SANGFOR_AF_ALL 端口映射配置文档
深信服科技有限公司
2012年2月
AF端口映射配置文档配置端口映射的条件:首先需先确认服务器回应公网的数据包会经过AF,若不能确认,需先加一条SNAT,当公网访问服务器的数据从AF出去时,将公网源IP转换成AF出接口IP。其次需保证服务器和设备之间能正常通讯。
一、名词解释
端口映射:AF端口映射包括目的地址转换和双向地址转换。
目的地址转换:也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外部用户提供服务的情况。
双向地址转换:是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址,主要用于内网用户通过公网地址访问内网服务器。
二、目的地址转换案例及配置
1、用户需求
某用户网络拓扑图如下,AF访火墙部署在网络出口,ETH2接外网线路,EHT1接内网线路,内网有一台WEB服务器,客户需要实现所有外网用户均能通过公网地址http://1.1.1.2访问内网的WEB服务器.
2、配置步骤:
(一)在【网络配置】的【接口/区域】中定义好“接口”和“区域”,在【对象定义】的【IP组】中定义好“外网接口IP”
接口(定义EHT1口为非WAN口,EH2口为WNA口):
区域(定义EHT2口为外网区域,EHT1口为内网区域):
外网接口IP (新增外网接口IP 为:1.1.1.2/24)
(二)在【防火墙下】的【地址转换】中新增【目的地址转换】规则,本例配置如下:
名称自定义
公网用户所在的区域
公网用户访问服务器时所用的地址
访问服务器时所
使用的端口号
需要做映射的内
网服务器地址
点击保存,保存配置
(三)在【内网安全】--【应用控制策略】中,放通“外网区域”到“内网区域”的“HTTP”访问权限
以上配置完成,即完成端口映射--目的地址转换的所有配置,公网用户即可通过http://1.1.1.2访问内网服务器。
三、双向地址转换案例及配置
1、用户需求:
某用户网络环境如图,AF防火墙部署在网络出口,内网有WEB服务器。已经申请了域名https://www.doczj.com/doc/1f17445248.html,指向1.1.1.2,客户需要内网所有用户都可以通过https://www.doczj.com/doc/1f17445248.html,访问WEB服务器。
2、配置步骤:
(一):在【网络配置】的【接口/区域】中定义好“接口”和“区域”,在【对象定义】的【IP组】中定义好“内网IP组”和“外网接口IP”。配置过程同目的地址转换,此处不再赘述。
(二)在【防火墙】的【地址转换】中新增“双向地址转换”规则
内网用户所在的
区域及IP组
内网服务器
所在的区域
内网用户需要访问服
务器时所使用的地址
需要映射的服务器提供
服务器的协议和端口
内网服务器地址
(三)在【应用控制策略】中放通内网区到内网区的HTTP访问权限,配置步骤同目的地址转换,此处不再赘述。
以上步骤完成,即完成双向地址转换的配置,内网用户即可通过域名
https://www.doczj.com/doc/1f17445248.html,直接访问内网WEB服务器。
补充说明(DNS mapping):
内网用户通过域名访问公网服务器,除了做双向地址转换外,还可以通过DNS mapping来实现。上例中也可这样配置:
在【防火墙】下的【地址转换】中选择【DNS mapping】
端口映射教程全教程 对于内网用户,做端口映射可以使你从内网变成外网,进行毫无阻碍的数据传输,从而提高你的下载上传速度。(本文来自网咯) 首先,确定你是公网还是内网? 判断公网还是内网的方法: 用ipconfig查: (1)Windows 9x/Me用户 用鼠标选择“开始”->“程序”->“MS-DOS方式”,打开一个DOS命令行窗口,执行:ipconfig (2)Windows NT/2000/XP用户 用鼠标选择“开始”->“程序”->“附件”->“命令提示符”,打开一个DOS命令行窗口,执行:ipconfig Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC Physical Address. . . . . . . . . : 00-11-D8-EB-8B-A8 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.250 就是你电脑的IP地址 Subnet Mask . . . . . . . . . . . : 255.255.255.0 子网掩码 Default Gateway . . . . . . . . . : 192.168.1.1 网关,也就是你路由器的IP地址! DNS Servers . . . . . . . . . . . : 202.96.134.133 202.96.128.68 如果你的IP是以下三种基本上判定为内网: 10.x.x.x;172.x.x.x;192.168.x.x。 现在我们找到了路由器的IP地址后,可以直接在浏览器地址栏输入路由器的IP,进入路由器的设置界面!进行端口映射! 这里根据网友们的成功经验。特地把ADSL分为有Virtual Server(虚拟服务器)设置和只有NAT(端口映射)设置的两种。 一种是最常见的WEB方法,就是在浏览器中填入设奋的IP,如QX1680,就是在浏览器地址栏输入IP 地址:10.0.0.2,出现提示栏后,输入用户名admin,密码qxcommsupport,就可以管理员设置界面了。最常见和最简单的就是这种方法。
文件服务器安装配置过程 cloud附件如何需要上传word,Excel,pdf等文件,必须要安装文件服务器,配置好文件服务器后,才能上传这些文件,并在线预览。(如果只上传图片文件,则不需要安装文件服务器) 1、程序安装 按照如上图所示勾选文件进行安装。安装完成后不需要在另外打补丁,直接进行配置(本人安装版本为7.2,之前版本是否需要打补丁,没有验证) 如果没有安装好,建议卸载重装。在启用文件服务器时,可以确认文件服务器是否安装。 2、程序安装好后, 首先需要启用文件服务器,用administrator用户登录系统,在公共设置-文件服务器设置
