设为首页收藏本站优领域

优领域

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
优领域 优领域 IT领域 IT认证考试 Cisco认证 查看内容

Cisco ios ACL设置全解

2012-3-16 16:55| 发布者: admin| 查看: 1070| 评论: 0

摘要:   ACL(Access Control List,会见节制列表) linux教程技能从来都是一把双刃剑,网络应用与互联网的遍及在大幅提高企业的出产策划效率的同时,也带来了诸如数据的安详性,员工操作互联网做与事情不相做事等负面影 ...

  ACL(Access Control List,会见节制列表) linux教程技能从来都是一把双刃剑,网络应用与互联网的遍及在大幅提高企业的出产策划效率的同时,也带来了诸如数据的安详性,员工操作互联网做与事情不相做事等负面影响。怎样将一个网络有效的打点起来,尽大概的低就逮络所带来的负面影响就成了摆在网络打点员眼前的一个重要课题。 linux论坛A公司的某位可怜的网管今朝就面临了一堆这样的问题。A公司建树了一个企业网,并通过一台路由器接入到互联网。在网络核心利用一台基于IOS的多层交换 机,所有的二层交换机也为可打点的基于IOS的交换机,在公司内部利用了VLAN技能,根据成果的差别分为了6个VLAN.别离是网络装备与网管 (VLAN1,10.1.1.0/24)、内部处事器(VLAN2)、Internet毗连(VLAN3)、财务部(VLAN4)、市场部 (VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0毗连到Internet.每个网段的三层装备(也就是客户机 上的缺省网关)地点都从高位向下分配,所有的其余节点地点均从低位向上分配。该网络的拓朴如下图所示:

  自从网络建成后贫穷就一直没断过,一会儿有人试图登录网络装备要捣乱;一会儿率领又在诉苦说互联网开通后,员工致天就知道泡网;一会儿财务的人又说研发部 门的员工看了不应看的数据。这些诉苦都找这位可怜的网管,搞得他头都大了。那有什么步伐可以或许办理这些问题呢?谜底就是利用网络层的会见限制节制技能――访 问节制列表(下文简称ACL)。

  那么,什么是ACL呢?ACL是种什么样的技能,它能做什么,又存在一些什么样的范围性呢?

  ACL的根基道理、成果与范围性网络中常说的ACL是Cisco IOS所提供的一种会见节制技能,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只 不外支持的特性不是那么完善罢了。在其余厂商的路由器或多层交换机上也提供类似的技能,不外名称和设置方法都大概有细微的不同。本文所有的设置实例均基于 Cisco IOS的ACL举办编写。

  根基道理:ACL利用包过滤技能,在路由器上读取第三层及第四层包头中的信息如源地点、目的地点、源端口、目的端口等,按照预先界说好的法则对包举办过滤,从而到达会见节制的目的。

  成果:网络中的节点资源节点和用户节点两大类,个中资源节点提供处事或数据,用户节点会见资源节点所提供的处事与数据。ACL的主要成果就是一方面掩护资源节点,阻止犯科用户对资源节点的会见,另一方面限制特定的用户节点所能具备的会见权限。

  设置ACL的根基原则:在实施ACL的历程中,该当遵循如下两个根基原则:u 最小特权原则:只给受控器材完成使命所必需的最小的权限u 最接近受控器材原则:所有的网络层会见权限节制范围性:由于ACL是利用包过滤技能来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技能具有一些固有的范围性,如无法识别到详细的 人,无法识别到应用内部的权限级别等。因此,要到达end to end的权限节制目的,需要和系统级及应用级的会见权限节制团结利用。

  ACL设置技能详解“说那么多空话做什么,赶忙开始举办设置吧。”,A公司的网管说。呵呵,并不是我想说那么多空话,因为领略这些基本的观念与简单的道理对后续的设置和排错都是相当有用的。说说看,你的第一个需求是什么。

  “做为一个网管,我不祈望平凡用户能telnet到网络装备”――ACL基本“增补一点,要求可以或许从我此刻的呆板(研发VLAN的10.1.6.66)上telnet到网络装备上去。”。hamm,是个不错的主意,谁都不但愿有人 在本身的花圃中撤野。让我们阐明一下,在A公司的网络中,除出口路由器外,其余所有的网络装备段的是放在Vlan1中,谁人我只需要在到VLAN 1的路由器接口上设置只答允源地点为10.1.6.66的包通过,其余的包通通过滤掉。这中尽管源IP地点的ACL就叫做标准IP ACL:我们在SWA长举办如下的设置:access-list 1 permit host 10.1.6.66 access-list 1 deny any int vlan 1 ip access-group 1 out这几条呼吁中的相应要害字的意义如下:access-list:设置均ACL的要害字,所有的ACL均利用这个呼吁举办设置。

