- 1翻译:Practical Hidden Voice Attacks against Speech and Speaker Recognition Systems_speech over the air
- 2Springboot+Dubbo+Nacos实现RPC调用_dubbo rpc + nacos
- 3vscode网页版的正确打开方式(建立tunnel-p2p连接)
- 4聊聊前后端分离接口规范
- 5Vivado SDK报错Error while launching program: Memory write error at 0x100000. AP transaction timeout.
- 62024国际生物发酵展畅想未来-势拓伺服科技
- 7南京邮电大学操作系统实验三:虚拟内存页面置换算法_3、页面置换算法 (1)使用数组存储一组页面请求,页面请求的数量要50个以上,访问的
- 8【概率论】斗地主中出现炸弹的几率
- 9如何打造一个可躺赚的网盘项目,每天只需要2小时_网上躺赚项目
- 10osg qt5.15 osg3.6.3 osgEarth3.1 编译爬山
网络安全和网络管理——知识总结_acl编号范围规定
赞
踩
一。基本原理
ACL是一种应用非常广泛的网络技术,其原理是:配置了ACL的网络设备根据事先设定好的报文匹配规则对经过设备的报文进行匹配,接着对匹配上的报文执行事先设定好的处理动作。
ACL技术总是与防火墙、路由策略、QoS、流量过滤等其他技术结合使用。
根据ACL的特性不同,有以下分类:基本ACL、高级ACL、二层ACL、用户自定义ACL。其中应用最广泛的是基本ACL和高级ACL。
在网络设备上配置ACL时,每一个ACL都需要分配一个编号,称为ACL编号。
(1)基本ACL的编号范围:2000~2999;
(2)高级ACL的编号范围:3000~3999;
(3)二层ACL的编号范围:4000~4999;
(4)用户自定义ACL的编号范围:5000~5999。
配置ACL时,ACL的类型应该与其编号范围保持一致。
一个ACL通常由若干条“deny(拒绝)|permit(允许)”语句组成,每台语句就是该ACL的一条规则,每条语句中的deny或permit就是该规则相对应的处理动作。
配置了ACL的设备在接收到一个报文后,会将该报文与ACL中的规则逐一进行匹配。
(1)如果不能匹配上当前这条规则,则会继续尝试匹配下一条规则。
(2)一旦报文匹配上了某条规则,则设备会对该报文执行这条规则中定义的处理动作,并且不再继续尝试与后续规则进行匹配。
(3)如果报文不能匹配上ACL的任何一条规则,则设备会对其执行permit这个处理动作。
一个ACL中的每一条规则都有一个相应的编号,称为规则编号。缺省情况下,报文总是按照规则编号从小到大的顺序与规则进行匹配。缺省情况下,设备会在创建ACL的过程中自动为每一条规则分配一个编号。规则编号的步长缺省值为5。步长的大小反映了相邻规则编号之间的间隔大小。
二。基本ACL
基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。
三。高级ACL
高级ACL可以根据IP报文的源IP地址、IP报文的目的IP地址、IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、TCP报文的源端口号、TCP报文的目的端口号、UDP报文的源端口号、UDP报文的目的端口号等信息来定义规则。
基本ACL的功能只是高级ACL的功能的一个子集,高级ACL可以比基本ACL定义出更精准、更复杂、更灵活的规则。
四。网络管理
指在各个层次上对于网络的组成结构和运行状态及时准确的认识和干预,是保障网络可靠运行的重要手段。
1.网络管理系统
具有的功能:网络拓扑图的显示、网络设备端口状态的监视与分析、网络性能数据的监视与分析、故障的报警与诊断、远程配置等。
2.SNMP协议——简单网络管理协议
该协议是一种Client/Server模式的网络协议。运行在网络管理员的电脑上的是SNMP Client,运行在被管理设备上的是SNMP Server。
实际上,对应TCP/IP网络来讲,网络管理系统总共涉及了3个协议:SNMP协议、SMI协议(管理信息结构协议)、MIB协议(管理信息库协议)。在这3个协议中,SNMP协议处于核心地位。
从根本上讲,管理信息的交流是通过在SNMP Server和SNMP Client之间进行SNMP报文的交互来实现的。而SNMP报文都是封装在UDP报文中的。从Manager去往Agent的SNMP报文,其相应的UDP报文的目的端口号是161;从Agent去往Manager的SNMP报文,其相对应的目的端口号是162。
SNMP协议的基本架构:
在SNMP协议中,运行在网络管理员的电脑上的程序称为Manager(即:SNMP Client) ,运行在被管理设备上的程序称为Agent(即:SNMP Server)。
实现Manager对于被管理对象的远程控制:
(1)Manager需要查询被管理的设备上的某个被管理对象的信息时,可以向Agent发送一个GetRequest报文。Agent接收到这个GetRequest报文后,会去MIB中提取出相应的Object的信息,并将这些信息封装在Response报文中,将其发送给Manager。
(2)Manager需要设置或修改被管理的设备上的某个被管理对象的信息时,可以向Agent发送一个SetRequest报文。Agent接收到这个SetRequest报文后,会去MIB中提取出相应的Object的信息进行设置或修改。
Manager可以主动的向Agent发送GetRequest报文、SetRequest等报文,从而实现对各种管理信息的查询和修改。此外,Agent可以主动向Manager发送Trap报文,Trap报文中携带了各种“告警信息”。而Manager在接收到这些告警信息后,便可以及时的采取相应的管理动作。
3.SMI协议——管理信息结构协议
该协议的主要内容是:定义一列的规则。这些规则分为三个方面:(1)关于应该如何给被管理对象命名——对象的命名规则;(2)定义被管理对象的类型——对象的类型规则;(3)关于如何对被管理对象的各种信息进行编码——对象的编码规则。
对象的命名规则:SMI采用了Object Identifer来区分不同种类的对象名称;同时采用一种树状结构来定义不同的Object Identifer。
4.MIB协议——管理信息库协议
作用:在被管理的设备上创建一个数据库,这个数据库中包含了若干个具有名字、具有类型、具有内容的被管理对象,这些对象的名字、类型等属性统统必须遵从SMI规范。而这个数据库称为管理信息库,简称MIB(该MIB指的是在被管理的设备上生成的数据库,不是MIB协议本身)。
MIB数据库位于被管理的设备中,是该设备中各种需要被管理的物理对象在数学意义上的集中反映。
