最近一个小项目,三台网络设备的上架及配置,只有三台设备还是三个不同的厂商,

客户要求H3C MSR5060路由器放到外面连接Internet和专线,路由器下面接Juniper SSG520防火墙,防火墙下面接Cisco 3750 Juniper防火墙要配置成透明模式。

根据客户的要求以及给的IP信息,华三路由器很快就配置完成,在配置Cisco 3750Juniper SSG520时发现登陆不进去,用户名密码不正确,无奈先破解密码然后再配置。

以前配置Juniper防火墙时大多是路由模式和NAT模式,今天客户指定透明模式,只能这么做了。

接口处于“透明”模式时,安全设备将过滤通过防火墙的封包,而不会修改 IP 封包的包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而安全设备的作用更像是第2 层交换机或桥接器。在“透明”模式下,接口的 IP地址被设置为 0.0.0.0,使得安全设备对于用户来说是透明(不可见)的。

 

透明模式是一种保护服务器的方便手段。使用透明模式有以下优点:

1.不需要重新配置路由器或受保护服务器的 IP 地址设置;

2.不需要为到达受保护服务器的内向信息流创建映射或虚拟IP地址

 实施:

1.客户不让用V1-trustV1-Untrust,在这里我们自定义新的ZoneL2-RouterL2-ServerL2-DMZ

2.然后把接口加入到相应的Zone里面,

3.接着给Vlan1分配IP地址192.168.240.200/24,开启WebSSLSSH等管理功能,允许接口Ping,这样便于排错。

说明一下:路由器的内部接口IP(连接防火墙的接口)192.168.240.254 

三层交换机的接口IP(连接防火墙的接口):  192.168.240.250

防火墙Vlan1IP地址:192.168.240.200

 

4.设置Policy

在设置policy时,Juniper不允许二层到三层之间做Policy,只允许二层和二层之间做Policy,三层到三层之间做Policy,例如:新建一个从UntrustL2-Router的策略,这是不允许的,因为Untrust属于三层。

在这里我们只能做这样的策略,从L2-RouterL2-ServerPolicy,从L2-ServerL2-RouterPolicy

从上图可以看出我们建立了10Policy,8Policy已经被废弃掉了,因为我们用一台笔记本接到三层交换机上,配一个IP地址,能够Ping192.168.240.254也就是路由器的内网接口地址,却不能ping通防火墙的Vlan1地址192.168.240.200,使用Web方式及SSH均不能连接到防火墙上面;从路由器上面也不能ping192.168.240.200,同时也不能对其进行管理。

客户需要远程管理防火墙,从内网进行管理或从外网。我一直以为Policy加的不对,反复修改,但没能解决问题,最后问题解决了

注意:不仅在接口下面启用webuisshping等服务,新建zone的时候也要启用webuisshping服务。