Cisco ACL 總結2

來源:本站原創 網絡技術 超過873 views圍觀 0條評論

image

 

ACL(Access Control List,會見節制列表) linux教程技能從來都是一把雙刃劍,網絡應用與互聯網的遍及在大幅提高企業的出產策劃效率的同時,也帶來了諸如數據的安詳性,員工操作互聯網做與事情不相做事等負面影響。怎樣將一個網絡有效的打點起來,盡大概的低就逮絡所帶來的負面影響就成了擺在網絡打點員眼前的一個重要課題。 linux論壇A公司的某位可憐的網管今朝就面臨了一堆這樣的問題。A公司建樹了一個企業網,并通過一臺路由器接入到互聯網。在網絡核心利用一臺基于IOS的多層交換 機,所有的二層交換機也為可打點的基于IOS的交換機,在公司內部利用了VLAN技能,根據成果的差別分為了6個VLAN.別離是網絡裝備與網管 (VLAN1,10.1.1.0/24)、內部處事器(VLAN2)、Internet毗連(VLAN3)、財務部(VLAN4)、市場部 (VLAN5)、研發部門(VLAN6),出口路由器上Fa0/0接公司內部網,通過s0/0毗連到Internet.每個網段的三層裝備(也就是客戶機 上的缺省網關)地點都從高位向下分配,所有的其余節點地點均從低位向上分配。該網絡的拓樸如下圖所示:
自從網絡建成后貧窮就一直沒斷過,一會兒有人試圖登錄網絡裝備要搗亂;一會兒率領又在訴苦說互聯網開通后,員工致天就知道泡網;一會兒財務的人又說研發部 門的員工看了不應看的數據。這些訴苦都找這位可憐的網管,搞得他頭都大了。那有什么步伐可以或許辦理這些問題呢?謎底就是利用網絡層的會見限制節制技能――訪 問節制列表(下文簡稱ACL)。

那么,什么是ACL呢?ACL是種什么樣的技能,它能做什么,又存在一些什么樣的范圍性呢?

ACL的根基道理、成果與范圍性網絡中常說的ACL是Cisco IOS所提供的一種會見節制技能,初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支持。只 不外支持的特性不是那么完善罷了。在其余廠商的路由器或多層交換機上也提供類似的技能,不外名稱和設置方法都大概有細微的不同。本文所有的設置實例均基于 Cisco IOS的ACL舉辦編寫。

根基道理:ACL利用包過濾技能,在路由器上讀取第三層及第四層包頭中的信息如源地點、目的地點、源端口、目的端口等,按照預先界說好的法則對包舉辦過濾,從而到達會見節制的目的。

成果:網絡中的節點資源節點和用戶節點兩大類,個中資源節點提供處事或數據,用戶節點會見資源節點所提供的處事與數據。ACL的主要成果就是一方面掩護資源節點,阻止犯科用戶對資源節點的會見,另一方面限制特定的用戶節點所能具備的會見權限。

設置ACL的根基原則:在實施ACL的歷程中,該當遵循如下兩個根基原則:u 最小特權原則:只給受控器材完成使命所必需的最小的權限u 最接近受控器材原則:所有的網絡層會見權限節制范圍性:由于ACL是利用包過濾技能來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技能具有一些固有的范圍性,如無法識別到詳細的 人,無法識別到應用內部的權限級別等。因此,要到達end to end的權限節制目的,需要和系統級及應用級的會見權限節制團結利用。

ACL設置技能詳解“說那么多空話做什么,趕忙開始舉辦設置吧。”,A公司的網管說。呵呵,并不是我想說那么多空話,因為領略這些基本的觀念與簡單的道理對后續的設置和排錯都是相當有用的。說說看,你的第一個需求是什么。

“做為一個網管,我不祈望平凡用戶能telnet到網絡裝備”――ACL基本“增補一點,要求可以或許從我此刻的呆板(研發VLAN的10.1.6.66)上telnet到網絡裝備上去。”。hamm,是個不錯的主意,誰都不但愿有人 在本身的花圃中撤野。讓我們闡明一下,在A公司的網絡中,除出口路由器外,其余所有的網絡裝備段的是放在Vlan1中,誰人我只需要在到VLAN 1的路由器接口上設置只答允源地點為10.1.6.66的包通過,其余的包通通過濾掉。這中盡管源IP地點的ACL就叫做標準IP ACL:我們在SWA長舉辦如下的設置:access-list 1 permit host 10.1.6.66 access-list 1 deny any int vlan 1 ip access-group 1 out這幾條呼吁中的相應要害字的意義如下:access-list:設置均ACL的要害字,所有的ACL均利用這個呼吁舉辦設置。

