网站功能模块设计,深圳网页技术开发公司,做网站备负责人风险大吗,做游戏网站要通过什么审核update 优化了目录逻辑 -10.24.2023
一.前置知识
1.MAC地址
交换机在给主机之间传递信息包时#xff0c;通过MAC地址来标识每台主机
主机间发生信息包交换时#xff0c;交换机就会将通信过的主机的mac地址存下
dis mac-address 交换机转发的数据包中#xff0c;会包含一…update 优化了目录逻辑 -10.24.2023
一.前置知识
1.MAC地址
交换机在给主机之间传递信息包时通过MAC地址来标识每台主机
主机间发生信息包交换时交换机就会将通信过的主机的mac地址存下
dis mac-address 交换机转发的数据包中会包含一个目标MAC交换机识别数据包中的目标MAC根据MAC地址表会从对应的接口发出从而转发到目标主机。
PC1在给PC3发送数据包时使用ARP协议地址解析协议PC1通过广播的形式发出一个arp询问询问PC3这个广播包所有的电脑都能收到PC3收到广播包后会对PC1的arp询问做出arp回答回答PC1自己的mac地址。这样就实现PC1和PC3之间的通信双向双方的mac地址也会记录下来。
交换机的mac地址表中mac地址对应的物理接口是如何实现
当交换机的某个接口收到PC发出的数据包时数据包包含源mac地址源mac地址和这个接收数据包的端口对应并且会实时更新在mac地址表显示。
2.VLAN
根据上文的arp协议可知当PC设备数量较多时会产生大量的广播包可能会造成网络卡顿。
使用vlan技术来隔离这些广播包分割广播域。实现网络间隔离优化网络
这样一个在一个虚拟局域网下的设备发送广播包只会在这个虚拟局域网内传播 vlan 下的PC发出数据包会携带一个vlan标签交换机通过vlan标签来确定这个数据包应该在哪些vlan中传播
3.交换机的三种转发方式
泛洪、转发、丢弃
泛洪当数据帧的目的MAC地址不在MAC表中或者目的MAC地址为广播地址时交换机泛洪该帧
转发交换机根据MAC地址表将目标主机的回复信息单播转发给源主机
丢弃当交换机收到的数据帧的目的MAC地址就是发出数据帧的MAC地址时就会丢弃该帧
二.防火墙
常见防火墙厂家深信服、启明星辰、华为、天融信、奇安信
1.eNSP防火墙模拟实验
1.前置设置
在使用USG6000V设备前需完成以下任务
已安装最新版eNSP客户端。在BIOS中开启虚拟化技术。可能需要导入相关包 防火墙经过以上设置后启动
启动后需要输入默认账户和密码
输入NAME和密码默认nameadmin 默认passAdmin123 首次登录需要修改密码输入Y,再次输入输入旧密码Admin123
填写新密码Admin1234
再次填写新密码Admin1234
USG6000V1不能实现save保存所以eNSP软件关闭后再次打开拓扑需要重新配置 2.模拟拓扑图 配置防火墙的接口IP时需要对防火墙的接口类型有所了解
防火墙的接口类型
1、路由模式三层物理口可以直接配置IP类似路由器
USG6000V1sy
Enter system view, return user view with CtrlZ.
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 10.10.10.2 24
2、交换模式二层物理口不能直接配置IP类似交换机可以配置vlan trunk接口
3.需求实现
PC1想要实现与外网路由器联通
内网路由器中需要存在前往6.6.6.6的路由表查看路由器中是否存在该路由表
[Huawei]dis ip routing-table 6.6.6.6
添加去往6.6.6.0网段的路由
[Huawei]ip route-static 6.6.6.0 24 10.10.10.2
在实际配置中如果缺少某个路由直接使用静态路由添加即可
直连路由当存在物理接口的连接物理接口配置了IP地址此时会自动产生和这个IP相关的直连路由
现在尝试设备之间能否正常通信设备之间是不能通信的因为防火墙的配置还未完善
不能通信原因如下
防火墙安全策略
内网主机是私网IP私网IP不能访问外网需要进行网络地址转换
4.防火墙安全策略
1.接口加入安全域
信任区域、非信任区域、DMZ区域
信任区域内网区域
非信任区域外网区域
dmz区域中间区域服务器区域因为内网和外网主机都会访问服务器所以服务器区域被称为中间区域
配置信任区域
[USG6000V1]firewall zone trust //进入信任区域
[USG6000V1-zone-trust]add int g1/0/1 //将接口添加到信任域
配置非信任区域
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2
2.放行策略
信任区域访问非信任区域内网主机实现访问外网资源放行
配置安全策略
1.进入安全策略配置界面
2.新建安全策略
3.配置安全策略的规则从哪来到哪去
4.开启放行策略
[USG6000V1]security-policy //进入安全策略
[USG6000V1-policy-security]rule name p2s //新建一个安全策略名称为p2s
[USG6000V1-policy-security-rule-p2s]source-zone trust //安全策略源地址
[USG6000V1-policy-security-rule-p2s]destination-zone untrust //安全策略目标地址
[USG6000V1-policy-security-rule-p2s]action permit //允许放行
[USG6000V1-policy-security-rule-p2s]dis this
2023-10-22 02:49:41.740
#rule name p2ssource-zone trustdestination-zone untrustaction permit
#
return
5.NAT网络地址转换
将私网IP转换成公网IP即可实现内网主机访问外网资源的需求
1.进入nat配置界面
2.新建nat配置
3.配置新建的nat规则从哪来到哪去
4.开启nat转换easy-ip地址转换时自动转换成设备出接口的地址不需要配置具体的公网IP地址设备会自动将地址进行转换设备出接口的公网IP地址
[USG6000V1]nat-policy //进入nat配置策略界面
[USG6000V1-policy-nat]rule name p2s //新建nat配置名称为p2s
[USG6000V1-policy-nat-rule-p2s]source-zone trust //nat转换源地址
[USG6000V1-policy-nat-rule-p2s]destination-zone untrust //nat转换目标地址
[USG6000V1-policy-nat-rule-p2s]action source-nat easy-ip //开启nat策略easy-ip自动转换
[USG6000V1-policy-nat-rule-p2s]dis this
2023-10-22 02:57:42.350
#rule name p2ssource-zone trustdestination-zone untrustaction source-nat easy-ip
#
return
回程路由公网资源的数据包也要能回到私网主机通信是双向的
[USG6000V1]ip route-static 192.168.1.0 24 10.10.10.1
6.总结
想要实现内网访问外网资源防火墙需要的配置
1.安全放行策略
2.开启NAT
