- 博客(541)
- 资源 (611)
- 收藏
- 关注
RSS订阅原创 私网用户使用公网地址访问内部服务器(配置源进源出)
由于IP地址资源有限,该公司只有一个可用的公网IP地址1.1.1.1,部署在DeviceA的公网接口上。为了防止内部服务器受内网用户的攻击,公司希望在DeviceA上配置NAT功能(NAT Server+源NAT),使内网用户必须使用公网接口的IP地址才能访问内部FTP/Web服务器和Internet。通过该映射,内网用户能够访问1.1.1.1,且端口号为8080的流量能够送给内网的Web服务器。通过该映射,内网用户能够访问1.1.1.1,且端口号为21的流量能够送给内网的FTP服务器。
2025-03-12 17:08:45
716
原创 公网用户通过NAT Server访问内部服务器
由于IP地址资源有限,该公司只有一个可用的公网IP地址1.1.1.1,部署在DeviceA的公网接口上,同时作为内网服务器对外提供服务的地址。为了内网服务器对外提供的服务流量可以正常转发至ISP的路由器,可以在DeviceA上配置去往Internet的缺省路由。通过该映射,使外网用户能够访问1.1.1.1,且端口号为8080的流量能够送给内网的Web服务器。通过该映射,使外网用户能够访问1.1.1.1,且端口号为21的流量能够送给内网的FTP服务器。# 配置接口10GE0/0/2的IP地址。
2025-03-12 17:06:15
1008
原创 配置灵活QinQ示例
QinQ(802.1Q-in-802.1Q)技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能,可以使私网VLAN透传公网网络。灵活QinQ是对QinQ的一种更灵活的实现,又叫VLAN Stacking或QinQ Stacking。它是基于接口与VLAN相结合的方式实现的。除了能实现所有基本QinQ的功能外,对于同一个接口接收的报文还可以根据不同的VLAN做不同的动作。
2025-03-12 16:07:02
1004
原创 配置MUX VLAN隔离同一VLAN内用户示例
MUX VLAN提供了一种通过VLAN进行网络资源控制的机制。它既可实现VLAN间用户通信,也可实现VLAN内的用户相互隔离。常见的场景有宾馆酒店,小区宽带接入和企业内部。他们的特点是一个宾馆或者一个小区或一个公司同用一个VLAN,但每个房间,每户人家,每个部门又彼此隔离。
2025-03-12 15:53:15
1033
原创 配置基于VLAN的MAC地址学习限制示例
交换机控制MAC地址学习数经常使用的方式有两种:基于VLAN限制MAC地址学习数和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中,通过限制MAC地址学习控制用户的接入,防止黑客伪造大量源MAC地址不同的报文发送到设备后,耗尽设备的MAC地址表项资源。当MAC地址表项资源满后,会导致正常MAC地址无法学习,报文进行广播转发,浪费带宽资源。与基于接口限制MAC地址学习数相比,基于VLAN限制MAC地址限制数,是以VLAN为维度,一个VLAN内有多个接口需要限制MAC地址学习数时,不需要分别配置。
2025-03-12 15:37:20
811
原创 配置基于接口划分VLAN,实现不同VLAN内的互通(接入层设备作为网关)
所示,PC1和PC2分别属于VLAN 2和VLAN 3,通过接入层设备DeviceB接入汇聚层设备DeviceA。PC3属于VLAN 4,通过接入层设备DeviceC接入汇聚层设备DeviceA。接入层设备DeviceB作为PC1和PC2的网关,DeviceC作为PC3的网关,通过在设备上配置静态路由,实现用户PC间的互访以及和上层设备的互连。# 配置VLANIF接口,实现和上层设备的互连。# 配置DeviceB和DeviceA互连。# 配置DeviceC和DeviceA互连。# 将接口加入相应VLAN。
2025-02-18 17:28:36
1052
原创 配置通过流策略实现VLAN间三层隔离
在DeviceD上创建VLANIF10、VLANIF20、VLANIF30、VLANIF100,并分别配置其IP地址为10.1.1.1/24、10.1.2.1/24、10.1.3.1/24、10.1.100.1/24。本例中interface1、interface2、interface3、interface4分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3、10GE1/0/4。# 在DeviceD上创建流分类c_custom、c_staff,并分别配置匹配规则3000、3001。
2025-02-18 17:17:52
756
原创 配置基于子网划分VLAN
