Juniper SSG5 IP追蹤 Track-IP
Juniper SSG5 IP追蹤 Track-IP
為主要介面(ethernet0/1)設定track IP,假設要被追蹤的IP是4.2.2.2 and 2.2.2.2 (主要ISP的default gateway):
set interface ethernet0/1 track-ip
set interface ethernet0/1 track-ip ip
4.2.2.2
set interface ethernet0/1 track-ip ip
2.2.2.2
對於動態分配位址的 ISP
連接 (DHCP 或 PPPoE), 可以將 track IP 選項指定為 "動態", 它將自動使用 isp 的預設閘道作為跟蹤 ip:
Note: ScreenOS supports up to 4 track-IP IP addresses for each interface.
Weight權重: 鍵入重量從1到 255 (預設值為 1)。通過將權重或值應用於跟蹤的 IP 位址, 您可以調整與到達其他跟蹤位址的連接的重要性。您可以將更多的權重分配給相對較重要的位址和較小的權重給相對較不重要的位址。
Note: ScreenOS supports up to 4 track-IP IP addresses for each interface.
Weight權重: 鍵入重量從1到 255 (預設值為 1)。通過將權重或值應用於跟蹤的 IP 位址, 您可以調整與到達其他跟蹤位址的連接的重要性。您可以將更多的權重分配給相對較重要的位址和較小的權重給相對較不重要的位址。
當到達跟蹤 IP 條目的失敗臨界值(閾值)時, 分配的權重就會發揮作用。例如, 如果跟蹤 ip 位址的權重為 10,
則會使介面更接近 ip 跟蹤失敗, 這比跟蹤的 ip 位址的權重為1的失敗多。
Interval間隔: 鍵入 ping 請求之間可能發生的時間間隔。ping 請求的預設值為1。可以設置介於1和200秒之間的間隔。
Threshold臨界值(閾值): 鍵入一個從1到 200 (預設值為 3) 的threshold數值。該臨界值(閾值)表示從特定 IP 位址引出 ping 回應的連續失敗次數, 這被要求被認為是失敗的嘗試。如果未超過臨界值(閾值), 則表示可接受的與該位址的連通程度;超過它表示一個不可接受的水準。
Time Out超時: 鍵入一個介於1到60之間的值。 ping 請求的預設值為1。 如果請求的回應時間超過指定的超時值, 則 ping 請求被視為失敗。 超時值不應大於間隔值。
set interface ethernet0/1
track-ip ip 4.2.2.2 weight 1
set interface ethernet0/1
track-ip ip 4.2.2.2 interval 3
set interface ethernet0/1
track-ip ip 4.2.2.2 threshold 3
set interface ethernet0/1
track-ip ip 4.2.2.2 time-out 2
set interface ethernet0/1
track-ip ip 2.2.2.2 weight 1
set interface ethernet0/1
track-ip ip 2.2.2.2 interval 3
set interface ethernet0/1
track-ip ip 2.2.2.2 threshold 3
set interface ethernet0/1
track-ip ip 2.2.2.2 time-out 2
上述Track IP設定將會以如下方式運作:
o 每3秒發送一次 (在本例中為3秒的間隔)。
o 每3秒發送一次 (在本例中為3秒的間隔)。
o 如果在2秒內未收到答覆 (配置的超時值), 則 ping 請求將被視為失敗。
o 如果 3 ping 請求失敗
(配置的臨界值(閾值)), 那麼每個track的權重總和將相加。目前, 有兩個track, 每個有重量1。
o 對於失敗track的權重應等於或超過跟蹤 IP 臨界值(閾值), 在這種情況下為2。
o 如果滿足跟蹤 ip 臨界值(閾值), 則在這種情況下, 配置的跟蹤 ip
權重 (255) 將應用於整個監視器臨界值(閾值)。
o 如果跟蹤 IP 權重、區track域權重和介面權重的總和等於或超過整個監視器臨界值(閾值), 則介面將失敗。
o 當介面跟蹤-IP 權重超過整個介面監視器臨界值(閾值)時, 介面將進入下一狀態並觸發介面故障切換;因此,具有 ethernet0/1 介面的預設路由將變為活動的。
當上述權重的總和小於整個監視器臨界值(閾值)時, ethernet0/1 介面將出現並自動接管。
◆ Track-ip 使用 SSG 進行單個配置的冗余
如果通過ISP-A 成功地進行了互聯網通信, 如果 ISP-A 失敗, ISP-B要實現以下配置, 將執行 ip 位址跟蹤 (Track-ip)。
如果通過ISP-A 成功地進行了互聯網通信, 如果 ISP-A 失敗, ISP-B要實現以下配置, 將執行 ip 位址跟蹤 (Track-ip)。
