Juniper SSG5 透明模式
Juniper SSG5 透明模式:
L2 模式 (透明模式)
該介面通常在路由模式或 L3 模式下用作 NAT 模式。
它還可以用作 L2 模式 (透明模式), 它使用所有介面作為同一段。
要使其作為透明模式工作, 請將 IP 位址設置為不分配給所有介面。
而且只有在這種透明模式下, 您才能使用 Vlan1 進行管理並為其分配一個 IP 位址。
在 L2 模式中使用時, 預設存在的區域是 "V1-untrust、V1-DMZ、V1-trust"
. 從 V1 開始的區域的名稱。 當管理員定義一個 L2-mode 區域時, 它從 L2 開始
設置區功能變數名稱稱。
然後, 將您在介面中創建的區域分配為與 L3 模式相同的思想。
* 即使 SSG 在 L2 模式下運行, 生成樹也不能工作。
接收的 BPDU 將按目前的那樣傳輸。
創建使用者定義的 L2 區域 (如果僅使用預設區域, 則不設置)
設置區功能變數名稱稱區域 L2
設置示例: Layer2 區域 "L2-test1" (用於 L2 區域創建, L2-prefixed 名稱)
set zone name zone L2
VLAN 1 介面
在 L2 模式下, VLAN 1 介面用於將 IP 位址劃分為管理訪問。
VLAN 1 是可以從任何透明區域 (L2 區域) 訪問的邏輯介面。 在
L2 模式下,
對 SSG 的管理訪問為每個物理介面設置或為地區設定。
如果為物理 i/o 和地區設定了管理存取權限, 則設置為物理 i/o 的內容是首選和繼承的。
* 當然, 在 VLAN 1 介面上必須啟用管理訪問, 作為 omoto。
Vlan1 介面屬於 VLAN 區域。 VLAN 區域不是安全區域。
VLAN1 i/o 不需要策略, 因為它們是跨不同安全區域應用的。
設置 L2 模式 (透明模式)
① IP 位址刪除
未設置介面介面 IP
配置示例: 已刪除 Bgroup0 和
ethernet0/0 IP 位址
SSG5-> unset interface bgroup0 ip
SSG5-> unset interface ethernet0/0 ip
SSG5-> unset interface ethernet0/0 ip
②透明區域分配
設置介面區域區域
只有通過將透明區域分配給單個介面 (具體取決於模型或版本), 才會顯示
"更改為 L2/L3 混合模式"。
為了使 SSG 作為 L2 模式運行, 必須將透明區域分配給所有介面。
分配給所有人後,
改為純 L2 模式, 完成向 L2 的過渡。
獲取系統以透明模式顯示系統。
設置示例: 將 V1-trust 分配給
bgroup0 設置 ethernet0/0 以分配
V1-untrust
SSG5-> set interface bgroup0 zone V1-Trust
SSG5-> set interface ethernet0/0 zone V1-Untrust
SSG5-> set interface ethernet0/0 zone V1-Untrust
③管理介面設置
設置介面 Vlan1 IP 位址/遮罩
* 設置介面 Vlan1 位址如果您想單獨設置管理 ip 位址的 ip 位址
配置示例: 將 "192.168.0.100" 分配給 VLAN 1 的管理介面
SSG5-> set interface vlan1 ip 192.168.0.100/24
④啟用管理服務
配置示例: 設置為啟用所有管理服務
SSG5-> set interface vlan1 manage
設置示例: PING、Web 訪問、僅啟用 Telnet 訪問
SSG5-> set interface vlan1 manage ping
SSG5-> set interface vlan1 manage web
SSG5-> set interface vlan1 manage telnet
SSG5-> set interface vlan1 manage web
SSG5-> set interface vlan1 manage telnet
啟用每個⑤區域的管理訪問
設置區域區域管理服務
set zone zone manage service
設置示例: 在 V1-trust 區域中啟用
Ping/web/telnet 管理訪問
SSG5->
set zone V1-Trust manage ping
SSG5->
set zone V1-Trust manage web
SSG5->
set zone V1-Trust manage telnet
⑥廣播設置 (可選)... 基本上, 預設值不是問題。
如果 Mac 表中沒有條目, 則將原始資料包分派給所有透明模式 i/f (預設設置除外)
SSG5-> set interface vlan1 broadcast flood
如果 Mac 表中沒有條目, 則 ARP 請求將發送到除接收的 i/o 之外的所有介面。
SSG5-> set
interface vlan1 broadcast arp
創建⑦策略
set policy [ id number ] from zone to zone source-address
dest-address service [ deny | permit | reject ]
設置示例: 設置為允許從 V1-trust 區域到 V1-untrust 區域的所有通信
SSG5-> set
policy from "V1-Trust" to "V1-Untrust" "Any"
"Any" "ANY" permit
要檢查透明模式的命令
|
説明
|
get interface
|
驗證介面是否為 L2 模式 (透明) ⇒ mode xparent
|
get arp
|
已使用 L2 模式和 L3 模式檢查 ARP 快取。 按區功能變數名稱稱以 L2 模式顯示。
|
get mac-learn
|
檢查 MAC 位址表。
|
get session
|
檢查會話表。 可以在 L2 模式和 L3 模式下檢查的命令。
|
* 如果要在 L3 模式
bgroup0 中檢查 mac 位址表, 可以檢查 " get int bgroup0 mac-table" 命令。
要阻止所有第2層的非IP和非ARP資訊流,包括組播和廣播資訊流,請輸入 unset
interface vlan1 bypass-non-ip-all
允許所有第二層的非IP資訊流通過:set
interface vlan1 bypass-non-ip-all
要恢復設備的缺省行為:unset interface vlan1 bypass-non-ip-all
其中阻止所有的第二層非IP資訊流通過覆蓋缺省的行為。
如果先阻止所有,那麼如果要恢復缺省的,就必須先允許所有通過!也就是:
先
set interface vlan1 bypass-non-ip
再
unset interface vlan1 bypass-non-ip
實驗環境:內部一台PC,接到netscreen的eth1,企業局域網為10.0.XX.XX,
將netscreen設置為透明模式,這樣,netscreen設備就相當於一個交換機。
注意:netscreen的管理位址必須是企業局域網同一網段的位址!
設置VLAN1
set interface vlan1 ip 1.1.1.1/24
set interface vlan1
manage telnet
set interface vlan1
manage ping
set interface vlan1
manage web
設置介面:
Set interface eth1 ip
0.0.0.0/0
Set interface eth1
zone v1-trust
Set interface eth3 ip
0.0.0.0/0
Set interface eth3
zone v1-trust
設置區段:(必須先設置完區段才允許WEB登陸)
Set zone v1-trust
manage telnet
Set zone v1-trust
manage ping
Set zone v1-trust
manage web
設置位址:
Set address v1-trust
ftp_server 1.1.1.5/32
Set address v1-trust
mail_server 1.1.1.10/32
設置路由:(為了以後設置VPN才設置的路由,否則是不用的)
set vrouter trust-vr
route 0.0.0.0/0 interface vlan1 gateway
1.1.1.250/24 metric 1
設置策略:
Set policy from
v1-trust to v1-untrust any any any permit
Set policy from
v1-untrust to v1-trust any ftp_server ftp-get permit
Set policy from
v1-untrust to v1-trust any mail_server smtp permit
save
修改管理埠號:
Set admin telnet port
4646
Set admin http port
5555