凡夫小子的博客_网络安全,路由交换,服务器运维加固

写于2022年12月31日

明年继续努力，不负韶华，做一名优秀的工程师！这个世界上最不缺的，就是普通；你想成为什么样的人？你为之付出多少汗水！你是否倾其所有，还是将将就就！就像士兵突击里五班长说的，千万不要混日子，小心日子混了你！愿你在这平凡的世界里，不惧困难，不畏挑战，做生活的勇者，逆流而上！

加油

置顶原创 11月前 250 阅读

一个核心交换机如何安全隔离两个网络？

网络描述：客户内部电脑分为内网和互联网；由于预算有限，只有一台核心交换机，分别连接互联网和集团内网；客户想要内网交换机的终端只能访问集团内网，接互联网的交换机只访问互联网，看看有啥办法？分析:一种你通过部署ACL、策略路由；还有一种种是采用VRF，可扩展性高，关键是真香！下面采用VRF配置。拓扑如下：关键配置：AR1：interface LoopBack0 //环回口测试

华为、VRF实例

置顶原创精选 11月前 1413 阅读 1点赞

华为路由器映射内部服务器到公网

网络描述：客户内部有一台OA服务器，及提供外部使用，又供内部使用。在AR 路由器上配置NAT Server 配置。拓扑如下：关键配置：AR1 配置acl number 2000 rule 5 permit interface GigabitEthernet0/0/0 //内网口 ip address 192.168.200.2 255.255.2

华为

NAT Server

原创 11月前 1252 阅读

OSPF多区域网络案例

网络描述：客户是个大型钢厂，有多个分支厂区，采用OSPF多区域配置；网关都在分支的汇聚交换机上，但是DHCP地址池都统一在核心交换机上配置。拓扑如下：关键设备配置：R１acl number 2000 rule 5 permit interface GigabitEthernet0/0/0 ip address 10.1.200.1 255.255.255.252 &nb

DHCP

OSPF

多区域

原创精选 11月前 548 阅读

华为路由器子接口

网络描述：客户采用一台华为路由器作为网络出口，终端网关在路由器上，规划有三个vlan，10-20-30。解决办法：一种是路由器三个网口连接交换机；还有一种是路由器配置子接口，一根线连接交换机。两种办法各有优劣，第一种稳定，一根线断了，不影响其他两根线的网络；第二种好处是，节省成本，跨网段访问的流量都经过路由器，便于后期流量控制。下面就子接口的办法进行配置演示：拓扑图如下：关键配置如下：路由器配置：

路由器配置

子接口

hybrid

原创精选 11月前 1717 阅读 1点赞

华为防火墙路由模式部署

客户网络描述：使用华为防火墙USG6000作为出口设备，替代之前旧的路由器；防火墙作为客户端和服务器的网关，并映射服务器80端口为8081供外部访问。网络拓扑：防火墙关键配置1.创建地址池ip pool bangong gateway-list 172.16.101.254 network 172.16.101.0 mask 255.255.255.0 exclude

华为

防火墙

路由模式

原创精选 11月前 874 阅读

华为交换机 DHCP中继案例

客户的地址池都在核心交换机上，网关在汇聚上，如下图网络结构核心配置ip pool bangong gateway-list 192.168.200.254 network 192.168.200.0 mask 255.255.255.0 dns-list 114.114.114.114interface Vlanif100 ip address 192.168.100.5 255.255.

dhcp

原创精选 11月前 669 阅读 1点赞 1收藏

华为无线覆盖-跨三层隧道转发

华为无线覆盖，做的跨三层隧道转发

华为

无线

AC

隧道转发

原创 11月前 563 阅读 1点赞

双专线接入H3C防火墙无法远程到设备

拓扑描述：客户防火墙作为网络出口，下接的核心交换机，很简单的网络。问题描述：之前是电线的50兆专线，最近新接的一条50兆联通专线，接上以后发现上网正常，就是从外边远程不到防火墙了。解决思路：第一步，首先想到的是不是安全策略限制不让访问，把策略都放通，也不行。第二步，试试单条线路能否远程，可以，奇怪了。。。。。。说明不是策略问题。第三步，咨询华三400，回复是：双线接入需要做源进源出配置，如下命令