  access-list后头的1:ACL号,ACL号沟通的所有ACL形成一个组。在判断一个包时,利用同一组中的条目从上到下逐一举办判断,一碰着满足 的条目就终止对该包的判断。1-99为标准的IP ACL号,标准IP ACL由于只读取IP包头的源地点部分,耗损资源少。

  permit/deny:操纵。Permit是答允通过,deny是扬弃包。

  host 10.1.6.66/any:匹配前提,等同于10.1.6.66 0.0.0.0.适才说过,标准的ACL只限制源地点。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地点为10.1.6.66的包。0.0.0.0是wildcards,某位的wildcards为0暗示IP地点的对应 位必需切合,为1暗示IP地点的对应位不管是什么都行。简单点说,就是255.255.255.255减去子网掩码后的值,0.0.0.0的 wildcards就是意味着IP地点必需切合10.1.6.66,可以简称为host 10.1.6.66.any暗示匹配所有地点。

  留意:IOS中的ACL均利用wildcards,并且会用wildcards对IP地点举办严格的对齐,如你输入一条access-list 1 permit 10.1.1.129 0.0.0.31,在你show access-list看时,会变成access-list 1 permit 10.1.1.128 0.0.0.31,PIXOS中的ACL均利用subnet masks,并且不会举办对齐操纵。更为具体的关于IP V4地点的资料可以参见拙著《IP v4基本常识》http://www.ultratechnology.net/showarticle.php?s=&articleid=60 一文int vlan1///ip access-group 1 out:这两句将access-list 1应用到vlan1接口的out方向。个中1是ACL号,和相应的ACL举办关联。Out是对路由器该接口上哪个方向的包举办过滤,可以有in和out两种选择。

  留意:这里的in/out都是站在路由器或三层模块(今后简称R)上看的,in暗示从该接口进入R的包,out暗示从该接口出去的包。

  好了,这就是一个最根基的ACL的设置要领。什么,你说平凡用户还能telnet到RTA?那你在int vlan3上现加一个ip access-group 1 out吧。Hammmm,等等,你这样加上去平凡用户就会见不了internet了。让我们把适才的ACL去掉,从头写一个。

  回想一下,我们的目的是除了10.1.6.66可以或许举办telnet操纵外,其余用户都不答允举办telnet操纵。适才我们说过,标准的IP ACL只能节制源IP地点,不能节制到端口。要节制到第四层的端口,就需要利用到:扩展的IP ACL的设置先看看设置实例吧。在SWA长举办如下设置:int vlan 1 no ip access-group 1 out exit no access-list 1 access-list 101 permit tcp host 10.1.6.66 any eq telnet access-list 101 deny tcp any any eq telnet int vlan 1 ip access-group 101 out int vlan 3 ip access-group 101 out你应该留意到到这里的ACL有一些变革了,此刻对变革的部分做一些申明:access-list 101:留意这里的101,和适才的标准ACL中的1一样,101是ACL号,暗示这是一个扩展的IP ACL.扩展的IP ACL号领域是100-199,扩展的IP ACL可以节制源IP、目的IP、源端口、目的端口等,能实现相当风雅的节制,扩展ACL不只读取IP包头的源地点/目的地点,还要读取第四层包头中的源 端口和目的端口,的IP在没有硬件ACL加速情形下,会耗损大量的CPU资源。

  int vlan 1///no ip access-group 1 out///exit///no access-list 1:打消access-list 1,对付非定名的ACL,可以只需要这一句就可以全部打消。留意,在打消或修改一个ACL前,必需先在它所应用的接口上先把应用给no掉,否则会导致相当 严重的效果。

  tcp host 10.1.6.66 any eq telnet:匹配前提。完整名目为:协议 源地点 源wildcards [干系] [源端口] 目的地点 目的wildcards [干系] [目的端口].个中协议可以是IP、TCP、UDP、EIGRP等,[]内为可选字段。仅在协议为tcp/udp等具备端标语的协议才有用。干系可以是 eq(便是)、neq(不便是)、lt(大于)、range(领域)等。端口一般为数字的1-65535,对付周知端口,如23(处事名为telnet) 等可以用处事名代替。源端口和目的端口不界说时暗示所有端口。

  把这个ACL应用上去后,用户们开始打电话来骂娘了,因为他们都会见不了Internet了,是那里出了问题了呢?