access-list后頭的1:ACL號,ACL號溝通的所有ACL形成一個組。在判斷一個包時,利用同一組中的條目從上到下逐一舉辦判斷,一碰著滿足 的條目就終止對該包的判斷。1-99為標準的IP ACL號,標準IP ACL由于只讀取IP包頭的源地點部分,耗損資源少。

permit/deny:操縱。Permit是答允通過,deny是揚棄包。

host 10.1.6.66/any:匹配前提,等同于10.1.6.66 0.0.0.0.適才說過,標準的ACL只限制源地點。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地點為10.1.6.66的包。0.0.0.0是wildcards,某位的wildcards為0暗示IP地點的對應 位必需切合,為1暗示IP地點的對應位不管是什么都行。簡單點說,就是255.255.255.255減去子網掩碼后的值,0.0.0.0的 wildcards就是意味著IP地點必需切合10.1.6.66,可以簡稱為host 10.1.6.66.any暗示匹配所有地點。

留意:IOS中的ACL均利用wildcards,并且會用wildcards對IP地點舉辦嚴格的對齊,如你輸入一條access-list 1 permit 10.1.1.129 0.0.0.31,在你show access-list看時,會變成access-list 1 permit 10.1.1.128 0.0.0.31,PIXOS中的ACL均利用subnet masks,并且不會舉辦對齊操縱。更為具體的關于IP V4地點的資料可以參見拙著《IP v4基本常識》http://www.ultratechnology.net/showarticle.php?s=&articleid=60 一文int vlan1///ip access-group 1 out:這兩句將access-list 1應用到vlan1接口的out方向。個中1是ACL號,和相應的ACL舉辦關聯。Out是對路由器該接口上哪個方向的包舉辦過濾,可以有in和out兩種選擇。

留意:這里的in/out都是站在路由器或三層模塊(今后簡稱R)上看的,in暗示從該接口進入R的包,out暗示從該接口出去的包。

好了,這就是一個最根基的ACL的設置要領。什么,你說平凡用戶還能telnet到RTA?那你在int vlan3上現加一個ip access-group 1 out吧。Hammmm,等等,你這樣加上去平凡用戶就會見不了internet了。讓我們把適才的ACL去掉,從頭寫一個。

回想一下,我們的目的是除了10.1.6.66可以或許舉辦telnet操縱外,其余用戶都不答允舉辦telnet操縱。適才我們說過,標準的IP ACL只能節制源IP地點,不能節制到端口。要節制到第四層的端口,就需要利用到:擴展的IP ACL的設置先看看設置實例吧。在SWA長舉辦如下設置:int vlan 1 no ip access-group 1 out exit no access-list 1 access-list 101 permit tcp host 10.1.6.66 any eq telnet access-list 101 deny tcp any any eq telnet int vlan 1 ip access-group 101 out int vlan 3 ip access-group 101 out你應該留意到到這里的ACL有一些變革了,此刻對變革的部分做一些申明:access-list 101:留意這里的101,和適才的標準ACL中的1一樣,101是ACL號,暗示這是一個擴展的IP ACL.擴展的IP ACL號領域是100-199,擴展的IP ACL可以節制源IP、目的IP、源端口、目的端口等,能實現相當風雅的節制,擴展ACL不只讀取IP包頭的源地點/目的地點,還要讀取第四層包頭中的源 端口和目的端口,的IP在沒有硬件ACL加速情形下,會耗損大量的CPU資源。

int vlan 1///no ip access-group 1 out///exit///no access-list 1:打消access-list 1,對付非定名的ACL,可以只需要這一句就可以全部打消。留意,在打消或修改一個ACL前,必需先在它所應用的接口上先把應用給no掉,否則會導致相當 嚴重的效果。

tcp host 10.1.6.66 any eq telnet:匹配前提。完整名目為:協議 源地點 源wildcards [干系] [源端口] 目的地點 目的wildcards [干系] [目的端口].個中協議可以是IP、TCP、UDP、EIGRP等,[]內為可選字段。僅在協議為tcp/udp等具備端標語的協議才有用。干系可以是 eq(便是)、neq(不便是)、lt(大于)、range(領域)等。端口一般為數字的1-65535,對付周知端口,如23(處事名為telnet) 等可以用處事名代替。源端口和目的端口不界說時暗示所有端口。

把這個ACL應用上去后,用戶們開始打電話來罵娘了,因為他們都會見不了Internet了,是那里出了問題了呢?