當一個或多個 IP 位址不可訪問時, 此設置會導致物理鏈路出現, 您可以停用與該 I/F 相關的所有路由。 和監測如果可以到達 IP 位址, 與該 I/F 關聯的路由將自動啟動。
① 設置靜態路由
成功時, 到達目的地 0.0.0.0/0 的通信量很低, 因此從 e0/0 發送了度量。
SSG-> set route 0.0.0.0/0
interface ethernet0/0 gateway 10.1.1.1 metric 10 --- 更喜歡More preferred Internet/Default Route
SSG-> set route 0.0.0.0/0 interface ethernet0/1 gateway 10.1.2.1 metric 15 ---不太喜歡Less Preferred Internet/Default Route
② 監視 IP 位址, 設置臨界值(閾值)
如果沒有從 SSG 到1.1.1.2 的3次 (interval値) 的 ping 回應, 則介面跟蹤10 (weight値) 適用于故障臨界值(閾值)。 由於此設置中的臨界值(閾值)為 5 (threshold), 因此失敗應用此10權重值時, SSG 將停用此 I/F 的根, 因為它超出臨界值(閾值)。
SSG-> set route 0.0.0.0/0 interface ethernet0/1 gateway 10.1.2.1 metric 15 ---不太喜歡Less Preferred Internet/Default Route
② 監視 IP 位址, 設置臨界值(閾值)
如果沒有從 SSG 到1.1.1.2 的3次 (interval値) 的 ping 回應, 則介面跟蹤10 (weight値) 適用于故障臨界值(閾值)。 由於此設置中的臨界值(閾值)為 5 (threshold), 因此失敗應用此10權重值時, SSG 將停用此 I/F 的根, 因為它超出臨界值(閾值)。
SSG-> set interface ethernet0/0 monitor track-ip ip
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 interval 3
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 threshold 1
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 weight 2
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 interval 3
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 threshold 1
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 weight 2
o Weight權重: 鍵入重量從1到 255 (預設值為 1)。通過將權重或值應用於跟蹤的 IP 位址, 您可以調整與到達其他跟蹤位址的連接的重要性。您可以將更大的權重分配給相對較不重要的位址和較小的權重。
當到達跟蹤 IP 條目的失敗臨界值(閾值)時, 分配的權重就會發揮作用。例如, 如果跟蹤 ip 位址的權重為 10,
則會使介面更接近 ip 跟蹤失敗, 這比跟蹤的 ip 位址的權重為1的失敗多。
o Interval間隔: 鍵入 ping 請求之間可能發生的時間間隔。可以設置介於1和200秒之間的間隔。
o Threshold臨界值(閾值): 鍵入一個從1到 200 (預設值為 3) 的threshold數值。該臨界值(閾值)表示從特定 IP 位址引出 ping 回應的連續失敗次數, 這被要求被認為是失敗的嘗試。如果未超過臨界值(閾值), 則表示可接受的與該位址的連通程度;超過它表示一個不可接受的水準。
o Time Out超時: 鍵入一個介於1到60之間的值。 ping 請求的預設值為1。 如果請求的回應時間超過指定的超時值, 則 ping 請求被視為失敗。 超時值不應大於間隔值。
Sample
configuration:
set interface
ethernet2/4 track-ip ip 4.2.2.2 weight
1
set interface
ethernet2/4 track-ip ip 4.2.2.2
interval 3
set interface
ethernet2/4 track-ip ip 4.2.2.2
threshold 3
set interface
ethernet2/4 track-ip ip 4.2.2.2 time-out
2
set interface
ethernet2/4 track-ip ip 2.2.2.2 weight
1
set interface
ethernet2/4 track-ip ip 2.2.2.2
interval 3
set interface
ethernet2/4 track-ip ip 2.2.2.2
threshold 3
set interface
ethernet2/4 track-ip ip 2.2.2.2
time-out 2