所示,PC1、PC2、PC3的IP地址网段不相同。希望将不同IP地址网段的PC划分到不同的VLAN,即PC1、PC2、PC3分别划分到VLAN100、VLAN200、VLAN300中。,查看设备上基于子网划分VLAN的信息。图4-14 基于子网划分VLAN组网图。# 在DeviceA上执行命令。
2025-02-18 16:44:15
682
原创 配置基于接口划分VLAN,并利用VLANIF接口实现不同网段的互通(跨设备)
所示,DeviceA下的Host1、Host2划分到VLAN2,DeviceB下的Host3、Host4也划分到相同的VLAN2中。DeviceA下的主机与DeviceB下的主机属于不同的网段,且DeviceA与DeviceB之间通过三层网络通信。在DeviceA的主机上配置缺省网关为VLANIF2接口的IP地址10.10.10.1/24,在DeviceB的主机上配置缺省网关为VLANIF2接口的IP地址10.10.20.1/24。# 配置DeviceA。# 配置DeviceA。# 配置DeviceA。
2025-02-18 16:21:10
827
原创 配置Super-VLAN下的DHCP服务器示例
所示,某公司拥有两个部门,为了节省IP地址,部门A和部门B规划为同一网段;为了提升业务安全性,将不同部门的用户划分到不同VLAN中。同时,由于业务需要,不同部门间的用户需要实现三层互通。在Router上配置Sub-VLAN,实现不同Sub-VLAN间的二层隔离。同时,不同Sub-VLAN采用同一个网段,节省了IP地址。在Router上配置Super-VLAN的Proxy ARP,实现Sub-VLAN间的三层互通。在Super-VLAN上配置DHCP服务器,实现为部门A和部门B的终端动态分配IP地址。
2025-02-17 11:22:01
748
原创 基于全局地址池配置DHCP服务器实现为动态客户端和静态客户端分配不同网络参数示例
所示,Router作为企业出口网关,PC和IP Phone为某办公区办公设备。其中,PC为值班室固定终端,需要永久在线,且需要通过域名访问网络设备,因此,除了动态获取IP地址,还需要地址的租期为无限长,且需要获取DNS服务器信息;IP Phone使用固定IP地址10.1.1.4/24,MAC地址为00e0-fc96-e4c0,除了获取IP地址,还需要动态获取启动配置文件,且启动配置文件configuration.ini存放在FTP文件服务器上。PC和IP Phone的网关地址为10.1.1.1/24。
2025-02-17 11:09:22
1047
原创 配置两次NAT示例
所示,路由器出接口的地址为2.2.2.2/24,LAN侧网关地址为1.1.1.1/24,对端运营商地址为2.2.2.1/24。公司内网主机IP地址分配不合理,其内部网络主机PC1和公网的服务器Server A的地址重叠。这种情况下,内部网络主机PC2使用Server A的域名访问该服务器,但PC2根据DNS服务器解析的结果很可能访问同在内网的PC1。配置重叠地址池到临时地址池的映射关系,将重叠地址转换为临时地址。配置NAT Outbound,实现内网用户访问外网服务功能。# 在Router上执行。
2025-02-17 10:29:36
1330
原创 配置静态一对一NAT示例
所示,路由器的出接口GE2/0/0的IP地址为2.2.2.2/24,LAN侧网关地址为192.168.0.1/24。对端运营商侧地址为2.2.2.1/24。该主机内网地址为192.168.0.2/24需要使用的固定地址为2.2.2.3/24。要求公司内部能够把私网地址转换为公网地址,连接到广域网。配置接口IP地址、缺省路由并且在WAN侧接口下配置NAT Static,实现内外网地址的一对一映射。图5-19 配置静态一对一NAT组网图。命令查看地址池映射关系。Router的配置文件。在Router上执行。
2025-02-17 10:27:55
995
原创 配置动态地址转换示例
所示,某公司A区和B区的私网用户和互联网相连,路由器上接口GigabitEthernet3/0/0的公网地址为2.2.2.1/24,对端运营商侧地址为2.2.2.2/24。B区用户希望结合B区的公网IP地址比较少的情况,使用公网地址池(2.2.2.80~2.2.2.83)采用IP地址和端口的替换方式替换B区内部的主机地址(网段为10.0.0.0/24),访问因特网。使能设备产生的控制报文的增强转发功能,这样,私网的源地址才能通过NAT转换为公网地址。去使能增强转发功能,需要重新在系统视图下执行命令。
2025-02-17 10:16:30
882
原创 基础网络连通性部署要点
网络连通性部署旨在打通园区网络核心层、汇聚层、接入层设备间的二三层通信,实现有线、无线用户接入园区网络以及用户间的互访,是园区网络建设的基础。对于中大型规模的网络、或有线扩容无线的网络,以及AP数量较多的网络,通常采用独立AC/ACU2。建议根据网络规模进行选择,规模较小,核心交换机做网关,规模较大时,可以使用汇聚交换机做网关。对于规模较小的网络,通常采用组网简单,网元数量少,网络故障点少的两层网络架构。对于规模比较大的网络,通常采用组网复杂,网元数量多,故障点也多的三层网络架构。