留意:所有的ACL,缺省情形下,從安詳角度思量,最后城市隱含一句deny any(標準ACL)或deny ip any any(擴展IP ACL)。所以在不相識業務會利用到哪些端口的情形下,最虧得ACL的最后加上一句permit ip any any,在這里就是access-list 101 permit ip any any.此刻用戶倒是可以或許會見Internet了,但我們的可憐的網管卻發明平凡用戶照舊可以或許telnet到他的SWA上面,因為SWA上面有許多個網絡接口,而 且利用擴展的ACL會耗損許多的資源。有什么簡單的步伐可以或許節制用戶對網絡裝備的Telnet會見,而又不用耗太多的資源呢?這就需要利用到:對網絡裝備自身的會見怎樣舉辦節制的技能讓我們先把適才設置的ACL都取掉(詳細設置略,不然后讀者會覺得我在騙稿費了。),再在每臺網絡裝備上均舉辦如下設置:access-list 1 permit host 10.1.6.66 line vty 0 4(部分裝備是15)

access-class 1 in這樣就行了,telnet都是會見的設憊亓?line vty,在line vty下面利用access-class與ACL組舉辦關聯,in要害字暗示節制進入的毗連。

就這么簡單?wk,你丫是不是在玩我們,為什么還要繞一大圈?臭雞蛋和爛西紅柿開始在70的腦袋上方狂飛。(5555555,偶壹貝僨想向人人把ACL的基本常識講的大白一些的嘛)。顛末適才的設置,我們可以理出一個簡單的ACL設置步調了:u 闡明需求,找清楚需求中要掩護什么或節制什么;為利便設置,最好能以表格形式列出。在本文的后頭會舉例的。

u 闡明切合前提的數據流的路徑,尋找一個最適合舉辦節制的位置;u 書寫ACL,并將ACL應用到接口上;u 測試并修改ACL.當A公司的率領知道在網管可以或許節制平凡用戶對網絡裝備的會見后,我們的可憐的網管就收到了許多看起來很難的要求。率領要求網管:“利用ACL技能對網絡會見舉辦風雅化節制”――ACL進階設置定名的IP ACL由于最近處事器網段的呆板總是被人用telnet、rsh等手段舉辦進攻,我們只對員工開放web處事器(10.1.2.20)所提供的http、FTP 處事器(10.1.2.22)提供的FTP處事和數據庫處事器(10.1.2.21:1521)。好吧,我們著手舉辦設置,然則我們的ACL剛寫到一半, 發明前面寫的幾句仿佛有問題,一個no呼吁輸進去,整個ACL都沒了,唉,一切都得重來,莫非就沒有一個變通的步伐么?有,這里我就需要用到:定名的IP acl提供的兩個主要利益是:l 辦理ACL號碼不敷的問題。

l 可以自由的刪除ACL中的一條語句,而不必刪除整個ACL.定名的ACL的主要不敷之處在于無法實此刻恣意位置插手新的ACL條目。比如上面誰人例子中,我們舉辦了如下的設置:ip access-list extend server-protect permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp設置到這里,我們發明permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521這句配錯了,我們得把它給取掉并從頭設置,OK,我樣可以簡單的舉辦如下設置:ip access-list extend server- protect no permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.0.255 host 10.1.2.21 eq 1521 exit int vlan 2 ip access-group server- protect就可以了。此刻對定名的IP access-list的設置要領表明如下:ip access-list extend server-access-limit:ip access-list相當于利用編號的access-list中的access-list段。extend表白是擴展的ACL(對應 地,standard暗示標準的ACL)。server-access-limit是access-list的名字,相當于基于編號的ACL中的編號字 段。

permit tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521:這一段和利用編號的access-list的后半段的意義溝通,都由操縱和前提兩段構成。

實在基于名字的IP ACL尚有一個很好的利益就是可覺得每個ACL取一個有意義的名字,便于日后的打點與維護。所以Ultra事情室猛烈發起列位看官在實際事情中均利用定名的ACL.進一步完善對處事器數據的掩護――ACL執行順序再切磋在處事器網段中的數據庫處事器中存放有大量的市場信息,市場部門的職員不但愿研發部門會見到數據庫處事器,顛末協商,同意研發部門的率領的呆板(IP地點為10.1.6.33)可以會見到數據庫處事器。這樣,我們的處事器網段的的會見權限部分如下表所示:協議源地點源端口目的地點目的端口操縱

TCP 10.1/16所有10.1.2.20/32 80答允會見

TCP 10.1/16所有10.1.2.22/32 21答允會見

TCP 10.1/16所有10.1.2.21/32 1521答允會見

TCP 10.1.6/24所有10.1.2.21/32 1521克制會見

TCP 10.1.6.33/32所有10.1.2.21/32 1521答允會見

IP 10.1/16 N/A所有N/A克制會見于是,網管就在server-protect后頭順序加了兩條語句進去,整個ACL變成了如下形式:ip access-list extend server-protect permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521做完之后發明基礎沒起到應有的浸染,研發部門的所有呆板照舊可以會見到數據庫處事器。這是為什么呢?

