《Juniper防火墙策略路由配置[参考]》由会员分享,可在线阅读,更多相关《Juniper防火墙策略路由配置[参考](11页珍藏版)》请在金锄头文库上搜索。
1、实用标准文档 文案大全 Juniper 防火墙策略路由配置 一、网络拓扑图 要求: 1、默认路由走电信; 2、源地址为192.168.1.10 的 pc 访问电信1.0.0.0/8 的地址,走电信,访问互联 网走网通; 二、建立extended acl 1、选择network-routing-pbr-extended acl list,点击 new 添加: 实用标准文档 文案大全 Extended acl id:acl 编号 Sequence No.:条目编号 源地址: 192.168.1.10/32 目的地址: 1.0.0.0/8 Protocol:选择为any 端口号选择为:1-65535
2、 点击 ok : 实用标准文档 文案大全 2、点击 add seg No.再建立一条同样的acl,但 protocol 为 icmp ,否则在 trace route 的时候仍然后走默认路由: 实用标准文档 文案大全 3、建立目的地址为0.0.0.0 的 acl: 切记添加一条协议为icmp 的 acl; 命令行: set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list e
3、xtended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol 实用标准文档 文案大全 icmp entry 20
4、 三、配置match group: 1、network-routing-pbr-match group,点击 add : Match group 的作用就是关联acl 按照同样的方法将两个acl 进行关联: 实用标准文档 文案大全 命令行: set match-group name group_10 set match-group group_10 ext-acl 10 match-entry 10 set match-group name group_20 set match-group group_20 ext-acl 20 match-entry 10 四、配置 action group
5、: 1、network-routing-pbr-action group,点击 add : 在这里指定下一跳接口和地址。配置访问电信1.0.0.0/8 的下一跳地址; 实用标准文档 文案大全 在这里指定下一跳接口和地址。配置访问电信1.0.0.0/8 的下一跳地址; 继续配置访问网通的下一跳路由地址: 实用标准文档 文案大全 五、配置 policy 1、network-routing-pbr-policy,点击 add : 将刚建立的访问电信1.0.0.0/8 的 match group 和 action group 绑定 实用标准文档 文案大全 点击Add Seg No.,添加访问网通的策略
6、: 命令行: set pbr policy name pbr_trust set pbr policy pbr_trust match-group group_10 action-group action_10 10 set pbr policy pbr_trust match-group group_20 action-group action_20 20 六、配置policy binding: 1、network-routing-pbr-policybinding,点击 add : 实用标准文档 文案大全 将配置好的policy (pbr_trust)应用到trust 接口上 命令行: set interface ethernet0/0 pbr pbr_trust 实用标准文档 文案大全
