0/24is subnetted,2subnets
O172.16.1.0[110/65]via192.168.1.1,00:32:38,Serial1/0
C172.16.2.0is directly connected,Loopback0
192.168.1.0/30is subnetted,1subnets
C192.168.1.0is directly connected,Serial1/0
Summary:至少定義一條permit或deny語句才能使用acl或route-map的隱含deny功能。空的acl預設允所有的路由。
单点双向重分发 route-map策略优化部署
单点双向重分发route-map策略优化部署 关键字:重分发route-map OSPF rip 实验日期:2015.6.18 作者:救世主220 实验拓扑如下: Router1 配置: R1#show run hostname R1 ! interface Loopback0 ip address 1.1.1.1 255.255.255.0 ip ospf network point-to-point ! interface Serial1/0 ip address 12.1.1.1 255.255.255.0 serial restart-delay 0 ! interface Serial1/1 ip address 13.1.1.1 255.255.255.0 serial restart-delay 0 ! router ospf 110 router-id 1.1.1.1 log-adjacency-changes redistribute rip subnets network 1.1.1.1 0.0.0.0 area 0 network 13.1.1.1 0.0.0.0 area 0
! router rip version 2 redistribute ospf 110 metric 3 route-map ccnp network 12.0.0.0 distance 109 12.1.1.2 0.0.0.0 33 no auto-summary ! access-list 1 permit 13.1.1.0 0.0.0.255 access-list 2 permit 34.1.1.0 0.0.0.255 access-list 32 permit 3.3.3.0 0.0.0.255 access-list 33 deny 34.1.1.0 0.0.0.255 access-list 33 deny 3.3.3.0 0.0.0.255 access-list 33 permit any ! route-map ccnp permit 10 match ip address 1 set metric 1 ! route-map ccnp permit 15 match ip address 2 set metric 4 ! route-map ccnp permit 20 match ip address 32 set metric 2 ! route-map ccnp permit 25 !
访问控制列表(ACL)总结
访问控制列表(ACL)总结 一、什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下:access-list ACL号permit|deny host ip地址 例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问控制列表实例一:
计算机网络实验报告(7)访问控制列表ACL配置实验
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
功能测试用例的设计
功能测试用例的设计 LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】
一、实验目的 1.用因果图法分析原因结果,并决策表设计测试用例。 2.使用场景法设计测试用例。 二、实验内容 1. 将三角形问题的可能结果扩展为:一般三角形、等腰三角形、等边三角形、直角三角形、等腰直角三角形和非三角形,考虑用因果图法设计测试用例,给出完整步骤。 2. 有一个在线购物的实例,用户进入一个在线购物网站进行购物,选购物品后,进行在线购买,这时需要使用帐号密码登录,登录成功后,进行付钱交易,交易成功后,生成订购单,完成整个购物过程。使用场景法设计上述问题的测试用例。 三、实验环境 Windows XP系统 四、实验步骤和结果 1. 将三角形问题的可能结果扩展为:一般三角形、等腰三角形、等边三角形、直角三角形、等腰直角三角形和非三角形,用因果图法设计测试用例,给出完整步骤。具体如下: 1)输入的三边分别为a,b,c(斜边) 且a
