USG 6350折騰折騰

2022-09-01 06:09:15 字數 1569 閱讀 1279

公司有台華為usg-6350,可以說是我修改得最多的網路裝置,我剛進公司的時候它就只拉了一條100m對等長寬,為商場公共wifi提供網路出口。乖乖~~,這可不是便宜貨,保守估計三年前搭機房的時候花了2萬,居然和我屋企200蚊的netgear一樣待遇,所以我有事無事都會折騰一下。

4月底公司其中乙個移動的網路出口需要降速,原來100m對等專線,帶5個ip的,換成1:5單ip的,有點可惜,我都未真正體驗過上傳100m的速度。狠下心來找個時間把這篇文章敲定了。

原來的長寬已經換成 「移動100m」、「移動50m」和「電信10m」,直接上圖(以後這張圖就叫「現狀圖」了)。

第一條是臨時的,大家可以忽略。第二條用於「ip回流」,下面會講。各走到網路出口後要nat,nat表長這樣⇓

同樣第一、二條用於「ip回流」,先略過。作為防火牆,需要在策略中放行外出的資料報,安全策略長這樣⇓

同樣第一條用於「ip回流」。資料報溜達完回家後也需要一條路由,回程路由長這樣⇓

回程路由最好寫成靜態路由,唔洗煩。這樣就完成了「現狀圖」中的「內網訪問外網」的過程;另乙個「外網訪問內網」需要用到nat-server,就是經常說的對映,涉及公司伺服器的安全,就不上圖了。

ip回流其實並不常見,我以前就無碰過,這種現象和伺服器對映有關,現在很多傻瓜裝置都支援ip回流功能,不過usg-6350只在手冊中給出了簡例,我覺得需要詳細記錄下。

以tcp三次握手為例,當普通使用者使用公網ip訪問伺服器時出現下面的過程。

資料報在經過usg時,匹配對映表,目的位址d:120.130.14.11被轉成d:192.168.0.200,並安全到達伺服器,伺服器根據這個請求包寫了乙份回覆(就是把原來的s與d對調),回覆包經過usg時目的位址為內網,直接就本地**了,根本不會查nat的快取表把s轉回來。回覆包雖然安全到達使用者電腦,但請求包與回覆包不能匹配(s與d不對應),使用者繼續等待,直到兩邊都超時…連線失敗。

snat/dnat我們都有了,但上面的過程明顯只觸發了dnat,那是因為snat只配置在所有內對外的路徑上(移動100m、移動50m、電信10m都是內網訪問外網),內對內的,無論是安全策略、路由還是nat,我們一樣都未配置。

理想情況是這樣的⇓

現在情況就很明朗了。

α:安全策略放行trust to trust;

β:策略路由指定內網到內網怎麼走

γ:內對內的對應nat

P106 90折騰總結

先說下配置 主機板 華擎a320m itx cpu amd ryzen 3200g 顯示卡 索泰p106 90 需要的軟體 2.ddu,用來完全清理顯示卡的驅動 步驟 1.斷網,要麼拔網線,要麼路由器斷開連線。3.使用ddu解除安裝nvidia的驅動,重啟 4.斷網狀態下安裝417.22驅動。記得關...

Ubuntu 15 04折騰手記(4)

使用cmake version來檢視當前系統的cmake版本 如果沒有安裝cmake可以使用apt get install cmake 你可以選擇下完移到虛擬機器中,也可以直接下到虛擬機器中 cd usr wget org files v3.3 cmake 3.3 0.tar gztar zxvf ...

專案1 折騰二維陣列

建立乙個長度為5行4列的二維整型陣列,通過初始化,為陣列中的前兩列的10個元素賦初值,然後通過鍵盤輸入,使後兩列的10個元素獲得值,將所有元素值乘以3後儲存在陣列中。輸出陣列時,按行序優先輸出,再按列序優先輸出 輸出的第一行是陣列中的第一列 其實輸出的就是 轉置 再將陣列 倒 著輸出 即最後一行最後...