查看防火墻的本地路由表：

創(chuàng)新互聯(lián)專(zhuān)注于企業(yè)成都營(yíng)銷(xiāo)網(wǎng)站建設(shè)、網(wǎng)站重做改版、易縣網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、HTML5、商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性?xún)r(jià)比高，為易縣等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

àget route

默認(rèn)情況下所有的Zone都屬于Trust-VR虛擬路由器

查看防火墻的虛擬路由器

àget vrouter

由于防火墻需要連接多個(gè)Zone，不同的Zone屬于不同的網(wǎng)段，需要Zone之間進(jìn)行互通的話(huà)，防火墻需要路由

Juniper的防火墻支持哪些路由協(xié)議：

1.靜態(tài)路由

1.普通的靜態(tài)路由協(xié)議

àset route (vrouter trust-vr) 10.1.3.0/24 interface eth4 gateway 1.1.1.3

àget route protocol static

2.缺省靜態(tài)路由（默認(rèn)靜態(tài)路由）

àset route 0.0.0.0/0 interface eth4 gateway 1.1.1.3

2.動(dòng)態(tài)路由

OSPF

RIP

BGP

Juniper定義地址組建和地址組

a.定義一個(gè)地址

àset address untrust 10.1.2.2 10.1.2.2 255.255.255.255

b.定義一個(gè)地址組

àset group addrss untrust cjclub01 add 10.1.2.2

àset group addrss untrust cjclub01 add 10.1.3.2

c.應(yīng)用外網(wǎng)到內(nèi)網(wǎng)區(qū)段的策略

àset policy from untrust to home cjclub01 any any permit

àset policy from untrust to home any any any permit

允許外網(wǎng)到Home區(qū)段所有的服務(wù)進(jìn)入

配置Juniper防火墻的三層功能：

a.建立一個(gè)Zone（如果不使用默認(rèn)Zone的話(huà)）;

àset zone name cjclub

b.建立一個(gè)接口，將接口劃分進(jìn)Zone中，并配置IP地址

àset interface loopback.1 zone cjclub

àset interface loopback.1 ip 8.8.8.8/32

c.配置防火墻的靜態(tài)路由

àset route 10.1.2.0/24 interface eth4 gateway 1.1.1.2

三層的查看命令：

a.查看到達(dá)目的主機(jī)的路由是存在

àget route ip 10.1.2.1

b.查看到達(dá)目的網(wǎng)段的路由條目

àget route prefix 10.1.2.0/24

c.查看靜態(tài)的路由條目

àget route protocol static

d.跟蹤路由

àtrace-route 10.1.3.2

Juniper的防火墻的Debug信息：

1. Debug信息可以實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)發(fā)送流量的數(shù)據(jù)包

默認(rèn)Juniper的防火墻的Debug信息是放到緩存中的

2. Debug信息的配置

a.打開(kāi)Debug信息

àdebug flow basic

b.查看DB的緩存

àget db stream

c.查看DB緩存的狀態(tài)

àget db info

d.設(shè)置DB緩存的大小

àset db size 4096

e.清除緩存計(jì)數(shù)

àclear dbuf

l直接將Debug信息通過(guò)Console口輸出

àunset console dbuf

3. 配置Juniper防火墻的流過(guò)濾

Flow filter:

a.基于IP地址

b.基于TCP/UDP 端口號(hào)

c.基于IP的協(xié)議

làundebug all 關(guān)閉所有的Debug信息

4. 通過(guò)Debug信息查看數(shù)據(jù)包經(jīng)過(guò)防火墻的詳細(xì)過(guò)程

a.設(shè)置Flow Filter

àset ff src-ip 10.1.1.2

b.查看Flow Filter

àget ff

Flow filter based on :

Id:0 src ip 10.1.1.2

c.打開(kāi)Debug的信息

àdebug flow basic

d.清除DB的緩存

àclear db

e.關(guān)閉所有的Debug信息

àundebug all

l詳細(xì)過(guò)程

1.Screen filter 的檢查

Packet passed sanity check

2.查找是否存在會(huì)話(huà)

Flow got session

3.查找路由條目

Search route to

4.查找Policy

5.查找普通的NAT

6.建立Session；

7.路由數(shù)據(jù)包

8.解析下一跳IP的MAC地址（使用ARP）

& ISG-2000和NS-5000高端防火墻一些信息無(wú)法通過(guò)Debug捕獲

Debug信息的捕獲完全根據(jù)CPU處理，高端設(shè)備采用ASIC芯片;

Loopback interface(回環(huán)接口地址)

a.虛擬的接口，一直是UP，不需要物理連接

b.作用：

1.管理

2.×××

3.動(dòng)態(tài)路由協(xié)議(ROUTER-ID)

c.配置loopback

1.給接口配置IP地址

àset interface loopback.3 ip 10.10.10.10/32

2.配置loopback的管理功能

àset interface lo.3 manage

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前文章：Juniper三層操作-創(chuàng)新互聯(lián)
轉(zhuǎn)載來(lái)于：http://weahome.cn/article/ccsgeh.html