如何降低CPU占用率,开启VBox虚拟化
(1)eNSP帮助文档FAQ“如何解决使用eNSP工具时CPU利用率过高的问题”。
(2)查看链接 >安全
ensp防火墙概述与命令总结
云归959
原创
关注
4点赞·6380人阅读
防火墙概述与命令总结
0713 防火墙的基本概述:
安全策略:
0714 防火墙的NAT策略:
server nat:
pat与no-pat做法:
域内nat做法:
0715 防火墙的双机热备:
在防火墙上配置VGMP:
0717 防火墙的GRE封装:
gre在防火墙上应用:
防火墙中的telnet配置:
防火墙中ssh配置:
0713 防火墙的基本概述:
防火墙分为:
框式防火墙
盒式防火墙
软件防火墙(公有云、私有云)
我们目前学习的是状态检测防火墙:
通过检查首包的五元组,来保证出入数据包的安全
隔离不同的网络区域
通常用于两个网络之间,有选择性针对性的隔离流量
阻断外网主动访问内网,但回包不算主动访问
安全区域(security zone):被简称为区域(zone),是防火墙的重要概念,缺省时有4个区域:
local:本地区域,所有IP都属于这个区域
trust:受信任的区域
DMZ:是介于管制和不管制区域之间的区域,一般放置服务器
untrust:一般连接Internet和不属于内网的部分
ps:每个接口都需要加入安全区域,不然防火墙会显示接口未激活,无法工作
firewall zone [区域名] //进入安全区域
add interface GigabitEthernet [接口号] //添加接口到此区域
display zone //查看区域划分情况
复制
安全策略:
与ACL类似,动作只有两种:permit和deny
每一个想要通过防火墙的数据包都需要被安全策略检查,如果不写安全策略,ping都经过不了防火墙
如何去写安全策略:
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码] //此条可以略
destination-zone [区域名]
destination-address [源地址] [掩码] //此条可以略
service [协议名] //需要放行的协议
action permit //此条策略的动作是放行
复制
防火墙策略命中即转发
一些今天的名词:
ddos攻击防范:ddos攻击就是通过伪造大量不同的mac地址让交换机学习,让交换机无法正常处理其他事情
SPU:防火墙特有的,用于实现防火墙的安全功能
五元组:源/目地址、源/目端口号、协议
ASPF技术:应用包过滤技术,可以根据协议推出应用包内容,根据内容提前生成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理
ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式(port):server主动向client发起数据通道的连接
ftp被动模式(pasv):server等待client发起数据通道的连接
0714 防火墙的NAT策略:
NAT转换有两种转换:
源NAT:
no-pat //1对1转化,不节约公网地址,同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址,使PC机可以通过这个公网地址的不同端口进行访问
目标NAT:
server nat //服务器映射
值得注意的是:
如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略
如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略
实验总结概述:
如何做nat:
server nat:
nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]
复制
pat与no-pat做法:
nat address-group [地址组名]
mode pat
section [初始地址] [结束地址]
nat-policy //进入nat策略,将前一步的地址池应用在nat策略中
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应用地址组
//之后就是看需要写安全策略
复制
域内nat做法:
访问需要通过公网地址访问
第一步:将接口划分好所属区域,做好基础配置
第二步:创建一个nat地址池,将地址池的范围规划好,(默认为PAT)
nat server 0 protocol tcp global 204111 >ENSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化 *** 作的网络仿真工具平台,主要对企业网络路由器、交换机进行软件仿真,完美呈现真实设备实景,支持大型网络模拟,让用户有机会在没有真实设备的情况下能够模拟演练,学习网络技术。