安全策略

双线

源进源出

原创 2022-09-09 10:37:00 595 阅读

H3C MSR830-WiNet（V7）系列路由器策略路由（命令行）

1 配置需求及实现的效果MSR路由器双WAN口上网，WAN口1采用静态地址，地址为1.1.1.1(网关1.1.1.254)，WAN口2采用PPPoE拨号上网，拨号口为Dialer 1。内网有两个网段，VLAN1网段为192.168.1.0/24，VLAN2 网段为 192.168.2.0/24，网关都设置在MSR路由器上（VLAN1的网关为192.168.1.1，VLAN2的网关为192.168.

h3c

路由器

策略路由

原创精选 2022-05-11 23:26:06 2468 阅读 2点赞 2收藏 2评论私藏项目实操分享

MSR路由器（通用）端口映射（虚拟服务器）命令行

1. 配置需求及实现的效果将内网服务器映射到公网，使得公网侧的用户可以通过MSR路由器的WAN接口+端口号来访问内网的WEB服务器，本案例中，服务器的服务端口为80，服务器内网地址为192.168.1.100,路由器外网地址为1.1.1.1，映射的外网端口为8080。2.组网图3.配置3.1 登陆设备命令行设置对应端口映射#

h3c

MSR

映射

原创 2022-05-10 15:53:28 359 阅读 1点赞私藏项目实操分享

H3C ERG2系列路由器端口映射(虚拟服务器)

1 配置需求或说明1.1 适用产品系列本案例适用于ERG2 产品系列路由器：ER8300G2-X、ER6300G2、ER3260G2、ER3200G2等。1.2 配置需求及实现的效果路由器部署在互联网出口，内网有一台远程服务器通过路由器发布了3389端口，外网用户需要通过路由器来访问内部的服务器。2 组网图3 配置步骤3.1 基本连接在路由器接口面板找到LAN接口，用网线将电脑和设备的任

H3C

ER系列

映射

原创精选 2022-05-09 22:06:22 4449 阅读 1点赞私藏项目实操分享

XX公司反映4层楼上网卡慢

1. 客户网络描述及问题客户楼层一共有4层，机房在二楼，从机房用6类网线接到各个楼层办公室的墙插上。其他楼层反映网络都挺好，就4楼反映网络特别卡，发个微信图片都转半天，甚至发送失败的；有些网页甚至都加载不出来图片；严重影响了办公。2. 解决思路及办法这是局部问题，直接到4楼办公室进行诊断。在办公室电脑上打开腾讯网页，半天加载不出来。先测试网速，发现100兆没问题，应该不存在限

网络卡慢

部分楼层

分析

原创精选 2022-05-08 12:25:03 716 阅读 3点赞私藏项目实操分享

H3C ACG1000发布内部服务器的配置方法

1 配置需求及实现的效果ACG1000部署在互联网出口，内网有一台OA服务器192.168.1.88提供80端口的WEB访问，目前需要将这台服务器发布到外网，实现外网用户通过公网地址202.1.1.100加端口号8081访问OA服务器的需求。注：因为80、443等常用端口经常被运营商封闭，此案例中外部端口使用8081，内网服务器端口使用80。2.组网图3 配置步骤3.1 ACG上网配

H3C

ACG

映射

原创 2022-05-07 23:26:07 1865 阅读 1点赞私藏项目实操分享

H3C ACG1000产品忘记WEB管理密码恢复方法

1.用户现场ACG1040设备设置了登录密码，但是在一段时间后用户忘记了该密码，该案例提供ACG1040设备密码忘记后恢复具体步骤2 配置步骤2.1 登录设备Console接口登录命令行2.2 进入Menuboot使用密码恢复功能进行恢复密码2.2.1 清除管理密码#重启设备后立即按住“ctrl+B”进入Menuboot界面，选择数字4重置管理员密码。2.2.2

H3C

ACG

密码忘记

原创 2022-05-06 21:29:06 1054 阅读私藏项目实操分享

H3C ACG1000实现工作时间不允许访问腾讯视频、爱奇艺等视频网站

1.配置需求及说明用户网络中部署ACG1040应用审计，为提高工作效率需要在上班时间不允许员工访问腾讯视频、爱奇艺等影响工作效率的软件，其中192.168.1.100、192.168.1.101为业务宣传部电脑不做限制；2.组网图3.配置步骤3.1 登录设备管理界面设备管理口（ge0）的默认地址配置为192.168.1.1/24。默认允许对该接口进行PING，HTTPS操作。将终端与

