当前位置: 首页 > news >正文

交换机/防火墙-基础配置-23.10.11

news 2025/9/17 12:47:54

update 优化了目录逻辑 -10.24.2023

一.前置知识

1.MAC地址

交换机在给主机之间传递信息包时,通过MAC地址来标识每台主机

主机间发生信息包交换时,交换机就会将通信过的主机的mac地址存下

dis mac-address

交换机转发的数据包中,会包含一个目标MAC,交换机识别数据包中的目标MAC,根据MAC地址表,会从对应的接口发出,从而转发到目标主机。

PC1在给PC3发送数据包时,使用ARP协议(地址解析协议);PC1通过广播的形式,发出一个arp询问(询问PC3),这个广播包所有的电脑都能收到,PC3收到广播包后,会对PC1的arp询问做出arp回答(回答PC1自己的mac地址)。这样就实现PC1和PC3之间的通信(双向),双方的mac地址也会记录下来。

交换机的mac地址表中,mac地址对应的物理接口是如何实现:

当交换机的某个接口收到PC发出的数据包时,数据包包含源mac地址,源mac地址和这个接收数据包的端口对应(并且会实时更新),在mac地址表显示。

2.VLAN

根据上文的arp协议可知,当PC设备数量较多时,会产生大量的广播包,可能会造成网络卡顿。

使用vlan技术来隔离这些广播包(分割广播域)。实现网络间隔离,优化网络

这样一个在一个虚拟局域网下的设备发送广播包只会在这个虚拟局域网内传播

vlan 下的PC发出数据包会携带一个vlan标签,交换机通过vlan标签来确定这个数据包应该在哪些vlan中传播

3.交换机的三种转发方式

泛洪、转发、丢弃

泛洪:当数据帧的目的MAC地址不在MAC表中,或者目的MAC地址为广播地址时,交换机泛洪该帧

转发:交换机根据MAC地址表将目标主机的回复信息单播转发给源主机 

丢弃:当交换机收到的数据帧的目的MAC地址就是发出数据帧的MAC地址时,就会丢弃该帧

二.防火墙

常见防火墙厂家:深信服、启明星辰、华为、天融信、奇安信

1.eNSP防火墙模拟实验

1.前置设置

在使用USG6000V设备前,需完成以下任务:

  1. 已安装最新版eNSP客户端。
  2. 在BIOS中开启虚拟化技术。
  3. 可能需要导入相关包

防火墙经过以上设置后,启动

启动后需要输入默认账户和密码:

输入NAME,和密码:默认name:admin
                                    默认pass:Admin@123
首次登录需要修改密码输入Y,再次输入输入旧密码:Admin@123

填写新密码:Admin@1234

再次填写新密码:Admin@1234

(USG6000V1不能实现save保存,所以eNSP软件关闭后,再次打开拓扑需要重新配置)

2.模拟拓扑图

配置防火墙的接口IP时,需要对防火墙的接口类型有所了解

防火墙的接口类型

1、路由模式(三层):物理口可以直接配置IP,类似路由器

<USG6000V1>sy
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 10.10.10.2 24

2、交换模式(二层):物理口不能直接配置IP,类似交换机,可以配置vlan trunk接口  

3.需求实现

PC1想要实现与外网路由器联通

内网路由器中需要存在前往6.6.6.6的路由表,查看路由器中是否存在该路由表

[Huawei]dis ip routing-table 6.6.6.6

添加去往6.6.6.0网段的路由

[Huawei]ip route-static 6.6.6.0 24 10.10.10.2

在实际配置中,如果缺少某个路由,直接使用静态路由添加即可

直连路由:当存在物理接口的连接,物理接口配置了IP地址,此时会自动产生和这个IP相关的直连路由

现在尝试设备之间能否正常通信,设备之间是不能通信的,因为防火墙的配置还未完善:

不能通信原因如下:

防火墙安全策略

内网主机是私网IP,私网IP不能访问外网(需要进行网络地址转换)

4.防火墙安全策略

1.接口加入安全域

(信任区域、非信任区域、DMZ区域)