2. 行在线购买,这时需要使用帐号密码登录,登录成功后,进行付钱交易,交易成功后,生成订购单,完成整个购物过程。使用场景法设计上述问题的测试用例。
(注:在下面的矩阵中,V(有效)用于表明这个条件必须是 VALID(有效的)才可执行基本流,而 I(无效)用于表明这种条件下将激活所需备选流,“n/a”(不适用)表 对生成的所有测试用例重新复审,去掉多余的测试用例,测试用例确定后,对每一个测
五、实验结果和讨论 成功使用因果图法、场景法设计了测试用例。 六、总结 1.因果图法的定义是一种利用图解法分析输入的各种组合情况,从而设计测试用例的方法,它适合于检查程序输入条件的各种组合情况。 2.在事件触发机制中场景法用得最多。在测试一个软件的时候,先确定基本流也就是测试流程中软件功能按照正确的事件流实现的一条正确流程,接着去确定备选流也就是那些出现故障或缺陷的过程,用备选流加以标注。然后可以采用矩阵或决策表来确定和管理测试用例。
ACL访问控制列表配置案例
访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route
R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit
保险案例分析有答案
案例分析: 1、刘某为其妻魏某投保了一份人寿保险,保险金额为8万元,由魏某指定刘某为受益人。(1)半年后刘某与妻子离婚,离婚次日魏某意外死亡。对保险公司给付的8万元,若:a魏某生前欠其好友刘某5万元,因此刘某要求从保险金中支取5万元,你认为这说法正确吗?为什么? b魏某的父母提出,刘某已与王某离婚而不具有保险利益,因此保险金应由他们以继承人的身份作为遗产领取。你认为这种说法正确吗?为什么?(2)刘某与魏某因车祸同时死亡、分不清先后顺序,针对万某的身故保险金,刘某的父母和魏某的父母分别向保险人索赔,问保险人应如何处理? 答: (1)a不正确。因为在指定了受益人的情况下,保险金受益人所得,不是被保险人的遗产,不能用来返还被保险人生前的债务。b不正确,保险金应当给刘某。因人身保险的保险利益只要求在保险合同订立时存在,而不要求在保险事故发生时存在。在本案中,刘某在投保时与受益人(妻子)存在保险利益关系,虽然在被保险人因保险事故死亡时已与妻子不存在保险利益,保险合同仍然有效。同时,保险利益原则只是对投保人的要求,并不要求受益人。 (2)刘某与魏某因车祸同时死亡、分不清先后顺序,依据“共同灾难”条款规定,推定受益人刘某先于被保险人魏某死亡,针对魏某的身故保险金,由被保险人魏某的父母以其继承人身份领取保险金。 2.胡某为其妻汪某投保一份人身意外伤害保险合同,约定保险金额为10万元,汪某指定胡某为受益人。半年后胡某与其妻汪某离婚。离婚次日,汪某因发生意外导致其终身全部残疾,对于汪某该合同项下的10万元伤残保险金,汪某和胡某分别向保险人提出索赔,问保险人应如何处理?为什么? 答:本案伤残金应由被保险人汪某领取。因被保险人汪某是受保险合同保障的对象、享有生存保险金请求权,受益人胡某则仅享有身故保险金请求权。 人身保险合同对于保险利益只要求投保人在投保时对于保险标的具有保险利益,索赔时不具有保险利益并不影响被保险人得索赔权。故本案10万元伤残金应由汪某领取。 3、某企业为职工投保团体人身保险,保费由企业支付。职工老余指定妻子为受益人,半年后老余与妻子离婚,离婚次日,老余意外死亡。对保险公司给付的5 万元保险金,企业以老余生前欠单位借款为由留下一半,另一半则以余妻与老余离婚为由交给老余父母。(1)此企业如此处理是否正确?(2)保险金按理应当给谁?为什么? (1)不正确。 (2)保险金应当给老余的妻子。因人身保险的保险利益只要求在保险合同订立时存在,而不要求在保险事故发生时存在。在本案中,老余在其企业投保时与受益人(妻子)存在保险利益关系,虽然在被保险人因保险事故死亡时已与妻子不存在保险利益,但不影响其获得保险金给付。企业不可以留下一半。在指定了受益人,且指定的受益人有效的情况下,保险金不能作为遗产,因此不能用来偿还被保险人生前的债务。
访问控制列表ACL配置-实验报告
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
route-map与acl
1. 一个接口能配多个辅助地址,secondary。 例:R1(config-if)# int lo1 R1(config-if)#ip add 7.0.0.1 255.0.0.0 R1(config-if)#ip add 8.0.0.1 255.0.0.0 secondary R1(config-if)#ip add 9.0.0.1 255.0.0.0 secondary 2. ACL单独使用与被route-map嵌套使用的区别: ①单独的ACL本身有两个属性:a.匹配:用ip add 和通配符或反掩码相结合,来找到对应的数据。 b.对匹配的数据执行决策:允许或拒绝。 ②ACL被route-map嵌套使用时:a.ACL这时只有一个属性:permit代表匹配、deny代表不匹配。 b.由route-map来执行决策:permit代表放行,deny代表过滤。 综上:①中ACL自己干两个活;②中ACL与route-map每人各干一个活,这样既能显示匹配的----用acl的per表示,又能显示不匹配的---用acl的deny 标记(这时因为是不匹配,所以route-map的任何决策都不能起作用);acl 的deny只是在本条route-map下起一个给人提醒的作用,不会进入到下一条,而是消失或者说回归到总池中去。 3. route-map的特例:①当route-map的permit或deny条目为空时,代表允许或拒绝所有。 ②如条目下嵌套的全是acl的deny,则
