实战案例(5)防火墙通过跨三层MAC识别功能控制三层核心下面的终端

如果网关是在核心设备上面,还能用MAC地址进行控制吗?

图片

办公区域的网段都在三层上面,防火墙还能基于MAC来控制吗?

采用正常配置模式的步骤与思路

(1)配置思路与上面一样

(2)与上面区别的地方在于网关都配置在三层交换机上面,三层需要与防火墙有一个对接

(3)三层需要划分VLAN以及写默认路由,防火墙需要写回程路由

当这些配置完成后,测试你会发现基于MAC控制的安全策略会失效!!,这是因为数据包在经过一个三层设备的时候,该数据包的源MAC会变成该三层设备出接口的MAC地址,这是IP通信基础转发的原理。

图片

(4)配置跨三层MAC识别,让防火墙从交换机获取正确的ARP表项(注意三层需要开启SNMP功能,防火墙需要制定三层的地址与正确的团体名),注意放行防火墙local_any的流量,否则同步不成功。

三层交换机配置展示

#dhcp enable#vlan batch 101 to 102 250##interface Vlanif101ip address 192.168.101.254 255.255.255.0dhcp select interfacedhcp server dns-list 223.5.5.5 114.114.114.114#interface Vlanif102ip address 192.168.102.254 255.255.255.0dhcp select interfacedhcp server dns-list 223.5.5.5 114.114.114.114#interface Vlanif250ip address 192.168.250.1 255.255.255.252#interfaceGigabitEthernet0/0/1port link-type accessport default vlan 101#interfaceGigabitEthernet0/0/2port link-type access                    port default vlan 102#interfaceGigabitEthernet0/0/3port link-type accessport default vlan 250#ip route-static 0.0.0.0 0.0.0.0 192.168.250.2#snmp-agentsnmp-agent communityread  ccieh3c.comsnmp-agent sys-infoversion v2c v3防火墙配置展示#interfaceGigabitEthernet1/0/0undo shutdownip address 192.168.250.2 255.255.255.252service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permit#interfaceGigabitEthernet1/0/2undo shutdownip address dhcp-alloc#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/2##ip address-set 不允许上网type objectaddress 0 192.168.102.250 mask 32#ip address-set 102允许上网type objectaddress 0 192.168.102.0 mask 24#ip address-setBOSS_server type objectaddress 0 5489-9864-0d2caddress 1 192.168.101.249 mask 32#ip address-set 101网段type objectaddress 0 192.168.101.0 mask 24#time-range 休息时间 period-range 12:00:00 to 13:30:00 working-day#security-policyrule name PC4_deny_internet source-zone trust destination-zone untrust source-address address-set 不允许上网 action denyrule name 允许102其他上网 source-zone trust destination-zone untrust source-address address-set 102允许上网 action permitrule name Local_any source-zone local action permitrule name BOSS source-zone trust destination-zone untrust source-address address-set BOSS_server action permitrule name 休息时间允许上网 source-zone trust destination-zone untrust source-address address-set 101网段 time-range 休息时间                      action permit#nat-policyrule name 允许上网 source-zone trust destination-zone untrust action source-nat easy-ip#ip route-static192.168.101.0 255.255.255.0 192.168.250.1ip route-static192.168.102.0 255.255.255.0 192.168.250.1#snmp-server arp-sync enablesnmp-server target-host arp-sync address 192.168.250.1community ccieh3c.com

容易忽略的点

(1)三层交换机需要支持标准的SNMP功能(现在主流都支持),配置团体名跟版本

(2)防火墙开启跨三层MAC识别功能,指定核心交换机的地址与团体名(这里地址跟团体名不要错误,否则会获取失败)

(3)容易忘记三层写默认路由,防火墙忘记写回程路由,导致上不了网

(4)防火墙一定要放行Local到Trust(以实际拓扑为准,防火墙对接三层交换机接口所在的区域),如果不放行,防火墙的流量是发送不出去,导致失败。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/53738.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

万象奥科参展“2024 STM32全国巡回研讨会”—深圳站、广州站

9月3日-9月5日,万象奥科参展“2024 STM32全国巡回研讨会”— 深圳站、广州站。此次STM32研讨会将会走进全国11个城市,展示STM32在智能工业、无线连接、边缘人工智能、安全、图形用户界面等领域的产品解决方案及多样化应用实例,深入解读最新的…

Linux系统部署SmartKG(知识图谱安装)

基本要求 #docker需要高版本 Docker version 20.10.14, build a224086docker 20.10.14离线安装 SmartKG官网 官方详细文档 下载部署包 SmartKG官网 准备部署 #上传到服务器 [roottest-server01 opt]# ll SmartKG-master.zip -rw-r--r-- 1 root root 79708691 Sep 11 17:4…

c++基类和派生类对象的赋值转换——赋值兼容规则

1.引出 如下场景: 由于b是double类型,所以赋值给int类型的引用前,要先进行隐式类型转换,这中间会生成临时对象,类是对象具有常性,所以int&之前应该加上const。 但是下面的场景: 没有出现报…

基于深度学习的文本引导的图像编辑

基于深度学习的文本引导的图像编辑(Text-Guided Image Editing)是一种通过自然语言文本指令对图像进行编辑或修改的技术。它结合了图像生成和自然语言处理(NLP)的最新进展,使用户能够通过描述性文本对图像内容进行精确…

亚马逊测评自建团队与工作室的五大优势亮点,打造高权重评价系统

亚马逊上的产品评价,其实就是为了让买家们说出他们的真实想法,这样卖家就能知道怎么把东西做得更好,让买家更满意,还能让卖东西的招数更给力。效果有以下几点: 1. 商品更靠谱:买家说好,大家就更…

