您好,登录后才能下订单哦!
默认情况下,所有的Zone都属于Trunst-VR虚拟路由器
查看防火墙的虚拟路由器
ns5gt-> get vrouter
由于防火墙需要链接多个ZOne ,不通ZOne属于不同的的网段,需要Zone之间进行互通的话,防火墙需要路由
Juniper防火墙静态路由配置
ns5gt-> set route 12.1.1.0/24 gateway 10.1.1.1
ns5gt-> set vrouter trust-vr
ns5gt(trust-vr)-> set route 10.3.1.0/24 gateway 10.1.1.1
查看静态路由学习到的条目
ns5gt(trust-vr)-> get route protocol static
Juniper定义地址组建和地址组
a.定义一个地址
ns5gt-> set address untrust 172.16.2.1 172.16.2.1/32
b.定义一个地址组
通过WEBUI界面添加地址组建和地址组
c.应用外网到内网区段的策略ns5gt-> set policy from untrust to home huda any any permit
d.应用外网到Home区段所有的服务都进入
ns5gt-> set policy from untrust to home any any any permit
查看Policy
ns5gt-> get policy
删除Policy
ns5gt-> unset policy id 6
配置Juniper防火墙的三层功能
a.建立一个Zone(如果不使用默认Zone的话)
ns5gt-> set zone name kang
b.建立一个接口,将接口划分进Zone中,并且配置IP地址
ns5gt-> set interface loopback.1 zone kang
ns5gt-> set interface lo.1 ip 1.1.1.1/32
c.配置防火墙的静态路由
ns5gt-> set route 10.1.2.0/24 interface eth4 gateway 192.168.1.1
三层的查看命令
1.查看到达目的地主机的路由条目
ns5gt-> get route ip 10.1.2.1
2.查看到达目的地网段的路由条目
ns5gt-> get route prefix 10.1.2.0/24
3.查看静态的路由条目
ns5gt-> get route protocol static
跟踪路由
ns5gt-> trace-route 192.168.1.12
Juniper防火墙的Debug信息
1.Debug信息可以实时的监控网络发送流量的数据包
默认Juniper防火墙Debug信息是放到缓存中的
2.Deug信息的配置:
a.打开Debug信息
ns5gt-> debug flow basic
b.查看DB的缓存
ns5gt-> get db stream
c.查看DB缓存的状态
ns5gt-> get db info
d.设置DB缓存的大小
ns5gt-> set db size 4096
e. 清除缓存计数
ns5gt-> clear dbuf
f.直接将Debug信息通过Console接口输出
ns5gt-> unset console dbuf
配置Juniper防火墙流过滤
Flow Filter:
a.基于IP地址
b.基于TCP/UDP端口号
c.基于IP协议号
ns5gt-> undebug all
关闭所有的Debug信息
通过Debug信息查看数据包经过防火墙的详细过程
a.设置Flow Filter
ns5gt-> set ff src-ip 192.168.1.12
b.查看Flow Filter
ns5gt-> get ff
c.打开Debug的信息
ns5gt-> debug flow basic
d.清楚DB的缓存
ns5gt-> clear dbuf
详细过程
1.Screen Filter的检查
packet passed sanity check
2.查找是否存在会话
flow got session
3.查找路由条目
4.查找Policy
5.查找普通的NAT
6.建立Session
7.路由数据包
8.解析下一跳IP的MAC地址(使用ARP)
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。