前面我們提到過,ACL的執行順序是從上往下執行,一個包只要碰著一條匹配的ACL語句后就會遏制后續語句的執行,在我們的這個ACL中,因為前面已經有 了一條permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521語句。內部網上所有會見10.1.2.21的1521端口的在這兒就全部通過了,跟本不會到后頭兩句去較量。所以導致達不到我們的目的。應該把 server-protect這個ACL按如下形式舉辦修改才華滿足我們的要求:ip access-list extend server-protect permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp這個例子匯報我們在寫ACL時,必然要遵循最為準確匹配的ACL語句必然要寫在最前面的原則,只有這樣才華擔保不會呈現無用的ACL語句。

基于時間的ACL在擔保了處事器的數據安詳性后,率領又籌備對內部員工上網舉辦節制。要求在上班時間內(9:00-18:00)克制內部員工賞識internet,克制使 用QQ、MSN.而且在2003年6月1號到2號的所有時間內都不答允舉辦上述操縱。但在任何時間都可以答允以其余方法會見Internet.天哪,這可 叫人怎么活呀,但率領既然這樣布置,也只好按指示做了。

首先,讓我們來闡明一下這個需求,賞識internet此刻根基上都是利用http或https舉辦會見,標準端口是TCP/80端口和TCP /443,MSN利用TCP/1863端口,QQ登錄會利用到TCP/UDP8000這兩個端口,尚有大概利用到udp/4000舉辦通訊。而且這些軟件 都能支持署理處事器,今朝的署理處事器主要布署在TCP 8080、TCP 3128(HTTP署理)和TCP1080(socks)這三個端口上。這個需求如下表所示:應用協議源地點源端口目的地點目的端口操縱

IE TCP 10.1/16所有80限制會見

IE TCP 10.1/16所有443限制會見

MSN TCP 10.1/16所有1863限制會見

QQ TCP 10.1/16所有8000限制會見

QQ UDP 10.1/16所有8000限制會見

QQ UDP 10.1/16所有4000限制會見

HTTP署理TCP 10.1/16所有8080限制會見

HTTP署理TCP 10.1/16所有3128限制會見

Socks TCP 10.1/16所有1080限制會見

All other IP 10.1/16 N/A所有N/A答允會見然后,讓我們看看ACL應該在哪個位置設置較量好呢?由于是對會見Internet舉辦節制,涉及到的是公司內部所有的網段,這們這次把ACL就放到公司的Internet出口處。在RTA長舉辦如下的設置,就可以或許滿足率領的要求了:time-range TR1 absolute start 00:00 1 June 2003 end 00:00 3 June 2003 periodic weekdays start 9:00 18:00 exit ip access-list extend internet_limit deny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1 deny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1 deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1 permit ip any any int s0/0 ip access-group internet_limit out或int fa0/0 ip access-group internet_limit in可能將ACL設置在SWA上,并int vlan 3 ip access-group internet_limit out呵呵,此刻讓我們來看看在基于時間的會見列表中都有哪些新內容吧:time-range TR1:界說一個新的時間領域,個中的TR1是為該時間領域取的一個名字。

absolute:為絕對時間。只利用一次。可以界說為1993-2035年內的恣意一個時點。詳細的用法請利用?呼吁查察。

Periodic:為周期性頻頻利用的時間領域的界說。完整名目為periodic 日期要害字 開始時間 竣事時間。個中日期要害字的界說如下所示:Monday 禮拜一Tuesday 禮拜二Wednesday 禮拜三Thursday 禮拜四Friday 禮拜五Saturday 禮拜六Sunday 禮拜天daily 天天weekdays 周一至五weekend 周末access-list 101 deny ip 10.1.0.0 0.0.255.255 any time-range TR1:留意這一句最后的time-range TR1,使這條ACL語句與time-range TR1相關聯,表白這條語句在time-range TR1所界說的時間領域內才起浸染。

留意:給出三種設置位置是輔佐人人深刻領略關于in/out的區此外。acl是對從一個接上流入(in)或流出(out)路由器的包舉辦過濾的。

網管發問了,“你是怎么找到這些應用的所利用的端口的?”。呵呵,在如下文件中可以找到大大都應用的端口的界說:Win9x:%windir%\services WinNT/2000/XP:%windir%\system32\drivers\etc\services Linux:/etc/services對付在services文件中找不到端口的應用,可以在運行措施的前后,運行netstat –ap來找出應用所利用的端標語。

