Cisco 防火墙自动获得网关如何配置

yuford 2018-09-18 09:11:15

如题现在Cisco 5520防火墙 outside 要配置成自动获得IP，那自动获得网关如何配置？

...全文

248 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

Dhcp两大威胁以及arp欺骗等试验总结 1 伪dhcp server。Dhcp的工作原理大概是首先client广播dhcp discovery消息，本网段的dhcp server回送dhcp offer消息，客户段再发送dhcp request消息，声明自己即将使用的ip地址，server发送ack给client告知client可以使用。防止伪dhcp其实就可以在交换机上启用dhcp snooping功能，凡是不信任的端口（信任端口就是dhcp server使用的端口，需独立配置），都将拒绝从该端口发送dhcp offer消息从而杜绝伪dhcp server。在cisco交换机上全局启用 ip dhcp snooping,,并使用命令ip dhcp snooping vlan 2,告知在vlan2里使用snooping，这样所有端口都是非信任端口，都将丢弃dhcp offer报文，如果是使用三层交换机提供dhcp服务，就不比单独配置信任端口了。配置信任端口是在物理端口下使用命令 ip dhcp snooping trust. 记住：接入层交换机需支持dhcp snooping功能；信任端口是在物理端口下配置（包括trunk级联端口） 2 DHCP dos攻击。主要就是伪造大量mac地址去像server申请地址，耗费dhcp server地址池，从个人达到拒绝服务攻击的目的。一般用两种方法，但实际操作性都不是太强。第一种办法就是对交换机端口规定一些合法的mac地址池，只有在此范围内的主机才可以通过该端口进行转发。或者限制最大mac地址数。这样客户端就没办法伪造mac地址去申请ip了。Cisco交换机就是在物理端口下使用switchport port-security mac-add命令填加，这种方法工作量大且不能满足移动性的要求。另一种方法就是与实际认证系统相结合，认证系统首先对MAC地址进行第一次认证，只有MAC地址是合法的，才允许DHCP Sever分配IP地址给终端，这主要用到802.1x认证协议和radius认证服务器。 3 有时候为了需要，不希望用户自己设定ip地址来上网，也就是说限制用户只能动态获取地址才能上网，自己固定地址不能上网。这种就相对比较简单，不需要在接入层上做什么设置，也就是不要求接入层支持dhcp snooping功能。只需要在三层交换机上使用如下命令就搞定。 Ip arp inspection vlan 500 //vlan500下面启用arp inspection功能 Ip arp inspection validate src-mac dst-mac ip //只有源mac 目的mac和ip都正确才合法这里必须还是先在三层交换机上启用ip dhcp snooping功能同时监控snooping vlan 500。因为arp inspection实际是根据dhcp 绑定信息来判断的。如果用户不是自动获取ip，而是自己设置ip，那么它就不会被dhcp snooping捕获到，当然所有的该ip地址发送的arp请求都会被网关拒绝掉的（因为源，目的mac和ip地址都是不合法的，自然被认为是非法的arp请求）。但是固定ip时是可以跟本局域网内其它机器通信的，只是不能通过arp协议学习到网关的mac地址。注：以上的dhcp server都是在三层交换机上启用的。 4 arp欺骗。可以分两种情况：一是伪造网关去欺骗网内其它主机；而是伪造其它主机去欺骗网关。当然更严重的是两种情况同时存在，并开始数据转发功能，这就是一种中间人攻击（双方欺骗），可以嗅探数据包（代理arp功能跟此类似，很多计费网关和一些透明防火墙就利用了代理arp功能）。从某种意义上说，arp欺骗就是一种代理arp。神码可提供专门的在接入层交换机使用ACL来限制客户仿冒网关，这个acl就是限制该端口下不允许发送网关地址的arp通告报文，这样可以有效的防止伪造网关去欺骗其它主机。 (Config)# access-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001 该ACL说明如下： 13，14字节是arp协议代码0806,21,22字节是0002表示arp reply,29-32字节就是网关ip地址的16进制 STEP2:应用ACL (Config)# Firewall enable (Config)# int e 0/0/1-24 //在所有端口下应用该acl (int)# mac access-group 1101 in traffic-statistic 当然，如果知道某个具体端口是什么IP地址，那么就可以限制该端口只能发送该IP的arp通告是最好了，这就可以完全杜绝arp欺骗。但明显可操作性差。另一种能较好防止arp欺骗的办法就是在各个主机上绑定网关的mac，同时在网关上静态绑定IP＋mac。不过这种办法不如前面办法好，它不能防止局域网内部的arp欺骗。如果采取的是动态获取ip地址，神码交换机有个新特性，能完全控制arp欺骗。可以防止接入主机假冒网关，可以防止接入主机假冒其它用户；管理复杂度低，交换机配置简单并且基本不需要变更；支持用户移动接入，交换机可以自动检测到用户接入位置并正确转发用户数据； ip dhcp snooping enable ip dhcp snooping binding enable Interface Ethernet0/0/1 ip dhcp snooping binding user-control ! Interface Ethernet0/0/2 ip dhcp snooping binding user-control 如果是静态ip，需要ip＋mac＋端口的绑定。 am enable Interface Ethernet0/0/1 am port am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90 还是说说cisco交换机吧。一般采取动态获取IP地址的上网方式比较多，先配置ip dhcp snooping 再配置ip arp inspection,此时，客户端就应该没办法伪造其它主机去伪造网关，因为这些伪造的arp reply报文在网关看来都是非法的，自然会拒绝。至于伪造网关的防治，大概就只能在用户自己主机上静态绑定arp缓存表了。 1 防止arp扫描。在某些情况下也可抑制arp欺骗。原理就是对物理端口进行arp报文数量的限制。方法就是在物理端口是使用ip arp inspection limit rate 命令限制每秒钟允许通过的arp报文数。 2 伪mac地址的防治。交换机的mac地址表如果被大量充斥，将会影响性能，严重的将会是交换机崩溃，因为一般的cam存储都有限。所以这类防治般限制每端口出来的mac地址数目即可。至于伪造的防治，那就只能选择port-security了，虽然不能满足移动性的要求。针对目前学校主干是cisco交换机，接入层品牌太杂，档次参差不齐，用户自动从cisco三层交换机上获取地址上网的情况，我认为比较好的办法就是在cisco交换机上启用dhcp snooping 以及arp inspection功能来尽可能防止arp欺骗。用户还得绑定好网关的mac地址。要能更有效的防止arp欺骗和防止伪dhcp server，还得升级接入层交换机。

MikroTik RouterOS是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件RouterOS 软路由图的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。桥接功能　　RouterOS能将多张网卡组建为一个桥模式，使路由器变成一个透明的桥设备，同样也实行三层交换的作用，MAC层的以太网桥、EoIP 、Prism、Atheros和RadioLAN 等都是支持的。所有802.11b和802.11a 客户端的无线网卡（如station模式的无线）受802.11 的限制无法支持桥模式，但可以通过EoIP协议的桥接方式实现。　　为防止环路出现在网络中，可以使用生成树协议(STP) ，这个协议同样使冗余线路成为可能。　　