2025-01-22 14:04:42
300
原创 SSL协议工作过程
SSL通过握手在客户端和服务器之间建立会话,完成双方。握手过程如所示。除Change Cipher Spec消息属于SSL密码变化协议外,其他握手过程交互的消息均属于SSL握手协议,统称为SSL握手消息。其中,服务器对SSL客户端的身份验证是可选的,即中蓝色部分标识的内容(步骤4、6和8)为可选。图11-2 握手过程示意图SSL客户端发送消息给SSL服务器启动握手,携带它支持的SSL版本和加密套件等信息。SSL服务器响应SSL客户端,携带选定的版本、加密套件。
2025-01-21 10:02:11
1069
原创 配置USG12000系列防火墙和华为USG6000E系列防火墙在NAT穿越场景下建立IPSec隧道
这个字段原本是为抗重放功能设计的,设备的IPSec隧道每发出一个报文,这里的sequence-number就相应加1。例如,分支用户向总部用户发送了5个ICMP报文,如果这5个ICMP报文是经过这条IPSec隧道传输的,那么对应这条隧道的IPSec SA中sequence-number的值将会增加5。反之,如果这里sequence-number的值没有增长或者增长数目不对,则说明这些报文没有经过这条IPSec隧道传输或者是这条IPSec隧道有异常。这是因为首包发出时,IPSec隧道还未建立,无法进行转发。
2025-01-21 09:27:22
849
原创 配置RIP定时器注意事项
由于路由变为不可达状态并不总是恰好在一个更新周期的开始,因此,Garbage-collect定时器的实际时长是Update定时器的3~4倍。缺省情况下,Update定时器是30秒,Age定时器是180秒,Suppress定时器是0秒,Garbage-collect定时器则是Update定时器的4倍,即120秒。在实际应用中,Garbage-collect定时器的超时时间并不是固定的,当Update定时器设为30秒时,Garbage-collect定时器可能在90到120秒之间。
2025-01-20 17:06:12
291
原创 配置基于VLAN的VLAN Mapping示例(2 to 2)
处于不同地理位置的用户,为了可以规划自己的私网VLANID,避免和ISP网络中的VLANID冲突,同时便于区分不同的用户和业务,采用了QinQ方式传输,即用户报文中带有双层VLANTag。所示的网络中,用户发往ISP网络的报文带有双层VLANTag,这双层VLANTag与ISP网络提供的VLANTag不一致,用户报文无法通过ISP网络,从而导致两端用户无法正常通信,现需要实现Switch5和Switch6中的用户互通。上述配置完成后,Switch5下挂的用户可以与Switch6下挂的用户互通。
2025-01-20 10:30:19
973
原创 配置基于VLAN的VLAN Mapping示例(N:1)
此举例是1to1中的N:1VLANMapping。SwitchA上行接口出去的报文携带VLAN100~109,上行接口的链路类型可以配置Trunk类型或者Hybrid类型。如所示,为了区分不同的家庭用户,需要在楼道交换机处用不同的VLAN来承载不同用户的相同业务,这样需要用到多个VLAN。因此需要在园区交换机上完成VLAN的汇聚功能(N:1),将由多个VLAN发送的不同用户的相同业务采用同一个VLAN进行发送,节约VLAN资源。图10-6配置VLANMapping示例(N:1)组网图。
2025-01-20 10:26:03
519
原创 配置基于VLAN的VLAN Mapping示例(1:1)
此举例是1to1中的1:1VLANMapping。不同的小区拥有相同的业务,如上网、IPTV、VoIP等业务,为了便于管理,各个小区的网络管理者将不同的业务划分到不同的VLAN中,相同的业务划分到同一个VLAN中。目前存在不同的小区中相同的业务所属的VLAN不相同,但需要实现不同VLAN间的用户相互通信。如所示,小区1和小区2中拥有相同的业务,但是属于不同的VLAN。现需要以低廉的成本实现小区1和小区2中的用户互通。图10-5配置VLANMapping示例(1:1)组网图。
2025-01-20 10:18:17
1018
原创 配置基于VLAN的VLAN Mapping示例(2 to 1)
此举例是2to1VLANMapping中的N:1场景,因为外层和内层VLANTag不同的业务报文,外层映射到了同一个VLAN。如所示,用户通过家庭网关、楼道交换机和小区交换机接入汇聚层网络,为了节省运营商网络VLAN资源,及实现不同用户相同业务在传输过程中相互隔离,可以在楼道交换机上部署QinQ功能,在小区交换机上部署VLANMapping功能。图10-72:1VLANMapping组网图。
2025-01-20 10:11:03
1837
