网络安全笔记

最新推荐文章于 2023-06-03 09:21:22 发布
最新推荐文章于 2023-06-03 09:21:22 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 网络安全 计算机网络原理 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48127509/article/details/120327300
版权

(一)、使不同vlan进行通信的方法

1.创建3层vlan接口

创建如图1所示的拓扑结构图1
命令如下:

u t m    
s y s			//进入系统模式
s y s LSW1        //命名路由器
vlan batch 10 20		//划分vlan,分别为vlan 10和vlan 20
int e0/0/1		//进入1号口
port link-type access		//vlan接口为access口
port default vlan 10			//将端口加入vlan 10中
int e0/0/2		//按照同样方法配置好2号口
port link-type access
port default vlan 20

此时已经划分好vlan,PC1和PC2无法ping通。我们需要配置三层vlanif接口来实现互通。

int e0/0/3
port link-type trunk		//vlan接口为trunk口
port trunk allow-pass vlan 10 20		//允许vlan 10和vlan 20通过

在LSW2中:

u t m
s y s
s y s LSW2
vlan batch 10 20
int Vlanif 10		//进入vlan 10接口
ip address 192.168.1.1 255.255.255.0		//设置当前vlan的ip地址,前面是网关,后面是子网掩码
int Vlanif 20
ip address 192.168.2.1 255.255.255.0

(最后记得配置PC1和PC2的网关)

2.单臂路由:使用逻辑接口

图2
还是按照同上的方法配置好vlan 10和vlan 20
之后开始配置单臂路由

u t m
sys
sys AR4
int g0/0/0.20		//配置单臂路由,逻辑接口最好与vlan一致
dot1q termination vid 20		//该接口在收到vlan tag(vlan 20)的报文时,将剥离tag进行三层转发;在发送报文时,会添加该接口对应的vlan tag(vlan 20)
ip address 192.168.2.1 255.255.255.0		//添加网关和子网掩码
arp broadcast enable
q
int g0/0/0.10
dot1q termination vid 10
ip address 192.168.1.1 255.255.255.0
arp broadcast enable		//开启ARP广播

(我在CSDN上看到其他大佬写的比我好不知道怎么引用过来hhh,可以去收藏夹翻一翻有一个叫[华为路由器:单臂路由实验],写的很详细)
例1:拓扑结构如下所示,分别用三层vlanif接口和单臂路由实现不同vlan之间的通信
例1图片

(二)、RSTP配置实现

在复杂的二次网络中,为了防止环路生成,可以在交换机上部署生成树协议(STP)。
为了解决STP收敛速度慢的问题,提出RSTP(rapid)。
建立如下拓扑结构
在这里插入图片描述
不需要划分vlan,只要保证PC1和PC2能通就行。
对于LSW1:

stp enable		//开始生成树的计算
stp mode rstp		//配置设备工作模式
stp root primary		//配置当前交换设备为指定生成树的根桥

查看生成树信息:
display stp brief
在这里插入图片描述
display stp
在这里插入图片描述
对于LSW2:

stp enable
stp mode rstp
stp bpdu-protection		//开启BPDU保护功能,通过undo stp bpdu-protection取消
int g0/0/4
stp edged-port enable		//配置的接口不参与生成树的计算,可以转发BPDU也可以接受BPDU

对于LSW3:

stp enable
stp mode rstp
stp bpdu-protection 
int g0/0/4
stp edged-port enable

查看生成树信息:
display stp brief
在这里插入图片描述

(三)、MSTP配置实现

由于RSTP只能生成一棵树,有许多弊端,提出MSTP。

(四)、RIP

(五)、OSFP

1.多区域OSPF

建立如下拓扑结构图
OSPF协议拓扑图
先配置各路由器的ip地址
以AR1为例(路由器的标号是多少,就把对应ip地址设为多少,方便记忆)

int g0/0/0
ip address 10.1.12.1 24
int g0/0/1
ip address 10.1.13.1 24

其余的同理
注意lookback接口的配置
以AR5为例

int g0/0/2
ip address 10.1.35.5 24
int loo0
ip address 192.168.2.5 24

再配置OSPF协议
以AR1为例,剩下同理

ospf 1 router-id 1.1.1.1//router-id 几号交换机就命名为几
area 0//写明域
network 10.1.12.0 0.0.0.255//network连接的网段以及子网掩码的反码
network 10.1.13.0 0.0.0.255

