瞻博-Juniper-SSG系列之PBR(策略路由)配置终结篇

各位,好

这一个周末似乎过的非常快,因为有太多客户的售后问题需要积极的配合处理,总之,工程师专职做好技术的时代已经一去不复返了,很多时候我们要担任太多原厂的角色,而且不仅仅只是华为、华三、思科。

此篇分享中,也集中比对了华为的配置思路、山石网科防火墙的配置思路,有利于大家触类旁通,花各位几分钟研读,也非常欢迎多多斧正,今天给大家分享的一个配置实例是30岁左右的网工非常喜欢的系列,Juniper-SSG系列的策略路由配置实例。该场景在企业级组网中经常使用,所以务必请大家多多拍砖,万分感谢

演示环境

固件版本: 6.2.0r6.0 (Firewall+VPN)

设备型号:SSG-320

演示拓扑:

LAB-需求:

  1. SSG接入双ISP接入商,VPN使用CTC线路与上海各区域建立ipsec-vpn
  2. SSG为网关角色,并使用策略路由完成特定流量(114.102的主机)调整(缺省指向BGP出口)为CTC出口。

LAB-网络规划:【这里在测试环境,可能让大家会有所疑问】

  1. BGP测试公网:172.16.102.0/24【等同于:114.1.1.100/24】
  2. CTC测试公网:172.16.103.0/24【同上】
  3. 内网:172.16.114.0/24【等同于:192.168.1.0/24】

当前PC-A的到公网的路由跟踪图如下:

试用场景:

  1. 如本章介绍,适用在多网络接入商的场景
  2. 部署在内网,上游存在多个防火墙设备或waf设备、负载设备等,需要在特定的流量进行调整的网关设备上
  3. 第三方运营商,PBR在这个场景中用于保证电信、联通等原进原出
  4. 旁挂DDOS检测设备,流量重定向等(这个技能要求略高以后详细聊)

好了,不多解释了,我们直接上菜。

SSG-web-ui的初始化配置比较基础这里就不详细赘述,如果需要,麻烦留言,笔者日后给大家补上。

一、选择 network---routing---pbr---extended acl list,点击new添加:

Extended acl id:acl编号

Sequence No.:条目编号

源地址:172.16.114.0/24

目的地址:0.0.0.0/0

Protocol:选择为any

端口号选择为:1-65535

IP-TOS(1-255):这里省略,日后给大家介绍

点击ok,输出结果如下:

注释:

这一步相当于华为交换机PBR配置的的定义ACL,这里SSG配置定义102的这台主机,参考如下:

acl 3001

rule permit ip source 103.1.1.1 0.0.0.0 destination any

rule permit ip source 114.1.1.0 0.0.0.255 destination any

二、建立match group:输出参考图如下,类似(山石的match id 和华为交换机PBR策略中的 if match)

Match group的作用就是关联acl

确认输出如下:(万恶的水印,它把ok挡住了,注意这里没有其他的选项了,直接确认即可)

注释:

相当于华为PBR配置的参考实例:

traffic classifier PBR operator and

 if-match acl 3001

相当于山石网科PBR配置的参考实例:

pbr-policy "115.102" vrouter "trust-vr"

  match id 1

    src-ip 172.16.115.102/32

    dst-ip 0.0.0.0/0

    service "Any"

    nexthop 172.16.105.1

    schedule "any"

三、配置action group -【类似很多设备的配置,华为的traffic behavior、思科的set ip next-hop、山石match id里面nexthop】

network---routing---pbr---action group,点击add:

注释:

在这里指定下一跳接口或地址,华为、山石、华三配置窗口就不一一介绍了,会玩PBR的,都懂这是啥。

ok输出结果如下:

四、配置policy,(这个就类似华为的traffic policy 关联class 和 behavior的配置)

1、network---routing---pbr---policy,点击add

将刚建立的访问电信1.0.0.0/8的match group和action group绑定

注释:

相当于华为PBR的配置参考:

traffic policy PBR 

 classifier PBR behavior PBR

ok输出结果如下:

五、配置policy binding,【类似思科、华为在接口上挂载pbr】

network---routing---pbr---policybinding,点击add

配置好的policy(pbr_trust)应用到trust的物理接口上,注意这里设备没有强调是in还是out。只是强调了是否绑定,至于哪里可以区别in和out,我们进行抓包就发现,他是基于in方向来控制的,和常规的三层交换机都是一个机制。

另:我们可以看到SSG的防火墙,他可以基于全局trust-vr去绑定或者zone绑定又或者物理接口去绑定。总之有三种绑定的方式,大家请务必留意这个细节。

点击图中箭头指向的N/A,输出如下:

注释:

相当于华为的PBR配置参考:

interface GigabitEthernet0/0/5

 description E4S5700-G0/0/5-app3-Eth1

 port link-type trunk

 port trunk allow-pass vlan all

 traffic-policy PBR inbound

到这里配置结束,可以进行最后的测试了。

这里我再贴一次配置前的的路由跟踪图:

