当前位置: 首页 > news >正文

交换机/防火墙-基础配置-23.10.11

news 2026/2/9 10:04:48

update 优化了目录逻辑 -10.24.2023

一.前置知识

1.MAC地址

交换机在给主机之间传递信息包时,通过MAC地址来标识每台主机

主机间发生信息包交换时,交换机就会将通信过的主机的mac地址存下

dis mac-address

交换机转发的数据包中,会包含一个目标MAC,交换机识别数据包中的目标MAC,根据MAC地址表,会从对应的接口发出,从而转发到目标主机。

PC1在给PC3发送数据包时,使用ARP协议(地址解析协议);PC1通过广播的形式,发出一个arp询问(询问PC3),这个广播包所有的电脑都能收到,PC3收到广播包后,会对PC1的arp询问做出arp回答(回答PC1自己的mac地址)。这样就实现PC1和PC3之间的通信(双向),双方的mac地址也会记录下来。

交换机的mac地址表中,mac地址对应的物理接口是如何实现:

当交换机的某个接口收到PC发出的数据包时,数据包包含源mac地址,源mac地址和这个接收数据包的端口对应(并且会实时更新),在mac地址表显示。

2.VLAN

根据上文的arp协议可知,当PC设备数量较多时,会产生大量的广播包,可能会造成网络卡顿。

使用vlan技术来隔离这些广播包(分割广播域)。实现网络间隔离,优化网络

这样一个在一个虚拟局域网下的设备发送广播包只会在这个虚拟局域网内传播

vlan 下的PC发出数据包会携带一个vlan标签,交换机通过vlan标签来确定这个数据包应该在哪些vlan中传播

3.交换机的三种转发方式

泛洪、转发、丢弃

泛洪:当数据帧的目的MAC地址不在MAC表中,或者目的MAC地址为广播地址时,交换机泛洪该帧

转发:交换机根据MAC地址表将目标主机的回复信息单播转发给源主机 

丢弃:当交换机收到的数据帧的目的MAC地址就是发出数据帧的MAC地址时,就会丢弃该帧

二.防火墙

常见防火墙厂家:深信服、启明星辰、华为、天融信、奇安信

1.eNSP防火墙模拟实验

1.前置设置

在使用USG6000V设备前,需完成以下任务:

  1. 已安装最新版eNSP客户端。
  2. 在BIOS中开启虚拟化技术。
  3. 可能需要导入相关包

防火墙经过以上设置后,启动

启动后需要输入默认账户和密码:

输入NAME,和密码:默认name:admin
                                    默认pass:Admin@123
首次登录需要修改密码输入Y,再次输入输入旧密码:Admin@123

填写新密码:Admin@1234

再次填写新密码:Admin@1234

(USG6000V1不能实现save保存,所以eNSP软件关闭后,再次打开拓扑需要重新配置)

2.模拟拓扑图

配置防火墙的接口IP时,需要对防火墙的接口类型有所了解

防火墙的接口类型

1、路由模式(三层):物理口可以直接配置IP,类似路由器

<USG6000V1>sy
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 10.10.10.2 24

2、交换模式(二层):物理口不能直接配置IP,类似交换机,可以配置vlan trunk接口  

3.需求实现

PC1想要实现与外网路由器联通

内网路由器中需要存在前往6.6.6.6的路由表,查看路由器中是否存在该路由表

[Huawei]dis ip routing-table 6.6.6.6

添加去往6.6.6.0网段的路由

[Huawei]ip route-static 6.6.6.0 24 10.10.10.2

在实际配置中,如果缺少某个路由,直接使用静态路由添加即可

直连路由:当存在物理接口的连接,物理接口配置了IP地址,此时会自动产生和这个IP相关的直连路由

现在尝试设备之间能否正常通信,设备之间是不能通信的,因为防火墙的配置还未完善:

不能通信原因如下:

防火墙安全策略

内网主机是私网IP,私网IP不能访问外网(需要进行网络地址转换)

4.防火墙安全策略

1.接口加入安全域

(信任区域、非信任区域、DMZ区域)