注意AR2和AR3是区域边界路由器(ABR),需要进两个域分别network。

2.OSPF和RIP协议重发布

在这里插入图片描述

前面的配置和1相同。主要思路就是,分别配置好ospf和rip,在AR4分别进入ospf配置rip,以及在rip上配置ospf(因为AR4两个协议都有)
具体命令如下

ospf1
import-route rip
rip
import-route ospf

(六)网络安全隔离技术

1.ACL

在这里插入图片描述
AR1:

int g0/0/0
ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.254 24  //注意这里的地址是网关地址
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[AR1-GigabitEthernet0/0/2]int g6/0/0
[AR1-GigabitEthernet6/0/0]ip add 192.168.12.6 24  //两个路由器是直连的,只需给端口设置IP地址就行

//rip和OSPF都可以
[AR1]rip
[AR1-rip-1]version 2
[AR1-rip-1]network 192.168.1.0
[AR1-rip-1]network 192.168.2.0
[AR1-rip-1]network 192.168.3.0
[AR1-rip-1]network 192.168.12.0

AR2

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 192.168.12.2 24
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 192.168.4.254 24
[AR2-GigabitEthernet0/0/1]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip add 192.168.23.2 24

[AR2]rip
[AR2-rip-1]version 2
[AR2-rip-1]network 192.168.12.0 
[AR2-rip-1]network 192.168.5.0
[AR2-rip-1]network 192.168.23.0

AR3

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 192.168.23.3 24
[AR3-GigabitEthernet0/0/0]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 192.168.5.254 24
[AR3-GigabitEthernet0/0/1]int g0/0/2
[AR3-GigabitEthernet0/0/2]ip add 192.168.6.254 24

配通以后,可以书写相应的ACL命令

2.NAT

建立如图所示的拓扑结构
在这里插入图片描述
ISP

[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 200.10.10.2 24  //还是配端口的ip地址
[ISP-GigabitEthernet0/0/0]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 11.11.11.254 24  //同上

AR1

[AR1-GigabitEthernet0/0/0]ip add 200.10.10.3 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat server protocol tcp global 200.10.10.1 www inside 
192.168.1.1 80 //在需要转接的端口配置nat
[AR1-GigabitEthernet0/0/0]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 200.10.10.2

在AR1的1端口抓包,得到如下结果
在这里插入图片描述
可以看出,经过AR1的1号端口,数据包的源地址为192.168.1.1

在AR1的0端口抓包,得到如下结果
在这里插入图片描述
可以看出,在通信过程中,由AR1出去的数据包,地址已经变成200.10.10.1

3.防火墙

在这里插入图片描述

[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 10.1.1.254 24
[FW-GigabitEthernet1/0/0]int g1/0/1
[FW-GigabitEthernet1/0/1]ip add 1.1.1.254 24

[FW]firewall zone trust
[FW-zone-trust]add int g1/0/0
[FW-zone-trust]firewall zone untrust 
[FW-zone-untrust]add int g1/0/1
[FW-zone-untrust]q
[FW]security-policy
[FW-policy-security]rule name t_u
[FW-policy-security-rule-t_u]source-zone trust
[FW-policy-security-rule-t_u]destination-zone untrust
[FW-policy-security-rule-t_u]source-address 10.1.1.0 24
[FW-policy-security-rule-t_u]action permit