以下至本章结尾均为解释: ACL和RouteMap的permit和deny规则在路由重分配时的动作 A –--- B两台路由器通过E1/1接口直联,运行OSPF。 A路由器配置3条静态路由: ip route 7.0.0.0 255.0.0.0 Ethernet1/1 ip route 8.0.0.0 255.0.0.0 Ethernet1/1 ip route 9.0.0.0 255.0.0.0 Ethernet1/1 A路由器ospf的配置如下: router ospf 1 log-adjacency-changes redistribute static route-map test network 0.0.0.0 255.255.255.255 area 1 1)在A路由器上,不配置任何ACL,只配置RouteMap,配置如下:route-map test permit 10 match ip address 1 此时ACL 1是一张空表。 配置完成之后过几秒钟,在B路由器上查看OSPF的路由表,如下:Link ID ADV Router Age Seq# Che cksum Tag 7.0.0.0 192.168.1.1 52 0x80000001 0x0073BA 0
保险案例
[案例一] 杭州某寿险公司营销员陈某为突出个人业绩及获取公司奖励,利用自己营销员的身份,在未经公司许可的情况下,向客户许诺给予客户20%的高额返利。陈某在收取客户的保费后,通过开抽芯保费收据、擅自变更投保人和险种、未经授权擅自为客户退保等方式将582万余元的保费占为己有,并将其中的275万余元用于支付许诺给客户的高额返利和弥补因擅自为客户退保所造成的手续费损失。截止2004年5月,陈某前后累计侵占客户保费达360万余元。 2005年8月11日,杭州市下城市区人民法院以职务侵占罪判处陈某有期徒刑10年。 [案例二] 梅县某寿险公司营销员蔡某利用职务便利,从2002年6月开始至2004年10月,隐瞒部分已开出的《暂收保险费收据》不上交给保险公司换取正式收据,将郑某等12名新发展客户的现金保费13.7万元占为己有。另外,他还截留曾某等32位客户的续期保费共计3.6469万元,全部用于个人消费和家庭开支。 2005年3月11日,梅县人民法院一审以贪污罪判处蔡某有期徒刑12年,并继续追缴其非法所得的赃款17.3469万元返还保险公司。 [案例三] 北京市某保险公司薛某利用收取客户续保费或追加保费无须出具正式合同文全的机会,挪用或侵吞客户资金。2005年2月被提起公诉的薛某,在为某校办理团体寿险续保时,用白条收取45.9万元的转
账支票,后以暂收据换回白条,将支票兑现后用于赌博。 法院一审以挪用资金罪和职务侵占罪判处薛某有期徒刑7年、 [案例四] 1995年9月至2000年4月,天津某保险公司邓某利用其一人负责本公司少儿成长两全保险业务的贴花发放、保费收取及入帐工作的职务便利,采取收取保险费后不向公司财务报帐和私自印刷少儿成长两全保险贴花、保险费缴费凭证等手段侵吞保险费417.42万元。此外,邓某还于1999年7月,利用职务便利,将本公司两份少儿成长两全保险银行进帐单,以他人名义投入其他险种的保险,又退保,骗取保险费18.9万元,据为己有。邓某侵吞的上述公款均用于个人购买住房、汽车及外出等。 天津市第二中级人民法院经审理后,认定被告人邓某犯贪污罪,判处死刑,剥夺政治权利终身,并处没收个人全部财产。 [案例五] 洪江某寿险公司周某在担任业务员期间,利用自己为公司推销保险业务,经手收取保险费,办理保险手续的职务之便,2002年2月至2003年9月期间,先后10次采取用假保单、假保费发票、过期收据投保人保险费的手段,将本公司的保险费收入16.8万元据为己有。两次假借他人之名用假保单和过期作废的收据、虚构理赔事实骗取本公司退赔保险费1.5万元用于个人花费。此外,2002年7月,周某将自己收取的投保人杨某保险费2万元未交公司入帐,用于个人开支。 洪江市人民法院经审理后,判定被告人周某犯贪污罪、挪用公款
route-map的配置
