华为防火墙的OSPF配置实验_华为防火墙配置ospf-程序员宅基地
华为防火墙的OSPF配置实验
实验需求
1.SW1、SW2、OUT和FW之间通过OSPF实现路由互通
2.OUT路由器上配置easy ip,使SW1和SW2的loopbach接口可以访问外网
注:本实验是基于华为USG5500设备
实验拓扑图如下
步骤一:配置地址
按照图示配置好ip地址(两台交换机是用vlanif10配置的地址)
配置过程略
步骤二:配置OSPF
SW1:
[SW1-ospf-1]ospf 1
[SW1-ospf-1] area 0.0.0.0
[SW1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SW1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
SW2:
[SW2]ospf 1
[SW2-ospf-1] area 0.0.0.0
[SW2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[SW2-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[SW2-ospf-1-area-0.0.0.0]
FW:
[FW]ospf 1
[FW-ospf-1] area 0.0.0.0
[FW-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[FW-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[FW-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
OUT:
#出口路由器除了配置OSPF外还要配置默认路由访问外网
[OUT]ip route-static 0.0.0.0 0 100.1.1.5
#ospf配置
[OUT]ospf 1
[OUT-ospf-1]default-route-advertise #引入默认路由
[OUT-ospf-1] area 0.0.0.0
[OUT-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[OUT-ospf-1-area-0.0.0.0] network 4.4.4.4 0.0.0.0
[OUT-ospf-1-area-0.0.0.0]
配置好OSPF路由后在FW上查看ospf邻居状态,发现所有邻居状态都为Extart,说明了DD报文应该是被防火墙丢弃了,OSPF不能正常的收发LSA更新报文,导致邻居状态卡在Extart状态。
步骤三:配置防火墙策略
[FW]firewall zone trust #进入安全区域trust
[FW-zone-trust]add interface GigabitEthernet0/0/3 #将接口加入到安全区域
[FW-zone-trust]add interface GigabitEthernet0/0/2
[FW-zone-trust]add interface GigabitEthernet0/0/1
此条命令一配置,SW1、SW2和OUT就处于同一个安全区域(Trust),在同一个区域的设备之间进行通信默认是不受防火墙影响的,所以彼此之间能进行正常通信,正常交换DD报文。邻居状态达到Full。
步骤四:配置NAT
[OUT]acl number 2000 #配置acl抓取私网数据包
[OUT-acl-basic-2000] rule 5 permit source 1.1.1.0 0.0.0.255
[OUT-acl-basic-2000] rule 10 permit source 2.2.2.2 0
[OUT-GigabitEthernet0/0/1]nat outboud 2000 #应用acl到OUT的出接口批匹配数据包进行地址转换
测试一下是否能正常的学习路由从而访问内外网,在SW1上测试是否能ping通内外网。
带源地址1.1.1.1 能ping通内部SW2的环回地址2.2.2.2。
1)问题描述
带源地址1.1.1.1 ping外网,如下图所示ping失败。为什么会失败?回看一下配置,ACL和接口地址以及下发的接口都是正确的,一时竟摸不着头脑。
PS:这里卡了很久,想过n种可能但都一一排除了
2)问题分析
万般无奈下我想起了ensp的自带神器wireshark。先用wireshark抓个包,出口路由器到外网之间的的包,该数据包理论上只可能有两个地址。
- 原始地址1.1.1.1
- 路由器出接口的公网地址100.1.1.4
很显然,从上图抓包情况来看是192.168.3.3,这是什么地址呢?细心的可能发现了,这是防火墙的出接口地址。
因此推测ping包在经过防火墙出去时源地址被修改成了防火墙的出接口ip。
再往上回溯,即OUT的入接口,发现源地址也被修改了,进一步验证猜想。
继续回溯到始发网段,在防火墙和SW1之间的入接口抓包,发现防火墙接收到ping包时的源地址还是原始地址1.1.1.1。
因此咱可以破案了,数据包在经过了防火墙的转发之后,防火墙把数据包的源地址修改成了防火墙的出接口ip。出现这种情况应该是防火墙的安全策略,在出接口匹配所有源ip,将其做了一个类似easy ip的地址转换,将地址转换成路由器的出接口地址。
3)解决办法
由上面的地址溯源追踪,我们找到了问题出现的原因。因此直接对症下药,修改ACL规则匹配的源。
在OUT路由器上重新配置ACL下发到出接口
[OUT]acl 2000
[OUT-acl-basic-2000]rule permit source 192.168.3.0 0.0.0.255
[OUT-GigabitEthernet0/0/1]nat outbound 2000
再次在SW1上使用源地址1.1.1.1 ping外网,如下图网络连通。
至此我们通过OSPF的配置将网络都连通了
智能推荐
server启动故障:com.ibm.ws.exception.RuntimeError-程序员宅基地