此时PC1 ping PC2能通,但是倒过来不能,还需要反着搞一下

4.在防火墙上配置源NAT

在这里插入图片描述

Huawei]sys AR!
[AR!]int g0/0/0
[AR!-GigabitEthernet0/0/0]ip add 1.1.1.254 24
[AR!-GigabitEthernet0/0/0]int g0/0/1
[AR!-GigabitEthernet0/0/1]ip add 11.11.11.1 24
[AR!-GigabitEthernet0/0/1]undo ip add 11.11.11.1 24
[AR!-GigabitEthernet0/0/1]ip add 11.11.11.254 24
[AR!-GigabitEthernet0/0/1]q
[AR!]ip route-static 1.1.1.10 255.255.255.255 1.1.1.1
[AR!]ip route-static 1.1.1.11 255.255.255.255 1.1.1.1

[USG6000V1]sys Fw1
[Fw1]int g1/0/1
[Fw1-GigabitEthernet1/0/1]ip add 10.1.1.254 24
[Fw1-GigabitEthernet1/0/1]int g1/0/2
[Fw1-GigabitEthernet1/0/2]ip add 1.1.1.1 24
[Fw1-GigabitEthernet1/0/2]q
[Fw1]firewall zone trust
[Fw1-zone-trust]add int g1/0/1
[Fw1-zone-trust]firewall zone untrust
[Fw1-zone-untrust]add int g1/0/2
[Fw1-zone-untrust]q
[Fw1]security-policy
[Fw1-policy-security]rule name t_u
[Fw1-policy-security-rule-t_u]source-zone trust
[Fw1-policy-security-rule-t_u]destination-zone untrust
[Fw1-policy-security-rule-t_u]source-address 10.1.1.0 24
[Fw1-policy-security-rule-t_u]action permit
[Fw1-policy-security-rule-t_u]q
[Fw1-policy-security]q
[Fw1]nat address-group addressgroup1
[Fw1-address-group-addressgroup1]section 0 1.1.1.10 1.1.1.11
[Fw1-address-group-addressgroup1]nat-policy
[Fw1-policy-nat]rule name policy_nat_1
[Fw1-policy-nat-rule-policy_nat_1]source trust
[Fw1-policy-nat-rule-policy_nat_1]undo source trust
[Fw1-policy-nat-rule-policy_nat_1]source-zone trust
[Fw1-policy-nat-rule-policy_nat_1]destination-zone untrust
[Fw1-policy-nat-rule-policy_nat_1]source-address 10.1.1.0 24
[Fw1-policy-nat-rule-policy_nat_1]action source-nat address-group addressgroup1
[Fw1-policy-nat-rule-policy_nat_1]q
[Fw1-policy-nat]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
[Fw1]ip route-static 1.1.1.10 255.255.255.255 NULL0
[Fw1]ip route-static 1.1.1.11 255.255.255.255 NULL0

GRE

在这里插入图片描述

[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 1.1.1.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[FW1-GigabitEthernet1/0/0]q
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/0
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]q
[FW1]nat-policy
[FW1-policy-nat]rule name nat
[FW1-policy-nat-rule-nat]source-zone trust
[FW1-policy-nat-rule-nat]destination-zone untrust
[FW1-policy-nat-rule-nat]source-address 192.168.1.0 24
[FW1-policy-nat-rule-nat]action source-nat easy-ip
[FW1-policy-nat-rule-nat]q
[FW1-policy-nat]q
[FW1]ip route-static 0.0.0.0 0 1.1.1.2
[FW1]int Tunnel 1
[FW1-Tunnel1]tunnel-protocol gre
[FW1-Tunnel1]ip add 192.168.12.1 24
[FW1-Tunnel1]source 1.1.1.1
[FW1-Tunnel1]destination 5.5.5.5
[FW1-Tunnel1]q
[FW1]firewall zone untrust
[FW1-zone-untrust]add int tunnel1
[FW1-zone-untrust]dis th
[FW1]ip route-static 192.168.2.0 24 tunnel1
[FW1]security-policy
[FW1-policy-security]rule name t_u
[FW1-policy-security-rule-t_u]source-zone trust
[FW1-policy-security-rule-t_u]destination-zone untrust
[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24
[FW1-policy-security-rule-t_u]action permit
[FW1-policy-security-rule-t_u]q
[FW1-policy-security]rule name u_t
[FW1-policy-security-rule-u_t]source-zone untrust
[FW1-policy-security-rule-u_t]destination-zone trust
[FW1-policy-security-rule-u_t]source-address 192.168.12.0 24
[FW1-policy-security-rule-u_t]action permit
[FW1-policy-security-rule-u_t]q
[FW1-policy-security]rule name gre
[FW1-policy-security-rule-gre]source-zone untrust
[FW1-policy-security-rule-gre]destination-zone local
[FW1-policy-security-rule-gre]service protocol 47
[FW1-policy-security-rule-gre]action permit


