默认情况下,所有的Zone都属于Trunst-VR虚拟路由器
查看防火墙的虚拟路由器
ns5gt-> get vrouter
由于防火墙需要链接多个ZOne ,不通ZOne属于不同的的网段,需要Zone之间进行互通的话,防火墙需要路由
Juniper防火墙静态路由配置
ns5gt-> set route 12.1.1.0/24 gateway 10.1.1.1
ns5gt-> set vrouter trust-vr
ns5gt(trust-vr)-> set route 10.3.1.0/24 gateway 10.1.1.1
查看静态路由学习到的条目
ns5gt(trust-vr)-> get route protocol static
Juniper定义地址组建和地址组
a.定义一个地址
ns5gt-> set address untrust 172.16.2.1 172.16.2.1/32
b.定义一个地址组
通过WEBUI界面添加地址组建和地址组
c.应用外网到内网区段的策略ns5gt-> set policy from untrust to home huda any any permit
d.应用外网到Home区段所有的服务都进入
ns5gt-> set policy from untrust to home any any any permit
查看Policy
ns5gt-> get policy
删除Policy
ns5gt-> unset policy id 6
配置Juniper防火墙的三层功能
a.建立一个Zone(如果不使用默认Zone的话)
ns5gt-> set zone name kang
b.建立一个接口,将接口划分进Zone中,并且配置IP地址
ns5gt-> set interface loopback.1 zone kang
ns5gt-> set interface lo.1 ip 1.1.1.1/32
c.配置防火墙的静态路由
ns5gt-> set route 10.1.2.0/24 interface eth3 gateway 192.168.1.1
三层的查看命令
1.查看到达目的地主机的路由条目
ns5gt-> get route ip 10.1.2.1
2.查看到达目的地网段的路由条目
ns5gt-> get route prefix 10.1.2.0/24
3.查看静态的路由条目
ns5gt-> get route protocol static
跟踪路由
ns5gt-> trace-route 192.168.1.12
Juniper防火墙的Debug信息
1.Debug信息可以实时的监控网络发送流量的数据包
默认Juniper防火墙Debug信息是放到缓存中的
2.Deug信息的配置:
a.打开Debug信息
ns5gt-> debug flow basic
b.查看DB的缓存
ns5gt-> get db stream
c.查看DB缓存的状态
ns5gt-> get db info
d.设置DB缓存的大小
ns5gt-> set db size 4096
e. 清除缓存计数
ns5gt-> clear dbuf
f.直接将Debug信息通过Console接口输出
ns5gt-> unset console dbuf
配置Juniper防火墙流过滤
Flow Filter:
a.基于IP地址
b.基于TCP/UDP端口号
c.基于IP协议号
ns5gt-> undebug all
关闭所有的Debug信息
通过Debug信息查看数据包经过防火墙的详细过程
a.设置Flow Filter
ns5gt-> set ff src-ip 192.168.1.12
b.查看Flow Filter
ns5gt-> get ff
c.打开Debug的信息
ns5gt-> debug flow basic
d.清楚DB的缓存
ns5gt-> clear dbuf
详细过程
1.Screen Filter的检查
packet passed sanity check
2.查找是否存在会话
flow got session
3.查找路由条目
4.查找Policy
5.查找普通的NAT
6.建立Session
7.路由数据包
8.解析下一跳IP的MAC地址(使用ARP)
转载于:https://blog.51cto.com/343782043/1211760
160
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