信任区域:内网区域

非信任区域:外网区域

dmz区域:中间区域(服务器区域),因为内网和外网主机都会访问服务器,所以服务器区域被称为中间区域

配置信任区域

[USG6000V1]firewall zone trust //进入信任区域
[USG6000V1-zone-trust]add int g1/0/1 //将接口添加到信任域

配置非信任区域

[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2

2.放行策略

信任区域访问非信任区域(内网主机实现访问外网资源),放行

配置安全策略

1.进入安全策略配置界面

2.新建安全策略

3.配置安全策略的规则(从哪来,到哪去)

4.开启放行策略

[USG6000V1]security-policy //进入安全策略
[USG6000V1-policy-security]rule name p2s //新建一个安全策略,名称为p2s
[USG6000V1-policy-security-rule-p2s]source-zone trust //安全策略源地址
[USG6000V1-policy-security-rule-p2s]destination-zone untrust //安全策略目标地址
[USG6000V1-policy-security-rule-p2s]action permit //允许放行
[USG6000V1-policy-security-rule-p2s]dis this
2023-10-22 02:49:41.740 
#rule name p2ssource-zone trustdestination-zone untrustaction permit
#
return

5.NAT(网络地址转换)

将私网IP转换成公网IP,即可实现内网主机访问外网资源的需求

1.进入nat配置界面

2.新建nat配置

3.配置新建的nat规则(从哪来,到哪去)

4.开启nat转换,(easy-ip:地址转换时,自动转换成设备出接口的地址;不需要配置具体的公网IP地址,设备会自动将地址进行转换设备出接口的公网IP地址)

[USG6000V1]nat-policy //进入nat配置策略界面
[USG6000V1-policy-nat]rule name p2s	//新建nat配置,名称为p2s
[USG6000V1-policy-nat-rule-p2s]source-zone trust //nat转换源地址
[USG6000V1-policy-nat-rule-p2s]destination-zone untrust //nat转换目标地址
[USG6000V1-policy-nat-rule-p2s]action source-nat easy-ip //开启nat策略,easy-ip:自动转换
[USG6000V1-policy-nat-rule-p2s]dis this
2023-10-22 02:57:42.350 
#rule name p2ssource-zone trustdestination-zone untrustaction source-nat easy-ip
#
return

回程路由(公网资源的数据包也要能回到私网主机,通信是双向的)

[USG6000V1]ip route-static 192.168.1.0 24 10.10.10.1

6.总结

想要实现内网访问外网资源,防火墙需要的配置:

1.安全放行策略

2.开启NAT

相关文章:

交换机/防火墙-基础配置-23.10.11

update 优化了目录逻辑 -10.24.2023 一.前置知识 1.MAC地址 交换机在给主机之间传递信息包时&#xff0c;通过MAC地址来标识每台主机 主机间发生信息包交换时&#xff0c;交换机就会将通信过的主机的mac地址存下 dis mac-address 交换机转发的数据包中&#xff0c;会包含一…...

编程日记 2023/10/26 2:43:33

alibaba.fastjson的使用(四)-- Json字符 与 JsonObject 的相互转化

目录 1. Json字符串转JsonObject 2. JsonObject转Json字符串 1. Json字符串转JsonObject 使用到的方法1: static JSONObject parseObject(String text) 使用到的方法2: public String getString(String key) /*** 将Json字符串转为JsonObject对象* 取值不存在时,返回null…...

编程日记 2023/10/26 2:42:31

linux 主机通信 ipv6 配置

1.检查系统内核是否支持IPv6协议&#xff1a; 在Linux控制台中运行下列命令&#xff1a; cat /proc/sys/net/ipv6/conf/all/disable_ipv6如果返回结果是0&#xff0c;就表明系统支持IPv6协议&#xff1b;若是1&#xff0c;则表明系统目前不支持IPv6协议&#xff1b; 2.禁用I…...