The Track IP configuration will work as follows:
o 每3秒發送一次 (在本例中為3秒的間隔)。
o 如果在2秒內未收到答覆 (配置的超時值), 則 ping 請求將被視為失敗。
o 如果 3 ping 請求失敗 (配置的臨界值(閾值)), 那麼每個軌道的權重總和將相加。目前, 有兩個軌道, 每個有重量1。
o 對於失敗磁軌的權重應等於或超過跟蹤 IP 臨界值(閾值), 在這種情況下為2。
o 如果滿足跟蹤 ip 臨界值(閾值), 則在這種情況下, 配置的跟蹤 ip 權重 (255) 將應用於整個監視器臨界值(閾值)。
o 如果跟蹤 IP 權重、區域權重和介面權重的總和等於或超過整個監視器臨界值(閾值), 則介面將失敗。
o 當介面跟蹤-IP 權重超過整個介面監視器臨界值(閾值)時, 介面將進入下一狀態並觸發介面故障切換;因此, 具有 ethernet2/5 介面的預設路由將變為活動的。
o 當上述權重的總和小於整個監視器臨界值(閾值)時, ethernet2/4 介面將出現並自動接管。
In this example, if any of the hosts - 8.8.8.1,
8.8.8.2 or 8.8.8.3 - do not respond to pings from the eth3
interface, the interface will be marked as Down and the eth4 interface
will be used for the default route.
Set the eth3 and eth4 interfaces in the same zone
(Untrust Zone):
set
interface ethernet3 zone Untrust
set interface ethernet4 zone Untrust
set interface ethernet3 ip 5.5.5.5/24
set interface ethernet4 ip 6.6.6.5/24
set interface ethernet4 zone Untrust
set interface ethernet3 ip 5.5.5.5/24
set interface ethernet4 ip 6.6.6.5/24
Set the default route via eth3 to be the preferred route:
set route
0.0.0.0/0 interface ethernet3 gateway
5.5.5.1 preference 20
set route 0.0.0.0/0 interface ethernet4 gateway 6.6.6.1 preference 25
set route 0.0.0.0/0 interface ethernet4 gateway 6.6.6.1 preference 25
Configure the track-ip settings:
set
interface ethernet3 monitor track-ip ip
set interface ethernet3 monitor track-ip ip 8.8.8.1
set interface ethernet3 monitor track-ip ip 8.8.8.2
set interface ethernet3 monitor track-ip ip 8.8.8.3
unset interface ethernet3 monitor track-ip dynamic
set interface ethernet3 monitor track-ip ip 8.8.8.1
set interface ethernet3 monitor track-ip ip 8.8.8.2
set interface ethernet3 monitor track-ip ip 8.8.8.3
unset interface ethernet3 monitor track-ip dynamic
Useful commands for debugging interface track-ip:
get int
eth3 monitor track
get int eth3 monitor
get int eth3 monitor
If the health check of a track-ip fails, it is
assigned a weight. The total of all track-ip weights is then compared to
the Track IP Option threshold.
- If the track-ip weight is >= Track-IP Option Threshold, then the Track IP Option Weight is compared to the Monitor Threshold.
- If the Track IP Option Weight is >= Monitor Threshold, then the interface logically goes into a down state.