1、高度仿真。可模拟华为AR路由器、x7系列交换机的大部分特性。可模拟PC终端、Hub、云、帧中继交换机等。仿真设备配置功能,快速学习华为命令行。可模拟大规模设备组网。可通过真实网卡实现与真实网络设备的对接。模拟接口抓包,直观展示协议交互过程。
2、图形化 *** 作。支持拓扑创建、修改、删除、保存等 *** 作。支持设备拖拽、接口连线 *** 作。通过不同颜色,直观反映设备与接口的运行状态。预置大量工程案例,可直接模拟。
3、分布式部署。支持单机版本和多机版本,支撑组网培训场景。多机组网场景最大可模拟200台设备组网规模。
4、基础网络环境的搭建。所需设备:华为交换机一台、5700交换机一台;我的本地网卡信息
:由于安装了VMWARE,会有虚拟网卡,哪一个网卡都可以使用,这里我使用VMware Virtual Ethernet Adapter for VMnet1。我们看一下VMware Virtual Ethernet Adapter for VMnet1的状态。看IP,MAC,验证时候使用。接下来配置云,需要添加两块网卡,一个UDP,一个是VMware Network Adapter VMnet1,端口映射类型入和出双向增加配置。然后就云就有端口了,可以和S5700连线,连到S5700交换机1号口。基础设备:以上基础设备配置好了,来给S5700交换机配置IP,现在所有配置完成后,来验证一下是不是被我本地PC已经做通,最后我们再做一下路由追踪。希望有帮到你!一常用命令:
1从用户视图切换至系统视图:system
用户视图仅具有查看权限,管理视图可以进行全局类配置。
2修改当前主机名:sysname 主机名 ——需要在系统视图下进行 *** 作。
例如:
[Huawei]sysname wq (简写:sys 新名字)
系统名字更改为 wq
3退出当前模式:quit(快捷键为q)
4查看当前设备配置:display current-configuration
5设置端口GE0/0/1:int G 0/0/0 ——需要在系统视图下
6设置ip地址:ip address 192168xx 24
例:为接口添加IP地址为19216811/24
ip address 19216811 24
7查看IP地址配置简表:dis ip int b
8查看当前设备路由表:display ip routing-table
9添加默认路由:ip route-static 192168x0 24 下一跳IP
10删除命令:undo
11在AA下输入save保存
12display this ---查看当前视图的配置情况
13ctrl+z直接返回用户视图
14save可以将缓存中的配置数据保存到闪存中
访问服务器的方式要实现一个三层交换机和两个二层交换机和四个电脑全网互通,您需要遵循以下步骤:
配置三层交换机:
a 将三层交换机连接到一个或多个二层交换机。
b 配置三层交换机的接口,使其能够与其他交换机和电脑相连。
c 配置三层交换机的IP地址和子网掩码,以便其他交换机和电脑能够找到它。
d 配置三层交换机的路由表,以便其他交换机和电脑能够找到它。
配置二层交换机:
a 将二层交换机连接到三层交换机。
b 配置二层交换机的接口,使其能够与其他交换机和电脑相连。
c 配置二层交换机的IP地址和子网掩码,以便其他交换机和电脑能够找到它。
d 配置二层交换机的路由表,以便其他交换机和电脑能够找到它。
配置电脑:
a 将电脑连接到二层交换机。
b 配置电脑的IP地址和子网掩码,以便其他交换机和电脑能够找到它。
c 配置电脑的网关,以便其他交换机和电脑能够找到它。
d 配置电脑的DNS服务器,以便其他交换机和电脑能够找到它。
配置路由器:
a 将路由器连接到三层交换机。
b 配置路由器的接口,使其能够与其他交换机和电脑相连。
c 配置路由器的IP地址和子网掩码,以便其他交换机和电脑能够找到它。
d 配置路由器的路由表,以便其他交换机和电脑能够找到它。
配置网络:
a 配置网络的IP地址和子网掩码,以便其他交换机和电脑能够找到它。
b 配置网络的DNS服务器,以便其他交换机和电脑能够找到它。
c 配置网络的网关,以便其他交换机和电脑能够找到它。
d 配置网络的路由表,以便其他交换机和电脑能够找到它。
测试网络:
a 测试网络是否能够正常工作。
b 测试网络是否能够与其他交换机和电脑相连。
c 测试网络是否能够与其他网络相连。
d 测试网络是否能够与其他路由器相连。
维护网络:
a 定期检查网络是否正常工作。
b 定期更新网络的IP地址和子网掩码。
c 定期更新网络的DNS服务器。
d 定期更新网络的网关。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)