H3C配置策略路由对流量进行分担、提高链路可靠性

19 六月, 2017

什么是策略路由? 策略路由是一种依据用户制定的策略进行路由选择的机制。与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由基于到达报文的源地址等信息灵活地进行路由选择。 策略路由的分类 根据策略路由作用对象的不同,策略路由可分为本地策略路由和接口策略路由: 本地策略路由:对设备本身产生的报文(比如本地发出的ping报文)起作用,指导其发送。 转发策略路由:作用于接口接收到的报文,指导其转发。 根据策略路由中配置的下一跳/出接口失效后的处理方式不同,可以将策略路由分为强(制)策略路由和弱策略路由: 强(制)策略路由:当策略路由中配置的下一跳/出接口失效后,丢弃报文。…

Read More »

Linux系统利用iptables对URL进行过滤

08 六月, 2017

iptables,一个运行在用户空间的应用软件,通过控制Linux内核netfilter模块,来管理网络数据包的流动与转送。 iptables在Linux系统中充当了防火墙功能,它强大灵活是控制网络访问的绝佳利器。 这次的需求是 “如何阻止访问某些网站”。 我们先来看看相关iptables的命令说明 string This modules matches a given string by using some pattern matching strategy. It requires a linux…

Read More »

H3C交换机限速策略

26 五月, 2017

本篇讲解如何在H3C交换机上对端口进行速率控制 本例使用H3C S5500网管型交换机 不同的设备型号和软件版本可能导致部分命令不可用 Ⅰ speed 这是最简单的端口限速方法,但因限制精度较小(10/100/1000Mbps),使用场景有限。 <H3C>system-view [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]speed 10…

Read More »

H3C利用ACL实现VLAN单向访问

18 五月, 2017

企业网络中,因为安全问题可能需要做单向访问控制,既A网络可以访问B网络,但反过来B网络不能访问A网络,针对这个需求,可以采用ACL单向访问控制来实现。 实现原理:大家都知道TCP有三次握手来建立连接,交换机侦测tcp标志位就可以知道TCP连接是已经建立过的还是即将新建,当TCP连接建立后,B发送往A的TCP报文均带有ACK标志位。原理弄清楚后这样我们只需要过滤掉B到A方向上TCP报文中仅有SYN标志位的报文就能实现单向访问。 本示例采用H3C S5500网管型交换机 场景: Vlan2能访问Vlan3,但Vlan3不能访问Vlan2. 关键: H3C交换机在ACL命令中提供established 参数,established代表一种状态,表示已经建立的连接。 [H3C]vlan 2 [H3C-vlan2]…

Read More »

H3C如何过滤非法MAC(交换机篇)

17 五月, 2017

本篇讲解如何通过交换机实现非法MAC地址过滤功能。本篇以H3C S5500网管型交换机为例。 方案Ⅰ:MAC黑洞 由用户手工配置的一类特殊的MAC地址,当交换机接收到源地址或目的地址为黑洞MAC地址的报文时,会将该报文丢弃。 <H3C>system-view [H3C]mac-address blackhole 11-22-33 vlan 1 方案Ⅱ:二层访问列表 二层IPv4 ACL根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则,对报文进行相应的分析处理。…

Read More »