host

Nginx安装 Windows下部署Nginx只需下载安装包，解压启动服务器即可。下载官网：http://nginx.org/en/download.html 操作Nginx首先进入安装文件夹: 查看版本 Nginx -v 启动服务 start nginx 正常关闭服务 nginx -s quit 强制停止服务 nginx -s stop 重新加载配置文件（重启） nginx -s reload 重新打开日志文件 nginx -s reopen 部署完成后接着就是使用Nginx代理Jetty，Nginx为80端口，Jetty为8080端口，按理访问项目界面不需加端口即可。但是在界面跳转时出现8080端口，很诡异。经过网上查找资料修改一下配置文件即可。 server { listen 80; server_name 域名; proxy_set_header Host $host; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Server $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; location / { proxy_pass http://192.168.xxx.xxx:8080; } } 来源：

访问控制列表 控制主机访问个数 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 如果匹配第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。 如果不匹配第一条规则，则依次往下检查，直到有任何一条规则匹配。 如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃该数据包。 访问控制列表的类型： 标准访问控制列表 基于源IP地址过滤数据包 列表号是1～99 扩展访问控制列表 基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包 列表号是100～199 命名访问控制列表 命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号 标准化访问控制列表 全局：access-list 列表号 deny 192.168.1.1 0.0.0.0 反子网掩码 针对一个主机 全局：access-list 列表号 permit 192.168.1.0 0.0.0.255 反子网掩码 针对一个网段 255.255.255.255 减 对应网络子网掩码 通配符掩码：也叫做反码。用二进制数0和1表示，如果某位为1，表明这一位不需要进行匹配操作，如果为0表明需要严格匹配。 例：192.168.1.0/24子网掩码是255.255.255.0,其反码可以通过255.255.255.255减去255.255.255.0得到0.0.0.255 隐含拒绝语句：access

ACL（访问控制列表）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器，那些数据包可以接收，那些数据包需要拒绝。 基本原理为：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL通过在路由器接口处控制数据包是转发还是丢弃来过滤通信流量。 路由器根据ACL中指定的条件来检测通过路由器的数据包，从而决定是转发还是丢弃数据包。 ACL有三种类型： 1、标准ACL：根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。 2、扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199. 3、命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。 ACL依靠规则对数据包执行检查，而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查，这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。 如果对接口应用了ACL，也就是说该接口应用了一组规则，那么路由器将对数据包应用该组规则进行检查 1、如果匹配了第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。 2

访问控制列表（ACL）是应用在路由器接口的指令列表（即规则），这些规则表用来告诉路由器，哪些数据包可以接收，哪些包需要拒绝。其基本原理如下：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层和第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义的规则，对包进行过滤，从而达到访问控制的目的。 ACL可以分为以下两种基本类型： 标准ACL：检查数据包的源地址，来决定是允许还是拒绝转发数据包，使用1-99之间的数字作为表号。 扩展ACL：既能对数据包的源地址和目标地址进行检查，也能检查特定的协议、端口号及其它的参数。使用100-199之间的数字作为表号。 ACL是一组规则的集合，应用在路由器的某个接口上，因此对路由器的接口而言，ACL有两个方向： 出：已经经过路由器的处理，离开路由器接口的数据包，检查顺序：先查路由表，再查出ACL。 入：已经到达路由器接口的数据包，将要被路由器处理。检查顺序：先检查入ACL，再查询路由表。 匹配规则： 如果匹配第一条规则，则不再继续往下查，路由器将决定是允许或拒绝数据包通过。 如果不匹配第一条规则，则依次往下检查，直到匹配一条规则，如果没有任何规则匹配，路由器默认会丢弃数据包。 由以上规则可见，数据包要么被拒绝，要么被丢弃。如下图： 示例 1：标准访问控制列表 ROUTE(config)#access-list 1 deny

实现 PC2 可以 ping PC5 但是不能 ping PC2 PC3 可以 ping PC4 但是不能 ping PC5 PC2 IP ： 1.1.1.10 GW:1.1.1.1 PC3 IP ： 1.1.1.20 GW:1.1.1.1 PC4 IP ： 2.2.2.10 GW:2.2.2.2 PC5 IP ： 2.2.2.20 GW:2.2.2.2 Router>en Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/0 Router(config-if)#ip add 1.1.1.1 255.0.0.0 Router(config-if)#no sh Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/1 Router(config-if)#ip add 2.2.2.2 255.0.0.0 Router(config-if)#no sh Router(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up Router

ACL是应用在路由器接口的指令列表，通过这些指令，来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝，基本原理就是：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL有三种类型： 标准ACL：根据数据包的源IP地址来允许或拒绝数据包，标准ACL的访问列表控制号是1~99。 扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包，扩展ACL的访问控制列表号是100~199。 命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。（个人感觉扩展命名ACL规则更为灵活，若没耐心，可直接看文章最后的扩展命名ACL规则的语法）。 创建标准ACL语法： Router(config)#access-list 1~99 { permit | deny } 源网段地址或网段（若源地址为主机，则在地址前面需要加“host”；若源地址为网段，则要在网段地址后面加反掩码，如/24的反掩码就是0.0.0.255。 例如：Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #表示为允许192.168.1.0/24网段地址的流量通过 Router(config)#access

