防火墙nat与智能选路

最新推荐文章于 2024-09-16 15:03:26 发布
最新推荐文章于 2024-09-16 15:03:26 发布
阅读量856 收藏 13
点赞数 16
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72286569/article/details/140418308
版权

这里写目录标题

此实验是基于上个实验的基础上添加功能

上个实验连接

拓扑

在这里插入图片描述

1办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

首先在fw1防火墙创建电信和移动两个安全区域,并且将对应的接口划分进去

1.电信区域
在这里插入图片描述
在这里插入图片描述
2.移动区域
在这里插入图片描述
在这里插入图片描述

配置nat

1.添加源地址池
在这里插入图片描述
2.配置nat
在这里插入图片描述
3.配置安全策略
在这里插入图片描述

测试

在这里插入图片描述

分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

配置fw2防火墙

将对应接口配置IP地址并且划分到相应的区域
在这里插入图片描述
在这里插入图片描述

配置nat策略

fw2配置

1.新建源地址转换
在这里插入图片描述
2.nat策略
在这里插入图片描述
3.安全策略
在这里插入图片描述

fw1配置

在这里插入图片描述
nat策略
在这里插入图片描述
安全策略
在这里插入图片描述

测试

在这里插入图片描述

多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

1.修改电信,移动接口的配置
在这里插入图片描述
在这里插入图片描述
2.创建链路接口
2.1 移动链路接口
在这里插入图片描述
2.2电信链路接口
在这里插入图片描述
3配置选路策略
在这里插入图片描述

