最近一个小项目,三台网络设备的上架及配置,只有三台设备还是三个不同的厂商,
客户要求H3C MSR5060路由器放到外面连接Internet和专线,路由器下面接Juniper SSG520防火墙,防火墙下面接Cisco 3750 ,Juniper防火墙要配置成透明模式。
根据客户的要求以及给的IP信息,华三路由器很快就配置完成,在配置Cisco 3750和Juniper SSG520时发现登陆不进去,用户名密码不正确,无奈先破解密码然后再配置。
以前配置Juniper防火墙时大多是路由模式和NAT模式,今天客户指定透明模式,只能这么做了。
接口处于“透明”模式时,安全设备将过滤通过防火墙的封包,而不会修改 IP 封包的包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而安全设备的作用更像是第2 层交换机或桥接器。在“透明”模式下,接口的 IP地址被设置为 0.0.0.0,使得安全设备对于用户来说是透明(不可见)的。
透明模式是一种保护服务器的方便手段。使用透明模式有以下优点:
1.不需要重新配置路由器或受保护服务器的 IP 地址设置;
2.不需要为到达受保护服务器的内向信息流创建映射或虚拟IP地址
实施:
1.客户不让用V1-trust、V1-Untrust,在这里我们自定义新的Zone,L2-Router、L2-Server、L2-DMZ,
2.然后把接口加入到相应的Zone里面,
3.接着给Vlan1分配IP地址192.168.240.200/24,开启Web、SSL、SSH等管理功能,允许接口Ping,这样便于排错。
说明一下:路由器的内部接口IP(连接防火墙的接口):192.168.240.254
三层交换机的接口IP(连接防火墙的接口): 192.168.240.250
防火墙Vlan1的IP地址:192.168.240.200
4.设置Policy
在设置policy时,Juniper不允许二层到三层之间做Policy,只允许二层和二层之间做Policy,三层到三层之间做Policy,例如:新建一个从Untrust到L2-Router的策略,这是不允许的,因为Untrust属于三层。
在这里我们只能做这样的策略,从L2-Router到L2-Server的Policy,从L2-Server到L2-Router的Policy
从上图可以看出我们建立了10个Policy,前8个Policy已经被废弃掉了,因为我们用一台笔记本接到三层交换机上,配一个IP地址,能够Ping通192.168.240.254也就是路由器的内网接口地址,却不能ping通防火墙的Vlan1地址192.168.240.200,使用Web方式及SSH均不能连接到防火墙上面;从路由器上面也不能ping通192.168.240.200,同时也不能对其进行管理。
客户需要远程管理防火墙,从内网进行管理或从外网。我一直以为Policy加的不对,反复修改,但没能解决问题,最后问题解决了
注意:不仅在接口下面启用webui、ssh、ping等服务,新建zone的时候也要启用webui、ssh、ping服务。
转载于:https://blog.51cto.com/xuentian/751472