信任区域:内网区域

非信任区域:外网区域

dmz区域:中间区域(服务器区域),因为内网和外网主机都会访问服务器,所以服务器区域被称为中间区域

配置信任区域

[USG6000V1]firewall zone trust //进入信任区域
[USG6000V1-zone-trust]add int g1/0/1 //将接口添加到信任域

配置非信任区域

[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2

2.放行策略

信任区域访问非信任区域(内网主机实现访问外网资源),放行

配置安全策略

1.进入安全策略配置界面

2.新建安全策略

3.配置安全策略的规则(从哪来,到哪去)

4.开启放行策略

[USG6000V1]security-policy //进入安全策略
[USG6000V1-policy-security]rule name p2s //新建一个安全策略,名称为p2s
[USG6000V1-policy-security-rule-p2s]source-zone trust //安全策略源地址
[USG6000V1-policy-security-rule-p2s]destination-zone untrust //安全策略目标地址
[USG6000V1-policy-security-rule-p2s]action permit //允许放行
[USG6000V1-policy-security-rule-p2s]dis this
2023-10-22 02:49:41.740 
#rule name p2ssource-zone trustdestination-zone untrustaction permit
#
return

5.NAT(网络地址转换)

将私网IP转换成公网IP,即可实现内网主机访问外网资源的需求

1.进入nat配置界面

2.新建nat配置

3.配置新建的nat规则(从哪来,到哪去)

4.开启nat转换,(easy-ip:地址转换时,自动转换成设备出接口的地址;不需要配置具体的公网IP地址,设备会自动将地址进行转换设备出接口的公网IP地址)

[USG6000V1]nat-policy //进入nat配置策略界面
[USG6000V1-policy-nat]rule name p2s	//新建nat配置,名称为p2s
[USG6000V1-policy-nat-rule-p2s]source-zone trust //nat转换源地址
[USG6000V1-policy-nat-rule-p2s]destination-zone untrust //nat转换目标地址
[USG6000V1-policy-nat-rule-p2s]action source-nat easy-ip //开启nat策略,easy-ip:自动转换
[USG6000V1-policy-nat-rule-p2s]dis this
2023-10-22 02:57:42.350 
#rule name p2ssource-zone trustdestination-zone untrustaction source-nat easy-ip
#
return

回程路由(公网资源的数据包也要能回到私网主机,通信是双向的)

[USG6000V1]ip route-static 192.168.1.0 24 10.10.10.1

6.总结

想要实现内网访问外网资源,防火墙需要的配置:

1.安全放行策略

2.开启NAT

相关文章:

交换机/防火墙-基础配置-23.10.11

update 优化了目录逻辑 -10.24.2023 一.前置知识 1.MAC地址 交换机在给主机之间传递信息包时&#xff0c;通过MAC地址来标识每台主机 主机间发生信息包交换时&#xff0c;交换机就会将通信过的主机的mac地址存下 dis mac-address 交换机转发的数据包中&#xff0c;会包含一…...

编程日记 2023/10/26 2:43:33

alibaba.fastjson的使用(四)-- Json字符 与 JsonObject 的相互转化

目录 1. Json字符串转JsonObject 2. JsonObject转Json字符串 1. Json字符串转JsonObject 使用到的方法1: static JSONObject parseObject(String text) 使用到的方法2: public String getString(String key) /*** 将Json字符串转为JsonObject对象* 取值不存在时,返回null…...

编程日记 2023/10/26 2:42:31

linux 主机通信 ipv6 配置

1.检查系统内核是否支持IPv6协议&#xff1a; 在Linux控制台中运行下列命令&#xff1a; cat /proc/sys/net/ipv6/conf/all/disable_ipv6如果返回结果是0&#xff0c;就表明系统支持IPv6协议&#xff1b;若是1&#xff0c;则表明系统目前不支持IPv6协议&#xff1b; 2.禁用I…...