  留意:所有的ACL,缺省情形下,从安详角度思量,最后城市隐含一句deny any(标准ACL)或deny ip any any(扩展IP ACL)。所以在不相识业务会利用到哪些端口的情形下,最亏得ACL的最后加上一句permit ip any any,在这里就是access-list 101 permit ip any any.此刻用户倒是可以或许会见Internet了,但我们的可怜的网管却发明平凡用户照旧可以或许telnet到他的SWA上面,因为SWA上面有许多个网络接口,而 且利用扩展的ACL会耗损许多的资源。有什么简单的步伐可以或许节制用户对网络装备的Telnet会见,而又不用耗太多的资源呢?这就需要利用到:对网络装备自身的会见怎样举办节制的技能让我们先把适才设置的ACL都取掉(详细设置略,不然后读者会觉得我在骗稿费了。),再在每台网络装备上均举办如下设置:access-list 1 permit host 10.1.6.66 line vty 0 4(部分装备是15)

  access-class 1 in这样就行了,telnet都是会见的设惫亓?line vty,在line vty下面利用access-class与ACL组举办关联,in要害字暗示节制进入的毗连。

  就这么简单?wk,你丫是不是在玩我们,为什么还要绕一大圈?臭鸡蛋和烂西红柿开始在70的脑袋上方狂飞。(5555555,偶壹贝偾想向人人把ACL的基本常识讲的大白一些的嘛)。颠末适才的设置,我们可以理出一个简单的ACL设置步调了:u 阐明需求,找清楚需求中要掩护什么或节制什么;为利便设置,最好能以表格形式列出。在本文的后头会举例的。

  u 阐明切合前提的数据流的路径,寻找一个最适合举办节制的位置;u 书写ACL,并将ACL应用到接口上;u 测试并修改ACL.当A公司的率领知道在网管可以或许节制平凡用户对网络装备的会见后,我们的可怜的网管就收到了许多看起来很难的要求。率领要求网管:“利用ACL技能对网络会见举办风雅化节制”――ACL进阶设置定名的IP ACL由于最近处事器网段的呆板总是被人用telnet、rsh等手段举办进攻,我们只对员工开放web处事器(10.1.2.20)所提供的http、FTP 处事器(10.1.2.22)提供的FTP处事和数据库处事器(10.1.2.21:1521)。好吧,我们着手举办设置,然则我们的ACL刚写到一半, 发明前面写的几句仿佛有问题,一个no呼吁输进去,整个ACL都没了,唉,一切都得重来,莫非就没有一个变通的步伐么?有,这里我就需要用到:定名的IP acl提供的两个主要利益是:l 办理ACL号码不敷的问题。

  l 可以自由的删除ACL中的一条语句,而不必删除整个ACL.定名的ACL的主要不敷之处在于无法实此刻恣意位置插手新的ACL条目。比如上面谁人例子中,我们举办了如下的设置:ip access-list extend server-protect permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp设置到这里,我们发明permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521这句配错了,我们得把它给取掉并从头设置,OK,我样可以简单的举办如下设置:ip access-list extend server- protect no permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.0.255 host 10.1.2.21 eq 1521 exit int vlan 2 ip access-group server- protect就可以了。此刻对定名的IP access-list的设置要领表明如下:ip access-list extend server-access-limit:ip access-list相当于利用编号的access-list中的access-list段。extend表白是扩展的ACL(对应 地,standard暗示标准的ACL)。server-access-limit是access-list的名字,相当于基于编号的ACL中的编号字 段。

  permit tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521:这一段和利用编号的access-list的后半段的意义沟通,都由操纵和前提两段构成。

  实在基于名字的IP ACL尚有一个很好的利益就是可觉得每个ACL取一个有意义的名字,便于日后的打点与维护。所以Ultra事情室猛烈发起列位看官在实际事情中均利用定名的ACL.进一步完善对处事器数据的掩护――ACL执行顺序再切磋在处事器网段中的数据库处事器中存放有大量的市场信息,市场部门的职员不但愿研发部门会见到数据库处事器,颠末协商,同意研发部门的率领的呆板(IP地点为10.1.6.33)可以会见到数据库处事器。这样,我们的处事器网段的的会见权限部分如下表所示:协议源地点源端口目的地点目的端口操纵

  TCP 10.1/16所有10.1.2.20/32 80答允会见

  TCP 10.1/16所有10.1.2.22/32 21答允会见

  TCP 10.1/16所有10.1.2.21/32 1521答允会见

  TCP 10.1.6/24所有10.1.2.21/32 1521克制会见

  TCP 10.1.6.33/32所有10.1.2.21/32 1521答允会见

  IP 10.1/16 N/A所有N/A克制会见于是,网管就在server-protect后头顺序加了两条语句进去,整个ACL变成了如下形式:ip access-list extend server-protect permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521做完之后发明基础没起到应有的浸染,研发部门的所有呆板照旧可以会见到数据库处事器。这是为什么呢?

