juniper防火墙配置失误导致断网

我所在的公司用的是juniper srx 550防火墙。个人感觉juniper的设备还是很人性化的。一些常用配置都比较容易理解,比如说NAT ,ACL等。

因为业务需要,我要在防火墙上启懂dy-vpn ,就是动态VPN。在网上找了很久,就只能扎到SRX240的一个案例。只能先对照着试一下。结果发现确实有配置不一致的地方。只能摸索着调试。不凑巧的是我调试的设备是生产环境,更不凑巧的是我调试出了问题,导致部分网络中断,之后又莫名其妙的无法管理设备,在之后的一个下午设备各种网络不稳定,在之后的晚上设备居然自己宕机了。不知道大家有没有感觉到我的悲哀。

写这个博客不是想和大家讨论技术,执行想告诉大家,别在生产环境做任何没把握的测试,否则就是在给自己找事。不得已要在生产环境上测试,也要配置一点,生效一点,检查一点,千万别都配置好之后一次全部生效,这样出了问题很难排查。最后和大家共勉,继续努力吧,未来的路着实的不平坦。

时间: 2024-10-10 05:12:57

juniper防火墙配置失误导致断网的相关文章

记一次因网络配置失误导致的事故

我今年接手公司网络管理维护工作,按照集团要求在今年6做完网络标准化改造,包括升级至集团MPLS VPN专线路由器,添加链路负载设备,互联网防火墙,准入设备,IPS,更换下联区域防火墙等,所有设备均为双机部署,热备或冷备. 在下联区域采用HillStone E2860 防火墙替换之前使用的绿盟NF-NX3下一代防火墙. 其中eth0/2电口作为移动汇聚专线,即将各个分子公司.银行.银联至我司大楼MPLS VPN专线转化为VLAN,在移动公司做汇聚,再从移动公司汇聚为一条多VLAN汇聚专线至我司.再

一次安全狗参数配置导致断网的解决过程

以前公司运维给服务器上安装了安全狗软件,我接手服务器后,也没有管它. 近期公司有个php商城网站要上线.晚上我就准备ab压力测试一下. 刚开始压测,发现xshell与nginx服务器的连接断开了,怎么都连不上去.但是处在同一个网段的其它服务器还能正常连接(全部服务器都放在同一个防火墙后面的,然后做NAT映射出去的).从其他node上ping nginx服务器可以ping通,telnet也是通的,说明服务器没挂掉,那估计是防火墙在作祟. 从其它节点ssh连接到nginx服务器上,登录进去后先把防火

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN

背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21. IPSEC介绍:ipsec-vpn也分路由模式和策略模式.我们这里使用的是策略模式. 俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于路由的

kali---arpspoof局域网断网攻击arpspoof: couldn't arp for host

fping -asg 192.168.0.100/24     查看局域网中存活的主机 先ping一下目标主机,看是否ping得通 要攻击需要知到目标ip,网关(网关是啥?),本机网卡(eth0). arpspoof -i eth0 -t 目标IP 网关 ps:如果出现arpspoof: couldn't arp for host ,要把虚拟机设置成桥接,或者关闭目标防火墙. kali---arpspoof局域网断网攻击arpspoof: couldn't arp for host

dubbo连接zookeeper注册中心因为断网导致线程无限等待问题

最近维护的系统切换了网络环境,由联通换成了电信网络,因为某些过滤规则导致系统连不上zookeeper服务器(应用系统机器在深圳,网络为电信线路,zookeeper服务器在北京,网络为联通线路),因为我不是运维人员也不懂运维相关的技术,所以排查了很久也不知道原因,最后无奈之下把深圳这边的网络切回了联通,系统恢复正常. 但是因为本次事故体现了一个很严重的问题,即当zookeeper注册中心连不上时dubbo的线程会无限等待,因为系统有一些定时任务会比较频繁地开启新线程连接dubbo,所以导致的结果是

juniper防火墙基于路由的IPsec VPN配置

一.环境说明 北京公司需要和上海分公司建立安全通信的VPN,便于北京总公司与上海分公司资源共享安全. 需建立两条子网通道规划地址如下: 北京总公司地址规划: 外网接口地址:218.23.23.23/24 内部VLAN地址:10.0.0.0/24  10.0.1.0/24 上海分公司地址规划: 外网接口地址:218.241.241.23/24 内部VLAN地址:172.173.0.0/24  172.173.3.0/24 二.开始配置IPsec VPN 北京总公司配置: 配置外网接口地址为非信任区

Juniper防火墙映射配置应用场景变异

Juniper防火墙映射配置应用场景变异   背景: 二级单位下面有多个子单位,子单位与二级单位是通过专线连接,子单位的任何服务都可以在二级单位访问基层,现在某基层单位有个WEB服务,其他基层单位需要访问该WEB,如图:基层单位B中的终端PC要访问基层单位C中的WEB服务. 工具/原料 公司有Juniper防火墙: 原理介绍: Juniper的MIP是"一对一"的双向地址翻译(转换)过程.通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地

Linux防火墙配置—访问外网WEB

一.实验目标 1.本次实验在"Linux基础网络搭建实验"的基础上,在外网虚拟机上搭建WEB服务,并分别配置外网和网关的防火墙规则,使内网能够访问WEB服务 2.Linux基础网络搭建实验:http://www.cnblogs.com/liaoyuanyang/p/6749416.html 3.实验拓扑: 二.实验步骤 1.建立如图所示的网络拓扑结构,内外网联通,网关防火墙也暂时关闭 2.外网测试主机配置 (1)配置本地Yum源(参考:http://www.cnblogs.com/li

配置NAT回流导致外网解析到了内网IP

单位有3个域名,用量很大,2014年开始本人研究部署了Bind+DLZ +Mysql的三机智能多链路DNS,非常好用,优点是: 1.使用Mysql管理记录,配置.管理.查询方便. 2.自动判断运营商,返回指定IP,实现智能多链路.目前我们单位有电信.移动.教育网专线和固定IP,通过Bind的View,判断请求源IP自动返回对应运营商的服务IP.很好很强大也很实用. 3.根据配置自动为内网分配对应的运营商解析...我单位内网用户较多,有一个不少见的需求,内网部分用户要使用电信专线.部分用户要使用移