H3C

ACG

限制

腾讯应用

原创 2022-05-05 10:30:33 1117 阅读私藏项目实操分享

H3C ACG1000系列跨三层MAC地址学习

1.配置需求及效果如下组网图所示，内网业务的网关在核心交换机上，使用发现ACG设备无法学习到正确的客户端MAC地址（学习MAC地址是核心的MAC），为了使ACG设备可以学习终端真实的MAC地址，需要在ACG1000设备上配置跨三层MAC地址学习功能，实现ACG能正确学习终端MAC地址的目的。2.组网图3.配置步骤3.1 配置连接交换机的接口#选择“网络配置”>“接口配置”，点击g

h3c

ACG

snmp

mac地址学习

原创 2022-05-04 09:15:09 2038 阅读私藏项目实操分享

H3C V7 防火墙虚拟化（IRF2）

一、注意事项1、组成IRF所有成员设备的硬件型号及软件版本必须相同。2、一个IRF中允许加入的成员设备的最大数量为2。3、防火墙可以使用10/100/1000Mbps千兆以太网口、 SFP口、SFP+口进行堆叠，连接线缆则可以使用5类或6类以上网线、光纤进行连接。4.配置之前先查询是否支持堆叠配置，低端防火墙不支持。二、配置需求、连接图某单位购买两台防火墙用于防护内网服务器使用，为了简化

H3C

防火墙

IRF

堆叠

原创精选 2022-05-03 10:37:50 1926 阅读 1点赞私藏项目实操分享

H3C 防火墙对指定IP地址不进行限速

针对IP进行限速一般是通过上网行为管理ACG操作的，其实防火墙也可以进行限速。1.网络需求防火墙部署在互联网出口，需要对192.168.0.0/24整个业务网段进行限速，但是需要对192.168.0.100与192.168.0.200的OA服务器不进行限速。2.网络拓扑3.通过在带宽策略中排除不需要限速的地址；3.1新建带宽通道#选择“策略”>“带宽管理”>“带宽通道”点击“新建”策略

H3C

防火墙、限速

原创 2022-05-02 21:07:04 1128 阅读私藏项目实操分享

H3C 防火墙通过安全策略实现过滤HTTPS网站

1.网络描述：防火墙部署在出口，终端网关在防火墙上。2. 开启本地DNS代理#开启设备本地DNS代理功能，用于解析域名。<H3C>system-view //进入系统视图System View: return to User View with Ctrl+Z.[H3C]dns proxy enable //开启设备本地DNS代理功能[H3

h3c

防火墙

过滤网址

原创精选 2022-05-01 20:26:40 1593 阅读私藏项目实操分享

H3C 防火墙Bootware下升级

记得有一次我把防火墙的启动文件删除，然后把设备重启了，起不来了，那会慌得一笔，成板砖了，后来问同事可以通过bootware升级。1.登录官网www.h3c.com.cn后点击“产品支持与服务”>>“软件下载”，下载设备相对应的升级包ipe包（记住是ipe包）。2.在Bootware下通过以太网口利用TFTP导入系统文件#本案例使用3CD软件，选择TFTP方式导入版本文件（电脑防火墙注

h3c

升级

bootware

原创精选 2022-04-30 11:06:16 2230 阅读 1点赞私藏项目实操分享

H3C V7平台防火墙GRE VPN配置案例

1.配置需求配置需求及实现的效果总部和分部各有一台防火墙部署在互联网出口，因业务需要两端内网业务需要通过GRE VPN相互访问。IP地址及接口规划如下表所示：2网络拓扑图3.配置步骤3.1 总部侧防火墙基本网络配置3.1.1 设置总部侧外网接口地址#输入命令“system-view”进入系统视图后为1/0/3接口配置101.88.26.34/30的地址，并配置nat地址

H3C

Gre

防火墙

原创精选 2022-04-29 11:23:58 1595 阅读 1点赞 1收藏 私藏项目实操分享

H3C 防火墙策略路由配置案例

1.需求描述，防火墙作为网络出口设备，外网有移动和联通两条线路。内网有192.168.1.0和192.168.2.0两个网段，需要实现192.168.1.0网段走移动线路，192.168.2.0网段走联通线路。当两条线路中的一条线路故障时数据可以通过正常链路转发。2.拓扑图3.3 配置步骤3.1 上网配置防火墙上网配置使用移动和联通固定地址上网，具体接口配置如图所示3.2 新建访问控制列表匹配

