JunOS基础试验-3(增强服务).pptVIP

JUNOS增强服务 任务一 在SiteA中设置一个过滤器来阻止我们ping包，并可以进行记录log 注意：要使我们SiteA还是可以ping出去 首先让我们登陆到internet路由器 下面我们要写一个过滤器来过滤这种流量，首先我们退回去 jnpr@Internet-J4300 exit 第二步：我们进入firewall这个层次，建立一个过滤器的模板，命名叫做： Filter-this 最后让我们为filter-this这个模板中的ping-filter过滤器制定一些规则 我们需要制定一个计数器来记录ping包，我们将它取名为： ping-filter-counter 还没有完，因为我们这里只需要组织ping流量，那么其他流量应该怎么办？ 默认情况下，拒绝掉所有其他流量 我们使用allow-all-else来匹配所有的流量 请使用下面的命令： [edit firewall filter filter-this] jnpr@SiteA-J4350# set term allow-all-else then accept 最后我们返回上层来检查一下我们的配置 [edit firewall filter filter-this] jnpr@SiteA-J4350# up [edit firewall] jnpr@SiteA-J4350# show 我们现在还不能够测试，因为我们还没有应用filter-this这个模板 我们使用快捷的命令top直接从firewall这个层次直接进入ge-0/0/1.0这个接口的层次 之后在ge-0/0/1.0下应用filter-this这个模板 好，下面我们准备测试 我们按照初次的行为再做一便 好了，我们回去看一下我们的状态防火墙里面有什么？ 我们使用运行模式下的命令:show firewall ,注意：我们在配置模式下前面要加上run 到目前位置还算顺利吧？ 下面我们来修改一下对ping包的回应策略，从原先的reject 改成discard 这里我们还是使用set命令来覆盖，而不是使用什么rename这种单词。 刚才我们用了两条命令做到了 如果用一条命令知道怎么做么？ 别忘记保存哦，之后让我们再重复一下刚才的测试 我们可以看到 我们确实已经ping了10个包 计数器也确实记录了10个包 如果我们从siteA上ping internet路由器会发生什么事情？ 因为我们制定的策略是阻止所有的ping流量 如果我们想自己可以ping出去，而别人不能够ping我们，我们需要再制定一个策略在使我们能够接受ping的返回流量 按照下面的策略来接受ping的返回流量: [edit] jnpr@SiteA-J4350# edit firewall filter filter-this [edit firewall filter filter-this] jnpr@SiteA-J4350# set term ping-filter from icmp-type echo-request OK 我们设置完成，再去两台设备上试试，看看能不能达到我们的效果 OK 此任务圆满达成！ 任务二 现在让我们吧目标转向状态性防火墙 首先让我们看看siteA路由器的状态防火墙的untrust接口中有什么设置？ 我们应该可以看到在untrust 接口下的策略，只有一点点策略可以被通过，我们还应该有一个接口加入trust才能使我们的路由器保持访问的畅通 我们现在测试一下 我们看到不能反向telnet回来 我们需要把internet到siteA路由器的telnet流量打开才行，我们需要把telnet流量在siteA的in方向开启，也就是host-inbound-traffic’ 再来试一下 [edit] jnpr@SiteA-J4350# run telnet jnpr@Internet-J4300 telnet 下面教你怎么监控你的设备 使用下面的命令来查看有多少人登陆到你的路由器上 请使用下面的命令： jnpr@SiteA-J4350 jnpr@SiteA-J4350 show security flow session 嘿嘿， 让我们看看我们用状态性防火墙来设置ICMP策略吧 我们先在ge-0/0/1.0接口上删掉刚才我们设置的过滤器应用 先删掉接着保存： jnpr@SiteA-J4350 configure [edit] jnpr@SiteA-J4350# edit interfaces ge-0/0/1 [edit interfaces ge-0/0/1] jnpr@SiteA-J4350# delete unit 0 family inet filter [edit interfaces ge-0/0/