按照如上所示,录入相关内容,然后检测文件服务是否可用
如上,检测信息全部通过,则文件服务器配置成功,即可以测试上传附加。不过通常首次新增文件服务器地址检测时,其中有几项会有问题,需要另外设置,然后在回头进行测试。不过,检测出的结果显示文件服务器可用,就可以保存。然后在配置其他内容。虚拟目录一定要与规定的名称一样,否则会出现文件服务器不可用。文件服务器地址为安装文件服务器电脑的地址,端口号为映射到外网的端口号。 检测完成后,保存文件服务器地址,文件服务器即启用成功。然后根据检测报错内容进行配置,一般会有如下报错: 1)、文件服务器存储目录 首先在硬盘建立相应文件夹,然后点击基础管理-公共设置-文件服务目录设置 点新增
如果文件服务器地址配置不成功,会发现存储目录地方为灰色,不能录入。 在存储目录地方设置好之前建好的文件夹路径 2)。文件目录权限设置报错 文件服务目录的权限设置:增加network service ,everyone的所有权限 同时文件服务器器安装目录下的\Kingdee\K3Cloud\文件夹FileService赋予network service, everyone权限
1.1.1 display mirroring-group 【命令】 display mirroring-group { group-id| all | local | remote-destination | remote-source } 【视图】 任意视图 【参数】 group-id:端口镜像组的组号,取值范围为1~2。 all:所有镜像组。 local:本地镜像组。 remote-destination:远程目的镜像组。 remote-source:远程源镜像组。 【描述】 display mirroring-group命令用来显示端口镜像组的信息。 不同的镜像组类型,其显示内容不同。设备将按照镜像组号的顺序进行显示。【举例】 # 显示所有镜像组的信息。
type: remote-source status: inactive mirroring port: Ethernet1/0/4 inbound reflector port: remote-probe vlan: 1900 表1-1 display mirroring-group命令显示信息描述表 1.1.2 mirroring-group 【命令】 mirroring-group group-id{ local | remote-source | remote-destination } undo mirroring-group{ group-id|local | remote-source|remote-destination | all } 【视图】 系统视图 【参数】 group-id:端口镜像组的组号,取值范围为1~2。 local:本地镜像组。 remote-source:远程源镜像组。
目录 1常见问题处理 1.1 管理密码丢失 1.2 恢复出厂设置 1.3 端口映射不成功 1.4 设置ARP双向绑定(针对客户端为静态分配地址的情况) 1.5 局域网部分或者全网PC掉线、无法访问Internet 1.6 上网速度慢,玩游戏卡 1.7 无法远程访问路由器 1.8 升级过程中出现问题解答 1.9 设备各指示灯含义 1.10 如何设置端口限速和网络连接数,并查看端口/IP流量 1.11 如何限制某些应用 1.12 如何划分VLAN,实现单臂路由,禁止网段间互访 1.13 IPSEC VPN典型组网配置 1.14 企业、网吧、酒店典型组网配置 1.15 设备支持哪些功能 1.16 如何抓包 2获取售后服务及相关资料
1 常见问题处理 1.1 管理密码丢失 ?将管理计算机的串口通过配置线缆与路由器的Console口相连,在命令行下输入password命令并回车,按照系统提示,输入新密码,并重新输入一次以确认即可。 ?恢复出厂设置。 1.2 恢复出厂设置 ?登录Web页面,单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置(页面向导:设备管理→基本管理→配置管理)。 ?管理计算机串口连接或Telnet到设备,命令行下输入restore default命令并回车,确认后,路由器将恢复到出厂设置并重新启动。 1.3 端口映射不成功 常见的端口映射不成功的原因及处理方法,如下: 1. 运营商原因 一般较常见的如80端口无法映射成功,内网访问正常。 处理方法:联系运营商解决或者将映射的外部端口更换为其他端口。 其他测试验证方法:可以选择将外部端口更换为其他端口(如8099)测试,远程访问时格式为:http://XXX.XXX.XXX.XXX:8099,测试是否访问正常来确认是否该原因引起。 2. 服务器配置原因 内网访问正常,但是外网通过端口映射访问不成功。 处理方法:请检查服务器配置,特别是安全策略或者防火墙设置,确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。 其他测试验证方法:可以采用某台XP系统的客户端主机开启远程协助(当然也同样需要先验证一下内网其他PC是否能远程登入)并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。 3. 端口未全部映射 内网访问正常,一对一NAT也正常,但是外网通过端口映射访问不成功。 处理方法:某些应用(特别如语音、监控系统等)在实际工作过程中需要用到多个端口通信,而客户实际可能只配置了一个或者部分端口的映射,请抓包确认整个通信过程中用到的所有端口,并确认是否均已设置映射。 其他测试验证方法:尝试将服务器设置为DMZ主机或者配置一对一NAT(外网地址不能是WAN口地址)验证是否正常来确认是否该原因引起。 4. 配置问题 客户在防火墙、MAC过滤等规则中添加了过滤规则,阻止了映射端口或者映射服务器的正常通信。 处理方法:检查路由器规则类相关配置,查看是否将映射的端口或者服务器过滤。 其他测试验证方法:可采用禁用防火墙、MAC过滤等功能来排查,常见的为防火墙配置了入站或者出站通信策略引起。