[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 5.5.5.2 24
[AR1-GigabitEthernet0/0/1]int loo0
[AR1-LoopBack0]ip add 8.8.8.8 32

[FW2]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 5.5.5.5 24
[FW2-GigabitEthernet1/0/1]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 192.168.2.254 24
[FW2-GigabitEthernet1/0/0]q
[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/0
[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add int g1/0/1
[FW2-zone-untrust]q
[FW2]nat-policy
[FW2-policy-nat]rule name nat
[FW2-policy-nat-rule-nat]source-zone trust
[FW2-policy-nat-rule-nat]destination-zone untrust
[FW2-policy-nat-rule-nat]source-address 192.168.2.0 24
[FW2-policy-nat-rule-nat]action source-nat easy-ip
[FW2-policy-nat-rule-nat]q
[FW2-policy-nat]q
[FW2]ip route-static 0.0.0.0 0 5.5.5.2
[FW2]int tunnel1
[FW2-Tunnel1]tunnel-protocol gre
Warning: After this tunnel encapsulation protocol was configured, the MTU and ot
her parameter settings of the tunnel were deleted.
[FW2-Tunnel1]ip add 192.168.12.2 24
[FW2-Tunnel1]source 5.5.5.5
[FW2-Tunnel1]destination 1.1.1.1
[FW2-Tunnel1]q
[FW2]ip route-static 192.168.1.0 24 tunnel1
[FW2]security-policy
[FW2-policy-security]rule name t_u
[FW2-policy-security-rule-t_u]source-zone trust
[FW2-policy-security-rule-t_u]destination-zone untrust
[FW2-policy-security-rule-t_u]source-address 192.168.2.0 24
[FW2-policy-security-rule-t_u]action permit
[FW2-policy-security-rule-t_u]q
[FW2-policy-security]rule name u_t
[FW2-policy-security-rule-u_t]source-zone untrust
[FW2-policy-security-rule-u_t]destination-zone trust
[FW2-policy-security-rule-u_t]source-address 192.168.12.0 24
[FW2-policy-security-rule-u_t]action permit
[FW2-policy-security-rule-u_t]q
[FW2-policy-security]rule name gre
[FW2-policy-security-rule-gre]source-zone untrust
[FW2-policy-security-rule-gre]destination-zone local
[FW2-policy-security-rule-gre]service protocol 47
[FW2-policy-security-rule-gre]action permit
[FW2-policy-security-rule-gre]q
[FW2]ip route-static 192.168.1.0 24 tunnel1
[FW2]firewall zone untrust
[FW2-zone-untrust]add int tunnel1
