juniper Netscreen防火墙策略路由配置
发布时间:2024-11-04
Juniper 防火墙策略路由
PBR配置手册
工程师:王恒 2009年3月24日
目 录
一、网络拓扑图............................................................................- 3 - 二、建立extended acl .................................................................- 3 - 三、配置match group: ..............................................................- 6 - 四、配置action group .................................................................- 7 - 五、配置policy ............................................................................- 8 - 六、配置policy binding: ............................................................- 9 - 七、配置访问策略 ........................................................................- 9 -
电 话:027-87313192,87315781
传 真:027-87313192-800
地 址:武汉市中北路特1号,楚天都市花园B座17A1 - 2 -
一、网络拓扑图
要求:
1、默认路由走电信;
2、源地址为192.168.1.10的pc访问电信1.0.0.0/8的地址,走电信,访问互联网走网通。
二、建立extended acl
1、选择 network---routing---pbr---extended acl list,点击new添加:
电 话:027-87313192,87315781
传 真:027-87313192-800
地 址:武汉市中北路特1号,楚天都市花园B座17A1 - 3 -
Extended acl id:acl编号 Sequence No.:条目编号 源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol:选择为any 端口号选择为:1-65535 点击ok:
2、点击add seg No.再建立一条同样的acl,但protocol为icmp,否则在trace route的时候仍然后走默认路由:
电 话:027-87313192,87315781 传 真:027-87313192-800
地 址:武汉市中北路特1号,楚天都市花园B座17A1 - 4 -
3、建立目的地址为0.0.0.0的acl:
切记添加一条协议为icmp的acl
电 话:027-87313192,87315781 传 真:027-87313192-800
地 址:武汉市中北路特1号,楚天都市花园B座17A1 - 5 -
命令行:
set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10
set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20
set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10
set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol icmp entry 20
三、配置match group:
1、network---routing---pbr---match group,点击add:
Match group的作用就是关联acl 按照同样的方法将两个acl 进行关联:
电 话:027-87313192,87315781 传 真:027-87313192-800
地 址:武汉市中北路特1号,楚天都市花园B座17A1 - 6 -
命令行:
set match-group name group_10
set match-group group_10 ext-acl 10 match-entry 10 set match-group name group_20
set match-group group_20 ext-acl 20 match-entry 10
四、配置action group
1、network---routing---pbr---action group,点击add:
在这里指定下一跳接口和地址。配置访问电信1.0.0.0/8的下一跳地址。
电 话:027-87313192,87315781 传 真:027-87313192-800
地 址:武汉市中北路特1号,楚天都市花园B座17A1 - 7 -
继续配置访问网通的下一跳路由地址:
五、配置policy
1、network---routing---pbr---policy,点击add:
将刚建立的访问电信1.0.0.0/8的match group和action group绑定。
点击 Add Seg No.,添加访问网通的策略:
电 话:027-87313192,87315781 传 真:027-87313192-800
地 址:武汉市中北路特1号,楚天都市花园B座17A1 - 8 -
命令行:
set pbr policy name pbr_trust
set pbr policy pbr_trust match-group group_10 action-group action_10 10 set pbr policy pbr_trust match-group group_20 action-group action_20 20
六、配置policy binding:
1、network---routing---pbr---policybinding,点击add:
将配置好的policy(pbr_trust)应用到trust接口上
命令行:
set interface ethernet0/0 pbr pbr_trust
七、配置访问策略
略
电 话:027-87313192,87315781 传 真:027-87313192-800
地 址:武汉市中北路特1号,楚天都市花园B座17A1 - 9 -
juniper Netscreen防火墙策略路由配置.doc
将本文的Word文档下载到电脑
