- 博客(65)
- 收藏
- 关注
RSS订阅原创 2.checkpoint策略
策略简介基于全局的策略,没有方向与区域的概念(牵一发而动全身)只要匹配源、目的地流量就进行策略匹配与过滤策略配置更加灵活到达防火墙的管理流量,如https默认允许,穿越防火墙的流量默认拒绝隐含策略和显示策略·隐含策略:防火墙缺省是有策略的,如https的链接,这些策略都是隐含策略,不显示;隐含策略分以下几种1).First Implied Rule:第一个隐含规则,不能编辑、删除,不能将显示策略放在其之前;2).Before Last Implied Rules:最后一个显式策略之前的隐含策
2022-04-04 18:52:53
1237
原创 1.checkpoint防火墙安装以及高可靠性配置
以色列厂商,主营安全产品,软件厂商,和其他做服务器的厂商合作,按照checkpoint要求生产设备,checkpoint是x86(64bit)架构,虚拟机上的网卡代表的是checkpont的接口,连续21年防火墙魔力象限排名领导者位置windows msilinux platform(传统防火墙)、gaia系统(下一代防火墙,两个都是checkpoint底层)checkpoint架构设计:Security Manamegent Server(安全管理服务器SMS)Securi
2022-03-24 19:46:01
9826
1
原创 华为Vxlan-EXXX+集中式网关实验
Vxlan的控制平面就是EVPN,EVPN帮助Vxlan建立控制平面,单独的vxlan只有转发(数据)平面,没有控制平面EVPN其实就是BGP的扩展EVPN介绍:EVPN(Ethernet Virtual Private Network)是一种用于二层网络互联的VPN技术。EVPN技术采用类似于BGP/MPLS IP VPN的机制,在BGP协议的基础上定义了一种新的NLRI(Network Layer Reachability Information,网络层可达信息)即EVPN NLRI,EVPN N
2022-01-18 15:54:40
4395
2
原创 华为Vxlan原理及配置
Vxlan用来在三层之上构建一个大二层网络vxlan其实就是在三层物理网络上进行虚拟化处理构建自己的二层和三层虚拟网络vxlan目的:作为云计算的核心技术之一,服务器虚拟化凭借其大幅降低IT成本、提高业务部署灵活性、降低运维成本等优势已经得到越来越多的认可和部署。如图所示,一台服务器可虚拟多台虚拟机,而一台虚拟机相当于一台主机。主机的数量发生了数量级的变化,这也为虚拟网络带来了如下问题:1.虚拟机规模受网络规格限制在传统二层网络环境下,数据报文是通过查询MAC地址表进行二层转发,而MAC地址表
2021-12-29 16:29:24
13052
6
原创 华为BFD与VRRP联动
拓扑图配置IP地址:配置VRRP备份组在AR1和AR3上创建BFD会话在AR1上配置BFD与VRRP联动验证:测试BFD联动:将AR3的G0/0/1接口shutdown将AR3的G0/0/1接口undo shutdown这时主备状态有切换回来了
2021-11-05 16:28:32
742
2
原创 H3C配置VRRP+主备备份实验
接入设备配置:配置Master设备:配置Backup设备:pc端设置:验证:负载分担实验只需要在两台vrrp设备上在创建一个vrrp组,然后将主备设备对换即可
2021-11-05 15:26:25
1033
原创 H3C配置dhcp中继
拓扑图:接入交换机上的配置:vlan 10 20DHCP Server配置:vlan 30DHCP relay配置:dhcp enable验证:查看dhcp server分配给两台pc的地址查看DHCP中继转发的DHCP报文统计信息测试pc和网关的连通性...