原创 VXLAN网络与传统VLAN网络对比表
VXLAN作为新型的网络隔离技术,在RFC 7348定义中有24比特,支持多达16M(约1600万)租户隔离,有效地解决了云计算中海量租户隔离的问题。增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。网络部署灵活性:在传统网络架构上叠加新的网络,部署方便,同时避免了大二层的广播风暴,可扩展性极强。在已有的任意路由可达的网络上叠加的二层虚拟网络,不受地域范围限制,具备大规模扩展能力。通过BD划分广播域,同一个BD内的主机可以进行二层互通。
2025-01-17 13:44:11
191
原创 配置分支AP通过IPSec隧道与总部AC互联
AC采用策略模板方式时,AC上无需定义需要IPSec保护的数据流,接受发起方定义的需要IPSec保护的数据流。所示,Router为公司分支网关,AC在总部网络内,分支AP通过IPSec隧道与总部AC互联。对于AC相关的无线配置,请参见产品文档中的无线部分,这里主要介绍AC上的IPSec配置。在AC接口上应用各自的安全策略组,使接口具有IPSec的保护功能。在接口上应用安全策略组,使接口具有IPSec的保护功能。配置IPSec安全提议,定义IPSec的保护方法。在AC上配置接口的IP地址和到对端的静态路由。
2025-01-16 16:03:52
628
原创 配置虚拟隧道接口建立GRE over IPSec
由于分支较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立GRE over IPSec,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。GRE over IPSec也可用于实现组播数据的安全可靠传输,组播数据无法直接应用IPSec,而GRE over IPSec先对组播数据进行GRE封装,再对GRE封装后的报文进行IPSec封装。配置Tunnel接口的IP地址和转发路由,将需要IPSec保护的数据流引到Tunnel接口。# 在Router上配置接口的IP地址。
2025-01-16 15:56:39
901
原创 配置建立NAT穿越功能的IPSec隧道
由于AC与Router通过NAT网关建立通信,需要配置NAT穿越功能才能建立IPSec隧道。分别在AC和Router上配置安全策略,确定对何种数据流采取何种保护方法。# 在AC上配置到对端的缺省路由,此处假设到对端下一跳地址为192.168.0.1。# 在Router上配置到对端的静态路由,此处假设到对端下一跳地址为1.2.0.2。在接口上应用安全策略组,使接口具有IPSec的保护功能。在AC上配置ACL,以定义需要IPSec保护的数据流。# 在Router上配置接口的IP地址。
2025-01-16 14:44:27
1052
原创 配置虚拟隧道接口建立IPSec隧道
由于分支较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。# 在Router上配置到对端的静态路由,此处假设到对端下一跳地址为2.1.1.2。配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口。配置安全框架,并引用安全提议和IKE对等体,确定对何种数据流采取何种保护方法。# 在AC上配置到对端的静态路由,此处假设到对端的下一跳地址为1.1.1.2。
2025-01-16 14:42:06
936
原创 配置分支采用多链路共享功能与总部建立IPSec隧道
由于两个出接口是分别协商生成IPSec SA,在主备链路切换时,接口会出现Up/Down状态变化,需要重新进行IKE协商,而导致数据流的暂时中断。为保证安全保护不中断,实现IPSec SA能够平滑切换,分支网关的两条出口链路与总部网关只协商一个共享的IPSec SA。所示,AC为企业分支网关,Router为企业总部网关,分支采用两条出口链路互为备份或者负载分担,与总部通过公网建立通信。# 在Router上配置IKE对等体,并引用IKE安全提议,配置预共享密钥和对端ID。
2025-01-16 14:09:12
1058
原创 采用默认配置通过IKE协商方式建立IPSec隧道
在AC上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。# 在Router上配置ACL,定义由总部10.1.2.0/24去分支10.1.1.0/24的数据流。配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。# 在AC上配置ACL,定义由分支10.1.1.0/24去总部10.1.2.0/24的数据流。# 在Router上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。配置IKE对等体,定义对等体间IKE协商时的属性。