設定 IP 追蹤備份介面
在本範例中,您可在主介面 (ethernet0/0) 中設定 ScreenOS 追蹤 track IP 位址
10.1.1.1,並在本位址無法到達的情況下,切換至備份介面 (dialer1)。如需有關
IP 追蹤如何作用的討論,請參閱第11-48 頁上的「使用 IP 追蹤的介面故障後移
轉」。
CLI
1. 組態介面
set interface ethernet0/0 monitor track-ip
set interface ethernet0/0 monitor track-ip
threshold 100
set interface ethernet0/0 monitor trackip ip
10.1.1.1 interval 2
set interface ethernet0/0 monitor trackip ip
10.1.1.1 threshold 5
set interface ethernet0/0 monitor trackip ip
10.1.1.1 weight 200
set interface ethernet0/0 backup interface
dialer1 type track-ip
2. 組態路由
set route 0.0.0.0/0
interface ether0/0
set route 0.0.0.0/0
interface dialer1
save
下列內容可啟用介面失敗臨界值為 5 的 IP 追蹤,並組態 ethernet0/3 介面上的 IP
追蹤,使其監看路由器 IP 位址 1.1.1.250,為其指派的權重為 10。
CLI
set interface
ethernet0/3 monitor track-ip ip 1.1.1.250
weight 10
set interface
ethernet0/3 monitor track-ip threshold 5
set interface
ethernet0/3 monitor track-ip
save
在此範例中,目標位址的失敗臨界值設為預設值 3。也就是說,如果該目標位址連續 3 次不回應 ping,就會對介面上 IP 追蹤的失敗臨界值套用權重 10。因為介面上IP 追蹤的失敗臨界值為 5,所以權重 10 會導致安全性裝置上與該介面聯結的路由
停用。
確認介面上 IP 追蹤狀態的方式是發出 CLI 指令 get
interface ethernet0/3 track-ip,如圖24 所示。
圖 24: 取得介面輸出
device-> get interface ethernet0/3 track-ip
ip address interval threshold wei gateway fail-count
success-rate
1.1.1.250 1 1 10 0.0.0.0 343 46%
threshold: 5, failed: 1 ip(s) failed, weighted sum = 10
get route 指令顯示通過 ethernet0/4 的預設路由目前處於活動狀態,通過ethernet0/3 的所有路由則不再處於活動狀態。
圖 25: 利用已啟動的介面取得路由輸出
device-> get route
untrust-vr (0 entries)
----------------------------------------------------------------------
C - Connected, S - Static, A - Auto-Exported, I -
Imported, R - RIP
iB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1
E2 - OSPF external type 2
trust-vr (4 entries)
----------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
----------------------------------------------------------------------
4 0.0.0.0/0 eth0/3
1.1.1.250 S 20 1 Root
2 1.1.1.0/24 eth0/3
0.0.0.0 C 0 0 Root
* 3 0.0.0.0/0 eth0/4
2.2.2.250 S 20 10 Root
* 6 2.2.2.0/24 eth0/4
0.0.0.0 C 0 1 Root
* 5 10.1.1.0/24
eth0/1 0.0.0.0 C 20 1
Root
請注意,即使通過 ethernet0/3 的路由已不再處於活動狀態,IP 追蹤仍會繼續使用與 ethernet0/3 聯結的路由來傳送 ping 要求至目標 IP 位址。當 IP 追蹤又能夠到達1.1.1.250 時,安全性裝置上通過
ethernet0/3 的預設路由又會再次處於活動狀態。
同時,通過 ethernet0/4 的預設路由會變成不活動狀態,因為通過
ethernet0/3 的預設路由才是優先使用的預設路由。
安全性裝置可監看介面的實體和邏輯狀態,然後根據它所發現的變更採取行動,請參閱圖26。
例如,如果被監看介面的狀態從工作中變成不工作中,可能會發生下列情況,如表6 所示:
若要設定介面監看,請執行以下操作之一:
CLI
set
interface interface1 monitor interface interface2 [ weight number ]
save
如果不設定權重,安全性裝置會套用預設的權重值 255。
如果兩個介面彼此監看,就會形成一個迴路。在這種情況下,如果其中一個介面的
狀態改變,迴路中的另一個介面的狀態也會改變。請參閱第67 頁上的圖27。
注意: 一個介面一次只能在一個迴路中。我們不支援同一介面屬於多個迴路的組態。
監看兩個介面
在此範例中,您將 ethernet0/3 組態為監看兩個介面 - ethernet0/1 和 ethernet0/2。