2021-11-05 13:38:37
1167
原创 H3C配置ACL包过滤
拓扑图测试ACL:192.168.1.1可以ping通192.168.1.3192.168.1.2不能ping通192…168.1.3接口成功应用
2021-11-05 13:18:35
2422
原创 H3C配置端口镜像
SW通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别连接pc1和pc2,并通过端口GigabitEthernet1/0/3连接Server。通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出pc1和pc2的报文。
2021-11-05 08:23:11
663
原创 H3C配置snmp
snmp-agentsnmp-agent sys-info version allsnmp-agent community read shga_publicsnmp-agent community write shga_privatesnmp-agent target-host trap address udp-domain 15.144.17.13 params securityname shga_private v2csnmp-agent target-host trap address ud
2021-11-04 19:29:01
922
2
原创 H3C带外管理配置
ip vpn-instance MGMTdescription MGMTinterface M-GigabitEthernet0/0/0ip binding vpn-instance MGMTip address 10.252.4.20 24ip route-static vpn-instance MGMT 0.0.0.0 0 10.252.4.1 description TO-MGMT
2021-11-04 19:21:51
5169
原创 华三配置console口密码登录
line aux 0authentication-mode passwordset auth pass simple Huawei@123
2021-11-04 19:16:26
9092
5
原创 华三设备telnet登录
配置telnet登录:Telnet服务器:telnet server enablelocal-user admin class managepassword simple adminservice-type telnetauthorization-attribute user-role network-admin(和level-15任选其一)authorization-attribute user-role level-15配置aaa认证:line vty 0 63authenticat
2021-11-04 19:15:00
1216
原创 华三设备SSH登录方式
配置SSH服务器:生成RSA密钥对,在提示“Y/N”的时候选择“Y”。public-key local create rsay生成DSA密钥对public-key local create dsa开启SSH服务器功能ssh server enable设置SSH客户端登录用户线的认证方式为AAA认证。line vty 0 63(user-interface vty 0 63)authentication-mode schemeprotocol inbound ssh(可选ssh、teln
2021-11-04 17:22:14
7574
原创 华为MPLS L2xxx(PWE3)+静动混合多跳PW实验
VLL和PWE3都是只能实现点到点的专线,VPLS可以实现点到多点端到端伪线仿真PWE3(Pseudo-Wire Emulation Edge to Edge),是一种点到点的MPLS L2VPN技术。它在分组交换网络PSN(Packet Switched Network)中尽可能真实地模仿异步传输ATM(Asynchronous Transfer Mode)、帧中继(FR)、以太网(Ethernet)、低速TDM(Time Division Multiplexing)电路和SONET(Synchrono
2021-11-03 20:34:56
4666
2
原创 华为MPLS L2xxx(VLL)-----附CCC本地连接实验,CCC远程连接实验,SVC远程实验,Martini远程实验,VLL采用GRE隧道
VLL:支持点到点的vpn虚拟租用线路VLL(Virtual Leased Line),又称虚拟专用线路业务VPWS(Virtual Private Wire Service),是对传统租用线业务的仿真,使用IP网络模拟租用线,提供非对称、低成本的数字数据网DDN(Digital Data Network)业务。VLL是建立在MPLS技术上的点对点的二层隧道技术,解决了异种介质不能相互通信的问题。如图1所示。部署VLL目的:1.在网络发展的初期,以太网、ATM、FR、HDLC等不同二层网络在不同地域
2021-11-02 18:25:24
4578
2
原创 华三s-mlag配置
拓扑图SW2配置:SW4配置:SW3配置:SW1配置:这里SW1一直弹出%Oct 22 22:34:56:586 2021 SW1 STP/4/STP_DISPUTE: Instance 0’s port Bridge-Aggregation1 received an inferior BPDU from a designated port which is in forwarding or learning state.提示,可能属于模拟器bug,只需要在这里手动关闭stp功能即可
2021-10-24 20:12:48
5870
4
原创 防火墙安全策略+NAT
internet桥接到真实网卡图形化对应的命令行里的配置(不用重新在命令行里)下面做的是app应用的过滤没调用反病毒之前这个病毒网站上的东西是可以下载的,调用之后直接反病毒拦截(压缩包也可以拦截,因为设置有最大解压层数)...
