用策略路由构造隔离环境解决同网段通信

最新推荐文章于 2024-05-16 19:17:57 发布
原创 最新推荐文章于 2024-05-16 19:17:57 发布 · 582 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#策略路由 #网络隔离技术

文章讨论了在Linux主机上遇到同网段地址的问题,介绍了策略路由作为解决方案,强调了其非侵入性和在复杂同网段通信中的优势。同时提到了其他选项如命名空间和VRF的局限性。

引子

以前对一个主机内几张网卡上出现同网段地址挺不以为然,因为在默认状态下,Linux会出现路由的二义性,从而影响ping过程,虽然抓包上arp过程是对的,但就是在三层路由时出现了问题!

后来,经过交流,发现由于某些产品形态的限制,以及可能需要在已有网络环境上部署,不一定能够满足在一台主机上用不同网段进行隔离的简单部署模型要求,所以,一台主机不同网卡出现同网段的配置,几乎是不可避免的。

但如何解决呢?

同网段通信的网络隔离手段

以笔者现在掌握的知识,进行会汇总,可以有如下技术可以考虑:

种类粒度侵入性说明
命名空间不需要感知牛刀杀鸡命名空间可以隔离更多的资源,粒度比较大
VRF需要感知VRF虚拟路由功能,但不建议使用,对于同网段通信并不友好,即使是ping流程
IP rule不需要感知策略路由
iptables using set-mark不需要感知数据包过滤规则加策略路由