编程日记 2023/10/26 2:41:30

【JavaEE】初识计算机网络(TCP/IP五层模型及封装和分用)

一、 网络通信基础 网络互连的目的是进行网络通信&#xff0c;也即是网络数据传输&#xff0c;更具体一点&#xff0c;是网络主机中的不同进程间&#xff0c;基于网络传输数据。 那么&#xff0c;在组建的网络中&#xff0c;如何判断到底是从哪台主机&#xff0c;将数据传输到…...

编程日记 2023/10/26 2:40:29

在nodejs中实现实时通信的几种方式

在nodejs中实现实时通信的几种方式 在当今世界中&#xff0c;实时通信至关重要。无论是聊天应用程序还是实时体育更新&#xff0c;实时通信都是保持用户活跃度所必需的。Node.js 因其速度、可扩展性和可靠性而成为开发实时应用程序的流行工具。在本文中&#xff0c;我们将探讨…...

编程日记 2023/10/26 2:39:28

【tg】 7 GroupInstanceCustomImpl

group GroupInstanceCustomImpl 核心GroupInstanceCustomInternal G:\CDN\P2P-DEV\tdesktop-offical\Telegram\ThirdParty\tgcalls\tgcalls\group\GroupInstanceCustomImpl.h 最核心是是GroupInstanceCustomInternal: private:std::shared_ptr<Threads> _threads;std::u…...

编程日记 2023/10/26 2:38:26

kubernates 集群实战-安装K3s集群

安装K3s集群 安装K3s集群环境准备安装 docker主节点安装work 节点验证环境 安装K3s集群 K3S是一种轻量级的Kubernetes发行版&#xff0c;安装和运行只需要一个二进制文件。相比之下&#xff0c;K8S需要更多的步骤和资源来安装和部署&#xff0c;例如设置etcd集群、安装控制平面…...

编程日记 2023/10/26 2:37:24

通俗介绍:什么是 Redis ?

刚接触 Redis 的伙伴们可能会因为不熟悉而感到困惑。本文简述 Redis 是什么、有哪些作用的问题&#xff0c;是一篇短浅而入门级别的文章。 Redis官网&#xff1a;Redis 打开 Redis 官网可以看到&#xff0c;官方对 Redis 的介绍是这样的&#xff1a;The open source, in-memo…...

编程日记 2023/10/26 2:36:23

蓝桥算法赛(摆玩具)

问题描述 小蓝是一个热爱收集玩具的小伙子&#xff0c;他拥有 n 个不同的玩具。 这天&#xff0c;他把 n 个玩具按照高度顺序从矮到高摆放在了窗台上&#xff0c;然后&#xff0c;他希望将这些玩具分成 k 个段&#xff0c;使得所有分段的极差之和尽可能小。 具体来说&…...

编程日记 2023/10/26 2:35:22

vueDay04——v-if else show

一、v-if的使用 我们可以像c语言一样去使用v-if结构 比如单用v-if&#xff0c;连用v-if v-else&#xff0c;或者是v-if v-else-if v-else 注意&#xff1a; 1.v-if v-else-if需要绑定值,而v-else不需要绑定值 2.if结构可以用在不同的标签类型之间 <div v-if"fir…...

编程日记 2023/10/26 2:34:21

大数据技术学习笔记(二)—— Hadoop 运行环境的搭建

目录 1 准备模版虚拟机hadoop1001.1 修改主机名1.2 修改hosts文件1.3 修改IP地址1.3.1 查看网络IP和网关1.3.2 修改IP地址 1.4 关闭防火墙1.5 创建普通用户1.6 创建所需目录1.7 卸载虚拟机自带的open JDK1.8 重启虚拟机 2 克隆虚拟机3 在hadoop101上安装JDK3.1 传输安装包并解压…...

编程日记 2023/10/26 2:33:19

leetcode系列(双语)002——GO两数相加

文章目录 两数相加 | Add Two Numbers示例个人解答官方解答扩展Algorithm 两数相加 | Add Two Numbers You are given two non-empty linked lists representing two non-negative integers. The digits are stored in reverse order, and each of their nodes contains a sing…...

