内网端口映射工具（端口映射外网）

如何检测UDP端口是否映射成功？平时我们据说的端口映射，一般是指TCP端口，最简单的检测方法就是用系统自带的telnet命令：telnetip地址端口号，只要有反应，就表示映射成功，提示无法连接，就是映射失败了。顺便吐槽一下，Windows的telnet命令还需要安装组件才能使用，这么多年了，也不改进一下，直接能用不好吗？就像Linux那样多好。UDP端口映射用得比较少，telnet是无法检测UDP端口的，只能另寻其他方法，这里简单介绍一下netcat，简称nc。首先下载nc命令行，再次吐槽一下微软，下载nc会被告之有病毒，并且自动删除，所以下载之前，还需要关闭WindowsDefender[打脸]检测方法如下：1、在需要开放UDP端口的服务器运行命令：nc-ulp端口号，服务端口开始监听；2、在需要访问服务器UDP端口的电脑上执行命令：nc-u服务器IPUDP端口号，然后输入字符，开始发送信息；3、回到服务器上看，收到信息就表示UDP映射成功了。#IT##网络工程师##服务器##windows#Linux操作系统网关制作1、双网卡 eth0外网  eth1内网（内网不配网关） 2、确保网关服务器能上网 3、内核文件/etc/sysctl.conf里开启转发功能                  Sudo vim/etc/sysctl.conf             修改内容为 net.ipv4.ip_forward=1,                                    执行  sysctl -p  使修改生效 4、iptablesforwardoutput链允许 5、如果没有模块，需要载入模块 6、实际处理局域网共享上网NAT命令    方法1：适合于有固定外网地址Iptables -tnat–APOSTROUNTING–s网页链接 –oeth0     –jSNAT–tosource10.0.0.19                              内网网段    外网卡接口（出口） 网关外网卡IP地址 方法2：适合变化外网地址（ADSL） Iptables -tnat–APOSTROUNTING–s网页链接 -jMASQUERADEIptables–tnat–APREROUNTING–d10.0.0.7–ptcp–dport80–jDNAT–to-destnation192.168.1.8:9000         把所有访问10.0.0.7 80端口的主机转到访问192.168.1.8:9000主机接上篇微头条。前几天卖了台H3C的网络交换机给外贸公司，这台交换机跟群晖的NAS之间配置了4条链路聚合。弄好没几天，客户反馈内网电脑输入域名+端口登录不了NAS后台，而输入内网IP地址+端口正常。再次登录路由器后台配置页面，终于在端口映射选项找到了NAT回流的相关配置。不过这款路由器上写的是“启用回环”，改为“ON”，再试，可以了！内网电脑输入域名+端口号以后，立即跳出了NAS的登录界面。还没来得及松口气，那边又出现了新问题。WIN7系统的电脑访问不了NAS，PingNAS的IP地址也不通。两台WIN7都是如此，而其它WIN10系统的电脑则很正常，看来是兼容性方面的问题了！未完，待续。#网络工程师##调试##路由器##华为HCIE##华为DATACOM#模块一LAN技术4-1CSSCSS集群1、总体拓扑如图所示，为园区网络CSS+iStack组网，其主要有简单、高效、可靠的特点。简单：各层设备均使用堆叠技术，逻辑设备少，网络拓扑简单，二层天然无环，无需部署xSTP破环协议。高效：各层设备间使用Eth-Trunk链路聚合技术，负载分担算法灵活，链路利用率高。可靠：服务器和主机可以配置多NIC网卡Teaming负载均衡或主备冗余链路提高服务器接入可靠性。堆叠技术同链路聚合技术结合使用，各层物理设备形成双归接入组网，提高整网可靠性。缺点对设备性能要求较高，盒式设备堆叠台数过多，可能导致堆叠主的主控性能下降。如果采用业务口堆叠或集群，会占用业务端口数。2、CSS定义集群交换机系统CSS(ClusterSwitchSystem)，又称为集群，是指将两台支持集群特性的交换机设备组合在一起，从逻辑上组合成一台交换设备。3、CSS特征交换机多虚一：堆叠交换机对外表现为一台逻辑交换机，控制平面合一，统一管理。转发平面合一：堆叠内物理设备转发平面合一，转发信息共享并实时同步。跨设备链路聚合：跨堆叠内物理设备的链路被聚合成一个Eth-Trunk端口，和下游设备实现互联。注释CSS与iStack的区别在于，一般框式交换机堆叠称为CSS，盒式交换机堆叠称为iStack，都可以称为堆叠。两者只是叫法和实现有些差异，但是功能是一样的。通过交换机集群，可以实现网络高可靠性和网络大数据量转发，同时简化网络管理。高可靠性：集群系统两台成员交换机之间冗余备份，同时利用链路聚合功能实现跨设备的链路冗余备份。强大的网络扩展能力：通过组建集群增加交换机，从而轻松的扩展端口数、带宽和处理能力。简化配置和管理：集群建立后，两台物理设备虚拟成为一台设备，用户只需登录一台成员交换机即可对集群系统所有成员交换机进行统一配置和管理。4、CSS基本概念主交换机：负责管理整个集群。集群中只有一台主交换机。备交换机：主交换机的备份交换机。当主交换机故障时，备交换机会接替原主交换机的所有业务。集群中只有一台备交换机。集群ID：即CSSID，用来标识和管理成员交换机。集群中成员交换机的集群ID是唯一的。集群优先级：即Priority，是成员交换机的一个属性，主要用于角色选举过程中确定成员交换机的角色，优先级值越大表示优先级越高，优先级越高当选为主交换机的可能性越大。不同于iStack可以多台设备堆叠，对于CSS集群，集群中只能有一主一备两台交换机。5、优先级华为①谁先启动谁优先②优先级（大的优先）③软件版本④主控板（MPO）⑤mac小的优先6、堆叠方式堆叠口业务口SIP口7、配置命令通过集群卡连接方式组建集群[SwitchA]setcssmodecss-card\\配置集群卡连接方式[SwitchA]setcssid1\\配置成员交换机的集群ID[SwitchA]setcsspriority100\\配置设备的集群优先级[SwitchA]cssenable\\使能交换机的集群功能通过业务口连接方式组建集群[SwitchA]setcssmodelpu\\配置业务口连接方式[SwitchA]setcssid1\\配置成员交换机的集群ID[SwitchA]setcsspriority100\\配置设备的集群优先级[SwitchA]interfacecss-port1\\进入逻辑集群端口视图[SwitchA-css-port1]portinterfacexgigabitethernet1/0/1toxgigabitethernet1/0/2enable\\配置业务口为物理成员端口，并将物理成员端口加入到逻辑集群端口中[SwitchA]interfacecss-port2[SwitchA-css-port2]portinterfacexgigabitethernet2/0/1toxgigabitethernet2/0/2enable[SwitchA]cssenable\\使能交换机的集群功能#华为##华为HCIE#@华为DATACOM昨天用华为USG6000与天融信防火墙大战三百回合，整IPSECVPN对接，搞得自己都快要吐血了，最后终于搞定了。没想到，天融信防火墙和华为USG6000这么难配通，我来讲一下这三百回合的经过。前面297回合的IP配置、端口映射、基本配置就不详细说了，我们来讲298回合：按各厂家官方手册配置好后，发现第一阶段协商失败，检查密钥、IP地址、策略、NAT映射等，都没有发现问题，在仔细对比两边参数时发现，天融信防火墙只支持sha1身份验证算法，两端改为一致后，第一阶段终于协商成功了。第299回合，第一阶段协商成功后，心情无比激动，马上就会进入第二阶段协商，发现又失败了，心情瞬间跌入谷底，仔细对比了参数没有发现异常。旁边的哥们说：“是不是因为今天没有拜拜神的原因么？”去，去，去……我们不能迷信，我们要相信科学。找了半天没找到问题，由于问起了万能的度娘，果然度娘神通广大，一位前辈也遇到过类似的问题，说是因为天融信防火墙必须要配置总部和分支的用户名，在两端添加用户名后，发现隧道果真建立好了，真是太虐人了。第300回合，经过前面299回合，我已经被他们搞得快要吐血了，隧道建立成功，开始最后测试。又发现问题了，两端无法PING通。OhMyGod!最后一步了，还要来虐我一下。你虐我千百遍，我还是待你如初恋。开启抓包，通过抓包，发现数据包没有进隧道，检查感兴趣的流，发现掩码写错了。真是挖了个坑让自己先跳进去了。修改完成后，两端测试都没有问题了。经过这300回合，终于搞定了华为USG6000与天融信防火墙的IPSECVPN对接，解决了各种疑难杂症。通过这次案例可以看出，各个厂家支持所谓的标准，但在对接其他厂商时，会出现各种对接失败，因为不同厂家兼容的参数不一样，需要一步步去调整，最终才能把两端的防火墙适配好。#网络工程师##防火墙#图赏意大利金乐GOLDNOTEIS-1000合并功放！IS-1000拥有150瓦/8欧姆强劲输出功率，支持Tidal+MQA、Qobuz、Spotify、Spotify及Deezer（Roon）等码流服务商，也可以将它和NAS驱动器、硬盘驱动器和USB记忆棒连接。它支持DSD64原生及DOP格式（通过USB或网络端口），它还支持24/192的高格式播放。所以说IS-1000几乎适合所有的主流数字格式。#音响推荐##音响搭配##MQA##功放##音箱##黑胶##发烧音响##hifi#DMZ是英文“DemilitarizedZone”的缩写，中文名称为“隔离区”，它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个位于内部网络与外部网络之间的缓冲区，在这个网络区域内可以放置一些公开的服务器资源，例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器，但不可能接触到存放在内网中的信息，就算黑客入侵DMZ中服务器，也不会影响到公司内部网络安全，不允许任何外部网络的直接访问，实现内外网分离，在企业的信息安全防护加了一道屏障。 DMZ区域针对不同资源提供不同安全级别的保护，网络主要分为三个区域：安全级别最高的内网，安全级别中等的DMZ区域和安全级别最低的外网。公司可以将核心和重要的，只供内部网络用户提供的服务器部署在内网，将WEB服务器、E-Mail服务器、FTP服务器等需要为内部和外部网络同时提供服务的服务器放置到防火墙后的DMZ区内。通过合理的策略规划，使DMZ中服务器不但免受到来自外网络的入侵和破坏，也不会对内网中的服务器或机密信息造成影响。 DMZ区域的应用，分为三个区域负责不同的工作任务也拥有不同的访问策略。1.内网可以访问外网内网的用户可以没有限制地访问外网。在这个策略中，防火墙需要进行源地址转换。 2.内网可以访问DMZ此策略是为了方便内网用户使用和管理DMZ中的服务器。 3.外网不能访问内网内网中存放了很多公司内部文件，不允许外网的用户访问这些数据。 4.外网可以访问DMZDMZ中的服务器就是要给外网用户提供服务，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ访问内网的限制当入侵者攻击DMZ时，就可以保护内网的重要数据。 6.DMZ不能访问外网DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。在网络中，非军事区(DMZ)目的是把内部网络和其他访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。如果没有DMZ的设置，需要使用外网服务器的用户必须在防火墙上开放指定端口（就是PortForwarding技术）使互联网的用户能访问外网服务器，不过，这种做法会因为防火墙对互联网开放了一些必要的端口而降低了内网区域的安全性，黑客们只需要攻击外网服务器，那么整个内部网络就完全崩溃了。DMZ区的出现刚好就是为了需要架设外网服务器的企业解决了内部网络的安全性问题。相信在2015年之前搞网络的工程师都接触过思科的C2960交换机，今天现场帮助金融公司客户替换20台思科的2960交换机，替换型号是华为的CE6881交换机，由于思科设备使用年限已久，交换机下面接的设备也五花八门，有一些端口接了小交换机的，有一些端口又接了视频会议设备，端口速率都是固定的。替换20台设备，预计花费时间3天，这个时间应该不过分吧。不同厂家设备替换最能验证一个网络工程师的能力了，熬夜行动又将开启。#华为##华为HCIE##华为DATACOM#模块一LAN技术2-1免费ARP①免费arp概念设备主动使用自己的IP地址作为目的IP地址发送ARP请求，此种方式称免费ARP。②免费ARP有如下作用：IP地址冲突检测：当设备接口的协议状态变为Up时，设备主动对外发送免费ARP报文。正常情况下不会收到ARP应答，如果收到，则表明本网络中存在与自身IP地址重复的地址。如果检测到IP地址冲突，设备会周期性的广播发送免费ARP应答报文，直到冲突解除。用于通告一个新的MAC地址：发送方更换了网卡，MAC地址变化了，为了能够在动态ARP表项老化前通告网络中其他设备，发送方可以发送一个免费ARP。在VRRP备份组中用来通告主备发生变换：发生主备变换后，MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。服务器集群：有些心跳报文采用arp报文#华为##华为HCIE认证##华为DATACOM#模块一LAN技术2-2代理arp①代理arp概念两个主机相同网段但不在同一物理网络（不在同一广播域），此时两主机互访需要中间网络设备代替主机发送arp响应，该过程成功那位arp代理。②代理arp分类ProxyARP可以分为三种：路由式ProxyARP：（路由器）主要用于使IP地址属于同一网段却不属于同一物理网络的设备能够相互通信。VLAN内ProxyARP：（端口隔离）主要用于同一VLAN内被隔离的网络设备间的互通。端口隔离情况下，开启vlan内arp代理，隔绝了广播，但是单播可以通讯。interfaceVlanif10arp-proxyinner-sub-vlan-proxyenableVLAN间ProxyARP：（supervlan）主要用于实现属于不同VLAN或者不同Sub-VLAN间但在同一网段的网络设备的互通。③代理arp配置以下拓扑优点，相互没有广播包，但是能够互相通讯。interfaceVlanif10ipaddress192.168.10.1255.255.255.0arp-proxyinner-sub-vlan-proxyenable#华为##华为HCIE认证##华为DATACOM##网络工程师##华为网络工程师#