编程日记 2023/10/26 2:41:30

【JavaEE】初识计算机网络(TCP/IP五层模型及封装和分用)

一、 网络通信基础 网络互连的目的是进行网络通信&#xff0c;也即是网络数据传输&#xff0c;更具体一点&#xff0c;是网络主机中的不同进程间&#xff0c;基于网络传输数据。 那么&#xff0c;在组建的网络中&#xff0c;如何判断到底是从哪台主机&#xff0c;将数据传输到…...

编程日记 2023/10/26 2:40:29

在nodejs中实现实时通信的几种方式

在nodejs中实现实时通信的几种方式 在当今世界中&#xff0c;实时通信至关重要。无论是聊天应用程序还是实时体育更新&#xff0c;实时通信都是保持用户活跃度所必需的。Node.js 因其速度、可扩展性和可靠性而成为开发实时应用程序的流行工具。在本文中&#xff0c;我们将探讨…...

编程日记 2023/10/26 2:39:28

【tg】 7 GroupInstanceCustomImpl

group GroupInstanceCustomImpl 核心GroupInstanceCustomInternal G:\CDN\P2P-DEV\tdesktop-offical\Telegram\ThirdParty\tgcalls\tgcalls\group\GroupInstanceCustomImpl.h 最核心是是GroupInstanceCustomInternal: private:std::shared_ptr<Threads> _threads;std::u…...

编程日记 2023/10/26 2:38:26

kubernates 集群实战-安装K3s集群

安装K3s集群 安装K3s集群环境准备安装 docker主节点安装work 节点验证环境 安装K3s集群 K3S是一种轻量级的Kubernetes发行版&#xff0c;安装和运行只需要一个二进制文件。相比之下&#xff0c;K8S需要更多的步骤和资源来安装和部署&#xff0c;例如设置etcd集群、安装控制平面…...

编程日记 2023/10/26 2:37:24

通俗介绍:什么是 Redis ?

刚接触 Redis 的伙伴们可能会因为不熟悉而感到困惑。本文简述 Redis 是什么、有哪些作用的问题&#xff0c;是一篇短浅而入门级别的文章。 Redis官网&#xff1a;Redis 打开 Redis 官网可以看到&#xff0c;官方对 Redis 的介绍是这样的&#xff1a;The open source, in-memo…...

编程日记 2023/10/26 2:36:23

蓝桥算法赛(摆玩具)

问题描述 小蓝是一个热爱收集玩具的小伙子&#xff0c;他拥有 n 个不同的玩具。 这天&#xff0c;他把 n 个玩具按照高度顺序从矮到高摆放在了窗台上&#xff0c;然后&#xff0c;他希望将这些玩具分成 k 个段&#xff0c;使得所有分段的极差之和尽可能小。 具体来说&…...

编程日记 2023/10/26 2:35:22

vueDay04——v-if else show

一、v-if的使用 我们可以像c语言一样去使用v-if结构 比如单用v-if&#xff0c;连用v-if v-else&#xff0c;或者是v-if v-else-if v-else 注意&#xff1a; 1.v-if v-else-if需要绑定值,而v-else不需要绑定值 2.if结构可以用在不同的标签类型之间 <div v-if"fir…...

编程日记 2023/10/26 2:34:21

大数据技术学习笔记(二)—— Hadoop 运行环境的搭建

目录 1 准备模版虚拟机hadoop1001.1 修改主机名1.2 修改hosts文件1.3 修改IP地址1.3.1 查看网络IP和网关1.3.2 修改IP地址 1.4 关闭防火墙1.5 创建普通用户1.6 创建所需目录1.7 卸载虚拟机自带的open JDK1.8 重启虚拟机 2 克隆虚拟机3 在hadoop101上安装JDK3.1 传输安装包并解压…...

编程日记 2023/10/26 2:33:19

leetcode系列(双语)002——GO两数相加

文章目录 两数相加 | Add Two Numbers示例个人解答官方解答扩展Algorithm 两数相加 | Add Two Numbers You are given two non-empty linked lists representing two non-negative integers. The digits are stored in reverse order, and each of their nodes contains a sing…...