因為每個被監看介面的權重加起來 (8 + 8) 等於監看失敗臨界值 (16),所以
ethernet0/1 和 ethernet0/2 必定會同時失敗 ( 且其狀態從工作中變成不工作中),
然後導致 ethernet0/3 也失敗 ( 且其狀態從工作中變成不工作中)。請參閱圖28。
注意: 此範例省略了 ethernet0/1 和 ethernet0/2 介面上的 IP 追蹤組態 ( 請參閱第61 頁上的「追蹤 IP 位址」)。在沒有 IP 追蹤的情況下,只有一個原因可能使ethernet0/1 和 ethernet0/2 失敗,就是當它們實體上與其他網路裝置中斷連接,或是它們無法維持與這些網路裝置的連結時。
如果將監看失敗臨界值設為 8,或使其保持 16 不變,並將每個被監看介面的權重設為 16,則不論 ethernet0/1 還是 ethernet0/2 失敗,都會導致 ethernet0/3 失敗。
CLI
set interface ethernet0/3 monitor
interface ethernet0/1 weight 8
set interface ethernet0/3 monitor
interface ethernet0/2 weight 8
set interface ethernet0/3 monitor
threshold 16
save
監看介面迴路
在此範例中,您先針對兩個介面 (ethernet0/1 和 ethernet0/3) 組態 IP 追蹤,然後組態這些介面,使其彼此監看,這樣當其中一個介面的狀態改變時,另一個介面的狀態也會改變。最後,定義兩組路由。第一組經由
ethernet0/1 和 ethernet0/3 轉寄流量。第二組路由的目的地位址與第一組相同,但這些路由的計量值等級較低,且使用的出口介面
(ethernet0/2 和 ethernet0/4) 和閘道與第一組不同。如果第一組介面在套用此組態之後失敗,安全性裝置會將所有通訊流量重新路由通過第二組路由。所有區域都在
trust-vr 路由設定網域中。
注意: 若要控制介面狀態是變為邏輯還是實體不工作中 ( 或是工作中) 狀態,必需使用CLI 指令
set interface interface monitor threshold
number action { down | up } { logically | physically }。
只有與非 Null 區域的任何其他安全區連結的實體介面的狀態才可為實體工作中或不工作中。
CLI
1. IP 追蹤
set interface ethernet0/1 track-ip ip
10.1.1.250 weight 8
set interface ethernet0/1 track-ip
threshold 8
set interface ethernet0/1 track-ip
weight 8
set interface ethernet0/1 track-ip
set interface ethernet0/3 track-ip ip
1.1.1.250 weight 8
set interface ethernet0/3 track-ip
threshold 8
set interface ethernet0/3 track-ip
weight 8
set interface ethernet0/3 track-ip
2. 介面監看
set interface ethernet0/1 monitor
interface ethernet0/3 weight 8
set interface ethernet0/1 monitor
threshold 8 action down physically
set interface ethernet0/3 monitor
interface ethernet0/1 weight 8
set interface ethernet0/3 monitor
threshold 8 action down physically
3. 路由
set vrouter trust-vr route 10.1.0.0/16
interface ethernet0/1 gateway 10.1.1.250 metric 10
set vrouter trust-vr route 10.1.0.0/16
interface ethernet0/2 gateway 10.1.2.250 metric 12
set vrouter trust-vr route 0.0.0.0/0
interface ethernet0/3 gateway 1.1.1.250 metric 10
set vrouter trust-vr route 0.0.0.0/0
interface ethernet0/4 gateway 1.1.2.250 metric 12
save
安全區監看
除了監看個別介面外,介面還可以監看安全區內的所有介面,它可以監看任何安全區,但它本身所屬的安全區除外。要使整個安全區失敗,與該安全區連結的每個介面都必需失敗。只要與被監看區域連結的介面是工作中狀態,安全性裝置就會將整個區域視為處於工作中狀態。
CLI
set interface interface monitor zone zone [ weight number ]
如果不設定權重,安全性裝置會套用預設的權重值 255。
設定 Tunnel-if 備份介面
在本範例中,您可在 ethernet0/0 設定一組單向 VPN 通道 - 一個在路由器 1 上,另一個在路由器 2 上 - 且您可將 dialer1 設定為路由器 1 的備份介面。通道會將分公司站台 Trust 區域中的主機連接至總公司站台的 Trust 區域中的 SMTP 伺服器。每
個站台的區域都位於 trust-vr 路由設定網域中。