包括特征如下：　　l 生成树协议(STP) 　　l 多桥接接口功能　　l 该协议能选择转发或者丢弃　　l 能实时监控MAC地址　　l 桥防火墙 　　l 多线路支持　　RouterOS基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。　　在负载均衡下也可以根据带宽的比例调整两条线路的流量。RouterOS提供了多种方式的路由功能，使其路由功能更强大，更灵活。RouterOS的路由功能主要为：　　l 基于源地址的路由　　l 基于目标地址的路由　　l 基于端口的路由　　l 基于定义用户类的路由　　l 基于负载均衡的路由　　l 基于端口的负载均衡　　l 隧道协议　　RouterOS支持多种隧道协议如PPP、PPPoE、PPTP、EoIP、IPIP以及IPsec，这些隧道协议可以为远程资源访问和企业间的连接提供很好的解决方案，如：　　l 通过PPTP或IPIP实现通网络资源互用　　l EoIP或PPTP的远程局域网解决方案　　l 支持PPPoE服务器　　l Hotspot热点认证服务　　热点服务认证系统是一种web的认证方式，在此种认证方式中，用户可以通过自设IP地址或DHCP获得一个地址，打开浏览器，无论输入一个什么地址，都会被强制到一个认证界面，要求用户进行认证，认证通过后，就可以访问其他站点了。主要特征：　　l 用户通过时间与流量认证计费　　l Cookie (存储用户的账号和密码) 带宽控制功能　　l 定额控制（连接超时时间, 下载/上传传输限制）　　l 实时用户状态信息显示　　l 自定义认证HTML页(可以由你自己设计认证页) 　　l DHCP服务器分配IP地址　　l 简单的RAIUS客户端配置　　l RouterOS 能与PPTP隧道、IPsec以及其它的一些功能配合使用。　　l 可以通过Access Point与以太网接入用户。　　l 定时广播指定的URL链接　　l 脚本控制　　RouterOS提供了可以编写的脚本功能，脚本的加入使RouterOS在处理很多网络方案、自动检查故障和动态生成策略等，都可以通过脚本很好的解决。使得在处理很多网络问题上更加的灵活和智能化。　　具体功能：　　TCP/IP协议组：　　l Firewall和NAT–包状态过滤；P2P协议过滤；源和目标NAT；对源MAC、IP地址、端口、IP协议、协议（ICMP、TCP、MSS等）、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制... 　　l 路由 – 静态路由；多线路平衡路由；基于策略的路由(在防火墙中分类); RIP v1 / v2, OSPF v2, BGP v4 　　l 数据流控制 – 能对每个IP、协议、子网、端口、防火墙标记做流量控制；支持PCQ, RED, SFQ, FIFO对列; Peer-to-Peer协议限制　　l HotSpot – HotSpot认证网关支持RADIUS验证和记录；用户可用即插即用访问网络；流量控制功能；具备防火墙功能；实时信息状态显示；自定义HTML登录页；支持iPass；支持SSL安全验证；支持广告功能。　　l 点对点隧道协议 – 支持PPTP, PPPoE和L2TP访问控制和客户端；支持PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议；支持RADIUS验证和记录；MPPE加密；PPPoE压缩；数据流控制；具备防火墙功能；支持PPPoE按需拨号。　　l 简单隧道 – IPIP隧道、EoIP隧道 (Ethernet over IP) 　　l IPsec – 支持IP安全加密AH和ESP协议；　

8.8.1 网络实验室设计一．需求分析： 80台计算机，每40台一个VLAN，每10台PC连接到百兆交换机上，交换机之间互连，VLAN 间通信通过三层交换机，80台计算机共享如下服务如FTP、代理和www服务器等，通过三层交换机的上端千兆口连接到网络中心，通过网络中心实现外网的连接。二、网络拓扑图：下图是使用cisco packet tracer软件作成的拓扑图：三、设计方案 (1)服务器设计： 1.FTP服务器:网络实验室需要该服务器提供文件传输功能，即网络用户可以从特定的服务器上下载文件或者向该服务器上传数据，此时需要配置支持文件传输的FTP服务器。