编程日记 2023/10/26 2:31:15

废柴勇士(据说没有人能坚持37秒)

欢迎来到程序小院 废柴勇士 玩法&#xff1a;点击屏幕下方左右按键击杀怪物&#xff0c;怪物会在左右方向同时来袭&#xff0c;快速点击按钮进行击杀怪物&#xff0c;看您能够坚持多少秒&#xff0c; 据说还没有能够坚持37秒&#xff0c;快去击杀怪物挑战吧^^。开始游戏https:…...

编程日记 2023/10/26 2:30:14

buuctf_练[羊城杯2020]easyphp

[羊城杯2020]easyphp 文章目录 [羊城杯2020]easyphp掌握知识解题思路关键paylaod 掌握知识 ​ .htaccess文件的利用&#xff0c;把自己指定当做 php文件处理&#xff1b;preg_match正则匹配的了解&#xff0c;stristr函数的绕过&#xff1b;file_put_contents文件写入操作的了…...

编程日记 2023/10/26 2:29:12

【Linux】安装配置虚拟机及虚拟机操作系统的安装

目录 一、操作系统 1. 介绍 2. 功能 3. 有哪些 4. 个人版本和服务器版本的区别 二、VMWare虚拟机 1. 安装 2. 配置 三、安装配置Windows Server 1. 配置 2. 安装 四、虚拟机的环境配置及连接 1. 主机连接虚拟机 2. 虚拟机环境配置及共享 3. 环境配置 一、操作系…...

编程日记 2023/10/26 2:28:11

hugo-stack for github

静态博客框架jekyll、hexo和hugo三者之间的区别与差异 博客生成器? 全名为静态网站生成器&#xff0c; 可在任意拥有主机功能的环境下寄存(托管)可直接配合域名进行全球访问 劣势: 每次更新网页必须重新生成整个网站编译速度&#xff08;单位&#xff1a;秒&#xff09; Jek…...

编程日记 2023/10/26 2:26:08

【uniapp】proxy 代理切换至线上测试地址调试接口

本地测试地址形如&#xff1a;http://192.168.124.x:xxxx 线上测试地址形如&#xff1a;https://xxxx.xxxx.com 使用线上地址之后需要修改配置项 secure 为 true const constant require(./src/utils/constant) module.exports {devServer: {proxy: {/api: {target: constan…...

编程日记 2023/10/26 2:25:07

对比Vue2和Vue3的自定义指令

一、自定义指令简介 自定义指令是Vue提供的能力,用于注册自定义的指令,从而实现一些自定义的DOM操作。 二、Vue2中自定义指令 在Vue2中,自定义指令通过全局方法Vue.directive()进行注册: // 注册全局指令v-focus Vue.directive(focus, {inserted: function(el) {el.focus()…...

编程日记 2023/10/26 2:24:06

Python:实现日历到excel文档

背景 日历是一种常见的工具,用于记录事件和显示日期。在编程中,可以使用Python编码来制作日历。 Python提供了一些内置的模块和函数,使得制作日历变得更加简单。 在本文,我们将探讨如何使用Python制作日历,并将日历输出到excel文档中。 效果展示 实现 在代码中会用到cale…...

编程日记 2023/10/26 2:23:04

C++ 异常和错误处理机制:如何使您的程序更加稳定和可靠

在C编程中&#xff0c;异常处理和错误处理机制是非常重要的。它们可以帮助程序员有效地处理运行时错误和异常情况。本文将介绍C中的异常处理和错误处理机制。 什么是异常处理&#xff1f; 异常处理是指在程序执行过程中发生异常或错误时&#xff0c;程序能够捕获并处理这些异常…...

编程日记 2023/10/26 2:22:03

网络编程(Modbus进阶)

思维导图 Modbus RTU&#xff08;先学一点理论&#xff09; 概念 Modbus RTU 是工业自动化领域 最广泛应用的串行通信协议&#xff0c;由 Modicon 公司&#xff08;现施耐德电气&#xff09;于 1979 年推出。它以 高效率、强健性、易实现的特点成为工业控制系统的通信标准。 包…...

