“區域”這個概念是NetScreen自己定的,它是很多NetScreen設置操作上所使用的單位。這個參數是在每
個物理接口屬性設置的(主菜單->Network->Interfaces),也可以通過:
->set interface 接口號 zone 區域類型名
更改,常見的區域有Trust與Untrust。這裏有一些需要切記的準則:
1)默認Trust與Untrust區域都是掛載在trust-vr虛擬路由上的;
2)若我們把兩個物理端口同時掛載在Trust區域時,它們之間就能直接訪問了(也就是說路由與策略默認
都是全通了);
3)但倘若我們把兩個物理端口同時掛載在Untrust區域時,它們之間是不能直接互訪的(路由通,但策略
不通),需要添加“對象:Untrust->Untrust、地址:Any->Any、行爲:Permit”的策略才能互訪;
4)但若把兩個物理端口分別掛載在Trust與Untrust兩個區域時,即使它們之間的路由是通的(這個不需要
任何配置,因爲它們默認就都在同一張路由表上---Trust虛擬路由表),也是不能互訪的,需要在Policie
s上添加互訪的策略(也就是說它們的策略默認是“全部不通”的)。
“路由”在NetScreen中被命名爲虛擬路由,默認有trust-vr與untrust-vr。設置虛擬路由表有多種方式,
其設置可以在WEB UI上主菜單的Network->Routing中找到。關於當前路由與區域的對應關係可以在WEB UI
上的Network->Binding上找到(其實這些對應關係是可以由我們可以設置的)。有一點是需要注意的:在
屏蔽其它因素(主要是“策略”的因素)的情況下,在同一虛擬路由表下的所有物理端口間的路由都是全
通的。
“策略”大多用於包過濾、NAT的功能實現上。我們可以直接通過WEB UI上主菜單的Policies進行設置,它
主要是“區域”作爲對象單位的。當需要配置跨區域互訪與網絡地址NAT僞裝時就一定要用到它。這裏有兩
個例子:
1)當要配置Trust區域的物理端口與Untrust區域的物理端口的網段互訪時需要添加兩個規則:
規則一:
對象:Trust->Untrust
地址:Any->Any
行爲:Permit
規則二:
對象:Untrust->Trust
地址:Any->Any
行爲:Permit
2)配置Trust區域通過僞裝的方式連通Untrust區域:
對象:Trust->Untrust
地址:Any->Any
高級(規則設置界面的“Advanced”按鈕激活):Destination Translation地址設置爲Untrust的網段
行爲:Permit
JUNIPER “區域”與“路由”、“策略”基本概念
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
JUNIPER防火牆在建立×××時不能建立策略
宇宙蝸牛
2020-05-31 19:59:49
JUNIPER的認證分類
check1ng
2019-11-18 15:04:47
JUNIPER E×××學習筆記1.0
Ybj_314
2019-06-26 13:32:23
JUNIPER GRE OVER BGP
Ybj_314
2019-03-30 13:18:25
JUNIPER MX PPPOE撥號實驗2.0
Ybj_314
2019-03-29 13:19:29
JUNIPER MX DHCP 實驗1.0
Ybj_314
2019-03-25 13:19:37
SRX dynamic *** 修改443 PORT
Ybj_314
2019-03-08 13:05:48
Juniper常用命令
萌新包大人
2020-06-24 12:33:17
FreeBSD和JunOS安裝手冊
steve6307
2020-06-23 20:24:08
×××連接報789錯誤解決方法
Wilson_Lai
2020-05-31 04:21:12
juniper RMA壞件返還流程
傑1992
2020-05-30 22:56:09
Juniper SSL ×××主機檢查參數
風不停
2020-05-30 15:33:08
使用flow、debug 工具排查Juniper srx故障
tuolzb
2020-03-26 15:14:35
Netscreen 防火牆設備性能監控之debug 和snoop
tuolzb
2020-03-13 15:15:57
juniper VIP映射
mpd5956
2020-02-20 13:56:31