以下为配置后的路由跟踪图:

大家是不是觉得我的测试环境有点biantai了,前面的路由怎么这么多跳,这个是我故意做出来给团队中其他成员排错的测试环境,很多时候我们容易忽略排错的思路,仅仅关注如何配置。这个是做网工的大忌,所以请大家一定要注意,排错和反复的调试在工作中至关重要。

——————————————来自一家上海二级运营商的网工分享

时间: 2024-08-01 22:47:25

瞻博-Juniper-SSG系列之PBR(策略路由)配置终结篇的相关文章

Juniper-SSG系列之子接口(单臂路由)配置终结篇

子接口到底是什么东东,咋回事?我这里就过多的解释,如果不懂单臂路由,请自行"补功课",这样才会更容易理解SSG系列当中配置细节和问题. 说下需求,在常见的企业组网当中,不少有一些"不专业"的网工和网管做一些简单粗暴的组网,比如交换机全部当纯二层傻瓜使用,所有的网关均在出口设备上,在以往的接触当中和客户的改网项目经验中,其中发现不少有这类情况,所以在这里,完完全全的需要本着一个专业的态度聊SSG的部署. 好了,不多废话,直接上菜. 如下图: 子网需求: 分多个业务网段

Juniper SSG系列防火墙ScreenOS的IPsec VPN

自己之前的手记, Route-Based Site-to-Site VPN, AutoKey IKE 2端都是固定IP的 BO1是分公司1,HO是总公司 BO1 # 定义隧道 set interface "tunnel.1" zone "Untrust" # 端口自己看着办 set interface tunnel.1 ip unnumbered interface ethernetXX/XX # 定义IP组及IP set address "Untrust

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN

背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21. IPSEC介绍:ipsec-vpn也分路由模式和策略模式.我们这里使用的是策略模式. 俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于路由的

hbase源码系列(十五)终结篇&Scan续集-->如何查询出来下一个KeyValue

这是这个系列的最后一篇了,实在没精力写了,本来还想写一下hbck的,这个东西很常用,当hbase的Meta表出现错误的时候,它能够帮助我们进行修复,无奈看到3000多行的代码时,退却了,原谅我这点自私的想法吧. 在讲<Get.Scan在服务端是如何处理?>当中的nextInternal流程,它的第一步从storeHeap当中取出当前kv,这块其实有点儿小复杂的,因为它存在异构的Scanner(一个MemStoreScanner和多个StoreFileScanner),那怎么保证从storeHe

Juniper-SSG-Netscreen系列之高可用CLI配置终结篇

首先,进行理论扫盲,各位要先了解HA它是干嘛的.以及和其他产生的高可用是否有相似的地方,不多说.往下看即可. Juniper-netscreen os HA高可用性配置 HA Netscreen公司的NSRP协议是juniper 公司基于VRRP协议规范自主开发的协议,防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务的访问需求,要求网络防火墙设备必须具备高可靠性,能够在设备,链路及其互联设备出现故障的情况下,提供网络访问之间的无缝切换 NSRP功能

Juniper-SSG系列之MIP-VIP配置终结篇

第一步,登录netscreen的webui,找到network-interface-edit,如下图. 第二步,进入eidt模式,点击左上mip,进入到mip的配置界面 第三步,mip配置界面如下. 第四步:确认ok,输入如下所示: Mapped ip :运营商分配的公网地址 Host ip:内网真实地址 Netmask:子网掩码(默认即可) Host virtual router name:主机虚拟路由器(默认即可) 这个时候,MIP的映射关系就已经做好了.剩下的只需在策略里面放行. 第五步:

Juniper-HA SSG系列cluster-id 稀缺问题的解决办法

Juniper-HA SSG系列cluster-id 稀缺问题的解决办法. http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/Cluster-ID-issue-on-ssg140/m-p/15312//true (来自瞻博官方技术员的解答) By default, NSRP will support up to 8 cluster id's and 8 VSD's.  As noted in the previous entry, y

分公司网络建设---Juniper 设备策略路由配置

分公司网络建设---Juniper网络设备策略路由配置 分公司的网络建设,内网通过ospf实现路由访问,防火墙连接外网和录音平台,流量访问要实现明细化,即访问平台的流量通过平台的专线,访问外网的流量通过单独的外网专线,网关启用在核心交换机上,要实现该需求,就要通过静态路由和策略路由来控制. 网络拓扑图如下:     在核心交换机上配置去往外网和录音平台的静态路由,流量防火墙后,通过静态路由分别访问各自的目的地址:但是在防火墙上回包流量需要通过策略来分流,如图红线为访问录音平台的流量,黑线为访问外

juniper ssg 常用命令

netscreen juniper ssg操作命令 2013年4月10日 命令行下取得配置信息 get config 命令行下取得相应时间设置 get clock set vrouter trust-vr sharable 设置虑拟路由器trust-vr可以为其他VSYS系统共享 set vrouter "untrust-vr"                                /设置虚拟路由器 set vrouter "trust-vr"