策略路由

H3C

原创 2022-04-28 11:44:49 3904 阅读 1收藏 2评论私藏项目实操分享

H3C V7防火墙内网用户通过公网地址访问服务器

1.防火墙部署在互联网出口，内网有一台OA服务器192.168.1.88通过防火墙发布了8081端口，并且外网用户访问对应服务正常,目前需要实现内网用户也能通过公网地址去访问内部服务器的需求。2.组网图3.配置步骤3.1配置内部服务器映射（端口映射）#在外网口填写运营商提供的公网地址，掩码，配置映射，映射端口8081，服务器地址192.168.1.88<H3C> system-view

h3c

映射

服务器

原创精选 2022-04-27 16:50:03 1482 阅读 1收藏 私藏项目实操分享

H3C V7防火墙双WAN上网主备模式（命令行）

1.配置需求及实现的效果防火墙F100-A-G2双WAN口上网，WAN口1采用静态地址，地址为198.76.28.30 (运营商下一跳198.76.28.29)，WAN口2采用也采用静态地址，地址为198.77.28.30 (运营商下一跳198.77.28.29)。需要实现内网用户访问外网从WAN1口出去，当WAN1断掉切换到WAN2。2.组网图3.配置步骤3.1配置防火墙基本上网外网接口G1/0

h3c

防火墙、主备

原创 2022-04-26 09:59:52 2861 阅读 1点赞 1收藏 1评论私藏项目实操分享

Windows客户端iNode软件登录SSLVPN

打开SSL VPN登录界面1.举例中SSL VPN登录地址为1.1.1.2（你创建SSLVPN时的地址），SSL VPN登录端口为120032.点击 IP接入客户端下载，如下图所示3.使用账号在软件上登录SSL VPN安装完成后，启动iNode客户端，需要注意如果SSL VPN端口不为443，则需要在IP地址后加端口才能登录VPN(输入完IP：端口，点击右边那个刷新按钮就出来登录界面了)单击“连

Inode

h3c

vpn

原创 2022-04-25 14:44:10 3718 阅读私藏项目实操分享

H3C 防火墙V7版本开启SSL VPN

如果有条件还是用SSLVPN，不要用L2TP VPN。为甚不推荐L2TP VPN？姑且不谈安全问题，有时候会有连接失败的问题，不同的系统版本会出现的不同的问题，而且有时候办公OA系统还有加载内容失败的问题。下面就说说SSLVPN。公司员工出差需要访问公司内部服务器，但是服务器只允许内部访问，这时就可以通过SSL VPN来访问。如下图所示：下面是SSLVPN的核心配置（防火墙作为出口路由器配置VPN

H3C

服务器

原创 2022-04-24 17:54:16 1826 阅读 1收藏 私藏项目实操分享

Windows10接入L2tpVPN配置方法

第一步：创建VPN拨号：点击右下方的网络图标（选择打开“网络和Internet"设置），可能是无线方式图标，也可能是有线接入方式图标选择VPN选择【添加VPN连接】：【VPN提供商】：选择“Windows（内置）”；【连接名称】：可以任意填写，该名称是VPN的标识，建议写“流量卫士VPN”；【服务器名称或地址】：填写“1.1.1.1（此处是举例，以实际为准）”；【VPN类型】：选择“使用证书的L

windows10

l2tpvpn

原创 2022-04-24 13:54:17 1006 阅读 1点赞私藏项目实操分享

windows 7 电脑接入L2tpVPN的步骤

第一步：创建VPN拨号：网络和共享中心-->设置新的连接或网络-->连接到工作区-->创建新的连接。选择使用我的Internet连接（VPN），如下：输入Internet地址，地址为公网地址：1.1.1.1（此处地址是举例，以实际为准），点击【下一步】：输入申请到的用户名和密码，用户名和密码详见第1部分，点击【连接】：取消连接，并到网络连接中找到刚才新建的VPN连接，右击--&g

L2tpVPN

安全

原创 2022-04-23 18:10:30 1271 阅读 1点赞私藏项目实操分享

H3C 防火墙开启L2tp功能

#创建用于给L2TP拨号用户分配地址的地址池。 ip pool vpn 172.17.17.101 172.17.17.100 ip pool vpn gateway 172.17.17.1#创建L2TP接口,创建接口Virtual-Template1，PPP认证方式为CHAP，并使用地址池aaa为Client端分配IP地址。interface virtual-template 1ti

h3c