对于IGP协议,用prefix-list定义路由,通过Route-map调用进行路由过滤。对于BGP协议,用Prefix-List,As-Path List Community-list定义路由,再通过route-map进行调用?Network x.x.x.x x.x.x.x (对IGP路由进行汇总宣告此路由必须在路由表中有一个精确匹配的路由)还须要配置一条该汇总静态路由指向空端口属于虚假汇总,需要创建指向null 0的静态路由 ?Aggregate x.x.x.x x.x.x.x (summary-only) (as-set) 真正的汇总,汇总BGP表中的路由,具体路由可以通过summary-only抑制as-set可以设置被汇总具体路由的AS编号 What will be matched by a)ip prefix-list A permit 0.0.0.0/0 ge 32 b)ip prefix-list B permit 128.0.0.0/2 ge 17 c)ip prefix-list C permit 0.0.0.0/0 le 32 d)ip prefix-list D permit 0.0.0.0/0 e)ip prefix-list E permit 0.0.0.0/1 le 24 a)All host routes b)Any subnet in class B address space c)All routes d)Just the default route e)Any prefix in class A address space covering at least 256 addresses router(config)#route-map map-tag [permit|deny] [sequence-number]定义一个策略条件 router(config-route-map)#match {conditions}定义条件匹配 router(config-route-map)#set {actions} match ip address 2(符合访问控制列表2) match ip address 3(符合访问控制列表3) router(config-route-map)# default : Set a command to its defaults description Route-map comment match Match values from routing table set Set values in destination routing protocol description: Route-map comment LINE Comment up to 100 characters exit :Exit from route-map configuration mode退出 help :Description of the interactive help system match :Match values from routing table as-path Match BGP AS path list community Match BGP community list extcommunity Match BGP/VPN extended community list interface Match first hop interface of route ip IP specific information length Packet length(基于报文大小的策略路由) metric Match metric of route route-type Match route-type of route
华为交换机ACL控制列表设置
华为交换机ACL控制列表设置
交换机配置(三)ACL基本配置 1,二层ACL . 组网需求: 通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny
保险案例
北京警方侦破全市首例系列汽车保险诈骗案 19日,北京警方向媒体宣布,北京市公安局宣武公安分局历时15天破获了“12·15”系列利用机动车故意制造交通事故诈骗保险案,抓获犯罪嫌疑人8名,破获系列诈骗保险案100余起,涉案金额20余万元,收缴红叶面包、夏利、帕萨特3辆作案车辆。 据宣武分局刑警支队便衣队队长康涛介绍,2006年12月15日,宣武公安分局接到太平洋保险公司北京分公司及中国人民保险公司宣武分公司的报案称,自2005年至今,李健、李炜琦等人利用自己或他人名下的机动车频繁发生交通事故,并多次对保险公司进行高额索赔。 宣武警方在对李健、李炜琦近2年的所有交通事故记录进行研判分析的同时,对其他6名涉案人员、涉案车辆进行全面深入调查后发现,8辆机动车之间经常发生交通事故,且发生事故时的驾驶员相对固定,从2005年1月至今,上述车辆发生保险理赔案件百余起。随即判断这可能是一个专门利用机动车故意制造交通事故进行保险诈骗的犯罪团伙。 