[FW2-zone-untrust]q
谁的影子与树
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
含有vlan的二层、三层转发原理
Tasdily的博客
03-11 6920
开门见山,含有vlan的二层转发原理文字描述和流程图如下: 基于Vlan的二层转发流程主要包括:确定和查找Vlan、查找和学习源MAC、查找目的MAC并转发数据帧。 1) 确定和查找Vlan:交换机端口接收到一个数据帧,首先通过TPID值判断该帧是否带标签[1]。 若是tagged帧,且Vid≠0,则在端口所属的Vlan表中查找该帧标签中的Vid是否存在,若存在,则进入下一步,否则丢弃该帧...
Vlan与三层交换机
m0_56509725的博客
06-02 295
1.在交换机接收数据帧的候,如果不携带标签,则打上pvid,判断vlan list 是否允许通过,如果携带标签到另一台交换机,则判断vlanid属于那个接入类型的接口,匹配,则转发到指定的接口。2.进入端口e0/0/1 (其余端口e0/0/3及交换机2中的 e0/0/2 e0/0/4也同理)int g0/0/0.10(基于g/0/0/0创建的一个.10的虚拟接口)同理.20 .30。同理接口e/0/0/2;e/0/0/4 配置 也如此。2.进入接口 :int e0/0/2 (e/0/03;
vlanif会对报文打tag吗?
qq_45049184的博客
03-06 1877
今天在做实验由于对vlanif口不熟悉,导致实验出错了,怎么着都找不到原因。后来发现是vlanif没设置好,导致三层交换机数据们不能被识别就对vlanif包括vlan方面的知识做了详细了解。
VLAN的原理与通信标签的变化
Nocker888的博客
02-27 1052
假想一个拓扑图,和环境 在上图拓扑中,SWA和SWB连接主机的端口为Access端口,PVID都为10 SWA和SWB互连的端口为Trunk端口,pvid =10,此Trunk链路允许所有VLAN的流量通过,当SWA转发VLAN10也就是PC-A的数据帧会剥离VLAN标签,然后发送到Trunk链路上。而在转发VLAN20-PCB的数据帧,不剥离VLAN标签直接转发到Trunk链路上。 也就...
三层交换机及其小实验
whtqwq的博客
06-03 478
交换机查找FIB表寻找目标IP与接口,再查找邻接关系表寻找目的MAC地址与接口,找到就在对应借口传输,找不到则ARP泛洪广播。第一步:数据传输进来之后,解析数据包,从数据包中提取处目标MAC地址和源MAC地址,以及目标ip地址和源ip地址。接收到的数据包的源ip不在转发表中,交换机会将源IP地址和对应的接口添加到转发表中,目的ip也是同样的操作。第三步:如果目标ip地址和转发表中的目标网络地址匹配,三层交换机将数据包转发到对应的接口。转发表的条目:目标网络的ip地址,子网掩码,下一跳的IP地址和出接口。
网络安全笔记.doc
05-09
哈工程考研笔记,专为哈工程考研复试而生,但是本人考研失利,文档用不到了,需要回本,特发此文档,各位报考哈工程的学子,可以来下载
网络安全笔记.docx
12-18
网络安全笔记 这份笔记涵盖了网络安全的基本概念、DNS 安全、拒绝服务攻击、网络安全属性、加密体制、安全协议等方面的知识点。 1. 网络安全的概念 网络安全是指保护计算机网络中的数据、软件和硬件免受未经授权...
网络安全笔记超完整,极其详细
最新发布
01-09
网络安全笔记超完整,极其详细 1. 网络应用基础: TCP/IP 协议是实现互联网通信的网络协议的集合,包括 IP 地址、子网掩码、网段等概念。IP 地址是用来表示网络节点的互联网地址,分为 IPv4 和 IPv6 两种。IPv4 是 ...
网络安全笔记09-121
08-03
网络安全笔记09-121
网络安全笔记13-161
08-03
1.IPSec 隧道协议,基于 IP 通信环境下一种端到端的保证数据安全的机制 2. IPSec 包含两个安全协议和一个密钥管理协议 3. IPSec 协议以标
【实现VLAN间的通信(综合实验)(路由器子接口、三层交换机VLANIF接口、判断二层和三层的转发)】-20211207、20211208
AZK707的博客
01-27 9981
目录 一、VLAN间通信技术背景 1.VLAN间通信需要三层设备 二、路由器子接口 1.路由器物理接口 2.路由器子接口 相当于是一个物理接口,分成多个逻辑的接口,实际数据走的还是在这个物理接口上。 单臂路由 三、三层交换机和VLANIF接口 1.三层交换机 交换机有以下几种​ 2.交换机如何判断二层转发和三层转发: 思考题 一、VLAN间通信技术背景 1.VLAN间通信需要三层设备 二、路由器子接口 1.路由器物理接口 正常一个VLAN就需...
VLAN与三层交换
