交换机/防火墙-基础配置-23.10.11

已于 2023-10-24 15:07:03 修改
阅读量726 收藏 4
点赞数
文章标签: 网络 服务器 运维 1024程序员节
于 2023-10-22 15:41:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cvpatient/article/details/133759802
版权

update 优化了目录逻辑 -10.24.2023

一.前置知识

1.MAC地址

交换机在给主机之间传递信息包时,通过MAC地址来标识每台主机

主机间发生信息包交换时,交换机就会将通信过的主机的mac地址存下

dis mac-address

交换机转发的数据包中,会包含一个目标MAC,交换机识别数据包中的目标MAC,根据MAC地址表,会从对应的接口发出,从而转发到目标主机。

PC1在给PC3发送数据包时,使用ARP协议(地址解析协议);PC1通过广播的形式,发出一个arp询问(询问PC3),这个广播包所有的电脑都能收到,PC3收到广播包后,会对PC1的arp询问做出arp回答(回答PC1自己的mac地址)。这样就实现PC1和PC3之间的通信(双向),双方的mac地址也会记录下来。

交换机的mac地址表中,mac地址对应的物理接口是如何实现:

当交换机的某个接口收到PC发出的数据包时,数据包包含源mac地址,源mac地址和这个接收数据包的端口对应(并且会实时更新),在mac地址表显示。

2.VLAN

根据上文的arp协议可知,当PC设备数量较多时,会产生大量的广播包,可能会造成网络卡顿。

使用vlan技术来隔离这些广播包(分割广播域)。实现网络间隔离,优化网络

这样一个在一个虚拟局域网下的设备发送广播包只会在这个虚拟局域网内传播

vlan 下的PC发出数据包会携带一个vlan标签,交换机通过vlan标签来确定这个数据包应该在哪些vlan中传播

3.交换机的三种转发方式

泛洪、转发、丢弃

泛洪:当数据帧的目的MAC地址不在MAC表中,或者目的MAC地址为广播地址时,交换机泛洪该帧

转发:交换机根据MAC地址表将目标主机的回复信息单播转发给源主机 

丢弃:当交换机收到的数据帧的目的MAC地址就是发出数据帧的MAC地址时,就会丢弃该帧

二.防火墙

常见防火墙厂家:深信服、启明星辰、华为、天融信、奇安信

1.eNSP防火墙模拟实验

1.前置设置

在使用USG6000V设备前,需完成以下任务:

  1. 已安装最新版eNSP客户端。
  2. 在BIOS中开启虚拟化技术。
  3. 可能需要导入相关包

防火墙经过以上设置后,启动

启动后需要输入默认账户和密码:

输入NAME,和密码:默认name:admin
                                    默认pass:Admin@123
首次登录需要修改密码输入Y,再次输入输入旧密码:Admin@123

填写新密码:Admin@1234

再次填写新密码:Admin@1234

(USG6000V1不能实现save保存,所以eNSP软件关闭后,再次打开拓扑需要重新配置)

2.模拟拓扑图

配置防火墙的接口IP时,需要对防火墙的接口类型有所了解

防火墙的接口类型

1、路由模式(三层):物理口可以直接配置IP,类似路由器

<USG6000V1>sy
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 10.10.10.2 24

2、交换模式(二层):物理口不能直接配置IP,类似交换机,可以配置vlan trunk接口  

3.需求实现

PC1想要实现与外网路由器联通

内网路由器中需要存在前往6.6.6.6的路由表,查看路由器中是否存在该路由表

[Huawei]dis ip routing-table 6.6.6.6

添加去往6.6.6.0网段的路由

[Huawei]ip route-static 6.6.6.0 24 10.10.10.2

在实际配置中,如果缺少某个路由,直接使用静态路由添加即可

直连路由:当存在物理接口的连接,物理接口配置了IP地址,此时会自动产生和这个IP相关的直连路由

现在尝试设备之间能否正常通信,设备之间是不能通信的,因为防火墙的配置还未完善:

不能通信原因如下:

防火墙安全策略

内网主机是私网IP,私网IP不能访问外网(需要进行网络地址转换)

4.防火墙安全策略

1.接口加入安全域

(信任区域、非信任区域、DMZ区域)

信任区域:内网区域

非信任区域:外网区域

dmz区域:中间区域(服务器区域),因为内网和外网主机都会访问服务器,所以服务器区域被称为中间区域

配置信任区域

[USG6000V1]firewall zone trust //进入信任区域
[USG6000V1-zone-trust]add int g1/0/1 //将接口添加到信任域

配置非信任区域

[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2

2.放行策略

信任区域访问非信任区域(内网主机实现访问外网资源),放行

配置安全策略

1.进入安全策略配置界面

2.新建安全策略

3.配置安全策略的规则(从哪来,到哪去)

