Juniper 防火墙策略路由配置.docx
《Juniper 防火墙策略路由配置.docx》由会员分享,可在线阅读,更多相关《Juniper 防火墙策略路由配置.docx(7页珍藏版)》请在冰豆网上搜索。
Juniper防火墙策略路由配置
Juniper防火墙策略路由配置
一、网络拓扑图
要求:
1、默认路由走电信;
2、源地址为192.168.1.10的pc访问电信1.0.0.0/8的地址,走电信,访问互联
网走网通;
二、建立extendedacl
1、选择network---routing---pbr---extendedacllist,点击new添加:
Extendedaclid:
acl编号
SequenceNo.:
条目编号
源地址:
192.168.1.10/32
目的地址:
1.0.0.0/8
Protocol:
选择为any
端口号选择为:
1-65535
点击ok:
2、点击addsegNo.再建立一条同样的acl,但protocol为icmp,否则在trace
route的时候仍然后走默认路由:
3、建立目的地址为0.0.0.0的acl:
切记添加一条协议为icmp的acl;
命令行:
setaccess-listextended10src-ip192.168.1.10/32dst-ip1.0.0.0/8src-port
1-65535dst-port1-65535protocolanyentry10
setaccess-listextended10src-ip192.168.1.10/32dst-ip1.0.0.0/8protocol
icmpentry20
setaccess-listextended20src-ip192.168.1.10/32dst-ip0.0.0.0/0src-port
1-65535dst-port1-65535protocolanyentry10
setaccess-listextended20src-ip192.168.1.10/32dst-ip0.0.0.0/0protocol
icmpentry20
三、配置matchgroup:
1、network---routing---pbr---matchgroup,点击add:
Matchgroup的作用就是关联acl
按照同样的方法将两个acl进行关联:
命令行:
setmatch-groupnamegroup_10
setmatch-groupgroup_10ext-acl10match-entry10
setmatch-groupnamegroup_20
setmatch-groupgroup_20ext-acl20match-entry10
四、配置actiongroup:
1、network---routing---pbr---actiongroup,点击add:
在这里指定下一跳接口和地址。
配置访问电信1.0.0.0/8的下一跳地址;
在这里指定下一跳接口和地址。
配置访问电信1.0.0.0/8的下一跳地址;
继续配置访问网通的下一跳路由地址:
五、配置policy
1、network---routing---pbr---policy,点击add:
将刚建立的访问电信1.0.0.0/8的matchgroup和actiongroup绑定
点击AddSegNo.,添加访问网通的策略:
命令行:
setpbrpolicynamepbr_trust
setpbrpolicypbr_trustmatch-groupgroup_10action-groupaction_1010
setpbrpolicypbr_trustmatch-groupgroup_20action-groupaction_2020
六、配置policybinding:
1、network---routing---pbr---policybinding,点击add:
将配置好的policy(pbr_trust)应用到trust接口上
命令行:
setinterfaceethernet0/0pbrpbr_trust
升级会员 