ZFX20001123的博客
12-03 902
一、VLAN的概念及优势 1.1.分割广播域 (1)物理分割:将网络从物理上划分为若干个小网络,然后使用能隔离广播的路由设备将不同的网络连接起来实现通信。 (2)逻辑分割:将网络从逻辑上划分为若干个小的虚拟网络,即VLAN(Virtual Local Area Network,虚拟网络)。 1.2.VLAN的优势 (1)控制广播 (2)增强网络安全性 (3)简化网络管理 二、VLAN的种类 2.1.静态VLAN 基于端口划分静态VLAN 2.2.动态VLAN 基于MAC地址划
VLAN与三层交换机
day day up
04-26 701
第七章、VLAN与三层交换机 文章目录第七章、VLAN与三层交换机一、VLAN得到概述与优势VLAN种类二、静态VLAN的配置1、范围2、默认路由三、Trunk介绍与配置1、如何实现交换机之间的Vlan通信2、交换机网络中的链路类型3、IEEE 802.1q3.1、802.1q帧格式image-20220425100802713四、三层交换机转发原理1、传统的MLS2-12、传统的MLS2-23、基于CEF的MLS![image-20220425111127305](https://img-blog.cs
三层交换机实现不同VLAN之间的数据转发
lg120的博客
05-23 585
在二层交换机上只有二层端口,而三层交换机上既可以有二层端口也可以有三层端口。PC0:192.168.10.1 网关:192.168.10.254。PC1:192.168.10.2 网关:192.168.10.254。PC2:192.168.20.1 网关:192.168.20.254。PC3:192.168.20.2 网关:192.168.20.254。(2)三层交换机所有端口可通过设置可以成为三层端口,没有设置默认为二层端口。
[转] VLAN原理详解
anren7769的博客
09-27 524
VLAN原理详解 标签:VLANAccess-LinkTrunk-Link802.1QISL 2013-07-26 18:0527901人阅读评论(15)收藏举报 分类: 网络通信/流媒体(30) 目录(?)[+] 1.为什么需要VLAN 1.1什么是VLAN? VLAN(Virtual LAN)...
企业网络互联技术
Wsk2063426451的博客
04-15 6034
第1次课 Windows活动目录管理 16课 8次课 (1)相关的理论知识点 (2)综合实验 企业网络互联技术---是以上学期课程为基础进行扩展讲解的企业中应用广泛的技术。 VLAN间通信---基础知识:VLAN(接口类型、接口对数据帧处理方式)、Trunk链路 STP ACL NAT VRRP 不同的二层网络之间要进行通信,需要借助3层设备的路由功能来实现。 一个VLAN相当于一个逻辑上的LAN。 (1)VLAN10的PC发出一个...
HCIA~实现VLAN间通信
m0_45912044的博客
03-15 2435
实现VLAN间通信
配置DSVPN防火墙到防火墙的Hub and Spoke网,并支持Spoke之间的通信
加油!
05-24 397
DSVPN简介动态智能VPN(Dynamic Smart Virtual Private Network),是一种在HUB-SPOKE组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。背景越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。
企业分支与总部配置GRE over IPSec双链路综合实验(设备:USG6000、AR2240)并配置策略路由实现不同网段通过不同的供应商上网
A soul tortured by desire
12-09 2140
实验背景: 企业总部和分支机构之间要可以相互访问内网,现在一般采用在总部和分支的出口设备上建立隧道的方式,这种方式需要在公网上传输总部与分支之间的数据流。 IPSec仅支持单播,如果采用IPSec 只能传输单播报文,那么当两地的网络较庞大,相互的一条一条互指静态路由,是非常麻烦,且容易出错的;若要使用路由,由于路由协议是组播报文,而GRE支持单播、组播、广播,可以完美的解决IPSec不支持组播,从而不能动态的使用动态路由来发现总部与分支之间的内网。 由于GRE隧道不提供安全性保障,传输明文在公网..
千锋网络安全笔记pdf
06-26
千锋网络安全笔记是一份非常有价值的资料,其内容丰富、全面、详细。笔记共涵盖了网络安全领域的各个方面,包括网络安全基础知识、网络攻击与防御技术、安全测试工具及漏洞挖掘技术等。这些内容涵盖了安全行业的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值