F TP服务的配置需要安装IIS服务组件，FTP服务器安装好之后，在服务器上有专门的目录供网络用户访问、存储下载文件、接收上传文件，合理配置站点以有利于提供安全、方便的服务。对于FTP服务器的使用主要是分两个部分：第一步：设置IIS默认的FTP站点，建立FT P最快的方法就是直接利用IIS默认建立的FTP站点，把可供下载的相关文件，分门别类地放在FTP相应的根目录下；第二步：添加或者删除站点，IIS允许在同一部计算机上同时构架多个FTP站点。 2.www服务器：Web服务器的配置同样分为两个步骤：首先，使用IIS默认站点；其次，添加新的Web站点。 3.代理的配置： (2)交换机设计与配置：单臂路由和Trunk的配置：路由器需要配置两个子接口的封装和ip（物理口和子接口都需要配置IP），交换机需要配置两个VLAN，把两个接口放进vlan，把与路由器连接接口配置成trunk，交换机上的三个接口和两个相关vlan；pc1/pc2,配置网关，配置默认路由。 VLAN的配置：『配置环境参数』 SwitchA端口E0/1属于VLAN2，E0/2属于VLAN3 『组网需求』把交换机端口E0/1加入到VLAN2 ，E0/2加入到VLAN3 2 数据配置步骤『VLAN配置流程』 1. 缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan； 2. 如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉； 3. 除了VLAN1，如果VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLAN XX并进入VLAN视图；如果VLAN XX已经存在，则进入VLAN视图。 8.8.2可靠、安全网络实验室方案 1.需求分析首先，在网络实验室方案设计的基础上，做更进一步的技术改进；网络实验室办公楼到网络中心办公楼要求高传输率和高可靠性，传输方案采用千兆到交换机，百兆到桌面的相应方案，采用双交换机互为备份的连网方案，服务期间互为数据备份，设置DMZ区确保代理、FTP、www服务器的安全。 2.给出网络拓扑图下图是使用cisco packet tracer软件作成的拓扑图： 3.给出详细设计方案首先，要设立DMZ区，在DMZ区和Internet相连的区域设置相应的防火墙，并加入IDS 检测器1在DMZ区中放入IDS检测器2和千兆交换机，千兆交换机把Web服务器、DNS服务器和Mail服务器连接起来，DMZ区外再另加一个IDS检测器以增强网络整体的安全程度，之后连入路由器，接入内部网络。其次，路由器连接一个千兆交换机，并由此交换机连接两个直通入楼宇的摆百兆交换机，再由此连入桌面主机。 8.8.3 校园网方案的撰写 1.需求分析： (1)学校有18个学院，3个校区，其中网络中心、亚太楼、国教在北区，软件学院在西区，其余学院在南区。 (2)网络中心提供各种标准化信息服务，各个学院也自行向互联网发布学院信息，，每个学院大概有1500台PC。 (3)学校拥有从CERNET申请的一段IPv4地址202.196.0.0/18,从CNC申请一段IPv4地址125 .10.0.0/21。 (4)采用三层架构设计，连接三个校区选用万兆网，各校区主干网络采用千兆网，作为园区汇聚层，另选用百兆网接入桌面。 (5)校园网通过统一接口接入CERNET和CNC。 2.给出网络拓扑图： 3.给出详细的设计方案： 1.IP地址方案：对于学生宿舍，通过锐捷身份认证系统对学生连网进行身份认证和计费管理，在认证前统一动态分配私有IP 地址，认证后分配共有IP地址。通过NAT转换实现认证前可以通过私有IP访问校内外部分服务。对于学校信息中心机房，由于各机房机器众多，所以对各机房均采用静态分配私有I P 地址，通过代理服务器上NAT转换连接Internet网络，并且各个机房被划分为单独的VLA N 以利于管理和安全。 2.互联网接入方案：由于互联网应用对于日常生活的重要性

