ensp上防火墙的实现
使用ensp模拟器中的防火墙(USG6000V)配置NAT(网页版)
一、NAT介绍
NAT(Network Address Translation,网络地址转换):
简单来说就是将内部私有地址转换成公网地址。在NAT中,涉及到内部本地地址、内部全局地址、外部本地地址、外部全局地址。它们的含义是:
内部本地地址:内网中设备所使用的 IP 地址,此地址通常是一个私有地址。
内部全局地址:公有地址,通常是 ISP 所提供的,由内网设备与外网设备通信时所使用到的。
外部本地地址:外网中设备所使用的地址,这个地址是在面向内网设备时所使用的,它不一定是一个公网地址。
外部全局地址:外网设备所使用的真正的地址,是公网地址。
NAT的分类:
根据转化方式的不同,NAT可以分为三类:
源NAT:源地址转化的NAT。如NO—PAT, NAPT, Easy_ip
目的NAT:将目的地址进行转化的NAT。如NAT-Server
双向NAT:即将源地址和目的地址都做NAT转换。
NAT的优缺点:
优点:
1、减缓了可用的IP地址空间的枯竭。
2、隐藏了内部网络的网络结构,避免了来自外部的网络攻击。
缺点:
1、网络监控的难度加大
2、限制了某些具体应用
NAT所面临的问题:
1、NAT违反了IP地址结构模型的设计原则。因为IP地址结构模型的基础是每个IP地址均标识了一个网络的连接,而NAT使得有很多主机可能同时使用相同的地址。
2、NAT使得IP协议从面向无连接变成面向连接。NAT必须维护专用IP地址与公用IP地址以及端口号的映射关系。在TCP/IP协议体系中,如果一个路由器出现故障,不会影响到TCP协议的执行。而当存在NAT时,最初设计的TCP/IP协议过程将发生变化,Internet可能变得非常脆弱。
3、NAT违反了基本的网络分层结构模型的设计原则。因为在传统的网络分层结构模型中,第N层是不能修改第N+1层的报头内容的。NAT破坏了这种各层独立的原则。
4、限制了某些应用的使用。如由于NAT的存在,使得P2P应用实现出现困难,因为P2P的文件共享与语音共享都是建立在IP协议的基础上的。
5、NAT同时存在对高层协议和安全性的影响问题。
有人会问,既然NAT存在这么多的问题,那为什么还使用它呢?因为NAT的存在总体来说是“利大于弊”的,不能因为存在一些这样那样的问题就否决它。
下面开始讲解防火墙配置NAT。(源NAT转换)(网页版)
二、NAT拓扑图
在这里插入图片描述
三、配置
1、将两台电脑配置好ip地址、子网掩码、网关。一台模拟公司内部的电脑(192.168.1.1/24)(属于trust区域)。一台模拟公网上的电脑(23.1.1.1/24)(属于untrust区域)。
2、路由器的配置:
[Huawei]sysname ar1
[ar1]interface GigabitEthernet 0/0/0
[ar1-GigabitEthernet0/0/0]ip address 12.1.1.2 255.255.255.0
[ar1-GigabitEthernet0/0/0]quit
[ar1]interface GigabitEthernet 0/0/1
[ar1-GigabitEthernet0/0/1]ip address 23.1.1.2 255.255.255.0
[ar1-GigabitEthernet0/0/1]quit
[ar1]quit
save
3、云的配置:
(1)首先,防火墙默认只有GigabitEthernet0/0/0是受信任端口,所以云必须和防火墙的GigabitEthernet0/0/0相连。
(2)防火墙的GigabitEthernet0/0/0端口默认地址是192.168.0.1,所以必须将云的网卡地址设置为192.168.0.0/24网段,才能实现通过web连接防火墙。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
4、防火墙的配置
(1)USG6000V防火墙的默认帐号是admin,默认密码是Admin@123。必须修改一下密码。
(2)防火墙的各个端口默认是禁止任何操作的。如ping操作、telnet操作、ssh操作、http(s)操作。所以,需要把各个操作打开。
service-manage all permit
在这里插入图片描述
[fw1]interface GigabitEthernet 0/0/0
[fw1-GigabitEthernet0/0/0]service-manage all permit
[fw1-GigabitEthernet0/0/0]quit
[fw1]interface GigabitEthernet 1/0/1
[fw1-GigabitEthernet1/0/1]service-manage all permit
[fw1-GigabitEthernet1/0/1]quit
[fw1]interface GigabitEthernet 1/0/0
[fw1-GigabitEthernet1/0/0]service-manage all permit
[fw1-GigabitEthernet1/0/0]quit
[fw1]quit
save
(3)打开浏览器,输入192.168.0.1即可进入配置防火墙界面。
1)在网络——接口中,配置各个接口的ip地址和所属区域。
在这里插入图片描述
在这里插入图片描述
2)新建所需的各个地址段和ip地址池。
在这里插入图片描述
在这里插入图片描述
3)新建NAT策略。
在这里插入图片描述
4)新建安全转发策略。
在这里插入图片描述
5)增加一条静态路由。
在这里插入图片描述
6)最后一定要记得保存!
最后一定要记得保存!
最后一定要记得保存!
四、验证
1、内部电脑ping内部全局地址(12.1.1.1)
在这里插入图片描述
2、内部电脑ping公网电脑
在这里插入图片描述
3、公网电脑ping内部电脑**(ping不通是因为本次实验做的是easy ip,即只做源地址转换的NAT,所以外网根本就无法与内网通信)**
在这里插入图片描述
4、在防火墙上查看NAT地址转换的情况
在这里插入图片描述
点赞 8
评论
分享
收藏
————————————————
版权声明:本文为CSDN博主「西瓜~」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_43996007/article/details/103783340
ensp上防火墙的实现的更多相关文章
- ensp上防火墙上配置nat
博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六 ...