您可使用主 Untrust 區域介面 (ethernet0/0) 作為向外介面來設定兩個通道,再使用備份 Untrust 區域介面 (dialer1) 作為向外介面來設定備份 VPN 通道。安全性裝置會監看主要 VPN 通道,以決定何時切換至備份通道。這透過比較備份權重與 VPN監看臨界值來完成。您可將臨界值設定為 100 (set vpnmonitor
threshold 100) 將備份權重設定為
200 (set vpn vpn backup-weight 200)。當主介面因為任何原因不活動時,ScreenOS 會以備份權重來比較 VPN 監看臨界值,且若備份權重比臨界值大,會從該裝置切換至備份裝置。
您也可以啟用 VPN 監看重新建立金鑰功能。發生故障後移轉後,當主介面的 VPN通道的累計權重大於 VPN 監看臨界值時,此功能可讓安全性裝置將流向備份裝置的通訊流量重新轉寄到主介面。
分公司站台中的安全性裝置會從兩個不同的 ISP 動態接收其 Untrust 區域介面位址、預設閘道和 DNS 伺服器位址。每個 ISP 均使用不同的通訊協定。ISP-1 使用DHCP 來指定 ethernet0/0 的位址,ISP-2 使用 PPP 來指定 dialer1 的位址。位於總公司站台的安全性裝置具有靜態 IP 位置 (2.2.2.2)。其預設閘道的 IP 位址為2.2.2.250。
VPN 監看的目的地位址並非預設位址 ( 遠端閘道 IP 位址 (2.2.2.2)),而是伺服器的位址 (10.2.2.10)。如果您使用遠端閘道 IP 位址,且其變成無法到達,則主要通道永遠會切換至備份通道。
CLI ( 對於路由器 1)
1. 組態介面
set interface ethernet0/0 zone
untrust
set interface ethernet0/0 dhcp client
set interface bri2/0 isdn switch-type
etsi
set interface dialer1 zone untrust
set dialer pool name pool-1
set interface bri2/0
dialer-pool-member pool-1
set interface dialer1 dialer-pool
pool-1
set ppp profile isdn-ppp
set ppp profile isdn-ppp auth type
chap
set ppp profile isdn-ppp auth
local-name juniper
set ppp profile isdn-ppp auth secret
juniper
set ppp profile isdn-ppp passive
set ppp dialer1 ppp profile isdn-ppp
set interface tunnel.1 untrust
set interface tunnel.1 ip unnumbered
interface bgroup0
set interface tunnel.2 untrust
set interface tunnel.2 ip unnumbered
interface bgroup0
vpn vpn1 gateway corp1 sec-level
basic
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip
0.0.0.0/0 remote-ip 0.0.0.0/0 smtp
set vpn vpn1 monitor source-interface
bgroup0 destination-ip 10.2.2.10 rekey
set vpn vpn1 backup-weight 200
set vpn vpn2 gateway corp2 sec-level
basic
set vpn vpn2 bind interface tunnel.2
set vpn vpn2 proxy-id local-ip
0.0.0.0/0 remote-ip 0.0.0.0/0 smtp
set vpn vpn2 monitor source-interface
bgroup0 destination-ip 10.2.2.10 rekey
3. 組態非對稱 VPN
set zone trust asymmetric-vpn
4. 組態備份介面
set interface ethernet0/0 backup
interface dialer1 type tunnel-if
set vpnmonitor threshold 100
5. 組態路由
set route 10.2.2.10/32
interface tunnel.1
set route 10.2.2.10/32
interface tunnel.2
set route 0.0.0.0/0
interface ethernet0/0
save
CLI ( 對於路由器 2)
1. 組態介面
set interface bgroup zone trust
set interface bgroup ip
10.2.2.1/24
set interface bgroup nat
set interface ethernet0/0 zone
untrust
set interface ethernet0/0 ip
2.2.2.2/24
set interface tunnel.1 zone trust
set interface tunnel.1 ip unnumbered
interface bgroup0
set interface tunnel.2 zone untrust
set interface tunnel.2 ip unnumbered
interface bgroup0
2. 組態位址
set address untrust branch 10.1.1.0/24
set address trust smtp-1 10.2.2.10/24
set address trust http-1 10.2.2.15/32