路由器使用中常见的八种故障及解决 -------------------------------------------------------------------------------- 　　集线器、交换机和路由器三者中，路由器是大家比较陌生的，但随着大规模局域网和宽带的普及，路由器应用也更加广泛，相关的故障也逐渐增多。我们就来看看常见的路由器的故障有哪些吧。　　故障现象： A 　　无法登录至宽带路由器设置页面。　　原因以及解决方法：　　首先确认路由器与电脑已经正确连接。检查网卡端口和路由器LAN端口对应的指示灯是否正常。　　如果指示灯不正常，重新插好网线或者替换双绞线，然后在电脑中检查网络连接：先将电脑的IP地址设置成自动获取IP地址。然后查看网卡的连接是否正确获得IP地址和网关信息，如果没有请手动设置，如果这些信息已经正确获得，请注意是否开启了防火墙服务，如开启请将它禁用。　　比较新的路由器（尤其是家用的）多采用IE登录路由器的方式进行维护，因此我们可以在IE的连接设置中选择“从不进行拨号连接”，再单击“局域网设置”，清空所有选项。然后在浏览器地址栏中输入宽带路由器的IP地址，按下Enter键即可进入设置页面。如还不能登录，请尝试将网关设置为路由器的IP地址，本机IP地址设为与路由器同网段的IP地址再进行连接。　　如果用上面的方法还不能解决所遇到的问题，请检查网卡是否与系统的其他的硬件有冲突。　　故障现象经常出现无法连接到路由器或连接速度非常慢的情况。　　原因以及解决方法 　　这种情况与网线的关系比较大。　　如果经常出现连接问题，可能存在水晶头质量问题或接触问题，注意将各个接口插紧。并更换质量好的水晶头。同时检查网线的线序是否正确。　　故障现象使用ADSL方式上网，设置好路由器以后却无法使用拨号软件进行拨号。　　原因以及解决方法 　　设置好路由器的PPPoE连接后就从路由器进行拨号了，无须再使用电脑里的拨号软件，只要将电脑的IP地址设置为“自动获取”或者设置为与路由器不冲突的IP地址即可。　　故障现象路由器无法获取广域网地址。　　原因以及解决方法 　　首先请检查路由器的WAN口指示灯是否已经亮起，如果没亮则网线或者水晶头有问题。然后检查路由器是否已经正确配置并保存重启，否则设置不能生效!有时候还可能需要克隆网卡的MAC地址到路由器的广域网接口，具体设置参考路由器手册。　　故障现象：　　在路由器环境下使用MSN的时候提示计算机在防火墙后面。　　原因以及解决方法：　　路由器是地址转换设备，当你或与你进行通信的人位于防火墙或路由器之后时，阻止了双方直接连接到 Internet。此时要求双方所使用的网络地址转换设备支持UPnP技术。关于路由器对该技术的支持情况请看你所用的路由器说明书，并咨询厂商技术支持。个别路由器需要在LAN设置中将UPnP设置为“Enable”。支持UPnP的系统主要有Windows XP和Windows Me。故障现象：　　外网不能访问在局域网中设置的服务器（如WWW　FTP等）。　　原因以及解决方法：　　如果在局域网中设置了服务器请使用路由器的端口映射功能。各型号路由器的设置项目请参考对应路由器手册。　　注意，其中需要设置的是服务器的局域网IP地址，对外提供的端口，服务器所使用的端口以及使用的协议。以下是一些常用端口供参考：　　FTP—20　21 SMTP—25 HTTP—80 POP3—110 pcAnywhere—22　5631　5632 MSN文件传输—6891~6900。关于更多的端口信息请到网络上查找全部端口说明。　　故障现象：　　忘记了路由器的IP地址/密码，无法再进入设置页面。　　原因以及解决方法：　　每种路由器的默认IP地址和取消密码都不相同，有的需要一些命令行操作（如Cisco设备采用IOS操作系统），有可以由厂商算出某个设备的万能密码的　如D-LINK设备通过产品串号来算出　，还有利用设备上的Reset键复位几次就可以恢复原始密码的（如某些国产品牌设备）。　　故障现象：　　一台Cisco2610，在升级IOS后变为rommon 1 >了。　　原因以及解决方法：　　这说明IOS系统崩溃了，在 rommon 状态下输入一些命令可以恢复（请注意大小写）。