编程日记 2023/10/26 2:31:15

废柴勇士(据说没有人能坚持37秒)

欢迎来到程序小院 废柴勇士 玩法&#xff1a;点击屏幕下方左右按键击杀怪物&#xff0c;怪物会在左右方向同时来袭&#xff0c;快速点击按钮进行击杀怪物&#xff0c;看您能够坚持多少秒&#xff0c; 据说还没有能够坚持37秒&#xff0c;快去击杀怪物挑战吧^^。开始游戏https:…...

编程日记 2023/10/26 2:30:14

buuctf_练[羊城杯2020]easyphp

[羊城杯2020]easyphp 文章目录 [羊城杯2020]easyphp掌握知识解题思路关键paylaod 掌握知识 ​ .htaccess文件的利用&#xff0c;把自己指定当做 php文件处理&#xff1b;preg_match正则匹配的了解&#xff0c;stristr函数的绕过&#xff1b;file_put_contents文件写入操作的了…...

编程日记 2023/10/26 2:29:12

【Linux】安装配置虚拟机及虚拟机操作系统的安装

目录 一、操作系统 1. 介绍 2. 功能 3. 有哪些 4. 个人版本和服务器版本的区别 二、VMWare虚拟机 1. 安装 2. 配置 三、安装配置Windows Server 1. 配置 2. 安装 四、虚拟机的环境配置及连接 1. 主机连接虚拟机 2. 虚拟机环境配置及共享 3. 环境配置 一、操作系…...

编程日记 2023/10/26 2:28:11

hugo-stack for github

静态博客框架jekyll、hexo和hugo三者之间的区别与差异 博客生成器? 全名为静态网站生成器&#xff0c; 可在任意拥有主机功能的环境下寄存(托管)可直接配合域名进行全球访问 劣势: 每次更新网页必须重新生成整个网站编译速度&#xff08;单位&#xff1a;秒&#xff09; Jek…...

编程日记 2023/10/26 2:26:08

【uniapp】proxy 代理切换至线上测试地址调试接口

本地测试地址形如&#xff1a;http://192.168.124.x:xxxx 线上测试地址形如&#xff1a;https://xxxx.xxxx.com 使用线上地址之后需要修改配置项 secure 为 true const constant require(./src/utils/constant) module.exports {devServer: {proxy: {/api: {target: constan…...

编程日记 2023/10/26 2:25:07

对比Vue2和Vue3的自定义指令

一、自定义指令简介 自定义指令是Vue提供的能力,用于注册自定义的指令,从而实现一些自定义的DOM操作。 二、Vue2中自定义指令 在Vue2中,自定义指令通过全局方法Vue.directive()进行注册: // 注册全局指令v-focus Vue.directive(focus, {inserted: function(el) {el.focus()…...

编程日记 2023/10/26 2:24:06

Python:实现日历到excel文档

背景 日历是一种常见的工具,用于记录事件和显示日期。在编程中,可以使用Python编码来制作日历。 Python提供了一些内置的模块和函数,使得制作日历变得更加简单。 在本文,我们将探讨如何使用Python制作日历,并将日历输出到excel文档中。 效果展示 实现 在代码中会用到cale…...

编程日记 2023/10/26 2:23:04

C++ 异常和错误处理机制:如何使您的程序更加稳定和可靠

在C编程中&#xff0c;异常处理和错误处理机制是非常重要的。它们可以帮助程序员有效地处理运行时错误和异常情况。本文将介绍C中的异常处理和错误处理机制。 什么是异常处理&#xff1f; 异常处理是指在程序执行过程中发生异常或错误时&#xff0c;程序能够捕获并处理这些异常…...

编程日记 2023/10/26 2:22:03

地震勘探——干扰波识别、井中地震时距曲线特点

目录 干扰波识别反射波地震勘探的干扰波 井中地震时距曲线特点 干扰波识别 有效波&#xff1a;可以用来解决所提出的地质任务的波&#xff1b;干扰波&#xff1a;所有妨碍辨认、追踪有效波的其他波。 地震勘探中&#xff0c;有效波和干扰波是相对的。例如&#xff0c;在反射波…...