编程新知 2026/2/9 2:42:51

基于FPGA的PID算法学习———实现PID比例控制算法

基于FPGA的PID算法学习 前言一、PID算法分析二、PID仿真分析1. PID代码2.PI代码3.P代码4.顶层5.测试文件6.仿真波形 总结 前言 学习内容&#xff1a;参考网站&#xff1a; PID算法控制 PID即&#xff1a;Proportional&#xff08;比例&#xff09;、Integral&#xff08;积分&…...

编程新知 2026/2/8 18:25:56

从WWDC看苹果产品发展的规律

WWDC 是苹果公司一年一度面向全球开发者的盛会&#xff0c;其主题演讲展现了苹果在产品设计、技术路线、用户体验和生态系统构建上的核心理念与演进脉络。我们借助 ChatGPT Deep Research 工具&#xff0c;对过去十年 WWDC 主题演讲内容进行了系统化分析&#xff0c;形成了这份…...

编程新知 2026/2/2 21:52:33

Java如何权衡是使用无序的数组还是有序的数组

在 Java 中,选择有序数组还是无序数组取决于具体场景的性能需求与操作特点。以下是关键权衡因素及决策指南: ⚖️ 核心权衡维度 维度有序数组无序数组查询性能二分查找 O(log n) ✅线性扫描 O(n) ❌插入/删除需移位维护顺序 O(n) ❌直接操作尾部 O(1) ✅内存开销与无序数组相…...

编程新知 2025/8/3 11:17:37

FastAPI 教程:从入门到实践

FastAPI 是一个现代、快速&#xff08;高性能&#xff09;的 Web 框架&#xff0c;用于构建 API&#xff0c;支持 Python 3.6。它基于标准 Python 类型提示&#xff0c;易于学习且功能强大。以下是一个完整的 FastAPI 入门教程&#xff0c;涵盖从环境搭建到创建并运行一个简单的…...

编程新知 2025/10/16 7:51:26

什么是库存周转?如何用进销存系统提高库存周转率?

你可能听说过这样一句话&#xff1a; “利润不是赚出来的&#xff0c;是管出来的。” 尤其是在制造业、批发零售、电商这类“货堆成山”的行业&#xff0c;很多企业看着销售不错&#xff0c;账上却没钱、利润也不见了&#xff0c;一翻库存才发现&#xff1a; 一堆卖不动的旧货…...

编程新知 2026/1/26 13:21:10

el-switch文字内置

el-switch文字内置 效果 vue <div style"color:#ffffff;font-size:14px;float:left;margin-bottom:5px;margin-right:5px;">自动加载</div> <el-switch v-model"value" active-color"#3E99FB" inactive-color"#DCDFE6"…...

编程新知 2026/1/26 10:00:16

macOS多出来了:Google云端硬盘、YouTube、表格、幻灯片、Gmail、Google文档等应用

文章目录 问题现象问题原因解决办法 问题现象 macOS启动台&#xff08;Launchpad&#xff09;多出来了&#xff1a;Google云端硬盘、YouTube、表格、幻灯片、Gmail、Google文档等应用。 问题原因 很明显&#xff0c;都是Google家的办公全家桶。这些应用并不是通过独立安装的…...

编程新知 2025/12/4 19:00:05

VTK如何让部分单位不可见

最近遇到一个需求&#xff0c;需要让一个vtkDataSet中的部分单元不可见&#xff0c;查阅了一些资料大概有以下几种方式 1.通过颜色映射表来进行&#xff0c;是最正规的做法 vtkNew<vtkLookupTable> lut; //值为0不显示&#xff0c;主要是最后一个参数&#xff0c;透明度…...

编程新知 2025/12/12 4:55:21

UR 协作机器人「三剑客」:精密轻量担当(UR7e)、全能协作主力(UR12e)、重型任务专家(UR15)

UR协作机器人正以其卓越性能在现代制造业自动化中扮演重要角色。UR7e、UR12e和UR15通过创新技术和精准设计满足了不同行业的多样化需求。其中&#xff0c;UR15以其速度、精度及人工智能准备能力成为自动化领域的重要突破。UR7e和UR12e则在负载规格和市场定位上不断优化&#xf…...

编程新知 2026/2/2 2:47:37