2021-10-05 13:11:46
380
原创 华为防火墙安全策略-1
防火墙分类:1.按照形态分为:硬件防火墙、软件防火墙2.按照保护对象分为:单机防火墙、网络防火墙3.按照访问控制方式分为:包过滤防火墙、代理防火墙、状态检测防火墙、UTM、下一代防火墙(1)包过滤防火墙:包过滤防火墙的基本原理是提取报文的IP包头或者帧头部中的信息,包括SIP/DIP/SM/DM/PRO/优先级/服务类型等,然后与设定好的规则进行匹配,根据结果决定报文是通过还是拒绝通过。特点:对于经过防火墙的报文是逐包匹配包过滤规则,转发效率低下,且规则过多易出现配置错误(2)代理防火墙:应用
2021-10-05 13:07:55
3390
原创 华三端口隔离(和华为一样)
端口隔离:端口隔离可以实现同一vlan内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。为了实现报文间的二层隔离,用户可以将不同的端口加入不同的vlan,但这样会浪费有限的vlan资源。采用端口隔离功能,可以实现同一vlan内端口之间的隔离。用户只需要将端口加入到隔离组,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案Pc1-pc3同属于vlan10,将pc1与pc2对应的端口0/0/1和0/0/2加入到同一个端口隔离组后,pc1与pc2在vlan10内不
2021-10-05 13:03:03
4282
原创 锐捷BFD+VSU配置
主设备:enableconfigure terminalswitch virtual domain 1switch 1switch 1 priority 200switch 1 description SH-SH-YL-AEOR-1.YD.S6510exitvsl-portport-member interface Hu 0/55 #加入堆叠成员口port-member interface Hu 0/56endwriteswitch conver
2021-10-05 13:01:49
2061
原创 华三vlan配置
基于MAC地址划分vlan配置思路:创建VLAN 100、VLAN 200。配置Device A和Device C的上行端口为Trunk端口,并允许VLAN 100和VLAN 200的报文通过。配置 Device B 的下行端口为Trunk端口,并允许VLAN 100和VLAN 200的报文通过;上行端口分别加入VLAN 100、VLAN 200。Laptop1和Laptop2的MAC地址分别与VLAN 100、VLAN 200关联。SWA与SWC的配置一致:创建vlan:vlan 100
2021-10-05 13:00:55
18357
原创 华三链路聚合原理及实验
以太网链路聚合简称链路聚合,它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加链路带宽的目的。同时,这些捆绑在一起的链路通过相互间的动态备份,可以有效地提高链路的可靠性。基本概念:聚合组、成员端口和聚合接口将多个以太网接口捆绑在一起所形成的组合称为聚合组,而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口,我们称之为聚合接口。聚合组/聚合接口可以分为以下两种类型:二层聚合组/二层聚合接口:二层聚合组的成员端口全部为二层以太网接口,其对应的聚合
2021-10-05 13:00:05
15662
原创 华三IRF原理及配置
概述:IRF:智能弹性架构:是H3C自主研发的软件虚拟化技术。它的核心思想是将多台设备通过IRF物理端口连接在一起,进行必要的配置后,虚拟化成一台“分布式设备”。使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力,实现多台设备的协同工作、统一管理和不间断维护。为了便于描述,这个“虚拟设备”也称为IRF。所以,本文中的IRF有两层意思,一个是指IRF技术,一个是指IRF设备。IRF优点:1.简化管理。IRF形成之后,用户通过任意成员设备的任意端口都可以登录IRF系统,对IRF内所有成员设备进行
2021-10-05 12:59:28
5755
原创 MSTP原理
MSTP出现的背景:RSTP在STP基础上进行了改进,实现了网络拓扑快速收敛。但RSTP和STP还存在同一个缺陷:由于局域网内所有的VLAN共享一棵生成树,因此无法在VLAN间实现数据流量的负载均衡,链路被阻塞后将不承载任何流量,造成带宽浪费,还有可能造成部分VLAN的报文无法转发。如图1所示网络中,在局域网内应用STP或RSTP,生成树结构在图中用虚线表示,S6为根交换设备。S2和S5之间、S1和S4之间的链路被阻塞,除了图中标注了“VLAN2”或“VLAN3”的链路允许对应的VLAN报文通过外,其
2021-09-12 15:35:24
3641
原创 STP/RSTP原理及区别
802.1D—STP,802.1W—RSTP,802.1S—MSTP定义:以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路,引发广播风暴以及MAC地址表不稳定等故障现象,从而导致用户通信质量较差,甚至通信中断。为解决交换网络中的环路问题,提出了生成树协议STP(Spanning Tree Protocol)。与众多协议的发展过程一样,生成树协议也是随着网络的发展而不断更新的,从最初的IEEE 802.1D中定义的STP到IEEE 802.1W
2021-09-09 18:38:17
2630
原创 L2TP/L2TP over IPSec
L2TP VPN:二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。二层隧道协议L2TP ( Layer 2 Tunneling Protocol )是虚拟私有拨号网VPDN ( Virtual Private Dial-up Network )隧道协议的一种,扩展了点到点协议PPP ( Point-to-Point Protocol )的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。
