[JuniperSSG550双链路.docxVIP

SSG-550-SH双链路技术案例一、网络拓扑要求：trust区域访问外网走50M线路，dmz区域访问外网走20M的线路。dmz区域的十台服务器做mip地址映射。做acl策略限制外网对dmz服务器的访问端口。Trust和dmz区域间的互相访问。二、基本配置设置接口IPTrust：192.168.200.2/24DMZ：192.168.150.2/24Untrust：218.241.215.106/29 （trust区域走这条）Untrust：118.186.221.130/28 （dmz区域走这条）设置路由 因为是双线路接入，所以建立一条默认路由，另外一条由策略路由来进行限定 还要求trust区域与dmz区域之间的互访，要建立dmz与trust的路由。由于dmz与trust 都属于在一个大的网段里面，无法做汇总，所以只能一个网段写一条设置MIPDmz区域内的服务器做地址映射，要在dmz的流量出口做，也就是0/3口trust区域也有两台服务器，是在0/2口做MIPmapped ip：外网地址 host ip ：服务器的内网地址OK建立完成如下表建立端口根据客户要求开放的那些端口，先建立端口服务名自定义，源端口为0-65535 目标端口为你所要开放的端口，OK建立成功之后如下表建立策略Untrust到dmz源地址：any表示公网所有地址目的地址：选择你所创建的MIPService：选择刚刚建立的端口Action：permit允许。这条策略表示公网所有IP，访问118这条地址，只能通过5555这个端口访问。创建完外访内的策略之后，建立内网互通的any策略。完成。三、所遇到的问题开始的时候dmz区域没有办法上网，在启用了源地址nat转换后能上网了，但是trust访问dmz的服务器访问不到。解决方式：Juniper防火墙的在接口模式也有选择，默认内网的接口模式为nat，外网的接口模式为route。因为内网网段太多，还在同一个大网段下，内网的接口模式必须为route。然后在策略高级里面设置源路由nat，这样内网与dmz之间的访问，dmz区域上网没有任何问题了。2、dmz区域上网的时候走的是trust上网的那条路，也就是0/2口，客户要求是走0/3口，开始的时候路由上建立的是两条默认路由和静态路由，由于0/2口那条路由在上面，防火墙匹配路由是由上往下匹配的。所以导致只走0/2这一条路解决方式：设置了策略路由，所有从dmz区域走的流量都从0/3口出去。这样dmz上网就只走他自己的那条路。3、建立完策略路由之后，dmz区域能够上网但是不能访问trust了。因为设置了策略路由，所以从dmz出去的所有流量都走的是untrust，就找不到trust区域的地址，解决方式：在设置一条优先级高的策略路，由dmz到trust区域的所有网段的走0/0trust口其余的走0/3口，这样dmz访问trust区域就没有任何问题，dmz上网也没有问题了。