  前面我们提到过,ACL的执行顺序是从上往下执行,一个包只要碰着一条匹配的ACL语句后就会遏制后续语句的执行,在我们的这个ACL中,因为前面已经有 了一条permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521语句。内部网上所有会见10.1.2.21的1521端口的在这儿就全部通过了,跟本不会到后头两句去较量。所以导致达不到我们的目的。应该把 server-protect这个ACL按如下形式举办修改才华满足我们的要求:ip access-list extend server-protect permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp这个例子汇报我们在写ACL时,必然要遵循最为准确匹配的ACL语句必然要写在最前面的原则,只有这样才华担保不会呈现无用的ACL语句。

  基于时间的ACL在担保了处事器的数据安详性后,率领又筹备对内部员工上网举办节制。要求在上班时间内(9:00-18:00)克制内部员工赏识internet,克制使 用QQ、MSN.而且在2003年6月1号到2号的所有时间内都不答允举办上述操纵。但在任何时间都可以答允以其余方法会见Internet.天哪,这可 叫人怎么活呀,但率领既然这样布置,也只好按指示做了。

  首先,让我们来阐明一下这个需求,赏识internet此刻根基上都是利用http或https举办会见,标准端口是TCP/80端口和TCP /443,MSN利用TCP/1863端口,QQ登录会利用到TCP/UDP8000这两个端口,尚有大概利用到udp/4000举办通讯。而且这些软件 都能支持署理处事器,今朝的署理处事器主要布署在TCP 8080、TCP 3128(HTTP署理)和TCP1080(socks)这三个端口上。这个需求如下表所示:应用协议源地点源端口目的地点目的端口操纵

  IE TCP 10.1/16所有80限制会见

  IE TCP 10.1/16所有443限制会见

  MSN TCP 10.1/16所有1863限制会见

  QQ TCP 10.1/16所有8000限制会见

  QQ UDP 10.1/16所有8000限制会见

  QQ UDP 10.1/16所有4000限制会见

  HTTP署理TCP 10.1/16所有8080限制会见

  HTTP署理TCP 10.1/16所有3128限制会见

  Socks TCP 10.1/16所有1080限制会见

  All other IP 10.1/16 N/A所有N/A答允会见然后,让我们看看ACL应该在哪个位置设置较量好呢?由于是对会见Internet举办节制,涉及到的是公司内部所有的网段,这们这次把ACL就放到公司的Internet出口处。在RTA长举办如下的设置,就可以或许满足率领的要求了:time-range TR1 absolute start 00:00 1 June 2003 end 00:00 3 June 2003 periodic weekdays start 9:00 18:00 exit ip access-list extend internet_limit deny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1 deny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1 deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1 deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1 permit ip any any int s0/0 ip access-group internet_limit out或int fa0/0 ip access-group internet_limit in可能将ACL设置在SWA上,并int vlan 3 ip access-group internet_limit out呵呵,此刻让我们来看看在基于时间的会见列表中都有哪些新内容吧:time-range TR1:界说一个新的时间领域,个中的TR1是为该时间领域取的一个名字。

  absolute:为绝对时间。只利用一次。可以界说为1993-2035年内的恣意一个时点。详细的用法请利用?呼吁查察。

  Periodic:为周期性频频利用的时间领域的界说。完整名目为periodic 日期要害字 开始时间 竣事时间。个中日期要害字的界说如下所示:Monday 礼拜一Tuesday 礼拜二Wednesday 礼拜三Thursday 礼拜四Friday 礼拜五Saturday 礼拜六Sunday 礼拜天daily 天天weekdays 周一至五weekend 周末access-list 101 deny ip 10.1.0.0 0.0.255.255 any time-range TR1:留意这一句最后的time-range TR1,使这条ACL语句与time-range TR1相关联,表白这条语句在time-range TR1所界说的时间领域内才起浸染。

  留意:给出三种设置位置是辅佐人人深刻领略关于in/out的区此外。acl是对从一个接上流入(in)或流出(out)路由器的包举办过滤的。

  网管发问了,“你是怎么找到这些应用的所利用的端口的?”。呵呵,在如下文件中可以找到大大都应用的端口的界说:Win9x:%windir%\services WinNT/2000/XP:%windir%\system32\drivers\etc\services Linux:/etc/services对付在services文件中找不到端口的应用,可以在运行措施的前后,运行netstat –ap来找出应用所利用的端标语。