基于SSM的校园志愿者管理系统的设计与实现---附源码76245

摘 要 本文基于SSM框架,设计并实现了一套校园志愿者管理系统,旨在提高校园志愿服务管理的效率和质量。系统主要包括管理员、志愿者和活动发布者三大角色,涵盖了志愿者管理、活动管理、公告管理等功能模块,采用了MySQL作为数据库&…

【计算机组成原理】详细解读带符号整数在计算机中的运算

有符号整数的运算 导读一、补码的优势二、补码的加法运算三、补码的减法运算四、原码、反码、补码的特性结语 导读 大家好,很高兴又和大家见面啦!!! 经过前面的介绍,我们已经初步认识了有符号整数的三种表示形式&…

单例模式的学习

示例&#xff1a; #ifndef TEST_H #define TEST_Hclass test { public:static test * GetINSTANCE();void print(); private:test(); };#endif // TEST_H#include "test.h" #include <QMutex> #include <QDebug> test::test() {}test *test::GetINSTANC…

NPU 与 GPU 相比,有什么差别?| 技术速览

编者按&#xff1a; 随着2024年被业界誉为“AI PC元年”&#xff0c;各大笔记本电脑厂商纷纷推出搭载NPU的全新AI PC&#xff0c;而在介绍产品性能时&#xff0c;“NPU”一词频频被提及。但NPU和我们所熟知的GPU之间的区别究竟是什么&#xff1f; 我们今天为大家分享的这篇文章…

电水壶自复位热断循环测试合规性

在家用电器安全标准中,电水壶的安全性尤为重要,尤其是涉及热保护装置的部分。电水壶在日常使用中频繁接触高温水,极端情况下,温度可能异常升高。因此,为了确保用户的安全,热保护装置必须可靠工作。本文将探讨自复位热断路器(TCO)在电水壶中的作用,以及在100次循环测试…

如何在 Selenium 中获取网络调用请求?

引言 捕获网络请求对于理解网站的工作方式以及传输的数据至关重要。Selenium 作为一种 Web 自动化工具,可以用于捕获网络请求。本文将讨论如何使用 Selenium 在 Java 中捕获网络请求并从网站检索数据。 我们可以使用浏览器开发者工具轻松捕获网络请求或日志。大多数现代 Web…

Jupyter管理内核命令

1.显示有哪些内核 jupyter kernelspec list2.删除某个内核 jupyter kernelspec remove xxx3.添加某个内核 先激活环境 conda activate test_env然后安装ipykernel包 pip install ipykernel在虚拟环境中安装ipykernel包 python -m ipykernel install --name test_env安装过…

creating chat agent with langchain and openai getting no attribute error

题意&#xff1a; 使用 LangChain 和 OpenAI 创建聊天代理时遇到“没有属性错误”&#xff08;Getting "no attribute" error when creating a chat agent with LangChain and OpenAI&#xff09; 问题背景&#xff1a; Im trying to test a chat agent using the …

房产销售系统|基于java和vue的房产销售系统(源码+数据库+文档)

房产销售|房地产|卖房系统 目录 基于java和vue的房产销售系统 一、前言 二、系统设计 三、系统功能设计 四、数据库设计 五、核心代码 六、论文参考 七、最新计算机毕设选题推荐 八、源码获取&#xff1a; 博主介绍&#xff1a;✌️大厂码农|毕设布道师&#xff0c;…

【hot100】力扣hot100部分题解

1.和为k的子数组 题目链接 注意&#xff1a;题目是连续的子数组。 因为数据有负数&#xff0c;用滑动窗口不太好做。 所以用数组前缀和。 数组前缀和就是从第1位到当前位的子数组的和。 每次遍历更新到当前位之前的前缀和&#xff0c;以对象的形式存储&#xff08;key为前缀和&…

【0323】Postgres内核之 hash table sequentially search(seq_scan_tables、num_seq_scans)

0. seq scan tracking 我们在这里跟踪活跃的 hash_seq_search() 扫描。 需要这种机制是因为如果扫描正在进行时发生桶分裂(bucket split),它可能会访问两次相同的条目,甚至完全错过某些条目(如果它正在访问同一个分裂的桶中的条目)。因此,如果正在向表中插入数据,我们…

95分App全程正品保障,赋能闲置消费新风尚

在当今快节奏、高消费的时代&#xff0c;闲置经济正以前所未有的速度崛起&#xff0c;成为新一代消费者的新宠。越来越多的年轻人开始拥抱闲置商品&#xff0c;将“断舍离”与“物尽其用”的理念融入日常生活&#xff0c;催生了闲置交易市场的空前繁荣。曾几何时&#xff0c;购…

【iOS】UIViewController的生命周期

UIViewController的生命周期 文章目录 UIViewController的生命周期前言UIViewController的一个结构UIViewController的函数的执行顺序运行代码viewWillAppear && viewDidAppear多个视图控制器跳转时的生命周期pushpresent 小结 前言 之前对于有关于UIViewControlller的…

OpenXR Monado创建跨进程通信通道 ipc_connect

OpenXR Monado创建跨进程通信通道 ipc_connect monado/src/xrt/targets/openxr/target.c xrt_instance_create monado/src/xrt/ipc/client/ipc_client_instance.cipc_instance_create(ii, out_xinst);ipc_connectipc_c->ica ipc_client_android_create(android_globals_ge…

补:在Spring Boot 当中使用 Thymeleaf 视图解析器

补&#xff1a;在Spring Boot 当中使用 Thymeleaf 视图解析器 想要在 Spring Boot 当中使用 Thymeleaf 视图&#xff0c;就需要导入相关的 jar 依赖。在 pom.xml 文件中配置 。 <!-- 引入 thymeleaf-start ,项目会自动完成配置&#xff0c;--><dependency>…