- 华为eNSP的防火墙(USG6000V)如何使用Web界面登入
文章目录 华为eNSP的防火墙(USG6000V)如何使用Web界面登入 前言 一.使用步骤 1.导入USG6000V的镜像包 总结 前言 在华为的eNSP的模拟器上如何使用Web界面去管理与使用模拟 ...
- Linux上防火墙开放对应的端口
在Linux上防火墙开放对应的端口的命令如下: 方式一: [root@localhost sbin]# /sbin/iptables -I INPUT -p tcp --dport 80 -j ACC ...
- 在ensp上模拟企业网络场景并Access接口加入相应VLAN
模拟的企业网络大概描述: 公司内网是一个大的局域网,二层交换机S1放置在一楼,在一楼办公的部门有IT部和人事部:二层交换机S2放置在二楼,在二楼办公的部门有市场部和研发部.由于交换机组成的是广播网,交 ...
- 在ensp上的动态NAT的配置
原理 实验模拟 搭建实验拓扑 相关参数 配置静态NAT ,一对一映射 首先设置静态路由,使路由器能够访问 我们ping一下抓一下包 发现我们出去的包已经封装成为了另外一个ip 配置动态NAT ,一对一 ...
- eNSP上NAT的配置
NAT介绍: 早在20世纪90年代初,有关RFC文档就提出了IP地址耗尽的可能性.IPv6技术的提出虽然可以从根本上解决地址短缺的问题,但是也无法立刻替换现有成熟且广泛应用的IPv4网络.既然不能 立 ...
- Win7上防火墙开放FTP服务以及ping解决方案(zz)
1.windows 防火墙开放ftp服务 The following 4 steps will allow both non-secure and SSL FTP traffic through fi ...
- 在ensp上利用三层交换机实现VLAN间路由
我们在实际生活中经常要跨vlan进行通信,我们的解决办法有单臂路由,但是单臂路由存在很大的局限性,带宽,转发效率等,所以单臂路由用的就有点少,所以就有了本章节 三层交换机在原有的二层交换机的基础上,增 ...
- VLAN实验5(在ensp上利用三层交换机实现VLAN间路由)
原理概述: VLAN将一个物理的LAN在逻辑上划分成多个广播域.VLAN内的主机间可以直接通信,而VLAN间不能直接互通. 在现实网络中,经常会遇到需耍跨VLAN相互访问的情况,工程师通常会选择一些方 ...
随机推荐
- 一网打尽JVM垃圾回收知识体系
垃圾回收的区域 堆:Java 中绝大多数的对象都存放在堆中,是垃圾回收的重点 方法区:此中的 GC 效率较低,不是重点 由于虚拟机栈的生命周期和线程一致,因此不需要 GC 对象判活 在垃圾收集器对堆进 ...
- 【get√】发现一个redis zset的新玩法:用ZINTERSTORE把value都置0
直接上指令: redis-cli -h 192.168.0.5 -p 6379 -a test123 DEL __temp_ahfu1 ZADD __temp_ahfu1 1 0.0.18.185_0 ...
- python pip无法安装到2.7
问题 pip默认指向python3.6,没有pip2,pip2.7 解决办法 加上应用路径 加上系统环境变量 参考 https://www.cnblogs.com/fanyuchen/p/712768 ...
- 轻量级orm框架——gzero指南
开发过web系统人一定对大量的curd不陌生,为了提高效率我们通常会使用一些orm框架做辅助,而不会直接操作数据库.但是现有的orm框架往往有两个通病(各种语言的都一样):1. API复杂:即使是有经 ...
- 在Excel VBA中写SQL,是一种什么体验
每每提到Excel办公自动化,我们脑海里能想到的就是公式.数据透视表.宏.VBA,这也是我们大部分人数据分析的进阶之路.当我们对于常用VBA技巧已经相当熟练后,往往会有一种"我的VBA知识够 ...
- Asp-Net-Core开发笔记:接口返回json对象出现套娃递归问题
前言 看了下推送记录,一个月前,OK,我又变成月更了o(╯□╰)o,这绝对不行![○・`Д´・ ○] 所以今天来更新了 其实不是我懒得更新或者是太忙,其实是最近在写一篇很长的博客,一直没写完( Ĭ ^ ...
- fio硬盘压力测试
fio测试工具支持同步(pread/pwrite)和异步(libaio)FIO是测试IOPS的非常好的工具,用来对硬件进行压力测试和验证,支持13种不同的I/O引擎,包括:sync,mmap, lib ...
- Working hard to know your neighbor's margins:Local descriptor learning loss论文笔记
Abstract 论文提出了一种新的训练方法,受到了 Lowe's matching criterion for SIFT的启发.这种新的loss,要比负责的正则方法更好.把这个新的loss方法结合L ...
- JavaScript之递归查找所有父节点
......data: () => ({ // 数据 dt: [{ id: '1', children: [ { id: '1-1', children: [ { id: '1-1-1', ch ...
- 如何使用 C++ 和 OpenCV 实现截屏
前言 实现屏幕截屏需要用到 Windows API,所以需要包括 Windows.h 头文件.同时我们想要对截图做进一步的处理,就需要用到 OpenCV.关于 OpenCV 的安装与编译可以参见 &l ...