19
2024
10
路由故障:路由策略配置在二层端口导致策略不生效
路由故障:路由策略配置在二层端口导致策略不生效策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而是根据需要,某些通信流量选择其他路由的方式。本文就来为大家介绍由于路由策略配置在二层端口导致策略不生效的路由故障的解决方法。路由策略配置在二层端口导致策略不生效的路由故障的解决办法如下:网络环境用户在RouterA的GE1/0/0端口下使能ACL,希望将流量策略路由到RouterB。在实际使用中,RouterA配置的策略不生效,报文依然按照路由表的最长匹配原则转发。图为路由策略配置在二
作者:hqy | 分类:Network | 浏览:146 | 评论:0
19
2024
10
华为防火墙:二层和三层接入的安全策略配置差异
华为防火墙:二层和三层接入的安全策略配置差异 一、实验拓扑:二、实验要求:1、内网:连接R2接口G0/0/2是三层接口,其它接口都是二层接口;R1、R2、R3部署默认路由到USG;2、USG上创建VLAN 10、202,并将G0/0/0划分到VLAN 202,G0/0/1划分到VLAN 10;3、部署Policy 0:允许Trust到Untrust的ICMP流量出去;部署Policy 1:允许DMZ到Untrust Outbound的ICMP流量出去;4、R3 Ping R1;R2 P
作者:hqy | 分类:Network | 浏览:139 | 评论:0
19
2024
10
记录一次华为防火墙策略失效问题处理心得
前言运维区域:remote,服务器区域:dmz,预发区域:predmz问题监控大批量告警dmz大部分服务器监控代理停止(prometheus所在remote区域),紧接着业务系统访问异常排查处理ping外网ip通,Telnet业务接口地址443端口不通。检查防火墙和交换机是否存在告警,发现无异常。内部测试访问同dmz区域无问题,remote访问dmz部分能通,目前看存在两个问题,外网不通,跨区域内网访问有问题。怀疑部分外网ip问题,映射别的外网ip,并解析发现不通,同时给电信打电话让其排查是否4
作者:hqy | 分类:Network | 浏览:125 | 评论:0
19
2024
10
USG2110 用二层口做上下业务口域间策略失效的案例
问题描述如下图,印度XX客户已经购买USG2110防火墙,作为外网Internet接入安全网关。要求用二层口连接上下行业务,4口连接外网internet,3、4口在DMZ区域,1和2划到内网trust区域。0口连接MPLS区域。部署完成后,发现trust和untrust的域间策略不起作用。告警信息untrust 区域ping trust区域可以ping通,无其他告警信息。处理过程将4口连接的internet的区域连线连接到1个三层上,将三层口划到untrust区域,域间策略生效,问题解决。根因查
作者:hqy | 分类:Network | 浏览:124 | 评论:0
19
2024
10
华为防火墙过滤策略
华为的防火墙过滤策略分为域内过滤以及域间过滤(拓扑都是一个) 所谓域内过滤,即同一个域内的过滤策略,比如trust区域内部的过滤策略即为域内过滤 我们先来说一说域内过滤(trust区域同区域内是可以互相ping通的)那么我们的目的就是让PC1和PC2互相ping不通实验步骤:1、创建针对trust区域的策略2、创建策略1(然后在其中书写我们所需要的策略)3、书写源地址以及反掩码(注意,这里写的是反掩码)4、书写所针对的目标地
作者:hqy | 分类:Network | 浏览:129 | 评论:0
19
2024
10
华为USG防火墙:二层接口模式:一个vlan只能分配到一个虚拟防火墙、一个接口可以属于多个vlan,即一个接口可以属于多个虚拟防火墙,使用trunk的模式,所以物理接口处不要放通其他虚拟防火墙的vla
华为USG防火墙:二层接口模式:一个vlan只能分配到一个虚拟防火墙、一个接口可以属于多个vlan,即一个接口可以属于多个虚拟防火墙,使用trunk的模式,所以物理接口处不要放通其他虚拟防火墙的vlan,安全策略只能控制虚拟防火墙自己的资源里面的vlan华为USG防火墙:二层接口模式:一个vlan只能分配到一个虚拟防火墙、一个接口可以属于多个vlan,即一个接口可以属于多个虚拟防火墙,使用trunk的模式,所以物理接口处不要放通其他虚拟防火墙的vlan,安全策略只能控制虚拟防火墙自己的资源里面的
作者:hqy | 分类:Network | 浏览:138 | 评论:0
19
2024
10
华为防火墙二层透明模式下双机热备负载分担配置(两端为路由器)
这种模式只做负载分担,不能是主备备份,因为主备备份模式下,备设备会把vlan down掉,如果是主备备份模式,那在主挂后,备的状态在切换过程中先起vlan,再建立ospf邻接,那业务会断线较久,不推荐这样做。FW1hrp enablehrp interface GigabitEthernet1/0/2 remote 172.16.0.2hrp mirror sessio enable //在负载分担模式下一般要开启快速会话备份功能vlan 2port g1/0/0prot g1/0/1hrp t
作者:hqy | 分类:Network | 浏览:126 | 评论:0
19
2024
10
防火墙 基础知识
1.防火墙部署位置 1.1 网络边界位置, 1.2 安全区域 默认存在的 : trust (优先级85) untrust(5) , dzm(50)一般用来存放服务器的区域,
作者:hqy | 分类:Network | 浏览:121 | 评论:0
19
2024
10
防火墙的两种组网模式:三层路由网关模式、二层透明网桥模式
防火墙是一种网络安全设备或软件,用于监控、过滤和控制网络流量,以保护计算机网络免受未经授权的访问、恶意攻击和不良数据包的侵害。它可以被视为计算机网络内部和外部之间的一道安全防线,类似于现实生活中的防火墙,用于阻止火灾蔓延到其他区域。防火墙主要通过以下几种方式实现网络安全防护:访问控制:防火墙可以根据预设的安全策略,对数据包进行检查和过滤,控制哪些数据包可以进入或离开网络,从而限制网络访问的范围和权限。流量监控:防火墙可以监视网络流量,检测和记录网络中的异常活动,如入侵、恶意攻击等,及时发现网络安
作者:hqy | 分类:Network | 浏览:97 | 评论:0
19
2024
10
安全HCIP之防火墙作二层使用
防火墙作二层使用将防火墙接口降为二层接口:[USG6000V1]int g1/0/0[USG6000V1-GigabitEthernet1/0/0]portswitch[USG6000V1-GigabitEthernet1/0/0]port link-type access[USG6000V1-GigabitEthernet1/0/0]dis thisinterface GigabitEthernet1/0/0portswitchundo shutdownport link-type acces
作者:hqy | 分类:Network | 浏览:106 | 评论:0
19
2024
10
vcenter :System Management Software 1 SEL Fullness
其他主机硬件对象的状态告警:Inspur NF5280 M5故障现象:一、x3650 M5 主机告警:其他主机硬件对象的状态硬件运行状态有一个:System Management Software 1 SEL Fullness 的警告。通过服务器自带的管理接口查看硬件状态,并没有异常。此警告信息是由于ESXi主机上的系统事件日志已满。通过在ESXi主机上执行 localcli hardware ipmi sel get 命令可以查看当前主机系统事件状态。Maximum Records 最大可接受
作者:hqy | 分类:虚拟化&超融合 | 浏览:118 | 评论:0