编程新知 2025/9/15 5:17:34

【力扣数据库知识手册笔记】索引

索引 索引的优缺点 优点1. 通过创建唯一性索引&#xff0c;可以保证数据库表中每一行数据的唯一性。2. 可以加快数据的检索速度&#xff08;创建索引的主要原因&#xff09;。3. 可以加速表和表之间的连接&#xff0c;实现数据的参考完整性。4. 可以在查询过程中&#xff0c;…...

编程新知 2025/9/9 10:11:34

【JVM】- 内存结构

引言 JVM&#xff1a;Java Virtual Machine 定义&#xff1a;Java虚拟机&#xff0c;Java二进制字节码的运行环境好处&#xff1a; 一次编写&#xff0c;到处运行自动内存管理&#xff0c;垃圾回收的功能数组下标越界检查&#xff08;会抛异常&#xff0c;不会覆盖到其他代码…...

编程新知 2025/9/9 14:49:12

在四层代理中还原真实客户端ngx_stream_realip_module

一、模块原理与价值 PROXY Protocol 回溯 第三方负载均衡&#xff08;如 HAProxy、AWS NLB、阿里 SLB&#xff09;发起上游连接时&#xff0c;将真实客户端 IP/Port 写入 PROXY Protocol v1/v2 头。Stream 层接收到头部后&#xff0c;ngx_stream_realip_module 从中提取原始信息…...

编程新知 2025/8/4 15:55:44

BCS 2025|百度副总裁陈洋:智能体在安全领域的应用实践

6月5日&#xff0c;2025全球数字经济大会数字安全主论坛暨北京网络安全大会在国家会议中心隆重开幕。百度副总裁陈洋受邀出席&#xff0c;并作《智能体在安全领域的应用实践》主题演讲&#xff0c;分享了在智能体在安全领域的突破性实践。他指出&#xff0c;百度通过将安全能力…...

编程新知 2025/8/26 15:36:54

稳定币的深度剖析与展望

一、引言 在当今数字化浪潮席卷全球的时代&#xff0c;加密货币作为一种新兴的金融现象&#xff0c;正以前所未有的速度改变着我们对传统货币和金融体系的认知。然而&#xff0c;加密货币市场的高度波动性却成为了其广泛应用和普及的一大障碍。在这样的背景下&#xff0c;稳定…...

编程新知 2025/7/7 21:48:53

Reasoning over Uncertain Text by Generative Large Language Models

https://ojs.aaai.org/index.php/AAAI/article/view/34674/36829https://ojs.aaai.org/index.php/AAAI/article/view/34674/36829 1. 概述 文本中的不确定性在许多语境中传达,从日常对话到特定领域的文档(例如医学文档)(Heritage 2013;Landmark、Gulbrandsen 和 Svenevei…...

编程新知 2025/9/13 17:40:39

云原生玩法三问:构建自定义开发环境

云原生玩法三问&#xff1a;构建自定义开发环境 引言 临时运维一个古董项目&#xff0c;无文档&#xff0c;无环境&#xff0c;无交接人&#xff0c;俗称三无。 运行设备的环境老&#xff0c;本地环境版本高&#xff0c;ssh不过去。正好最近对 腾讯出品的云原生 cnb 感兴趣&…...

编程新知 2025/9/13 17:39:49

wpf在image控件上快速显示内存图像

wpf在image控件上快速显示内存图像https://www.cnblogs.com/haodafeng/p/10431387.html 如果你在寻找能够快速在image控件刷新大图像&#xff08;比如分辨率3000*3000的图像&#xff09;的办法&#xff0c;尤其是想把内存中的裸数据&#xff08;只有图像的数据&#xff0c;不包…...

编程新知 2025/9/7 8:49:50

【Linux】自动化构建-Make/Makefile

前言 上文我们讲到了Linux中的编译器gcc/g 【Linux】编译器gcc/g及其库的详细介绍-CSDN博客 本来我们将一个对于编译来说很重要的工具&#xff1a;make/makfile 1.背景 在一个工程中源文件不计其数&#xff0c;其按类型、功能、模块分别放在若干个目录中&#xff0c;mak…...

编程新知 2025/9/7 8:49:38