路由器端口映射的原理及设置方法介绍 端口映射其实就是我们常说的NAT地址转换的一种,其功能就是把在公网的地址转翻译成私有地址,采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP,ADSL直接接在HUB 或交换机上,所有的电脑共享上网。这时ADSL的外部地址只有一个,比如61.177.0.7。而内部的IP是私有地址,比如ADSL设为192.168.0.1,下面的电脑就依次设为192.168.0.2到192.168.0.254。 在宽带路由器上如何实现NAT功能呢?一般路由器可以采用虚拟服务器的设置和开放主机(DMZ Host)。虚拟服务器一般可以由用户自己按需定义提供服务的不同端口,而开放主机是针对IP 地址,取消防火墙功能,将局域网的单一IP地址直接映射到外部IP之上,而不必管端口是多少,这种方式只支持一台内部电脑。 最常用的端口映射是在网络中的服务器使用的是内部私有IP地址,但是很多网友希望能将这类服务器IP地址通过使用端口映射能够在公网上看到这些服务器,这里,我们就需要搞清楚所用服务的端口号,比如,HTTP服务是80,FTP服务则是20和21两个端口,而安仕达连锁店软件需要使用到是3个端口,默认是8088、9000、9001,通过MstarDB服务来设置,见下图。 这里我们以最常用的80端口为例,设置一个虚拟HTTP服务器,假设路由器IP地址为192.168.2.1。
第一步,在浏览器中输http://192.168.2.1,进行网络配置。 第二步,进入虚拟服务器页面设置NAT端口映射,依次填入3个端口,端口类型为TCP或者ALL,主机IP地址填写内部DB服务器所在的IP,然后保存并重新启动路由器,设置就完成了。 以后外网安仕达软件访问路由器的IP,就可以直接连接到我们定义的内部服务器上,实现了路由器内的端口映射,有2个理由需要使用这个技术(英文简称是NAT),(1)服务器直接上网容易被黑客和病毒攻击;(2)许多情况,企业需要通过路由器来支持更多的电脑一起使用因特网。 注意:NAT技术是要求服务器IP是固定的,因为NAT里面只绑定了IP,所以要求实施人员要保证服务器的IP固定,要实现这个目标有以下几个方案: (1)关闭路由器的DHCP服务,手动设置服务器的IP (2)打开路由器的DHCP服务,通过网卡绑定的方式来将服务器地址设置为静态地址(见下图)
1 配置本地端口镜像 2 1.2.1 配置任务简介 本地端口镜像的配置需要在同一台设备上进行。 首先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。 表1-1 本地端口镜像配置任务简介 ●一个端口只能加入到一个镜像组。 ●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。 3 1.2.2 创建本地镜像组 表1-2 创建本地镜像组 配置源端口目的端口后,本地镜像组才能生效。 4 1.2.3 配置源端口 可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在端口视图下将当前端口配置为指定镜像组的源端口,二者的配置效果相同。 1. 在系统视图下配置源端口 表1-3 在系统视图下配置源端口
2. 在端口视图下配置源端口 表1-4 在端口视图下配置源端口 一个镜像组内可以配置多个源端口。 5 1.2.4 配置源CPU 表1-5 配置源CPU 一个镜像组内可以配置多个源CPU。 6 1.2.5 配置目的端口 可以在系统视图下为指定镜像组配置目的端口,也可以在端口视图下将当前端口配置为指定镜像组的目的端口,二者的配置效果相同。
1. 在系统视图下配置目的端口 表1-6 在系统视图下配置目的端口 2. 在端口视图下配置目的端口 表1-7 在端口视图下配置目的端口 ●一个镜像组内只能配置一个目的端口。 ●请不要在目的端口上使能STP、MSTP和RSTP,否则会影响镜像功能的正常使 用。 ●目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。 为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜 像,不作其它用途。 ●镜像组的目的端口不能配置为已经接入RRPP环的端口。 7 1.3 配置二层远程端口镜像 8 1.3.1 配置任务简介 二层远程端口镜像的配置需要分别在源设备和目的设备上进行。 ●一个端口只能加入到一个镜像组。 ●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。 ●如果用户在设备上启用了GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)功能,GVRP可能将远程镜像VLAN注册到不希望的端口上, 此时在目的端口就会收到很多不必要的报文。有关GVRP的详细介绍,请参见“配 置指导/03-接入/GVRP配置”。
华为路由器配置端口映射 华为的这个路由器,在指定outside 和inside的端口有一点不一样,希望对大家有帮助,不走弯路! Quidway#show run Now create configuration... Current configuration ! version 1.66 enable password ,Y@JM,UXNZL0XaLTV.U4*!!! access-list normal 100 permit ip 10.0.0.0 0.255.255.255 any ! interface Aux0 async mode interactive encapsulation ppp ! interface Ethernet0 #inside port# speed auto duplex auto no loopback ip address 10.0.0.2 255.255.255.0 ! interface Ethernet1 #outside port# speed auto duplex auto no loopback ip address 192.168.0.198 255.255.255.0 nat inside 100 interface #通过这个命令帮定访问列表和地址池在外部端口上# ! interface Serial0 encapsulation ppp ! exit ip route 0.0.0.0 0.0.0.0 192.168.0.254 preference 60 ! end Quidway# NAT的配置任务列表如下: 1. 配置地址池
(一)防火墙初始配置 1.导入证书 打开目录“Admin Cert”,双击“SecGateAdmin.p12”,进行安装,密码是“123456”; 2.将电脑的网线与防火墙的WAN口相连,打开防火墙电源。 3.设置好电脑的IP地址为“10.50.10.44”后,用IE打开地址:https://10.50.10.45:8889。 输入用户名和密码进入管理界面。 防火墙的W AN口默认的IP是“10.50.10.45”, 防火墙默认的管理主机IP是:“10.50.10.44” 进入防火墙WEB界面用户名和密码是:“admin”-“firewall” 进入地址是:https://10.50.10.45:8889 4.导入“license许可证文件” 系统配置---升级许可,点如下图中的浏览 ,然后找到与防火墙相对应的lns许可文件,然后再“导入许可证”,导入许可文件后才能进行防火墙的管理。 5.增加管理主机(或改成“管理主机不受限制”) 管理配置—管理主机,增加管理主机的IP地址,或直接在“管理主机不受限制” 上打勾。记得“保存配置”。 6.增加LAN的接口地址:网络配置---接口IP,增加LAN的IP地址为:192.168.11.254, 子网掩码为:255.255.255.0 7.将硬盘录像机的IP改为”192.168.11.250”,子网掩码:”255.255.255.0”,网 关:”192.168.11.254” 8.记得在最上方点击”保存配置”,这样才会在重启后也生效。
(二)防火墙公网地址配置方法: 1.配置公网IP 网络配置---接口IP,增加WAN的IP地址为公网地址,子网掩码为电信或联通提供的子网掩码。 2.配置默认网关 网络配置---策略路由,点“添加”,然后选“路由”,只用在地址框里输入网关地址即可。 3.保存配置。
楼主大中小发表于 2011-9-5 17:10 只看该作者 弱电安防培训--工信部认证 | 拯救网络老克活动进行ing... | 出国培训拿大奖?速来AIX挑战赛 | 大喇叭:51CTO六周年纪念T恤发布了! H3C 端口镜像配置过程详解 我的工作是系统集成工程师,经常要配置一些路由器、交换机、防火墙等,最近要给一些单位安装防火墙与入侵检测系统(IDS),IDS要检测内部局域网与外部网络之间的通信数据,这就需要IDS串接至一台能够配置端口镜像的交换机,具体步骤请参考其它资料。呵呵,端口镜像也是一个经常用到的功能,所以今天我想把在网上收集到的和自己用过的一些常用的交换机的端口镜像命令写出来,让大家看一看。希望大家喜欢,有人的捧人场,有钱的捧 钱场呀~哈哈。 华为3COM部分 8016交换机 1.假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜 像的观测端口。 [SwitchA] port monitor ethernet 1/0/15 2.设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。 [SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15 也可以通过两个不同的端口,对输入和输出的数据分别镜像 1.设置E1/0/15和E2/0/0为镜像(观测)端口 [SwitchA] port monitor ethernet 1/0/15 2.设置端口1/0/0为被镜像端口,分别使用E1/0/15和E1/0/14对输入和输出数据进行镜像。 [SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15 [SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 1/0/14 『基于流镜像的数据流程』 基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来 说这两个数据流是要分开镜像的。 3500/3026E/3026F/3050交换机 〖基于三层流的镜像〗
目录 1 NAT配置 ············································································································································ 1-1 1.1 概述 ·················································································································································· 1-1 1.2 配置NAT ··········································································································································· 1-1 1.2.1 配置概述 ································································································································ 1-1 1.2.2 配置动态地址转换 ·················································································································· 1-2 1.2.3 DMZ主机································································································································· 1-4 1.2.4 配置内部服务器······················································································································ 1-5 1.2.5 使能应用层协议检测 ·············································································································· 1-7 1.2.6 配置连接数限制······················································································································ 1-8 1.3 NAT典型配置举例 ····························································································································· 1-8 1.3.1 私网访问公网典型配置举例 ··································································································· 1-8 1.3.2 内部服务器典型配置举例 ····································································································· 1-10
端口映射/触发与DMZ 主机 端口映射/触发 1. 当您希望向internet提供某些服务时,如FTP,IIS,POP3,将会用到 端口映射。 2. 若您是通过ADSL连接到internet的,某些应用在直接用电脑拨号时可 以正常使用,如在线播放、网络游戏、财经软件等,而使用路由器后发现无法使用了,某些情形下,端口映射/触发也能解决。您可以先咨询这些应用程序的开发商,让他们提供应用程序所使用的端口,然后在路由器上设置相应端口的映射/触发。 『注』 ?设置端口映射即是使电脑的端口向internet开放,开放的端口越多,承担的安全风险越大,所以应当在有必要使用时才使用。 ?WGR614v5/WGR614v6可以设置20个端口映射服务,一般来说,这对于SOHO用户已足够了。 下面将以WGR614v5为例来陈述,且局域网网段没有使用WGR614v5的默认设置192.168.1.0,而是使用的192.168.6.0网段。 1)登录路由器管理界面,找到并点击左边功能菜单中的端口映射/端口触发: 2)此页面默认已选择了”端口映射”,在“服务名称”中列出了一些常用的服务,但下面我们以建立一个此列表中没有的服务为例。点击页面下方的”添加自定义服务”:
3)以eMule为例。当在局域网中使用eMule时,通常只能获得LowID,通过端口映射后即可获得HighID了。在”服务名称”中添加您为此服务的命名,此处我们将其命名为eMule,”服务类型”选择TCP(或者TCP/UDP): 4)“起始端口”和”结束端口”都设置为eMule所使用的端口,如在 eMule-0.46c-VeryCD0913中,默认使用的TCP端口是4662,此参数是在eMule的选项->连接->客户端口中定义的:
H3C路由器常用操作 接口的常规操作: int g0/4 port link-mode route 将此接口设置为路由模式(3层模式) ip address 1.1.1.1 16 给此接口设置IP地址,掩码长度 映射内网主机(或主机端口)到公网(电信或联通)的方法映射电信公网IP(61开头)的方法: int g0/1 nat server protocol tcp global 61.183.228.46 80 inside 10.2.199.3 80 映射内网主机10.2.199.3的80端口到外网IP 61.183.228.46的80端口 映射联通公网IP(220开头)的方法: int g0/0 nat server protocol tcp global 220.249.86.235 3389 inside 10.2.199.100 3389映射内网主机10.2.199.100的3389端口到外网IP 220.249.86.235的3389端口 NAT转换的配置: 1. 定义acl,将容许进行转换的内部IP地址定义进来 acl number 3000 rule 0 permit ip 容许内部所有IP地址转换为外部公网IP 2. 配置nat 转换地址池(公网IP) nat address-group 1 进入地址组1 address 220.249.86.235 220.249.86.238 定义地址池 3. 在物理接口上应用 int g0/0 nat outbound 3000 address-group 1 将acl3000中定义的网络转换为地址组1中的地址 策略路由的配置(让有的部门走电信,让有的部门走联通) 1. 设置一条默认路由(默认走电信) ip route-static 0.0.0.0 0.0.0.0 61.183.228.33 去往电信的默认路由2.定义acl,将允许走联通线路的内部IP地址定义进来 acl number 3010 定义一条acl
H3C交换机流量镜像 2013-11-01 08:57:50 我来说两句作者:Eliot 收藏我要投稿H3C交换机流量镜像 今天需要对交换机进行本地流量镜像,在此记录: 交换机:H3C S5120 配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口。 表1-1 配置本地端口镜像 操作 命令 说明 进入系统视图 system-view - 创建本地镜像组 mirroring-group group-id local 必选 为镜像组配置源端口
在系统视图下配置源端口 mirroring-group group-id mirroring-port mirroring-port-list { both | inbound |outbound } 必选 用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同 在端口视图下配置源端口 interface interface-type interface-number [ mirroring-group group-id ] mirroring-port { both | inbound | outbound } quit 为镜像组配置目的端口 在系统视图下配置目的端口 mirroring-group group-id monitor-portmonitor-port-id 二者必选其一 两种视图下的配置效果相同 在端口视图下配置目的端口 interface interface-type interface-number
[ mirroring-group group-id ] monitor-port l 本地镜像组需要配置源端口、目的端口才能生效。 l 一个镜像组中可以配置多个源端口,但只能配置一个目的端口。 l 一个端口只能被一个镜像组使用。 l 建议用户不要在目的端口上使能STP、MSTP和RSTP,否则会影响设备的正常使用。 l 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,建议目的端口仅用于端口镜像,不用做其它用途。 1、使用PC连接Console端口,与交换机建立连接。 2、在Win7可以下载一个超级终端Hyper Terminal [plain] system-view //进入系统视图 #display mac-address //显示mac地址列表。如果不知道网口对应的交换器端口,通过mac地址列表可以获得 # 创建本地镜像组。 mirroring-group 1 local # 为本地镜像组配置源端口和目的端口。 mirroring-group 1 mirroring-port gigabitethernet 1/0/22 both mirroring-group 1 monitor-port gigabitethernet 1/0/13 # 显示所有镜像组的配置信息。 display mirroring-group all 如果想修改镜像的源端口或者目的端口,使用undo指令,然后重新添加。例如修改镜像源端口为1/0/21
H3C路由器设置 1. 端口映射 如某公司内网有做游戏或者其他服务机器,需要外网的机器访问时,需要设置端口映射 内部机器:192.168.2.223 外网IP:61.190.38.198 需要做端口映射:在NAT配置中设置 2. 内网中的PC通过域名访问内部的服务器 内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777 内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1) 命令配置: Acl number 3400 Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777
Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777 Interface vlan-interface 3 Nat outbound 3400 注:acl的子网掩码和子网掩码是相反的,192.168.1.0/24的子网掩码是255.255.255.0 则acl的子网掩码是0.0.0.255 3. IP和MAC地址绑定 防止ARP欺骗 1) arp扫描:ARP防攻击 2) 固化 4. 互联网访问控制 1) 设置时间
鸿蚨电子商务平台 数据库 安装配置文档
数据库安装配置 ....................................................................................................................... 2 安装流程 ............................................................................................................................... 2 1. 2. 3. 根据服务器安装配置文档,配置服务器 (略) ................................................ 2 FTP 上传数据库二进制文件 ............................................................................. 2 添加数据库用户 ................................................................................................ 2
3.1. 3.2. 添加数据库用户组 ............................................................................................... 2 添加数据库用户 ................................................................................................... 2
4.
安装 ncurses ....................................................................................................... 3
4.1. 4.2. 4.3. 4.4. 4.5. FTP 上传源码安装包 ............................................................................................ 3 解压缩源码安装包 ............................................................................................... 3 进入安装目录 ....................................................................................................... 3 配置安装变量 ....................................................................................................... 3 编译安装 ............................................................................................................... 3
5.
安装数据库 ........................................................................................................ 3
5.1. 5.2. FTP 上传 mysql 源码安装包................................................................................. 3 解压缩 mysql 压缩包 ........................................................................................... 3
H3C交换机常用配置命令 一、用户配置
H3C ER5200路由器常见问题处理指南 1 常见问题处理 1.1 设备指示灯异常 1. 2. 电源指示灯(POWER灯)不亮 处理方法: (1)请检查电源线是否连接正确。 (2)请检查电源线插头是否插紧,无松动现象。 (3)送当地授权服务中心(即ASC, 各地区的H3C授权服务中心的联系方式可在H3C官方网站https://www.doczj.com/doc/1f17445248.html,找到,也可拨打400-810-0504咨询)检测是否为设备硬件故障。 3. 不插网线各端口链路状态指示灯(Link/Act灯)常亮或者闪烁 处理方法: (1)重启设备观察是否恢复。
(2)送当地授权服务中心(ASC)检测是否为设备硬件故障。 4. WAN、LAN口链路状态指示灯(Link/Act灯)不亮 处理方法: (1)请检查网线与路由器的WAN、LAN接口连接是否卡紧,无松动现象。 (2)请重新连接网线两端的接口或重新按标准568B线序制作水晶头后再尝试连接。 (3)请检查是否网线出现故障:可将网线的两端均插在路由器的两个LAN接口上,两个接口对应的指示灯都亮表示网线正常;否则网线可能存在问题,请更换一根之前使用正常的网线来重新尝试。 (4)请检查端口的连接速率和双工模式配置是否有误:进入路由器Web设置页面,将WAN、LAN的连接速率和双工模式设置成和上行口、下行交换机端口一致,例如都设置为100M全双工观察(推荐两端均配置为自适应,即Auto模式)。 ●设置WAN端口基本属性 ●设置LAN端口基本属性
1.2 无法通过Web登录路由器管理页面 1. IP地址问题导致 现象: 管理计算机不能Ping通路由器管理地址(即网关地址) 处理方法: (1)请使用串口配置线通过Console口下的
SANGFOR_AF_ALL 端口映射配置文档 深信服科技有限公司 2012年2月
AF端口映射配置文档配置端口映射的条件:首先需先确认服务器回应公网的数据包会经过AF,若不能确认,需先加一条SNAT,当公网访问服务器的数据从AF出去时,将公网源IP转换成AF出接口IP。其次需保证服务器和设备之间能正常通讯。 一、名词解释 端口映射:AF端口映射包括目的地址转换和双向地址转换。 目的地址转换:也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外部用户提供服务的情况。 双向地址转换:是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址,主要用于内网用户通过公网地址访问内网服务器。 二、目的地址转换案例及配置 1、用户需求 某用户网络拓扑图如下,AF访火墙部署在网络出口,ETH2接外网线路,EHT1接内网线路,内网有一台WEB服务器,客户需要实现所有外网用户均能通过公网地址http://1.1.1.2访问内网的WEB服务器.
2、配置步骤: (一)在【网络配置】的【接口/区域】中定义好“接口”和“区域”,在【对象定义】的【IP组】中定义好“外网接口IP” 接口(定义EHT1口为非WAN口,EH2口为WNA口):
区域(定义EHT2口为外网区域,EHT1口为内网区域): 外网接口IP (新增外网接口IP 为:1.1.1.2/24) (二)在【防火墙下】的【地址转换】中新增【目的地址转换】规则,本例配置如下: 名称自定义 公网用户所在的区域 公网用户访问服务器时所用的地址