先从厂商网站上下载了一个c2600-i-mz.121-3.T文件，在接入电脑上安装一个tftp server软件，然后用console口连接路由器进行如下操作：　　rommon 1 >IP_ADDRESS=192.168.0.1　该路由器的IP地址）　　rommon 2 >IP_SUBNET_MASK=255.255.255.0（路由器的掩码）　　rommon 3 >DEFAULT_GATEWAY=192.168.0.100（网关，是接入电脑的IP地址）　　rommon 4 >TFTP_SERVER=192.168.0.100（是接入电脑的IP地址）　　rommon 5 >TFTP_FILE=c2600-i-mz.120-7.T.bin（上传文件的名称）　　rommon 6 >sync（保存）　　rommon 7 >set（查看）　　rommon 8 >tftpdnld（传送文件），出现提示时选择y 　　接入电脑的设置参数如下：　　IP地址 192.168.0.100 　　掩码 255.255.255.0 　　网关 192.168.0.1（路由器的IP地址）

本软件来源于网络，本人搜集，如影响您的权益，请通知删除。网络岗旁路监控　　如果用户以硬件路由器（或FireWall)为出口上Internet，为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段：　　1.在网关处添加共享式HUB（集线器），Internet出口网络线和监控机网络线均接入HUB。　　2.在主交换机网口上设置镜像端口（一个镜像端口，一个被镜像端口)；监控机网络线接入镜像端口。　　上面实现的监控就是所谓的“旁路监控”。　　打个更形象的比喻：交警为监视公路上汽车行驶状况，为不影响交通，仅在路边配置一台监控设备，同步监视路上的每辆车，并不需要在路中间设卡检查车辆，这种方式相当与“旁路监控”。如果设卡监控，那就应该属于“非旁路监控” 优点：　　对网速影响甚小,如果不考虑封堵，可实现电信级的网络监视；所以网络流量庞大且封包需求很少时，必须采用该监控方式。缺点：　　1、封堵TCP连接时采用发送带RST标记的IP包，以破坏TCP连接；系统控制不好的话，则可能导致发送的封包太多，影响网络。　　2、不能封堵UDP通讯包。　　3、如果监控机处理速度慢，而流量太大，则可能导致分析包丢失。非旁路监控(拦截式) 　　1.网路岗NAT　　2.网路岗虚拟网桥（单网卡）　　3.网路岗网桥（双网卡）　　　防火墙产品是单纯采用“拦截式”技术的典型网络产品，所有进出FireWall数据包，都必须经过筛选，符合过滤过滤条件的数据包，将被抛弃。　　因此，防火墙的处理器性能和筛选规则的复杂程度，将直接影响到防火墙对数据包的处理速度，进而影响到网络速度。基于网卡、基于帐户、基于IP 　　所有的网络监控产品，都必须面对这个问题：在对具体电脑进行监控时，以什么信息来判断所捕获的数据包是由哪台机器发出的？　　“网路岗”提供了多种选项给客户选择，当用户网络是单网段，也就是说没有划分不同的IP段，我们建议客户选用“基于网卡”的方式，也就是说以“网卡地址MAC”来作为判断数据包的依据。　　相对IP地址来讲，网卡地址一般是不会改变的，而且是全球唯一的。针对单一网段内机器而言，网卡地址是网络寻址的重要依据，一旦网卡地址重复或不确定，必然造成网络通讯的紊乱或不稳定。　　针对多网段（划分VLAN）的情况，情况比较复杂，当数据包从某个VLAN转到其他VLAN时候，数据包中的网卡地址会发生改变，所以，我们捕获的网卡地址是发生变化了的，这时，如果系统对该MAC不加处理而简单使用，必然导致监控错乱。　　但是，这种情况，“网路岗”已经充分考虑了其应对策略，我们的客户依然可以选择“基于网卡”的方式，正如单一网段环境一样。　　当然，如果客户网络庞大，IP地址相对固定，从操作的简单性方面考虑，选择“基于IP”地址来监控也是可以的，用户也必须容忍IP地址是经常变化的。如果客户对某个范围IP的电脑行为感兴趣，那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。　　最后，我们要谈谈“基于帐户”。当客户机通过浏览器上网时候，会出现一个输入用户名和密码的画面，此时，只有当客户拥有了自己的用户名和密码，才拥有了上网的权限，这就是“基于帐户”模式的具体表现。　　“基于帐户”的方式从理论上讲，是完美的，因为该方式下，与被监控电脑的网卡地址和IP地址均无关系，而只需要根据用户帐号来判断监控对象。但其缺点也非常明显，因为客户机每次上网时候，都必须输入帐号及其对应的密码，给客户机上网带来麻烦，而且因为密码容易被忘记，网络管理员还不得不经常为客户机Reset密码。