Juniper-SSG系列之子接口(單臂路由)運(yùn)用
創(chuàng)新互聯(lián)主營(yíng)蓮花網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,
成都App定制開(kāi)發(fā),蓮花h5小程序設(shè)計(jì)搭建,蓮花網(wǎng)站營(yíng)銷推廣歡迎蓮花等地區(qū)企業(yè)咨詢
一���、網(wǎng)絡(luò)結(jié)構(gòu)
二���、分析與預(yù)規(guī)劃
規(guī)劃如上圖↑
分析客戶目前暫定的拓?fù)浞桨福瑢?shí)現(xiàn)多vlan間通信��。G0/0/48端口做成Trunk���,理論上SW-A默認(rèn)只會(huì)讓10.10.0.X/24的主機(jī)過(guò)����,Juniper防火墻Ping vlanif1-6都能到�����,這個(gè)是問(wèn)題來(lái)了��,只有10.10.0.x/24的主機(jī)�,端口不做情況下就能到Juniper設(shè)備上�。這時(shí)就能意識(shí)到�,單臂路由的方向!���!(^__^)
【單臂路由定義掃盲】
單臂路由(router-on-a-stick)是指在路由器的一個(gè)接口上通過(guò)配置子接口(或“邏輯接口”����,并不存在真正物理接口)的方式��,實(shí)現(xiàn)原來(lái)相互隔離的不同VLAN(虛擬局域網(wǎng))之間的互聯(lián)互通(這一次由于起子接口的設(shè)備上是Juniper設(shè)備��,防火墻通過(guò)策略可以實(shí)現(xiàn)Vlan間互相獨(dú)立����,若不做策略便是互聯(lián)互通)
優(yōu)點(diǎn):實(shí)現(xiàn)不同vlan之間的通信,有助理解��、學(xué)習(xí)VLAN原理和子接口概念��。
缺點(diǎn):容易成為網(wǎng)絡(luò)單點(diǎn)故障����,配置稍有復(fù)雜,現(xiàn)實(shí)意義不大����。
四���、防火墻配置:
Web-UI上配置如下:
Step-1,下拉選擇Sub-IF
Step-2�����,填寫(xiě)參數(shù)
set interface "ethernet0/1.1" tag 2 zone "Trust"
set interface "ethernet0/1.2" tag 3 zone "Trust" #在e0/1創(chuàng)建子接口并打上vlan標(biāo)簽
set interface ethernet0/1.1 ip 10.10.2.1/24 #IP配置
set interface ethernet0/1.1 nat
set interface ethernet0/1.2 ip 10.10.3.1/24 #IP配置
set interface ethernet0/1.2 nat
(PS:注意接口和區(qū)域����,和Vlan tag���,這里的10.10.2.1/24是SW-A的Vlanif2���,所以這里要一一對(duì)應(yīng)起來(lái), )�����,點(diǎn)擊-OK輸出如下圖
這里請(qǐng)各位留意����,子接口一旦建立�,默認(rèn)是UP�����,一旦主接口down�,子接口也就down了。這樣一一對(duì)應(yīng)都建立好了之后�����,剛才vlan間的不能通信也順利完成了通信�����。測(cè)試vlan端口正常����,這也就是單臂路由。為了更好的讓各位理解單臂路由�,我找了一個(gè)圖,大家往下看���。
理論上��,vlan10與vlan20之間是無(wú)法互相ping通的���,但通過(guò)介紹的單臂路由就可以實(shí)現(xiàn)他們的互聯(lián)互通��。(通俗一點(diǎn)講�,就是在Fa0/0通過(guò)子接口方式起多個(gè)網(wǎng)關(guān))
五�����、實(shí)施回顧
單臂路由長(zhǎng)應(yīng)用在中小型企業(yè)當(dāng)中���,當(dāng)企業(yè)無(wú)法預(yù)算購(gòu)買三層交換機(jī)時(shí)���,通過(guò)二層交換機(jī)實(shí)現(xiàn)多vlan的互聯(lián)互通�����。
此次跨境通的實(shí)施交付�,因客戶需要vlan間互通,我這里策略就沒(méi)做�,以下為各位簡(jiǎn)單的介紹下SSG系列策略配置。
禁止2個(gè)網(wǎng)段互相訪問(wèn)���,這個(gè)可以根據(jù)實(shí)際需要添加�。
set policy id 35 from "Trust" to "Trust" "10.10.2.1/24" "10.10.3.1/24" "ANY" deny log
set policy id 35
exit
set policy id 34 from "Trust" to "Trust" "10.10.3.1/24" "10.10.2.1/24" "ANY" deny log
set policy id 34
接著配置Untrust-Trust的訪問(wèn)策略,互相獨(dú)立起來(lái)�����,做各自的安全policy即可:
set policy id 36 from "Utrust" to "Trust" "any" "10.10.2.1/24" "ANY" deny log
set policy id 36
set policy id 37 from "Utrust" to "Trust" "any" "10.10.3.1/24" "ANY" deny log
set policy id 37
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn�,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線����,公司持有idc許可證,提供“云服務(wù)器��、裸金屬服務(wù)器���、高防服務(wù)器���、香港服務(wù)器、美國(guó)服務(wù)器���、虛擬主機(jī)���、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用����、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)�,專為企業(yè)上云打造定制,能夠滿足用戶豐富�、多元化的應(yīng)用場(chǎng)景需求。
網(wǎng)頁(yè)題目:企業(yè)JUNIPER-SSG配置-創(chuàng)新互聯(lián)
網(wǎng)站路徑:
http://weahome.cn/article/hooei.html
重慶分公司
重慶分公司