利用IP ACL實現單向會見節制A公司籌備實行薪資的不透明化打點,由于今朝的薪資收入數據還放在財務部門的Vlan中,所以公司不但愿市場和研發部門能會見到財務部Vlan中的數據, 另一方面,財務部門做為公司的核心打點部門,又但愿能會見到市場和研發部門Vlan內的數據。我們的網管在接到這個需求后就在SWA上做了如下的設置:ip access-list extend fi-access-limit deny ip any 10.1.4.0 0.0.0.255 permit ip any any int vlan 5 ip access-group fi-access-limit in int vlan 6 ip access-group fi-access-limit in設置做完后,測試了一下,市場和研發部門確實會見不到財務部了,剛籌備休息一下,財務部打電話過來說為會見不到市場與研發部門的數據了。這是怎么回事呢?

讓我們回想一下,在兩臺主機A與B之間要實現通訊,需要些什么前提呢?謎底是既需要A能向B發包,也需要B能向A發包,任何一個方向的包被阻斷,通訊都不 能樂成,在我們的例子中就存在這樣的問題,財務部會見市場或研發部門時,包到到市場或研發部門的主機,由這些主機返回的包在達到路由器SWA時,由于平凡 的ACL均不具備檢測會話狀態的本領,就被deny ip any 10.1.4.0 0.0.0.255這條ACL給阻斷了,所以會見不能樂成。

要想實現真正意義上的單向會見節制應該怎么辦呢?我們但愿在財務部門會見市場和研發部門時,能在市場和研發部門的ACL中姑且生成一個反向的ACL條目, 這樣就能實現單向會見了。這里就需要利用到反向ACL技能。我們可以根據如下設置實例就可以滿足適才的誰人單向會見需求:ip access-list extend fi-main permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120 permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200 permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10 permit ip any any int vlan 4 ip access-group fi-main in ip access-list extend fi-access-limit evaluate r-main deny ip any 10.1.4.0 0.0.0.255 permit ip any any int vlan 5 ip access-group fi-access-limit in int vlan 6 ip access-group fi-access-limit in此刻對反向ACL新增加的內容一一表明如下:n 新增了一個ACL(fi-main)并應用在具備會見權限的接口下(財務部地址的vlan4)的in方向,利用該acl中具備reflect要害字的acl條目來捕捉成立反向ACL條目所需要的信息。我們將該ACL稱為主ACL. n reflect r-main timeout xxx:個中的reflect要害字表白該條目可以用于捕捉成立反向的ACL條目所需要的信息。r-main是reflect組的名字,具備溝通 reflect組名字的所有的ACL條目為一個reflect組。timeout xxx表白由這條ACL條目所成立起來的反向ACL條目在沒有流量的情形下,多長時間后會消失(缺省值為300秒),單位為秒。

n evaluate r-main:我們留意到在fi-access-limit(我們把它稱為反ACL)增加了這樣一句,這一句的意思是有切合r-main這個 reflect組中所界說的acl條目的流量產生時,在evaluate語句地址的當前位置動態生成一條反向的permit語句。

反向ACL的范圍性:n 必需利用定名的ACL,其拭魅這不能叫范圍性,應該算留意事項吧;n 對多通道應用措施如h323之類無法提供支持。

好了,到此刻我們從IP ACL的基本常識講起,中間報告了標準的IP ACL、擴展的IP ACL、基于名字的ACL、基于時間的ACL、反向ACL等諸多內容,這些ACL在ios的根基IP特性齊集都能提供支持,在一般的企業網或校園網中也應 該完全夠用了。若是列位看官還需要相識越發深入的常識,如CBAC之類可以或許為多通道應用措施提供精采支持的設置技能的,請參考《Cisco IOS Security Configuration Guide,Part 3: Traffic Filtering and Firewalls》。

“站住!”,70正想開溜,只聽那網管一聲大吼,“有什么步伐能知道ACL都過濾了從哪兒來,到哪兒去的流量??”。呵呵,適才健忘說了,你只需要在需要 記錄的acl條目的最后加一個log要害字,這樣在有切合該ACL條目數據包時,就會發生一條日志信息發到你的裝備所界說的日志處事器上去。感謝人人的捧 場,本文到此為止。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:Cisco ACL 總結2
本文鏈接:http://www.qdxgqk.live/?p=3346轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
上篇文章:
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