随后,宣武分局成立的专案组在犯罪团伙成员分布散、活动范围大、作案车辆频繁变换的情况下,掌握了以李健为首的团伙人员构成、活动规律及大量的犯罪证据,并于2006年12月28日,将此犯罪团伙成员李健、李炜琦、李宁、张帆、张雷、张勇、王辉抓获,29日团伙成员高磊自首。团伙主要犯罪成员除隋猛在逃。 记者了解到,2005年初,李健在大兴区团河路经营了一家设备简陋、不具备事故车辆维修定损资质的汽车修理厂。在经营期间他为了牟取高额利益,与李炜琦、张帆共同预谋,以给付“好处费”为由,先后纠集李宁、张雷、隋猛、王辉、张勇等十余人使用自己或汽修厂内待修理的机动车故意制造交通事故,后李健从张勇处以8%的税金大量购买加盖其他汽修厂假公章的发票来诈骗保险公司保险金。此团伙使用上述手段进行保险诈骗100余起,其中30起已被核实。目前8名犯罪嫌疑人已被刑事拘留。进一步审理工作和其他嫌疑人的抓捕工作正在进行中。 这一系列汽车保险诈骗案反映出有关部门在汽车修理、票据、车辆定损等方面存在着管理漏洞,致使犯罪嫌疑人可以开设非正规、甚至非法的汽修厂,顺利得到赔付所应有的手续,得到高额赔付,从而刺激了犯罪嫌疑人连续作案的心理。 汽车保险条款打印次日零时生效属格式条款法院判决无效 汽车保险条款打印次日零时生效属格式条款法院判决无效 次日零时生效被判缺乏法律依据 “当日投保交强险,保单次日零时起生效”,这是保险业延续了多年的行业惯例。因此,当事人投保当日发生交通事故,保险公司通常以事故不在保险期间为由拒赔。 不过在日前,这个保险行业的“潜规则”被江苏省南通市中级人民法院打回原形。该院
分析ACL和RouteMap的permit和deny规则在路由重分配时的动作
分析ACL和RouteMap的permit和deny规则在路由重分配时的动作(以CISCO路由器为例) A –--- B 两台路由器通过E1/1接口直联,运行OSPF。 A路由器配置3条静态路由: ip route 7.0.0.0 255.0.0.0 Ethernet1/1 ip route 8.0.0.0 255.0.0.0 Ethernet1/1 ip route 9.0.0.0 255.0.0.0 Ethernet1/1 A路由器ospf的配置如下: router ospf 1 log-adjacency-changes redistribute static route-map test network 0.0.0.0 255.255.255.255 area 1 1) 在A路由器上,不配置任何ACL,只配置RouteMap,配置如下: route-map test permit 10 match ip address 1 此时ACL 1是一张空表。 配置完成之后过几秒钟,在B路由器上查看OSPF的路由表,如下: Link ID ADV Router Age Seq# Checksum Tag 7.0.0.0 192.168.1.1 52 0x80000001 0x0073BA 0 8.0.0.0 192.168.1.1 1207 0x80000001 0x0066C6 0 9.0.0.0 192.168.1.1 1207 0x80000001 0x0059D2 0 A路由器上的三条静态路由都成功的重分配进OSPF,并传给了B路由器。 单步总结:当RouteMap引用的ACL是一张空表时,对应的规则是permit any。 2) 在A上配置ACL 1,只有一个permit规则,此时ACL和RouteMap的配置如下: access-list 1 permit 7.0.0.0 0.255.255.255 ! route-map test permit 10 match ip address 1 此时,在B路由器上,就只能看到7.0.0.0这条路由,如下: Link ID ADV Router Age Seq# Checksum Tag 7.0.0.0 192.168.1.1 140 0x80000001 0x0073BA 0 A路由器只重分配了7.0.0.0这条路有进OSPF,另外两条就被过滤掉了。 单步总结:当RouteMap引用的ACL是非空表时,ACL规则开始生效,如上例子,ACL 1允许(permit)了7.0.0.0这条路由,并且deny掉了其它的路由(每条ACL最后都有一个隐藏的deny any)。
ACL访问控制列表配置
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
保险案例及答案