4.开启放行策略

[USG6000V1]security-policy //进入安全策略
[USG6000V1-policy-security]rule name p2s //新建一个安全策略,名称为p2s
[USG6000V1-policy-security-rule-p2s]source-zone trust //安全策略源地址
[USG6000V1-policy-security-rule-p2s]destination-zone untrust //安全策略目标地址
[USG6000V1-policy-security-rule-p2s]action permit //允许放行
[USG6000V1-policy-security-rule-p2s]dis this
2023-10-22 02:49:41.740 
#
 rule name p2s
  source-zone trust
  destination-zone untrust
  action permit
#
return

5.NAT(网络地址转换)

将私网IP转换成公网IP,即可实现内网主机访问外网资源的需求

1.进入nat配置界面

2.新建nat配置

3.配置新建的nat规则(从哪来,到哪去)

4.开启nat转换,(easy-ip:地址转换时,自动转换成设备出接口的地址;不需要配置具体的公网IP地址,设备会自动将地址进行转换设备出接口的公网IP地址)

[USG6000V1]nat-policy //进入nat配置策略界面
[USG6000V1-policy-nat]rule name p2s	//新建nat配置,名称为p2s
[USG6000V1-policy-nat-rule-p2s]source-zone trust //nat转换源地址
[USG6000V1-policy-nat-rule-p2s]destination-zone untrust //nat转换目标地址
[USG6000V1-policy-nat-rule-p2s]action source-nat easy-ip //开启nat策略,easy-ip:自动转换
[USG6000V1-policy-nat-rule-p2s]dis this
2023-10-22 02:57:42.350 
#
 rule name p2s
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip
#
return

回程路由(公网资源的数据包也要能回到私网主机,通信是双向的)

[USG6000V1]ip route-static 192.168.1.0 24 10.10.10.1

6.总结

想要实现内网访问外网资源,防火墙需要的配置:

1.安全放行策略

2.开启NAT

bobo洁厕灵
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为防火墙配置笔记
weixin_30375247的博客
07-05 5435
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
华为防火墙实战配置教程,太全了
热门推荐
Richardlygo的博客
07-05 1万+
防火墙大全
华为三层交换机防火墙对接上网
08-11
华为三层交换和防火墙对接上网,VLAN划分,NAT,静态路由。
NAT网络地址转换三种模式及配置案列
最新发布
zhanglongquan的博客
06-14 2013
NAT网络术语(网络地址转换)英文全称为Network Address Translation、当企业内部员工从网络设备获取到IP地址进行通信时只能在自己的企业中通信、无法与互联网上的其他设备进行通信、如访问百度等操作是无法实现的这时又想和因特网上的主机通信(并不需要加密)时,可使用NAT技术。
路由器、防火墙交换机配置技术
03-05
合练习一、阅读说明,回答问题1、问题2、问题3,将解答填入答题纸的对应栏内。 [说明]某单位要与其下所属四个县局单位实现连网,具体设计如下: 1、设计要求 (1、)县局B终端用户包括:20个普通用户,县局C终端用包括:40个普通用户,县局D终端用户包括:20个普通用户,县局E终端用户包括:18个普通用户,市局A终端用户包括90个普通用。 (2、)每个县局都有4个特殊用户,市局有10个特殊用户。 (3、)服务器提供Web、DNS、E-mail服务。(所有服务器都其中在市局网络中心) (4、)支持远程培训,可以接入互联网,具有广域网访问的安全机制和网络管理功能。 (5、)各县局与市局之间的距离都大于100公里。 (6、)每个县局与市局都分布一个网段(县局B:10.244.90.0,县局C:10.244.91.0,县局D:10.244.92.0,县局E:10.244.93.0市局A:10.244.80.0)
1分钟教你配置简单的防火墙(内置三个小实验,图文并茂,简单易学)
MA463841740的博客
03-13 4870
1分钟教你配置简单的防火墙(内置三个小实验,图文并茂,简单易学)
华为防火墙基本配置
Gahood的博客
03-21 1943
此时PCping服务器是无法通信的,默认的策略是deny or any,要在防火墙上放行trust—dmz流量。输入密码后它会问你是否现在重置密码,选是否则无法配置。首先了解Trust是基本连接内网,Untrust连接外网,DMZ连接服务器防火墙配置:华为默认用户名:admin 密码:Admin@123。此时PC是无法访问到外网的,因为防火墙需要nat,没有回程路由。配置nat两个步骤:nat地址池——nat策略。此时外网无法访问服务器:因为没有放行,需要放行。如何把服务器地址放在公网上访问 :映射。
Cadence SPB OrCAD X - Allegro X 2023 v23.10.000
10-15
Cadence SPB OrCAD X - Allegro X 2023 v23.10.000,今年最新版本。
Miniconda3-py39_23.10.0-1-MacOSX-x86_64.sh.zip
02-06
./Miniconda3-py39_23.10.0-1-MacOSX-x86_64.sh ``` 安装过程中,系统会提示你接受许可协议,并询问是否要将Miniconda3添加到系统的PATH环境变量中。选择是将使你在任何地方都可以通过命令行轻松地启动conda。 ...
Miniconda3-py39_23.10.0-1-MacOSX-x86_64.pkg.zip
02-06
4. **预装库**:Miniconda3附带了一些基础的科学计算和数据分析库,例如NumPy、Pandas、SciPy等,这些都是数据科学领域常用的工具。 5. **兼容性**:Miniconda3支持多种操作系统,包括Windows、Linux和macOS,而且...
Miniconda3-py39_23.10.0-1-Linux-x86_64.zip
02-06
5. 安装完成后,需要在终端中通过`source ~/.bashrc`或`source ~/.zshrc`(根据你的Shell类型)来更新配置。 6. 检查安装是否成功,可以运行`conda --version`。 使用Miniconda3,开发者可以方便地构建和管理数据...
交换机端口安全防护与配置
10-01
今天我们来介绍一下交换机端口安全的配置内容,主要防止公司内部的网络攻击和破坏行为,详细的教程,请看下文介绍,需要的朋友可以参考下
Miniconda3-py39_23.10.0-1-Windows-x86_64.zip
02-06
5. **预装库**:尽管Miniconda3比完整版Anaconda小,但它仍然预装了一些基础的科学计算库,如NumPy、Pandas和SciPy,这些都是数据科学家和研究人员常用的重要工具。 6. **社区支持**:Miniconda3和conda生态系统...
路由器&&交换机&&防火墙一些基础配置命令
qq_45955308的博客
07-10 1432
交换机的管理界面和管理协议:了解交换机的CLI(命令行界面)和图形化界面(如Web界面)的使用,并熟悉如何使用SNMP和RMON等协议进行交换机的管理。● 常用的交换机配置实例:熟悉一些常见的交换机配置实例,如配置VLAN间的互联、生成树协议(STP)的配置、VLAN传输协议(VTP)的配置等。● 常用的路由器配置实例:熟悉一些常见的路由器配置实例,如配置静态路由、动态路由协议(如OSPF、BGP)、虚拟专用网络(VPN)等。在网络安全运维中我们需要学习哪些网络知识?
交换机常见配置、H3C防火墙配置
cvpatient的博客
08-17 2605
console线连接之后,检查电脑有无console线对应的驱动,无则根据型号去网上下载驱动交换机的端口类型是百兆还是千兆(e为百兆,g为千兆):如果是百兆端口,那么调试时的接口名称就是:e0/0/*如果是千兆端口,那么调试时的接口名称就是:g0/0/*
华为交换机开局配置
eighteenxu的博客
10-23 4029
sysname SWITCH aaa undo local-aaa-user password policy administrator local-user admin password irreversible-cipher admin local-user admin privilege level 1 local-user admin service-type terminal ssh ...
实战篇【4】-HUAWEI防火墙开局基础配置
weixin_47402139的博客
03-06 1096
本篇文章为“HUAWEI防火墙开局基础配置”,主要涵盖配置管理地址、聚合端口、安全区域、安全策略、静态路由、ACL,WEB和SSH远程管理、Console、SNMP、NTP时钟、日志主机等内容,对比交换机配置开局,增加两处配置,安全区域和安全策略。方便调试人员远程管理、调试。 区别于“H3C交换机开局基础配置”只是厂商间命令形式的差别,功能实现上一致;
防火墙基本配置
www2394494550的博客
05-15 1263
防火墙基础配置,不同区域互通
深信服防火墙对接奇安信防火墙IPsecVPN
cainiaoshi1122的博客
04-18 1015
奇安信防火墙对接深信服防火墙IPsecVPN
PermissionError: [WinError 5] 拒绝访问。: 'd:\\anaconda\\lib\\site-packages\\twisted-23.10.0.dist-info\\direct_url.json'
05-04
PermissionError: [WinError 5] 拒绝访问。是一个Windows系统的错误提示,表示当前用户没有足够的权限来访问指定的文件或目录。这个错误通常发生在以下情况下: 1. 当前用户没有对该文件或目录的读取、写入或执行权限。 2. 文件或目录被其他程序或进程占用,导致无法访问。 3. 文件或目录被设置为只读属性,而当前用户没有修改权限。 解决这个问题的方法有以下几种: 1. 以管理员身份运行程序:右键点击程序图标,选择“以管理员身份运行”,然后再次尝试访问文件或目录。 2. 修改文件或目录的权限:右键点击文件或目录,选择“属性”,在“安全”选项卡中修改当前用户的权限,确保具有足够的读取、写入和执行权限。 3. 关闭占用该文件或目录的程序或进程:使用任务管理器或其他工具关闭占用该文件或目录的程序或进程,然后再次尝试访问。 4. 修改文件或目录的属性:右键点击文件或目录,选择“属性”,取消只读属性,然后再次尝试访问。 希望以上解决方法能够帮助到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值