update 优化了目录逻辑 -10.24.2023
一.前置知识
1.MAC地址
交换机在给主机之间传递信息包时,通过MAC地址来标识每台主机
主机间发生信息包交换时,交换机就会将通信过的主机的mac地址存下
dis mac-address
交换机转发的数据包中,会包含一个目标MAC,交换机识别数据包中的目标MAC,根据MAC地址表,会从对应的接口发出,从而转发到目标主机。
PC1在给PC3发送数据包时,使用ARP协议(地址解析协议);PC1通过广播的形式,发出一个arp询问(询问PC3),这个广播包所有的电脑都能收到,PC3收到广播包后,会对PC1的arp询问做出arp回答(回答PC1自己的mac地址)。这样就实现PC1和PC3之间的通信(双向),双方的mac地址也会记录下来。
交换机的mac地址表中,mac地址对应的物理接口是如何实现:
当交换机的某个接口收到PC发出的数据包时,数据包包含源mac地址,源mac地址和这个接收数据包的端口对应(并且会实时更新),在mac地址表显示。
2.VLAN
根据上文的arp协议可知,当PC设备数量较多时,会产生大量的广播包,可能会造成网络卡顿。
使用vlan技术来隔离这些广播包(分割广播域)。实现网络间隔离,优化网络
这样一个在一个虚拟局域网下的设备发送广播包只会在这个虚拟局域网内传播
vlan 下的PC发出数据包会携带一个vlan标签,交换机通过vlan标签来确定这个数据包应该在哪些vlan中传播
3.交换机的三种转发方式
泛洪、转发、丢弃
泛洪:当数据帧的目的MAC地址不在MAC表中,或者目的MAC地址为广播地址时,交换机泛洪该帧
转发:交换机根据MAC地址表将目标主机的回复信息单播转发给源主机
丢弃:当交换机收到的数据帧的目的MAC地址就是发出数据帧的MAC地址时,就会丢弃该帧
二.防火墙
常见防火墙厂家:深信服、启明星辰、华为、天融信、奇安信
1.eNSP防火墙模拟实验
1.前置设置
在使用USG6000V设备前,需完成以下任务:
- 已安装最新版eNSP客户端。
- 在BIOS中开启虚拟化技术。
- 可能需要导入相关包
防火墙经过以上设置后,启动
启动后需要输入默认账户和密码:
输入NAME,和密码:默认name:admin
默认pass:Admin@123
首次登录需要修改密码输入Y,再次输入输入旧密码:Admin@123
填写新密码:Admin@1234
再次填写新密码:Admin@1234
(USG6000V1不能实现save保存,所以eNSP软件关闭后,再次打开拓扑需要重新配置)
2.模拟拓扑图
配置防火墙的接口IP时,需要对防火墙的接口类型有所了解
防火墙的接口类型
1、路由模式(三层):物理口可以直接配置IP,类似路由器
<USG6000V1>sy
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 10.10.10.2 242、交换模式(二层):物理口不能直接配置IP,类似交换机,可以配置vlan trunk接口
3.需求实现
PC1想要实现与外网路由器联通
内网路由器中需要存在前往6.6.6.6的路由表,查看路由器中是否存在该路由表
[Huawei]dis ip routing-table 6.6.6.6添加去往6.6.6.0网段的路由
[Huawei]ip route-static 6.6.6.0 24 10.10.10.2在实际配置中,如果缺少某个路由,直接使用静态路由添加即可
直连路由:当存在物理接口的连接,物理接口配置了IP地址,此时会自动产生和这个IP相关的直连路由
现在尝试设备之间能否正常通信,设备之间是不能通信的,因为防火墙的配置还未完善:
不能通信原因如下:
防火墙安全策略
内网主机是私网IP,私网IP不能访问外网(需要进行网络地址转换)
4.防火墙安全策略
1.接口加入安全域
(信任区域、非信任区域、DMZ区域)
信任区域:内网区域
非信任区域:外网区域
dmz区域:中间区域(服务器区域),因为内网和外网主机都会访问服务器,所以服务器区域被称为中间区域
配置信任区域
[USG6000V1]firewall zone trust //进入信任区域
[USG6000V1-zone-trust]add int g1/0/1 //将接口添加到信任域配置非信任区域
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/22.放行策略
信任区域访问非信任区域(内网主机实现访问外网资源),放行
配置安全策略
1.进入安全策略配置界面
2.新建安全策略
3.配置安全策略的规则(从哪来,到哪去)
4.开启放行策略
[USG6000V1]security-policy //进入安全策略
[USG6000V1-policy-security]rule name p2s //新建一个安全策略,名称为p2s
[USG6000V1-policy-security-rule-p2s]source-zone trust //安全策略源地址
[USG6000V1-policy-security-rule-p2s]destination-zone untrust //安全策略目标地址
[USG6000V1-policy-security-rule-p2s]action permit //允许放行
[USG6000V1-policy-security-rule-p2s]dis this
2023-10-22 02:49:41.740
#rule name p2ssource-zone trustdestination-zone untrustaction permit
#
return5.NAT(网络地址转换)
将私网IP转换成公网IP,即可实现内网主机访问外网资源的需求
1.进入nat配置界面
2.新建nat配置
3.配置新建的nat规则(从哪来,到哪去)
4.开启nat转换,(easy-ip:地址转换时,自动转换成设备出接口的地址;不需要配置具体的公网IP地址,设备会自动将地址进行转换设备出接口的公网IP地址)
[USG6000V1]nat-policy //进入nat配置策略界面
[USG6000V1-policy-nat]rule name p2s //新建nat配置,名称为p2s
[USG6000V1-policy-nat-rule-p2s]source-zone trust //nat转换源地址
[USG6000V1-policy-nat-rule-p2s]destination-zone untrust //nat转换目标地址
[USG6000V1-policy-nat-rule-p2s]action source-nat easy-ip //开启nat策略,easy-ip:自动转换
[USG6000V1-policy-nat-rule-p2s]dis this
2023-10-22 02:57:42.350
#rule name p2ssource-zone trustdestination-zone untrustaction source-nat easy-ip
#
return回程路由(公网资源的数据包也要能回到私网主机,通信是双向的)
[USG6000V1]ip route-static 192.168.1.0 24 10.10.10.16.总结
想要实现内网访问外网资源,防火墙需要的配置:
1.安全放行策略
2.开启NAT