4.配置策略路由
在这里插入图片描述
在这里插入图片描述

分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器

在FW2上面做目标NAT,让公网设备也可以通过域名访问到分公司内部服务器

1.配置nat
在这里插入图片描述

2.安全策略
在这里插入图片描述

测试

在这里插入图片描述

配置nat使得公司内部的客户端可以通过域名访问到内部的服务器

1.配置nat
在这里插入图片描述
2.配置安全策略
注意:在同一个区域无需再做安全策略来放通流量

测试

在这里插入图片描述

游客区仅能通过移动链路访问互联网

1.配置nat
在这里插入图片描述
2.配置安全策略
在这里插入图片描述

测试

当没有禁用电信链路的时候可以访问,当禁用了之后无法访问
在这里插入图片描述

勤劳的鼹鼠
关注
ensp中的智能选路
earthtoearth的博客
06-17 461
1、设置各连接接口及LOOPBACK口IP,其中loopback口设定为内外(10.1.0.0/24)和外网1(150.1.0.0/24)、外网2(130.1.0.0/24)a、在整个区域启用ospf并宣告网络(此处省略............)a、采用“链路带宽负荷分担”方式新建两个链路接口。2、在防火墙上设置NAT转换easy-ip。在ensp中通过防火墙实现智能选路。5、验证内网能够ping通外网。3、在防火墙设置安全策略。b、在防火墙引入默认路由。1、web界面中的设置。
防火墙NAT智能选路实验详解(华为)
m0_64365018的博客
07-13 1177
从我上面一个博客能够了解到NAT防火墙选路原理 ——>防火墙nat智能选路,这一章我通过实验来详解防火墙关于nat智能选路从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1、ensp模拟器进行实验。
华为防火墙nat智能选路配置
m0_65350813的博客
07-14 345
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器。11,游客区仅能通过移动链路访问互联网。11,游客区仅能通过移动链路访问互联网。配置电路链路IP和移动链路Ip。
防火墙NAT智能选路
qq_67758645的博客
07-14 964
防火墙配置DNS透明代理功能后,对于命中DNS透明代理策略的DNS请求报文,防火墙会根据DNS请求报文选择的出接口,修改请求报文的目的地址(DNS服务器地址),即将其修改为其他ISP内的DNS服务器地址,DNS请求被转发到不同的ISP,解析后的Web服务器地址也就属于不同的ISP,所以上网流量将通过不同的ISP链路转发,充分利用了所有链路资源。五元组NAT --- 通过源IP,源端口,目标IP,目标端口,协议五个参数来标定一次NAT的转 换,如果任何一个参数发生变化,都需要更换端口来进行转换。
防火墙--NAT智能选路的一些知识
banliyaoguai的博客
07-13 1219
如果是同一网段的公网地址走的是直连路由,再进行转发的时候可以类比网关转用ARP发数据包给别人,但是网关是要不到MAC的,所以就没有办法转发,所以就没有转发就不会成环。你访问的节点到底是电信还是移动,看人家DNS服务器给你的是哪个,比如说你去访问百度,然后你的DNS服器务是电信DNS的就给你的是百度在电信布置的节点,如果是移动的就给你移动的节点,DNS透明代理就是改变这个情况。根据访问的节点所在的运营商选择对应的运营商线路,当你想要访问电信的节点的时候要走电信的链路显然更近一些,走移动的链路明显就走远了。
防火墙--智能选路,主备模式,双机热备(详解)
weixin_65476290的博客
07-21 982
各场景过程分析。
01-防火墙智能选路
qianlai22的博客
03-20 8631
网络出口经常会部署多条出口链路,以增加出口的带宽和可靠性。如果不能够将流量合理的分配到链路上,可能会导致网络出现拥塞,访问速度变慢,链路资源得不到充分利用以及跨运营商访问等问题。 当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽、权重和优先级自动探测链路质量并动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验。 1.智能选路应用场景 多出口选路存在的问题 智能选路解决的问题 智能选路功能组件 智能选路选路功能根据不同的需求,可以实现基于全局选路策略的选
华为防火墙实现多线路智能选路
weixin_34405332的博客
04-24 7066
分公司因项目需要,上线一台华为的防火墙,为了保障互联网出口的可用性,使用了两条SP链路,一条联通50M企业专线,一条电信200M拨号链路。项目的需求是:1. 连接到总部的×××流量,优先使用联通线路;2. 用户上网的流量,优先使用电信线路;3. 当一条公网链路出现故障时,能自动进行切换。需求出来后,就需要进行实施了,怎么实现需求呢:1. 需置两条链路都要能上网2. 配置健康状...
华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT_防火墙多出口nat配置_文件皆一印的博客-CSDN博客.mhtml
04-07
华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT_防火墙多出口nat配置_文件皆一印的博客-CSDN博客.mhtml
4.网络编程
weixin_45476535的博客
09-14 462
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
centos下nvme over rdma 环境配置
一名运维开发工程师的日常记录
09-13 484
RDMA(全称:Remote Direct Memory Access)是一种远程直接内存访问技术,通过在硬件中实现传输层协议,将内存/消息原语接口暴露至用户空间,通过绕过CPU和内核网络协议栈来实现高吞吐和低延迟的网络。RoCE(RDMA over Converged Ethernet)是一种允许通过以太网使用远程直接内存访问(RDMA)的网络协议。关于什么是NVMe over Fabrics,什么是NVMe over RDMA,本文就不做介绍了,网上资料一大堆。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 188
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
【C++】【网络】【Linux系统编程】单例模式,加锁封装TCP/IP协议套接字
最新发布
2301_79796701的博客
09-16 952
给系统,表明这个套接字所期望的、还未处理的(即还在等待被接受的连接)连接请求的最大队列长度。换句话说,它告诉系统内核为这个套接字分配多大的空间来存储尚未处理的连接请求。有关套接字编程的细节和更多的系统调用课参考《UNIX环境高级编程》一书,可以在如下网站搜索电子版,该书在第16章详细的介绍了各种接口。我们可以根据自己的需求,用面向对象的思想封装出接口简洁的类。在类似添加一个该类类型的指针,该指针是静态的并且是私有成员。结构体填充,为了使不同的地址格式能和套接字绑定,需要把对应的结构体强转成通用地址结构。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-11 940
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
【计算机网络 - 基础问题】每日 3 题(七)
Newin2020的博客
09-16 850
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
iptables实现内外网ip转换
m0_67475830的博客
09-13 480
准备三台虚拟机。
网络安全宣传周 | DNS安全威胁与应对措施分享
weixin_53018687的博客
09-12 1145
然而,DNS协议在设计初期只注重功能的实现,未充分考虑安全验证机制,缺乏有效的安全防御手段,DNS协议数据包往往能够在网络中畅通无阻,为攻击者提供了可乘之机,这一天生的设计缺陷使得DNS系统天然地成为了安全领域的薄弱环节。DNS劫持:DNS劫持是指攻击者通过篡改DNS解析结果,将用户的流量重定向到不同的IP地址,通常是恶意网站。DNS泛洪攻击:DNS洪泛攻击是一种拒绝服务攻击,攻击者通过发送大量的DNS请求,通常是伪造的或毫无意义的查询,消耗DNS服务器的资源,使其无法响应合法的查询请求。
C#使用TCP-S7协议读写西门子PLC(三)
ylq1045的专栏
09-11 826
这里我们进行封装读写西门子PLC的S7协议命令以及连接西门子PLC并两次握手 新建部分类文件SiemensS7ProtocolUtil.ReadWrite.cs 主要方法: 连接西门子PLC并发送两次握手。两次握手成功后,才真正连接到PLC public OperateResult ConnectPlcAndHandshake(SiemensPlcCategory siemensPlcCategory, IPEndPoint endPoint, int timeout = 3000) 生成一个写入字节数据
传统DSN和智能选路DNS对比
06-06
传统DNS和智能选路DNS的主要区别在于解析方式和解析结果。 1. 解析方式:传统DNS采用固定的解析方式,将请求转发到最近的DNS服务器,并依次向上递归查询最终结果。而智能选路DNS则采用智能路由方式,通过分析用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值