华为防火墙对ospf的处理

已于 2022-03-23 08:55:23 修改
阅读量4.8k 收藏 1
点赞数 3
分类专栏: HCIA/HCIP sercurity 文章标签: 华为 网络 负载均衡
于 2022-03-03 18:15:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/123260675
版权
博客讨论了不同防火墙如何处理OSPF协议,特别是DD报文在建立full关系过程中的作用。由于DD报文是单播,可能被防火墙拦截,而其他报文作为组播则相对安全。在华为防火墙上,需要手动放行local到local区域的流量以允许OSPF运行。实验表明,物理机上的防火墙可能阻止相关流量,而在模拟环境中如ENSP,则通常不会遇到此问题。
摘要由CSDN通过智能技术生成

不同防火墙对ospf的处理不一样,因为OSPF在建立full关系的过程的时候,DD报文之间的交互是单播所以可能会被阻拦,其他的报文是组播报文,因为只有开启ospf的路由器才会去响应组播报文,所以华为就没有去阻拦相应的组播报文
在ospf中的DD报文需要放行,在某些防火墙上否则会出现exstart的状态
虚拟化防火墙不需要放行,新版的AI防火墙6000需要手工放行只要将local到local区域之间的流量放行之后就行了
在ensp上进行ospf的实验,或者其他的动态路由协议的实验,我们会发现防火墙会一下子就建立起相互的邻居关系。但是在物理机上防火墙可能会阻挡对应的流量。
 