从目前客户的使用情况来看，“基于帐户”在“宾馆客房”上网方面似乎是非常好的方案。　网桥　　先解释一下通常意义下的“网桥”概念。　　网桥工作在数据链路层，将两个局域网（LAN）连起来，根据MAC地址（物理地址）来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。它可以有效地联接两个LAN，使本地通信限制在本网段内，并转发相应的信号至另一网段，网桥通常用于联接数量不多的、同一类型的网段。　　网桥通常有透明网桥和源路由选择网桥两大类。　　1、透明网桥　　简单的讲，使用这种网桥，不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。只须插入电缆就可以，现有LAN的运行完全不受网桥的任何影响。　　2、源路由选择网桥　　源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网（LAN）上。当发送一帧到另外的网段时，源机器将目的地址的高位设置成1作为标记。另外，它还在帧头加进此帧应走的实际路径。　　下面图示的是在WinXP和Win2003系统下创建“网桥”：(Win2k下无此功能) 同时选中两块网卡，点Mouse右键，会弹出上图中的菜单。　　网桥一旦建立完成，其网卡原配的IP地址将消失，网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了？不是，用户仍然可以在上面显示的“网络桥”上配置另外的IP。　　透明网桥示意图：左右两边的机器可以相互访问，不用做任何额外的配置，就象两台交换机之间接入新的交换机设备一样。启用《网路岗》“网络桥” 　　网路岗也提供了“网络桥”功能，可以在WinXP/2K/2003上使用，应用更加广泛，如用户需要较严格的上网过滤，请启用网路岗网桥功能，记住：启用网路岗网桥之前，请确认系统自带的“网络桥”已经删除．虚拟网桥　　“虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全不同，仅仅因为其通讯过程类似“网桥”罢了。　　通常意义上的“网桥”一般需要两块网卡来实现，而这里所谓的“虚拟网桥”只需要一块网卡。　　下面的网络结构是非常常见的：机器：192.168.0.2发出的Internet数据包，直接发向网关192.168.0.1 　　以下是“网路岗”启用“虚拟网桥”功能后，数据包走向图：　　当“网路岗”主机启用“虚拟网桥”功能后，从客户机192.168.0.2发向Internet的数据包，先送到“网路岗”主机，然后由“网路岗”主机转发到网关192.168.0.1，反之亦然。　　不难看出，要达到一台机器监控整个网络的目的，只需要启用“虚拟网桥”功能就可以了，这种监控技术可以在纯交换机环境下实现，不需要添加HUB，也不需要设置镜像端口。行话称之为“装在任何一台电脑上就可以监控整个网络”。　　而实际使用中，该技术的缺点非常明显，虽然“网路岗”已经加入该技术，但有必要向客户交代其中问题所在。缺点1：客户机盲目安装. 　　既然装在任何一台电脑就可以实现对整个网络的监控，员工或学生是否会随意下载、随意安装、随意监控？这是完全可能的，因为毕竟实现监控的门槛太低。不过，当同时多台机器启用这类监控方式后，网络会出现紊乱状况，很可能导致无法上网。缺点2：很容易逃避监控　　所有采用类似监控技术的产品，均需要发送ARP欺骗包，以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包，使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。　　因此，在单网段环境下，我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段，那么请注意：“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品)，并记录在历史记录中。如何启用“虚拟网桥”？ 1、选中“非旁路监控”选项 2、设置“虚拟网桥”相关选项 3、选中并启用“虚拟网桥” 　共享上网NAT 　　“网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准，用于允许专用网络上的多台 PC 机（使用专用地址范围，例如 10.0.x.x、192.168.x.x、172.x.x.x）共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。　　