关于路由策略： 在控制层面抓取流量后，对流量进行修改，之后影响路由器路由表的生成，最终干涉选路； 【1】抓控制层面流量： ① ACL —设计用于干涉数据层面流量，兼用抓取控制层面流量–不能精确匹配; 注：只能抓取网络号，不能精确匹配； eg：有两条路由：192.168.1.0/24 192.168.1.0/128，网络号一致，但只能抓取到192.168.1.0/24 1、访问控制-----在路由器上流量进或出的接口上规则流量； 2、定义感兴趣流量 —为其他的策略取匹配流量 访问控制：定义ACL列表后，将列表调用于路由器的接口上，当流量通过接口时，进行匹配，匹配成功后按照设定好的动作进行处理即可-----动作–允许、拒绝 匹配规则：至上而下逐一匹配，上条匹配按上条执行，不再查看下条；末尾隐含拒绝所有； 分类：1、标准ACL–仅关注数据包中的源ip地址 2、扩展ACL–关注数据包中源、目标ip地址、目标端口号、协议号 写法：编号写法 1-99 标准 100-199 扩展 删除一条整表消失 命名写法 一个名字一张列表 可以随意删除某条， 配置： 标准ACL—编号：由于标准ACL仅关注数据包中的源ip地址，调用时尽量的靠近目标，避免误删； Router(config)#access-list 1 deny host 192.168.4.2 拒绝单一设备 Router(config)

这一篇为ACL起一个头，顺便理一下思路，思路清楚一切都ok了。 ACL--Access Control List 访问控制列表 如果有不太熟悉的朋友，想象一下防火墙。ACL有几个种类，我们通过配置一个一个看，最后我会总结一个Cisco的ACL和Juniper的Policy的区别，并且尝试的说一下，使用的场景。 拓扑如下，R1作为网关，环回口模拟外网口 先查看一下基本种类 R1(config)#access-list ? //我们看了以后会发现，访问控制列表，其实是靠序号去区分的 <1-99> IP standard access list //IP 标准访问控制列表 <100-199> IP extended access list //IP扩展访问控制列表 <1100-1199> Extended 48-bit MAC address access list //扩展48位MAC地址访问控制列表（1个Byte字节==8bit位） <1300-1999> IP standard access list (expanded range) //IP标准访问控制列表（超出范围1-99） <200-299> Protocol type-code access list //协议类型访问控制列表 <2000-2699> IP extended access list (expanded

前期准备: 规划：8台机器 IP hostname role 192.168.2.20 mon mon.mon 192.168.2.21 osd1 osd.0,mon.osd1 192.168.2.22 osd2 osd.1,mds.b(standby) 192.168.2.23 osd3 osd.2 192.168.2.24 osd4 osd.3 192.168.2.27 client mds.a,mon.client 192.168.2.28 osd5 osd.4 192.168.2.29 osd6 osd.5 关闭 SELINUX [root @admin ceph]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config [root @admin ceph]# setenforce 0 打开 Ceph 需要的端口 [root @admin ceph]# firewall-cmd --zone=public --add-port=6789/tcp --permanent [root @admin ceph]# firewall-cmd --zone=public --add-port=6800-7100/tcp --permanent [root @admin ceph]# firewall

目录 1. 概述 2. Paramiko的基本使用 2.1 SSHClient关键参数介绍 2.2 SSHClient常用示例 2.2.1 通过用户名和密码方式登陆： 2.2.2 通过用户名和密码方式登陆 ( transport方式 ) 2.2.3 通过用户名和密钥方式登陆 2.3 SFTPClient关键参数介绍 2.4 SFTPClient常用示例 3. 完整代码 1. 概述 本来是不想写Paramiko的，因为我觉得之前的一篇关于Netmiko模块更适合网工，后来发现paramiko有包含SFTP功能，所以还是有必要来讲讲，毕竟我们在设备上是要经常下载配置、上传版本/升级版本用的，而且SFTP比FTP、TFTP更安全。 所以， 你也不用借助其他工具来上传、下载了，通通用 'Python' 来帮你搞定了。 SSH和SFTP都是使用一样的端口号 22。如果对数据安全传输较重视，那么SFTP替代FTP、TFTP是首选。 实验环境说明： 一台思科路由器，用于SSH登陆； 一台华为交换机，用于SFTP上传/下载； PyCharm Pro 2. Paramiko的基本使用 2.1 SSHClient关键参数介绍 connect()函数： 用途： 用于连接远端主机，其中'hostname'为必选参数。 常用参数 hostname //远端主机，填写IP和域名都可以 port=SSH