Juniper SSG5 透明模式



Juniper SSG5 透明模式:

L2 模式 (透明模式)
該介面通常在路由模式或 L3 模式下用作 NAT 模式。
它還可以用作 L2 模式 (透明模式), 它使用所有介面作為同一段。
要使其作為透明模式工作, 請將 IP 位址設置為不分配給所有介面。
而且只有在這種透明模式下, 您才能使用 Vlan1 進行管理並為其分配一個 IP 位址。

L2 模式中使用時, 預設存在的區域是 "V1-untrustV1-DMZV1-trust"
. V1 開始的區域的名稱。 當管理員定義一個 L2-mode 區域時, 它從 L2 開始
設置區功能變數名稱稱。 然後, 將您在介面中創建的區域分配為與 L3 模式相同的思想。
* 即使 SSG L2 模式下運行, 生成樹也不能工作。 接收的 BPDU 將按目前的那樣傳輸。
創建使用者定義的 L2 區域 (如果僅使用預設區域, 則不設置)
設置區功能變數名稱稱區域 L2
設置示例: Layer2 區域 "L2-test1" (用於 L2 區域創建, L2-prefixed 名稱)
set zone name zone L2

VLAN 1 介面
L2 模式下, VLAN 1 介面用於將 IP 位址劃分為管理訪問。
VLAN 1 是可以從任何透明區域 (L2 區域) 訪問的邏輯介面。 在 L2 模式下,
SSG 的管理訪問為每個物理介面設置或為地區設定。
如果為物理 i/o 和地區設定了管理存取權限, 則設置為物理 i/o 的內容是首選和繼承的。
* 當然, VLAN 1 介面上必須啟用管理訪問, 作為 omoto
Vlan1 介面屬於 VLAN 區域。 VLAN 區域不是安全區域。
VLAN1 i/o 不需要策略, 因為它們是跨不同安全區域應用的。

設置 L2 模式 (透明模式)
IP 位址刪除
未設置介面介面 IP
配置示例: 已刪除 Bgroup0 ethernet0/0 IP 位址
 SSG5-> unset interface bgroup0 ip
 SSG5-> unset interface ethernet0/0 ip
透明區域分配
設置介面區域區域
只有通過將透明區域分配給單個介面 (具體取決於模型或版本), 才會顯示 "更改為 L2/L3 混合模式"
為了使 SSG 作為 L2 模式運行, 必須將透明區域分配給所有介面。 分配給所有人後,
改為純 L2 模式, 完成向 L2 的過渡。 獲取系統以透明模式顯示系統。
設置示例: V1-trust 分配給 bgroup0 設置 ethernet0/0 以分配 V1-untrust
 SSG5-> set interface bgroup0 zone V1-Trust
 SSG5-> set interface ethernet0/0 zone V1-Untrust
管理介面設置
設置介面 Vlan1 IP 位址/遮罩
* 設置介面 Vlan1 位址如果您想單獨設置管理 ip 位址的 ip 位址
配置示例: "192.168.0.100" 分配給 VLAN 1 的管理介面
 SSG5-> set interface vlan1 ip 192.168.0.100/24
啟用管理服務
配置示例: 設置為啟用所有管理服務
 SSG5-> set interface vlan1 manage
設置示例: PINGWeb 訪問、僅啟用 Telnet 訪問
 SSG5-> set interface vlan1 manage ping
 SSG5-> set interface vlan1 manage web
 SSG5-> set interface vlan1 manage telnet
啟用每個區域的管理訪問
設置區域區域管理服務
 set zone zone manage service
設置示例: V1-trust 區域中啟用 Ping/web/telnet 管理訪問
 SSG5-> set zone V1-Trust manage ping
 SSG5-> set zone V1-Trust manage web
 SSG5-> set zone V1-Trust manage telnet
廣播設置 (可選)... 基本上, 預設值不是問題。

如果 Mac 表中沒有條目, 則將原始資料包分派給所有透明模式 i/f (預設設置除外)
 SSG5-> set interface vlan1 broadcast flood
如果 Mac 表中沒有條目, ARP 請求將發送到除接收的 i/o 之外的所有介面。
 SSG5-> set interface vlan1 broadcast arp
創建策略
 set policy [ id number ] from zone to zone source-address dest-address service [ deny | permit | reject ]
設置示例: 設置為允許從 V1-trust 區域到 V1-untrust 區域的所有通信
 SSG5-> set policy from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit

要檢查透明模式的命令
説明
get interface
 驗證介面是否為 L2 模式 (透明) mode xparent
get arp
 已使用 L2 模式和 L3 模式檢查 ARP 快取。 按區功能變數名稱稱以 L2 模式顯示。
get mac-learn
 檢查 MAC 位址表。
get session
 檢查會話表。 可以在 L2 模式和 L3 模式下檢查的命令。
* 如果要在 L3 模式 bgroup0 中檢查 mac 位址表, 可以檢查 " get int bgroup0 mac-table" 命令。


要阻止所有第2層的非IP和非ARP資訊流,包括組播和廣播資訊流,請輸入 unset interface vlan1 bypass-non-ip-all
允許所有第二層的非IP資訊流通過:set interface vlan1 bypass-non-ip-all
要恢復設備的缺省行為:unset interface vlan1 bypass-non-ip-all
其中阻止所有的第二層非IP資訊流通過覆蓋缺省的行為。
如果先阻止所有,那麼如果要恢復缺省的,就必須先允許所有通過!也就是:
set interface vlan1 bypass-non-ip
unset interface vlan1 bypass-non-ip

實驗環境:內部一台PC,接到netscreeneth1,企業局域網為10.0.XX.XX, netscreen設置為透明模式,這樣,netscreen設備就相當於一個交換機。
注意:netscreen的管理位址必須是企業局域網同一網段的位址!
設置VLAN1
set interface vlan1 ip 1.1.1.1/24
set interface vlan1 manage telnet
set interface vlan1 manage ping
set interface vlan1 manage web
設置介面:
Set interface eth1 ip 0.0.0.0/0
Set interface eth1 zone v1-trust
Set interface eth3 ip 0.0.0.0/0
Set interface eth3 zone v1-trust
設置區段:(必須先設置完區段才允許WEB登陸)
Set zone v1-trust manage telnet
Set zone v1-trust manage ping
Set zone v1-trust manage web
設置位址:
Set address v1-trust ftp_server 1.1.1.5/32
Set address v1-trust mail_server 1.1.1.10/32
設置路由:(為了以後設置VPN才設置的路由,否則是不用的)
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250/24 metric 1
設置策略:
Set policy from v1-trust to v1-untrust any any any permit
Set policy from v1-untrust to v1-trust any ftp_server ftp-get permit
Set policy from v1-untrust to v1-trust any mail_server smtp permit
save
修改管理埠號:
Set admin telnet port 4646
Set admin http port 5555

這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

查理王的電腦部落格-首頁