NAT 对于解决 IPv4 地址耗费问题（在 IPv6 部署中却没必要）尽管成效及时，但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重，且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。　　除了减少所需的 IPv4 地址外，由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯，因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同，但它确实有利于安全。跨VLAN/单网段/多网段　　VLAN，是英文Virtual Local Area Network的缩写，中文名为"虚拟局域网"， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。　　VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。　　　　VLAN在交换机上的实现方法，可以大致划分为六类:　　1. 基于端口的VLAN（最常应用的一种VLAN划分方法)　　2. 基于MAC地址的VLAN　　3. 基于网络层协议的VLAN　　4. 根据IP组播的VLAN 　　5. 按策略划分的VLAN　　6. 按用户定义、非用户授权划分的VLAN 　　在监控产品中，所谓“跨VLAN”监控就是所监控的客户机位于多个VLAN中。　　单网段：整个局域网只有一个IP段，如：192.168.0.x (255.255.255.0) 　　多网段：整个局域网有多个不同IP段，如：192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0) 镜像端口/监控端口/被监控端口　　在一些交换机中，我们可以通过对交换机的配置来实现将某个端口上的数据包，拷贝一份到另外一个端口上，这个过程就是“端口镜像”，如下图：　　端口1 为镜像端口，端口2 为被镜像端口；因为通过端口1可以看到端口2的流量，所以，我们也称端口1为监控端口，而端口2为被监控端口。　　市面上，绝大多数交换机（如cisco产品)的某个口被设置为镜像端口后，接到该端口的主机将无法发送数据包到网内其他机器，变成了“单向接受”模式；这类情况，并不利于监控，因为系统无发发送封包到客户机，而导致无法对客户机进行控制；不过“网路岗”针对此类情况有专门的解决手段，如碰到此类情况，用户可以咨询我公司技术人员。　　不过仍然有部分交换机除外，比如：TPLink-SF2008 或TPLink-SF2008(web)，因为其价格便宜，功能实用，因此我们一般建议客户购买此款交换机进行监控。汇聚MAC 　　在多VLan环境下，假如 Vlan-1最靠近因特网，通常情况下,其他 Vlan 的机器发出的数据包都需经过 Vlan-1 借道连入因特网，那么，其他Vlan下的机器发出的IP包经过这样的“路由”进入 Vlan-1 时，其数据包中原来的网卡地址通常会改变，改变后的地址就是我们这里提到的“汇聚MAC”。　　建议用“工具”菜单下的“ip包分析工具”抓包，如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。　 MAC采集点　　见安装包中程序MacSetup.exe，网卡地址“采集”程序，在跨VLAN环境、且选择“基于网卡MAC”的方式监控时才用，一般可在每个VLAN中安装一个，不安装也可以，安装“MAC采集点”程序是为了获取更及时、准确、全面的客户机网卡地址情况，且可有效进行IP-MAC绑定。　　尽管客户不安装该程序，系统仍然可以跨VLAN获取机器MAC信息，所以本程序并非必须安装。　　安装方法极其简单,只需要在选定的机器上运行此程序即可,不用任何配置.

4,356

社区成员

28,926

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章