2021-08-26 10:32:33
10688
2
原创 华为防火墙IPSec xxx技术
具体的IPSec技术原理请参照专栏中IPSec的文章,这里是关于IPSec在防火墙上的应用实验:拓扑图:FW1配置trust-untrust策略:
2021-08-24 16:10:30
1411
1
原创 华为防火墙L2TP/L2TP over IPSec
L2TP VPN:二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。L2TP不支持加密L2TP使用的端口号1701L2TP协议以UDP头部封装目的:出差员工跨越Internet远程访问企业内网资源时需要使用PPP协议向企业总部申请内网IP地址,并供总部对出差员工进行身份认证。但PPP报文受其协议自身的限制无法在Internet上直接传输。于是,PPP报文的传输问题成为了制约出差员工远程办公的
2021-08-08 22:13:37
6848
原创 华为防火墙用户与认证
用户:用户指的是访问网络资源的主体,表示“谁”在进行访问,是网络访问行为的重要标识。FW上的用户包括上网用户和接入用户两种形式:上网用户:内部网络中访问网络资源的主体,如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。接入用户:外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工。接入用户需要先通过SSL VPN、L2TP VPN或IPSec VPN方式接入到FW,然后才能访问企业总部的网络资源。认证:FW通过认证来验证访问者的身份,FW对访问者进行认证的方式包括︰本地认证
2021-08-06 13:44:52
6525
1
原创 华为防火墙UTM技术
UTM:统一威胁管理,融合了IPS入侵防御系统,AV网关防病毒,上网行为管理,防DDOS攻击等特性,为了更好的解决来自企业内部、外部的攻击威胁提供了强有力保障(UTM包含入侵防御和内容过滤)入侵防御(IPS):入侵防御是一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻
2021-08-06 13:44:37
3130
原创 华为防火墙GRE over IPSec
具体原理可以看之前的一篇介绍GRE的一篇文章,这里不做赘述,这里讲述的是GRE over IPSec在防火墙上的应用实验:拓扑:
2021-08-06 13:44:23
1532
原创 华为防火墙SSL xxx
用于远程访问VPN,工作在应用层与传输层之间SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。SSL与IPSec、L2TP的区别:1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。2.IPSec、L2TP配置繁琐3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。SSL的特点:1.B/S结构:浏览
2021-08-05 12:19:08
3349
3
原创 华为防火墙链路聚合
以太网链路聚合:以太网链路聚合eth-trunk简称链路聚合,他通过将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加链路带宽的目的。同时,这些捆绑在一起的链路通过相互间的动态备份,可以有效提高链路的可靠性。以太网链路聚合三大优势:增加带宽,提高可靠性,负载分担链路聚合方式:手工方式,LACP模式链路聚合控制协议LACP:支持M:N备份,也就是活动链路:备份链路。供设备根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成以后,负责维护链路状态,在聚合条件发生变化时,自动调整或解
2021-08-04 11:56:43
6905
4
原创 华为防火墙基础
判断一个网络的安全性:1.数据机密性2.数据完整性3.高可用性防火墙主要用于保护一个网络区域免受另一个网络区域的网络攻击和网络入侵行为,同时允许两个网络之间进行合法的通信防火墙与交换机、路由器对比:交换机:汇聚组建局域网,二、三层快速转发报文路由器:寻址和转发,保证网络互联互通防火墙:控制报文转发,防攻击病毒木马路由器与交换机的本质是转发,防火墙是控制防火墙和路由器实现安全控制的区别:防火墙分类:1.按照形态分为:硬件防火墙、软件防火墙2.按照保护对象分为:单机防火墙、网络防火墙
2021-08-02 19:11:38
3324
原创 华为WLAN产品介绍与组网(包括capwap隧道,ap上线,STA上线,组网方式,转发方式)
AC6003:AC6005:AC6605:ACU2:用在交换机上的一个板卡,适用于S7700,S9700,S12700等框式交换机的任何LPU槽位,ACU2可安装在等框式交换机的任何LPU槽位,处理从S7700&S970O0&S12700主控板交换过来且需要ACU2单板处理的数据包,用于集中管理无线AP设备,控制无线用户的接入和访问,实现集中转发模式下的无线用户流量的路由和转发。ACU2处理无线数据的过程是,数据包先交给交换机(S7700,S9700,S12700),交
2021-08-02 19:10:42
5904
原创 华为DSxxx原理+实验
动态智能VPN(Dynamic Smart Virtual Private Network),简称DSVPN,是一种在Hub-Spoke组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入Internet,分支机构采用动态的公网地址接入Internet时,使用传统的IPSec、GRE over IPSec等技术构建VPN网络将存在一个问题,即分支之间无法直接通信(源分支无法获取目的分支公网地址,也就无法在分支之间直接建立隧道),
2021-08-02 11:40:55
1212
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人