2025-01-16 10:30:25
580
原创 配置采用手工方式建立IPSec隧道
分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。# 在Router上配置ACL,定义由总部10.1.2.0/24去分支10.1.1.0/24的数据流。# 在AC上配置ACL,定义由分支10.1.1.0/24去总部10.1.2.0/24的数据流。所示,AC为公司分支网关,Router为公司总部网关,分支与总部通过公网建立通信。分别在AC和Router的接口上引用各自的安全策略,使接口具有IPSec的保护功能。配置IPSec安全提议,定义IPSec的保护方法。
2025-01-16 10:04:25
996
原创 路由多运营商选路(源进源出)配置
实现方法:配置MQC,抓取相应的源进源出的服务器在内部下联接口做inbound方向的重定向,重定向到相应的运营商的出口下一跳中。nat address-group 3 group-id 3 x.x.x.x x.x.x.x(内部设备SNAT时候的地址池)nat server global x.x.x.x inside x.x.x.x(NAT SERVER的DNAT)redirect ip-nexthop x.x.x.x outbound(源进源出的NAT重定向)
2025-01-13 13:49:42
745
原创 如何为源NAT开放安全策略
如前所述,源NAT包括仅转换源IP地址的NAT No-PAT,以及同时转换源IP地址和源端口的NAPT、Smart NAT、Esay IP和三元组NAT。不管是哪种源NAT,其NAT策略的配置方法都一样,只是源NAT地址池略有区别。例如:私网网段10.1.1.0/24通过NAT后访问Internet(目的地址不确定),对应的源NAT策略和安全策略配置如下。源NAT策略和安全策略具有相似的配置逻辑,其匹配条件和动作的对应关系如。流量的目的安全区域,即流量出接口所在的安全区域。
2025-01-13 13:42:16
416
原创 如何为FTP和TFTP开放安全策略
以FTP服务器(10.1.2.10)工作于主动模式为例,客户端(10.1.1.10)和服务器之间会建立两个会话。其中,detect user-defined 3000 outbound命令中,outbound表示客户端从高优先级的安全区域访问位于低优先级的安全区域的服务端,反之则为inbound。FTP是多通道协议,客户端首先向服务端的21号端口发起连接请求,建立控制通道,然后客户端和服务端通过协商来确定数据通道的端口。当然,ASPF只是解决数据通道的问题,你仍然需要为控制通道配置安全策略。
2025-01-13 13:40:13
502
原创 防火墙上如何为Telnet开放安全策略
rule name "Allow inbound traffic" //设置安全策略名称,带空格时需要使用引号。service telnet //指定开放的服务。三种流量对应的安全策略如下。请注意源/目的安全区域、源/目的地址所体现出来的访问关系差异。常见的管理协议,如Telnet、SSH、FTP,具有相似的业务模型。为了简化文档,后续安全策略示例均采用表格形式。图7-1 三种业务访问关系-以Telnet为例。所示,网络中可能有三种业务访问关系。
2025-01-13 11:30:50
932
原创 什么是防火墙安全策略及其组成
安全策略(Security Policy)在安全领域具有双重含义。宏观上,安全策略指的是一个组织为保证其信息安全而建立的一套安全需求、控制措施和流程要求。它不仅建立了信息安全的总体目标,定义了信息安全的管理结构,还提出了对组织成员的安全要求。这种安全策略通常以文档的形式存在,属于企业治理范畴。具体到防火墙产品上,安全策略指的是用于保护网络的规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略是防火墙产品的一个基本概念和核心功能。
2025-01-13 11:21:20
857
原创 防火墙安全策略的配置方式
防火墙提供了多种配置方式,你可以选择命令行、Web界面或者北向接口(RESTCONF和NETCONF)来配置安全策略。接下来,我们将以一个实例来展示最常用的Web界面和命令行配置。例如:为了允许Trust安全区域内的、192.168.1.0/24和192.168.2.0/24网段的设备能够正常上网,需要创建一条。图2-1 安全策略的配置示例。表2-1 安全策略示例。
2025-01-13 11:18:03
779
原创 配置静态BFD for IPv4静态路由示例
需要增强网络可靠性时,利用IPv4静态路由绑定BFD会话,可以快速检测链路故障,提高路由的收敛速度。
2025-01-07 14:49:39
910
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人