保险案例及答案 1.有一承租人向房东租借房屋,租期10个月。租房合同中写明,承租人在租借期内应对房屋损坏负责,承租人为此而以所租借房屋投保火灾保险一年。租期满后,租户按时退房。退房后半个月,房屋毁于火灾。于是承租人以被保险人身份向保险公司索赔。保险人是否承担赔偿责任?为什么? 如果承租人在退房时,将保单转让给房东,房东是否能以被保险人身份向保险公司索赔赔?为什么? (1)保险人不承担赔偿责任。因为承租人对该房屋已经没有保险利益。 (2)房东不能以被保险人的身份索赔。因为保单转让没有经过保险人办理批单手续,房东与保险人没有保险关系。 2.某家银行投保火险附加盗窃险,在投保单上写明24小时有警卫值班,保险公司予以承保并以此作为减费的条件。后银行被窃,经调查某日24小时内有半小时警卫不在岗。问保险公司是否承担赔偿责任? 保险公司不用承担赔偿责任。因为该银行违反了明示保证(或保证,或最大诚信原则),而保证是保险合同的一部分,违反了保证,就意味着违约,保险人可以解除保险合同,或宣布保险合同无效,在发生保险事故事不承担赔偿保险金责任。 3.某宾馆投保火险附加盗窃险,在投保单上写明能做到全天有警卫值班,保险公司予以承保并以此作为减费的条件。后宾馆于某日被盗,经调查,该日值班警卫因正当理由离开岗位仅10分钟。问宾馆所作的保证是一种什么保证?保险公司是否能藉此拒赔?为什么? 该宾馆所作的保证是一种明示保证。保险公司可以据此拒赔。因为该宾馆违反了明示保证,而保证是保险合同的一部分,违反了保证,就意味着违约,保险人可以据此而解除保险合同,或宣布保险合同无效,在发生保险事故事不承担赔偿保险金责任。 4.有一批货物出口,货主以定值保险保险的方式投保了货物运输保险,按投保时实际价值与保险人约定保险价值24万元,保险金额也为24万元,后货物在运输途中发生保险事故,出险时当地完好市价为20万元。问: (1)如果货物全损,保险人如何赔偿?赔款为多少? (2)如果部分损失,损失程度为80%,则保险人如何赔偿?其赔款为多少? (1)按照定值保险的规定,发生保险事故时,以约定的保险金额为赔偿金额。(1分) 因此,保险人应当按保险金额赔偿,(1分) 其赔偿金额为24万元。(1分) (2)保险人按比例赔偿方式(1分)。 赔偿金额=保险金额×损失程度=24×80%=19.2万元(2分)
访问控制列表实验
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
Route学习笔记之Area的Route注册
Route学习笔记之Area的Route注册 前一段时间接触了MVC的Area可以将模型、控制器和视图分成各个独立的节点。分区之后,区域路由注册的需求就出来了。 默认的 在MVC项目上右键添加区域之后,在文件夹下会自动添加一个FolderName AreaRegistration.cs的文件。 public class AdminAreaRegistration : AreaRegistration { public override string AreaName { get { return"Admin"; } } public override void RegisterArea(AreaRegistrationContext context) { context.MapRoute( "Admin_default", "Admin/{controller}/{action}/{id}", new { action = "Index", id = UrlParameter.Optional } ); } } 在其中,定义了一个继承AreaRegistration的类,类下面重写了AreaName和RegisterArea。当然,这一串代码已经可以很好的解决区域的路由注册问题了。 但是对于这重复的代码有点排斥,另一个也想看看有没有其他的替换方式。 想看看能不能在路由注册那里统一管理
插曲一 之前在开始接触分区的时候,碰到过区域下页面的layout链接错误的问题,后来的解决方式是在ActionLink的routeValue参数里面定义area=""。 情况和这里的有点像,不同的是,上面的需要清除area,这里需要添加area。 插曲二 最近在看《https://www.360docs.net/doc/7e6426179.html, mvc4高级编程》这本书,接触到一个很有用的工具RouteDebugger。 过程一 路由注册那里,调用的是routes.MapRoute函数,来向RouteTable.Routes中添加route。这个函数有好几个扩展,结合上面插曲一的思路,在扩展函数的defaults里面,尝试添加属性area="Test": routes.MapRoute( name: "Test_Default", url: "Test/{controller}/{action}/{id}", defaults: new{ area = "Test", controller = "AAA", action = "Index", id = UrlParameter.Optional }, namespaces: new string[] { "MVCTest.Areas.Test.Controllers" }); 调试通过RouteDebugger看: 输入/Test/AAA/Index,页面报错,此路不通。 过程二 同事研究这块时,发现除了默认AreaRegistration类以外的方法: