透明模式Transparent Mode

浅谈防火墙配置中路由模式和透明模式的区别与应用作者：黄安祥来源：《消费导刊》2018年第17期所谓防火墙，指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

路由器和防火墙和相比，都属于网关设备，可以支持网络的各种应用，在差异性上有设计思路和实现方式的不同。

Router是作为一种“网络连通手段”，保证网络互连互通为主；Firewall 是作为一种“网络隔离手段”，隔离网络异常数据为主。

Router：能正确转发包的设备是路由器：Firewall：能正确丢包的设备是防火墙。

一、防火墙配置里的工作模式一般硬件防火墙有路由模式、网桥模式、混合模式，路由模式连接不同网段，防火墙有实际的地址，网桥模式即透明模式，连接相同网段，防火墙没有地址，内网用户看不到防火墙的存在，隐蔽性较好，混合模式即在网络拓扑里同时用到了路由和网桥模式，网桥模式也叫透明模式，是指防火墙的功能类型于交换机，进行二层转发，英文有transparent（透明）和bridge 两种叫法，但transparent的说法更加贴切，因为上面有多个端口，而网桥则是典型的只有2个端口。

路由模式是指防火墙的功能类型于路由器，提供路由转发功能，大多时候也会使用NAT功能，进行报文的三层转发。

VTP三种模式VTP（VLAN Trunking Protocol）：是VLAN中继协议VTP模式有3种服务器模式（Server）客户机模式（Client）透明模式（Transparent）服务器模式（Server）提供VTP消息：包括VLAN ID和名字信息学习相同域名的VTP消息转发相同域名的VTP消息可以添加、删除和更改VLAN VLAN信息写入NVRAM客户机模式（Client）请求VTP消息学习相同域名的VTP消息转发相同域名的VTP消息不可以添加、删除和更改VLAN VLAN信息不会写入NVRAM透明模式（Transparent）不提供VTP消息不学习VTP消息转发VTP消息可以添加、删除和更改VLAN，只在本地有效VLAN信息写入NVRAMVTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。

VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。

此外，VTP减小了那些可能导致安全问题的配置。

便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server 上的vlan信息* 当使用多重名字VLAN能变成交叉--连接。

* 当它们是错误地映射在一个和其它局域网，VLAN能变成内部断开。

VTP模式当交换机是在VTP Server或透明的模式，能在交换机配置VLAN。

当交换机配置在VTP Server 或透明的模式，使用CLI、控制台菜单、MIB（当使用SNMP简单网络管理协议管理工作站）修改VLAN配置。

一个配置为VTP Server模式的交换机向邻近的交换机广播VLAN配置，通过它的Trunk从邻近的交换机学习新的VLAN配置。

在Server模式下可以通过MIB，CLI，或者控制台模式添加、删除和修改VLAN。

例如：增加了一个VLAN，VTP将广播这个新的VLAN，Server和Client机的Trunk网络端口准备接收信息。

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

防火墙的透明模式和透明代理效劳器教程电脑资料随着防火墙技术的开展，平安性高、操作简便、界面友好的防火墙逐渐成为市场热点，透明模式，顾名思义，首要的特点就是对用户是透明的(Transparent)，即用户意识不到防火墙的存在。

要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。

防火墙作为实际存在的物理设备，其本身也起到路由的作用，所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。

但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。

透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的平安性，又降低了用户的复杂程度，而与透明模式在称呼上相似的透明代理，和传统代理一样，可以比包过滤更深层次地检查数据信息，比方FTP包的port命令等。

同时它也是一个非常快的代理，从物理上别离了连接，这可以提供更复杂的协议需要，例如带动态端口分配的H.323，或者一个带有不同命令端口和数据端口的连接。

这样的通信是包过滤所无法完成的。

防火墙使用透明代理技术，这些代理效劳对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通讯。

当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理效劳器会建立透明的通道，让用户直接与外界通信，这样极大地方便了用户的使用。

一般使用代理效劳器时，每个用户需要在客户端程序中指明要使用代理，自行设置Proxy参数(如在浏览器中有专门的设置来指明或FTP等的代理)。

而透明代理效劳，用户不需要任何设置就可以使用代理效劳器，简化了网络的设置过程。

一/二次监视雷达岗位技能考试题雷神二次雷达（适用于沈阳、大连两地）1.如何在RMM上显示原始视频。

（1）在实时显示状态下，单击在屏幕左侧中部“Setting”栏中的“Display Mode”按钮，进入显示选项，按下“Scan Converter”按钮，启动原始视频显示；（2）单击在屏幕左侧中部“Setting”栏中的“Video”按钮，进入视频选项，根据需要进行调整。

2.如何在RMM上切换显示单位（公制/英制）。

（1）单击在屏幕左侧中部的“Setting”栏中的“Filters”按钮，点击下一页，进入“Measurement Units”选项；（2）若选择公制，则用右上键单击“Metric”按钮，若选择英制，则用右上键单击“Imperial”按钮。

3.如何更改RMM显示地图。

（1）在实时显示状态下，单击在屏幕左侧中部“Setting”栏中的“Maps”按钮，进入地图选项；（2）在“Map Select”栏中选择想要使用的地图，当选择的地图名出现在下方的“Selectd Map”栏中时，单击旁边的“OK”按钮。

4、雷神二次雷达开机程序（1）合配电箱总开关和各分支开关；（2）将CMS和RMM电源打开；（3）打开天线控制系统上的天线开关；（4）打开询问机电源开关。

5、雷神二次雷达如何实现CHA和CHB之间的切换（1）登录CMS；（2）点击RFCO；（3）点击SWAP Channels，切换询问机工作。

6、如何在CMS进行故障隔离（1）登录CMS；（2）右键单击故障通道，选择FAULT ISOLATION 命令。

7、如何在CMS上登录透明模式（1）登录CMS；（2）选择维护模式Maintenance Mode，待询问机模块变成蓝色；（3）选择透明模式Transparent Mode。

8、如何在CMS上显示并保存全部动态参数和全部参数开关（1）登录CMS；（2）选择维护模式Maintenance Mode，待询问机模块变成蓝色；（3）选择透明模式Transparent Mode，Input 选择 Keyboard,Output 选择 File；（4）输入记录文件名；（5）输入DDP=ALL，显示全部动态参数；（6）输入DPS=ALL，显示全部参数开关。

无线AP五种常见的使用模式无线AP（无线接入点）是一种用于无线网络的设备，它建立了一个无线局域网（WLAN），允许无线设备连接到互联网。

无线AP有许多不同的使用模式，以下是其中五种常见模式：1. 独立模式（Standalone Mode）：在独立模式下，无线AP作为一个单独的设备使用，能够为用户提供基本的无线网络连接功能。

它可以配置成无线接入点模式（AP模式），用于连接客户端设备到有线网络，也可以配置成无线桥接模式（Bridge 模式），用于连接两个无线网络。

用户可以通过无线AP的管理界面来进行配置和管理，包括设置SSID（服务集标识符）、安全参数、频道选择以及吞吐量限制等。

独立模式适用于规模较小的环境，例如家庭、小办公室或小型企业。

2. 控制器模式（Controller-based Mode）：在控制器模式下，多个无线AP连接到一个中央控制器（通常是一个无线控制器或者交换机），通过控制器统一管理和协调无线网络。

控制器负责配置每个AP的参数，包括频道选择、传输功率、负载均衡等。

它还可以提供更高级的功能，如质量服务（QoS）调度、漫游和认证。

控制器模式适用于大型企业、学校、酒店等需要覆盖大面积的环境。

3. 云模式（Cloud-based Mode）：云模式是一种托管式的无线AP部署方式，无线AP可以通过互联网连接到云管理平台。

云管理平台提供了集中的配置、监控和管理功能，用户可以通过Web界面进行远程管理，无需在现场进行手动配置。

云模式适用于需要远程管理无线网络、以及分布广泛的多个地点的场景，如连锁商店、分支机构等。

4. 透明模式（Transparent Mode）：透明模式是指无线AP在无需对客户端设备进行任何设置或修改的情况下将它们连接到无线网络。

在透明模式下，无线AP可以通过MAC地址过滤来控制哪些设备能够连接到无线网络，但无法对客户端设备进行认证、授权和计费。

透明模式适用于公共场所的无线访问，如机场、酒店、咖啡店等。

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。