set group address trust servers add
smtp-1
set group service vpn-srv add smtp
3. 組態 VPN
set ike gateway branch1 dynamic
ssg5ssg20-e0 aggressive outgoing-interface
ethernet0/0 preshare juniper1
sec-level basic
set ike gateway branch2 dynamic
ssg5ssg20-dialer aggressive outgoing-interface
ethernet0/0 preshare juniper2
sec-level basic
set vpn vpn1 gateway branch1
sec-level basic
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip
0.0.0.0/0 remote-ip 0.0.0.0/0 smtp
set vpn vpn2 gateway branch2
sec-level basic
set vpn vpn2 bind interface tunnel.2
set vpn vpn2 proxy-id local-ip
0.0.0.0/0 remote-ip 0.0.0.0/0 smtp
4. 組態非對稱 VPN
set zone trust asymmetric-vpn
5. 組態路由
set vrouter trust-vr route 0.0.0.0/0
interface ethernet 0/0 gateway 2.2.2.250
6. 組態政策
set policy from untrust to trust
branch servers vpn-srv permit
save
設定路由器監看備份介面
在本範例中,您可在主介面 (ethernet0/0) 上將路由設定為使用閘道 10.10.10.1,至網路區段 5.5.5.0/24,且您可將 dialer1 設定為備份介面,含通往相同網路區段的路由。接著您可設定主介面通往相同閘道
(10.10.10.1) 的預設路由,以及
dialer1介面的預設路由。
CLI
set vrouter trust-vr route 5.5.5.0/24
interface ethernet0/0 gateway 10.10.10.1
set interface ethernet0/0 backup
interface dialer1 type route vrouter trust-vr
5.5.5.0/24
set route 0.0.0.0/0
interface ethernet0/0 gateway 10.10.10.1
set route 0.0.0.0/0
interface dialer1
save
回傳介面
回傳介面是一個邏輯介面,其模擬安全性裝置上的實體介面。然而與實體介面不同的是,只要其所在的裝置開啟,則該介面永遠處於工作中的狀態。回傳介面的名稱為
loopback.id_num,其中 id_num 是大於或等於
1 的數字,表示裝置上獨特的回傳介面。如同實體介面,您必需將
IP 位址指派至回傳介面,並將之連結到安全區。
定義回傳介面後,您即可定義其他介面,以作為其群組的成員。若通訊流量經由群組中的一個介面抵達,即可到達回傳介面。任何介面類型都可以作為回傳介面群組的成員
- 實體介面、子介面、通道介面、冗餘介面或 VSI。
建立回傳介面後,您可以利用許多相同的實體介面使用方式來使用它:
設定用於管理的回傳介面
設定回傳介面上的 BGP
設定回傳介面上的 VSI
設定回傳介面作為來源介面
注意:
您無法將回傳介面連結到 HA 區域,亦不能組態第 2 層操作的回傳介面,或是將回傳介面組態為冗餘/ 聚集介面。
您無法組態下列回傳介面功能: NTP、DNS、VIP、次要 IP、追蹤 IP 或 WebAuth。
使用回傳介面做為 VPN 組態中的向外介面時,回傳介面必需與向外實體介面所在區域相同。
您可以定義回傳介面上的 MIP。如此介面群組即可存取 MIP,此為回傳介面的特殊功能。
您可以使用回傳介面的 IP 位址或您指派給回傳介面的管理 IP 位址來管理安全性裝置。
CLI
set interface loopback.1 zone untrust
set interface loopback.1 ip
1.1.1.27
save
注意: 無法從網路或其他區域中的主機直接存取回傳介面。您必需定義政策以允許進出
介面的通訊流量。
設定用於管理的回傳介面
CLI
set interface loopback.1 manage
save
設定回傳介面上的 BGP
回傳介面支援安全性裝置上的 BGP 動態路由通訊協定。在下列範例中,啟用loopback.1 介面上的 BGP。
注意: 若要啟用回傳介面上的 BGP,您必需先針對想要連結介面的虛擬路由器建立 BGP實例。
CLI
set interface loopback.1 protocol bgp
save
設定回傳介面上的 VSI
您可以在回傳介面上針對 NSRP 組態虛擬安全性介面 (VSI)。回傳介面上的 VSI 實際狀態永遠為工作中。介面可以是活動中或非活動中狀態,視介面所屬的
VSD 群組狀態而定。
CLI
set interface loopback.1:1 ip
1.1.1.1/24
save
設定回傳介面作為來源介面
您可以使用回傳介面作為源自安全性裝置某特定通訊流量的來源介面。( 當您為應用程式定義來源介面時,即會使用指定的來源介面位址與外部裝置進行通訊,而不是使用向外介面位址。) 在下列範例中,指定安全性裝置使用先前定義的loopback.1 介面來傳送系統日誌封包。
CLI
set syslog config 10.1.1.1
log all
set syslog src-interface loopback.1
set syslog enable
save