推荐使用策略路由

  • ip rule的策略路由
  • iptables using set-mark + ip rule usging fwmark

RAW socket with IP_HDRINCL 由于Linux OS平台限制,可能会绕过纯粹的ip rule策略路由设置

结合iptables set-mark功能修改数据包标记,并辅助策略路由处理,就可以将数据包隔离开

结束语

利用策略路由构造了一个隔离网络环境,而且对于主体程序是非侵入性的,对于复杂的同网段通信非常优必要 😃

通过vlan实现网段下的网络隔离
紫月i的博客
05-29 1421
display vlan可以查看当前交换机下的vlan。现在先进入交换机命令行界面,创建两个vlan。尝试用pc1访问pc2,发现不能实现通信。再进入对应的串口,设置交换机的串口模式。现有两个电脑通过交换机直接连接在一起。正常状态下是可以ping成功的。
华为防火墙内网隔离网段IP
callmeconquer的博客
01-26 2164
华为防火墙配置隔离网段IP或者常规配置
路由策略,前缀列表,策略路由
qq_51781502的博客
04-14 1303
上面ACL只抓取了 192.168.3.0和192.168.4.0,其余的默认拒绝了,所以才需要Router-policy的空节点来帮忙,如果ACL配了一条默认所有路由的话,则此处不用写空节点了!如OSPF引入Rip,不管你以前是几跳,现在Cost为1.或者rip中引入ospf,不管你的Cost为多少,我都不认识,修改成跳数为1.如果仅有节点10,则实现的是对相应路由的过滤,且更改Cost值,仅仅将相应路由传给别的路由器。匹配不上的再走正常流程。一种协议的不进程,引入路由,原有路由的Cost将变成1!
网段的VLAN隔离
weixin_43075093的博客
03-17 3421
小型企业实现不部门网段IP之间的隔离,相部门网段之间互通
网段不通vlan的互通和隔离
qq_48665870的博客
01-09 5663
华为交换机vlan配置,不vlan互通
Linux网络策略路由
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
05-16 1888
日常维护工作中,有时候会遇到单台主机多张网卡的情况,尤其云上环境,云主机多张网卡是一种常见网络配置场景,那如何让多网卡正常工作呢,本期基于此北京,回顾下Linux策略路由的相关知识;策略路由PBR:(Policy-Based-Route),它是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。该技术打破了路由表的传统选路规则,可以根据管理维护人员自定义的策略条件来选择性的转发数据包。
计算机通信网络(二)路由基本概念及静态路由配置
m0_52609088的博客
03-26 4912
西安电子科技大学 计算机网络实验 路由基本概念及静态路由配置
用华为模拟器ENSP构造校园网(第三天)配置总网络拓扑DHCP中继和实现路由通信
qq_62466609的博客
05-07 7248
这个是我实验前的图 下面我们来配置服务器: R3: <Huawei> <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sys R3 [R3]DHCP enable [R3]int g [R3]int GigabitEthernet 0/0/1 [R3-GigabitEthernet0/0/1]ip ad 192.168.5.253 24(设置接口的IP地址) [R3-Gigab..
网段通信配置实录:H3U PLC通过路由器实现远程交互的3种场景
本文系统阐述了跨网段通信的理论基础,涵盖IP路由机制、路由器配置策略及主流设备对Modbus/TCP协议的支持能力,结合H3U PLC的实际网络配置流程,详细展示了静态路由设置、通信测试与故障排查方法。通过三种典型应用...
网段通信难题终结者:破解ESP32 UDP广播限制的4种可行方案实测
根本原因在于OSI模型中网络层(IP层)对广播地址(如192.168.1.255)的处理策略——这类数据包被视为“本地终结”,不会进入路由转发流程。此外,ESP32所依赖的LWIP协议栈在实现UDP广播时,仅封装标准IPv4数据报,未...
局域网访问隔离
dolphin98629的专栏
08-27 1672
局域网为什么需要访问隔离 1.         在如上图中,企业网络可以为根据使用者获得的授权不,把LAN划分为不的虚拟区域(我们称为VLAN),以方便进行VLAN之间的访问控制,每个VLAN内部的PC互访是自由的,不受限的。 2.         我们为不的VLAN划分不通的网段,比如无线PC所属的VLAN1的网段为192.168.1.0/24,网关是192.168.1.1;相应的
linux网络知识:路由策略(ip rule,ip route)
西江物联的博客
05-28 4763
目录 一,路由策略(使用ip rule命令操作路由策略数据库) 二,路由表(使用ip route命令操作静态路由表) 三,ip rule,ip route,iptables 三者之间的关系 一,路由策略(使用ip rule命令操作路由策略数据库) 基于策略路由比传统路由在功能上更强大,使用更灵活,它使网络管理员不仅能够根据目的地址而且能够根据报文大小,应用或IP源地址等属性来选择转发路径。 ip rule命令: Usage: ip rule [ list | add | del ] SE.
一交换机的不VLAN如何隔离
fctel的博客
03-30 6226
三层交换机下的VLAN划分,本身就已经做到了隔离,无法通信,VLAN的作用是可以隔离冲突域和广播域。那么,一交换机不VLAN如何隔离呢?接下来我们就跟随飞畅科技的小编一起来详细了解下吧! 什么是VLAN? VLAN也叫虚拟局域网,是一组逻辑上的设备和用户,它们并不受物理位置的限制。相互之间的通信类似在一个网段中,VLAN是一种新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。 如果一个局域网内有几百台主机,一旦产生广播风暴
两个vlan如何互通_VLAN知识点整理之vlan隔离
weixin_39927848的博客
12-06 4440
现在有个新的问题:如何对一个VLAN下用户进行隔离呢,如何实现部分VLAN互通,部分VLAN隔离呢,如何针对某个用户、或某个网段用户进行隔离呢?带这个问题,我们今天来看看vlan隔离的知识点。场景一、一VLAN下用户进行隔离如果不希望一VLAN下某些用户进行互通,可以通过配置端口隔离实现。实验拓扑:如图所示,三台PC属于一VLAN、网段,配置完成后,三台PC都可以互访,现在要求PC1和...
局域网内交换机VLAN隔离设置
热门推荐
masonyong的博客
04-24 1万+
局域网内交换机VLAN隔离设置 一、什么是VLAN 1.广播域的概念 传统交换式以太网中所有用户都在一个广播域中,当网络哟=对咯较大时,广播包的数量会急剧增加,从而导致广播风暴 2.分割广播域 物理分割:将网络从物理上划分为若干个小网络,在使用能隔离广播的路由设备将不网络连接起来实现通信 逻辑分割:将网络从逻辑上划分为若干个小的虚拟网络。即vlan。vlan工作在osi参考模型的数据链路层,一个vlan就是一个交换网络,其中的所有用户都在一个广播域中,各vlan通过路由设备连接实现通信
live-player组件使用技巧[代码]
11-24
本文详细介绍了在小程序中使用live-player组件实现直播流播放的各种操作技巧,包括全屏切换、播放暂停、静音外放等功能。作者首先明确了live-player组件的基本属性和方法,然后通过UI图和代码演示展示了如何自定义操作栏,实现播放控制。文章还提供了完整的HTML、Script和CSS代码示例,帮助开发者快速掌握live-player组件的使用。最后,作者总结了实现过程中的关键点,并鼓励读者点赞、收藏加关注。
Aegisub特效字幕插件教程[代码]
最新发布
11-24
本文详细介绍了Aegisub特效字幕制作中常用的插件使用方法,包括渐变插件和抖动插件的安装与操作步骤。渐变插件支持水平渐变和垂直渐变,可调整填充色、边缘描边等效果;抖动插件则能实现字幕的随机抖动或手动选择抖动,支持x轴、y轴或时抖动。文章还提供了插件的下载链接,帮助用户快速上手制作动态字幕效果。
网段的主机怎么实现通信,结合七层模型介绍
08-04
用户的问题聚焦在OSI模型的通信机制上,特别是跨网段通信。以下我们将分步骤解释这一过程。 ### 关键概念回顾 - **网段**:一物理子网中的一组设备,共享一IP子网地址(如192.168.1.0/24)。 - **跨网段通信**...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值