华为HCIP实战课程七】OSPF邻居关系排错MTU问题,网络工程师
Bert_Wang的博客
10-07 581
R3和SW1都开启MTU检测后,此时R3和SW1一直处于ExStart状态或exchange状态,不是two-way状态,导致无法建立ospf邻居关系![R3-GigabitEthernet0/0/1]ospf mtu-enable //手动开启MTU检测。[R3-GigabitEthernet0/0/1]mtu 1503//更改R3的MTU为1503。p2p Specify OSPF point-to-point network//点到点。2、ospf网络类型(为了适应不同的介质的封装类型)
防火墙上设置ospf路由linux,华为防火墙和路由器之间运行OSPF协议配置案例(可跟做)...
weixin_36285392的博客
05-15 2110
防火墙的动态路由 防火墙和一台路由器之间配置OSPF过程如下:FW1:ospf 1 router-id 10.10.10.10 ----------RID不能相同area 0.0.0.0network 202.100.1.0 0.0.0.255 ---------采用通配符方法network 10.10.10.10 0.0.0.0放行OSPF安全策略 默认情况防火墙放行组播的报文,...
防火墙学习2---防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
最新发布
weixin_48030849的博客
05-12 771
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。一、组网需求如下图所示,两台FW的业务接口都工作在三层,上行连接路由器,下行连接二层交换机。FW与路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
防火墙 ospf
qq_45080888的博客
08-18 427
在这里插入图片描述2.配置OSPF3.创建各个区域4.域间改后更改域间更改域间后。
华为防火墙OSPF配置实验
qq_45049184的博客
11-01 7292
1.SW1、SW2、OUT和FW之间通过OSPF实现路由互通2.OUT路由器上配置easy ip,使SW1和SW2的loopbach接口可以访问外网注:本实验是基于华为USG5500设备实验拓扑图如下。
由于OSPF防环检查导致的虚拟防火墙学习不到OSPF路由的案例
cisco_eigrp的博客
07-29 6653
现网时不时会出现虚拟防火墙学习不到OSPF路由的情况,明明路由邻居建立起来了,状态也full了, 但是始终学习不到相关的路由。 从现网问题处理的经验来看,虚拟防火墙OSPF学习不到路由经常是因为OSPF防环机制导致的。 可以尝试用vpn-instance-capability simple禁止OSPF防环检测。   一、 vpn-instance-capabilit
华为防火墙和路由器之间运行OSPF协议配置案例
热门推荐
苦苦的潜行者
07-27 1万+
转载自https://blog.51cto.com/13817711/2483789?source=dra 防火墙的动态路由  防火墙和一台路由器之间配置OSPF过程如下: FW1: ospf 1 router-id 10.10.10.10 ----------RID不能相同 area 0.0.0.0 network 202.100.1.0 0.0.0.255 ---------采用通配符方法 network 10.10.10.10 0.0.0.0 放行OSPF安全策略.
防火墙允许ospf协议、icmp协议通过案例
weixin_62693307的博客
06-27 2610
流量的安全策略(这里是必须要设置的,其它的协议也是要设的,如。开启所有图形化界面(其中包括了。开启所有图形化界面(其中包括了。如果一个防护墙在两个。区域的中间,配置可以。这种功能和其它功能)这种功能和其它功能)
华为防火墙技术漫谈_针对OSPF协议…
荆盼的博客
08-18 4364
FW配置(USG600v) firewall zone untrust  set priority 5  add interface GigabitEthernet1/0/0   ospf 1  area 0.0.0.1   network 192.168.0.0 0.0.0.255     R1配置 ospf 1   area 0.0.0.1    network 19...
防火墙_动态路由-OSPF
yuxue_cn的博客
05-26 1202
防火墙_动态路由-OSPF 一、网络拓扑图 二、需求描述 USG-A与USG-B之间通过配置动态路由OSPF使全网进行互通。 USG-A与USG-B之间OSPF使用MD5进行加密,密钥使用venustech。 三、实验步骤: 1.配置USG-A。 在USG-A上,将接口eth1、eth2配置为路由模式,并配置所需的IP地址 配置一条全通安全策略 进入OSPF配置界面,将接口eth1、eth2认证方式配置为MD5,密钥设为venustech 配置OSPF 2.配置防火墙USG-B。 在USG-
基于OSPF路由协议的防火墙(基本功能)
qq_44751470的博客
06-18 4074
示例图 一、实验目的 1.配置基于OSPF路由协议的防火墙 二、注意事项 1.由于使用的是OSPF路由协议,防火墙本身要处理、响应报文,所以要开启 Local区域到其他接口加入的相应区域的安全策略,也要开启其他接口加入 的相关区域到Local的安全策略 三、防火墙的安全区域 1.Trust 区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络 2.DMZ 区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络 3.Untrust 区域,该区域代表的是不受信任的网络,通常用
华为ospf配置实例,实验操作
02-21
华为ospf路由配置实例操作
防火墙 配置OSPF,创建各个区域
08-17
防火墙 配置OSPF,创建各个区域
华为ensp之OSPF(S5700).pdf
06-05
华为ensp之OSPF(S5700).pdf华为ensp之OSPF(S5700).pdf华为ensp之OSPF(S5700).pdf华为ensp之OSPF(S5700).pdf华为ensp之OSPF(S5700).pdf华为ensp之OSPF(S5700).pdf华为ensp之OSPF(S5700).pdf华为ensp之OSPF(S5700).pdf
思科路由器与华为路由器防火墙OSPF.pdf
06-12
思科路由器与华为路由器防火墙OSPF.pdf思科路由器与华为路由器防火墙OSPF.pdf思科路由器与华为路由器防火墙OSPF.pdf思科路由器与华为路由器防火墙OSPF.pdf思科路由器与华为路由器防火墙OSPF.pdf思科路由器与华为...
华为防火墙分流选路ensp实验
08-11
实验链接 https://blog.csdn.net/qq_30755261/article/details/126294507 华为防火墙分流实验,特定VLAN指定出接口 ensp项目包
华为ensp之OSPF(S5700).docx
06-05
华为的ENSP(Enterprise Network Simulation Platform)环境中,OSPF配置是构建和模拟企业网络的重要环节。本篇将详细介绍在华为S5700系列交换机上配置OSPF的基本步骤。 首先,我们需要了解OSPF的基本概念。OSPF...
华为防火墙介绍和原理,配置详细解析
外游者
12-27 3722
在出向外网的流量中,我们使用默认路由来指定默认的出口,并且使用nat地址转换,而在外网中,我们使用ISIS协议来进行路由的学习和更新,让外网可以访问到dmz非军事化区域的server1服务器。并进行NAT转换,实现了内部IP地址和外部IP地址之间的映射,以便内部网络可以与外部网络进行通信。网络地址转换(NAT):防火墙可实现网络地址转换,将内部私有IP地址转换成公共IP地址,以隐藏网络拓扑结构,增加网络安全性。确定安全需求:根据企业的安全需求和策略,确定防火墙的配置目标和规则。
导致ospf邻居建立失败的原因
weixin_43162437的博客
07-29 1673
在组网过程中常常会用到ospf协议,在使用的过程中,我们常会遇见ospf建立不起来的情况,由于原因众多,常常在排障时焦头烂额,针对这个情况,进行了ospf邻居建立失败的原因的总结。华为设备默认不开启MTU值检测,但是在遇到华为与其他厂商设备对接建立ospf时,必须在两台设备上同时开始MTU检测,或同时关闭MTU检测,否则会导致ospf邻居建立失败。在MA网络中,需要选出DR,BDR,当设备优先级都为0时,说明所有设备不参加DR,BDR,的选举,也就导致ospf林记建立失败。4.掩码不一致(MA网络中)
防火墙配置ospf放通流量
08-27
要配置防火墙放通OSPF流量,首先需要了解不同防火墙OSPF处理方式。在建立OSPF邻居关系的过程中,DD报文之间的交互是单播,可能会被防火墙阻拦。而其他报文是组播报文,只有开启OSPF的路由器才会响应组播报文,因此华为防火墙没有阻拦相应的组播报文。所以,需要确保DD报文能够通过防火墙。 对于虚拟化防火墙,一般不需要额外配置,而新版的AI防火墙6000需要手动放行流量。只需要将local到local区域之间的流量放行即可。 在进行OSPF实验时,使用ensp或其他动态路由协议时,我们可能会发现防火墙会立即建立相互的邻居关系。但在物理机上,防火墙可能会阻挡相应的流量。因此,需要根据实际情况调整防火墙配置,确保OSPF流量能够顺利通过。 要配置防火墙放通OSPF流量,可以按照以下步骤进行操作: 1. 首先,确定防火墙支持OSPF协议,并开启相应的功能。 2. 然后,查看防火墙的规则配置,确保DD报文能够通过防火墙,如果有需要,手动放行DD报文的单播流量。 3. 对于华为防火墙,确保组播报文能够通过,不会被阻拦。 4. 如果使用的是新版的AI防火墙6000,需要手工放行local到local区域之间的流量。 5. 根据实际情况,调整防火墙的配置,确保OSPF流量能够正常通过。 需要注意的是,防火墙的配置可能会因不同厂商、不同型号而有所差异,具体配置步骤可能会有所不同。因此,在实际操作中,应根据厂商提供的文档或咨询相应的技术支持人员,了解具体的配置步骤和注意事项。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [华为防火墙ospf处理](https://blog.csdn.net/qq_47529104/article/details/123260675)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [出口路由或防火墙上配置ospf和内网打通后配全网ospf默认路由](https://blog.csdn.net/ydaxia110/article/details/116544799)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值