  利用IP ACL实现单向会见节制A公司筹备实行薪资的不透明化打点,由于今朝的薪资收入数据还放在财务部门的Vlan中,所以公司不但愿市场和研发部门能会见到财务部Vlan中的数据, 另一方面,财务部门做为公司的核心打点部门,又但愿能会见到市场和研发部门Vlan内的数据。我们的网管在接到这个需求后就在SWA上做了如下的设置:ip access-list extend fi-access-limit deny ip any 10.1.4.0 0.0.0.255 permit ip any any int vlan 5 ip access-group fi-access-limit in int vlan 6 ip access-group fi-access-limit in设置做完后,测试了一下,市场和研发部门确实会见不到财务部了,刚筹备休息一下,财务部打电话过来说为会见不到市场与研发部门的数据了。这是怎么回事呢?

  让我们回想一下,在两台主机A与B之间要实现通讯,需要些什么前提呢?谜底是既需要A能向B发包,也需要B能向A发包,任何一个方向的包被阻断,通讯都不 能乐成,在我们的例子中就存在这样的问题,财务部会见市场或研发部门时,包到到市场或研发部门的主机,由这些主机返回的包在达到路由器SWA时,由于平凡 的ACL均不具备检测会话状态的本领,就被deny ip any 10.1.4.0 0.0.0.255这条ACL给阻断了,所以会见不能乐成。

  要想实现真正意义上的单向会见节制应该怎么办呢?我们但愿在财务部门会见市场和研发部门时,能在市场和研发部门的ACL中姑且生成一个反向的ACL条目, 这样就能实现单向会见了。这里就需要利用到反向ACL技能。我们可以根据如下设置实例就可以满足适才的谁人单向会见需求:ip access-list extend fi-main permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120 permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200 permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10 permit ip any any int vlan 4 ip access-group fi-main in ip access-list extend fi-access-limit evaluate r-main deny ip any 10.1.4.0 0.0.0.255 permit ip any any int vlan 5 ip access-group fi-access-limit in int vlan 6 ip access-group fi-access-limit in此刻对反向ACL新增加的内容一一表明如下:n 新增了一个ACL(fi-main)并应用在具备会见权限的接口下(财务部地址的vlan4)的in方向,利用该acl中具备reflect要害字的acl条目来捕捉成立反向ACL条目所需要的信息。我们将该ACL称为主ACL. n reflect r-main timeout xxx:个中的reflect要害字表白该条目可以用于捕捉成立反向的ACL条目所需要的信息。r-main是reflect组的名字,具备沟通 reflect组名字的所有的ACL条目为一个reflect组。timeout xxx表白由这条ACL条目所成立起来的反向ACL条目在没有流量的情形下,多长时间后会消失(缺省值为300秒),单位为秒。

  n evaluate r-main:我们留意到在fi-access-limit(我们把它称为反ACL)增加了这样一句,这一句的意思是有切合r-main这个 reflect组中所界说的acl条目的流量产生时,在evaluate语句地址的当前位置动态生成一条反向的permit语句。

  反向ACL的范围性:n 必需利用定名的ACL,其拭魅这不能叫范围性,应该算留意事项吧;n 对多通道应用措施如h323之类无法提供支持。

  好了,到此刻我们从IP ACL的基本常识讲起,中间报告了标准的IP ACL、扩展的IP ACL、基于名字的ACL、基于时间的ACL、反向ACL等诸多内容,这些ACL在ios的根基IP特性齐集都能提供支持,在一般的企业网或校园网中也应 该完全够用了。若是列位看官还需要相识越发深入的常识,如CBAC之类可以或许为多通道应用措施提供精采支持的设置技能的,请参考《Cisco IOS Security Configuration Guide,Part 3: Traffic Filtering and Firewalls》。

  “站住!”,70正想开溜,只听那网管一声大吼,“有什么步伐能知道ACL都过滤了从哪儿来,到哪儿去的流量??”。呵呵,适才健忘说了,你只需要在需要 记录的acl条目的最后加一个log要害字,这样在有切合该ACL条目数据包时,就会发生一条日志信息发到你的装备所界说的日志处事器上去。感谢人人的捧 场,本文到此为止。

网站统计|优领域|优领域 ( 粤ICP备12011853号-1 )  

GMT+8, 2019-1-23 05:18 , Processed in 0.121229 second(s), 12 queries .

Copyright © 2008-2014 优领域

回顶部