文章浏览阅读1.3k次。问题描述:在做了配置变更之后,server启动不起来。还原配置,依然存在这启动故障。this is the log :[8/23/15 12:09:20:276 CST] 00000001 WsServerImpl E WSVR0009E: Error occurred during startupcom.ibm.ws.exception.RuntimeError: o..._关键点恢复期间捕捉到异常!com.ibm.ws.recoverylog.spi.internallogexception
云原生微服务架构实战精讲第六节 事务事件处理和项目实例_ext_delete_rows-程序员宅基地
文章浏览阅读618次。第15讲:什么是事务性消息模式第 14 课时介绍了事件驱动设计的基本概念,在使用了消息代理之后,应用中产生的事件以消息的形式进行发布,消息的消费者接收到事件并进行处理。如果消息代理可以在传递消息时提供至少有一次的保证性,那么只要消息被成功发布,就可以确保该消息对应的事件必定会得到处理。事务性消息(Transactional Messaging)的目的是保证数据的一致性。在示例应用中,当收到创建行程的请求之后,行程服务会把行程信息保存在关系型数据库中,同时发布表示行程已创建的事件 TripCreatedE_ext_delete_rows
腾讯云高性能应用服务HAI和GPU服务器区别对比-程序员宅基地
文章浏览阅读310次,点赞5次,收藏9次。腾讯云高性能应用服务HAI和GPU云服务器有什么区别?HAI是面向AI、科学计算的GPU应用服务产品,HAI可以基于AI应用自动匹配合适套餐,不需要用户手动选择GPU服务器配置,HAI支持打包GPU、云硬盘、带宽及网络,一键启动,HAI可以帮助中小企业及开发者快速部署LLM、AI作画、数据科学等高性能应用,详细请参考。
小学语文生字表2490字(带拼音)_月一了;乙;6;去好也;大;9;了;9一;9-程序员宅基地
文章浏览阅读4.4k次,点赞4次,收藏4次。一年级上册生字: 100个 识字(一) 1、一(yī) 二(èr) 三(sān) 2、十(shí) 木(mù) 禾(hé) 3、上(shàng) 下(xià) 土(tǔ) 个(gè) 4、八(bā) 入(rù) 大(dà) 天(tiān) 课文 1、人(rén) 火(huǒ) 文(wén) 六(liù) 2、七(qī) 儿(ér) 九(jiǔ) 无(_月一了;乙;6;去好也;大;9;了;9一;9
BeetlSql简介及举例_beetsql-程序员宅基地
文章浏览阅读7.9k次,点赞4次,收藏15次。本文参考BeetlSql官方网站,官网网站请点击这里~ BeetSql是一个全功能DAO工具,同时具有Hibernate 优点 & Mybatis优点功能,适用于承认以SQL为中心,同时又需求工具能自动能生成大量常用的SQL的应用。 在开发效率上,无需注解,自动使用大量内置SQL,轻易完成增删改查功能。数据模型支持Pojo,也支持Map/Lis..._beetsql
试论软件的可靠性及其保证_软件可靠性需求怎么写-程序员宅基地
文章浏览阅读2.5w次,点赞4次,收藏17次。试论软件的可靠性及其保证来源:ChinaItLab 用软件系统规模越做越大越复杂,其可靠性越来越难保证。应用本身对系统运行的可靠性要求越来越高,在一些关键的应用领域,如航空、航天等,其可靠性要求尤为重要,在银行等服务性行业,其软件系统的可靠性也直接关系到自身的声誉和生存发展竞争能力。 特别是软件可靠性比硬件可靠性更难保证,会严重影响整个系统的可靠性。在许多项目开发过程中,对可_软件可靠性需求怎么写
随便推点
角色控制器 (Character Controller)_charactercontroller-程序员宅基地
文章浏览阅读1.1w次,点赞8次,收藏23次。角色控制器 (Character Controller)一、简介角色控制器(Character Controller)主要用于对第三人称或第一人称游戏主角的控制。如果要创建类人角色,可使用角色控制器 (Character Controller)。这可以是第三人称游戏 (Third Person Platformer) 中的主角色、FPS 射击者或任何敌人角色。二、基本概念第三人称游戏中的这..._charactercontroller
SpringBean生命周期详解-程序员宅基地
文章浏览阅读9.2k次,点赞14次,收藏103次。SpringBean生命周期详解一、简述:Spring是我们每天都在使用的框架,Bean是被Spring管理的Java对象,是Spring框架最重要的部分之一,那么让我们一起了解一下Spring中Bean的生命周期是怎样的吧二、流程图我们先从宏观的角度看一下Spring的生命周期:。这一篇我们看看native event是如何实现的,并且尝试解决我们遇到的BUG。 从VC7(Microsoft Visual C++ .NET (2002) )开始MSVC提供了native eve_nativeevent
Java加密算法 AES_aes的java加密算法-程序员宅基地
文章浏览阅读771次。[java] view plaincopyprint?package com.stone.security; import java.util.Arrays; import javax.crypto.Cipher; import javax.crypto.KeyGenerator; import javax.crypto.Se_aes的java加密算法
swagger 设置全局token_swagger加全局token-程序员宅基地
文章浏览阅读1.5k次,点赞2次,收藏5次。1. 在swaggerConfig 配置文件中定义一个bean如果不知道swaggerConfig可看之前发布swagger的配置文章https://blog.csdn.net/luChenH/article/details/90763812 @Bean SecurityScheme securityScheme() { return new ApiKey("token", "token", "header"); }名字根据自己需要变更,我这边就是tok._swagger加全局token