JuniperSSG140使用PBR实现双线路接入
来源:互联网 发布:php输出当前时间戳 编辑:程序博客网 时间:2024/06/07 06:54
转载:http://active.blog.51cto.com/1100981/1119894/
公司一直使用电信10M线路用于访问互联网,同时基于此线路与各个子公司建立VPN传输业务数据,近期新增了一条10M联通线路用于流量分流,要求在不调整电信线路的基础上实现:
1.VPN流量依旧通过电信线路进行处理
2.总公司内部网段能够正常互访
3.总公司10网段互联网流量通过联通转发,90网段互联网流量通过电信转发
因出口使用的是SSG140查询相关资料后准备使用PBR功能实现此需求,拓扑图如下:
PBR(Policy Basic Routing)功能是指依据特定的策略将符合策略标准的数据包按照指定的路由进行转发,可以依据源地址、源端口、协议、目的地址、目的端口等标准进行转发。而不符合策略的流量就按照默认的路由表进行转发,OK,let’s go!
一、 配置联通线路接入
联通线路接入到SSG140的E0/7端口,因此需要在此端口上配置联通的公网IP、工作模式等信息,WEB登陆后选择NetworkàInterfaceàEthernet0/7,配置如下:
备注:Ethernet0/7端口绑定到Untrust区域
二、 配置PBR功能
PBR功能的实现需要依次配置EACL/Match_GROUP/Active_Group/Policy/Binding等内容,下面开始一步步的进行配置:
1.EACL是定义符合策略的元素,比如源地址、目的地址等,按照我们的需求在这里建立2个EACL。
EACL1:内部流量,即目的地址是10、90、172段的流量
EACL2:10段访问互联网的流量,即从源地址10到0.0.0.0的流量
由于90段的流量默认是通过电信线路进行转发,所以我们这里无需为90段创建EACL
WEB登录防火墙定位到Network > Routing > PBR > Extended ACL List 创建EACL,如下图:
备注:创建EACL时要选择创建到trust-vr路由表中
2.创建Match Group,由于EACL中包含很多条记录且使用数字进行命名,不便于识别,所以使用更便于识别的Match Group来标示。我们也只需创建2个MatchGroup,Intranet用于匹配内部流量的EACL,Internet-LT匹配10段的公网流量。点击Network > Routing > PBR > Match Group List配置,如下图:
3.创建ActionGroup,它的作用是指定数据包的处理方式,也就是如何路由转发数据,对于10段的公网流量直接转至联通线路,即E0/7接口;对于内部流量则无需指定处理方式,防火墙会按照默认路由表进行处理,点击Network > Routing > PBR > Action Group List配置,如下图:
4.创建策略,策略是将前面步骤中创建的MatchGroup和ActiveGroup关联起来,也就实现了将符合EACL的数据包按照指定的ActionGroup进行处理。需要注意的是,一个策略集当中会包含多条策略,而策略的执行是按照ID大小从上到下开始执行,所以要将内部流量的策略放在最上面。点击Network > Routing > PBR > Policy List进行配置,如下图:
5.绑定策略,这里完成的是如何让已经创建好的策略生效,只有策略生效过后数据包才会按照我们的需求被转发。策略可以绑定到接口、安全区域、虚拟路由等地方,我们这里选绑定到接口,即10段所在的接口E0/0,点击Network > Routing > PBR > Policy Binding配置,如下图:
至此,我们完成了PBR功能的各项设置,现在开始检测数据是否按照我们的要求被处理
三、 验证结果
1.VPN流量是否是通过电信线路处理
由于VPN是通过电信线路建立的,而我们并没有在联通线路上建立VPN通道,所以只要内部网段能够正常的访问VPN连接的子公司,那么VPN流量就是正常的。
我们分别从90和10段主机上Ping子公司所在的网段,如下图:
2.总公司内部网段能否互通,通过在90段主机上Ping10段IP,正常通过
3.10段和90段公网流量是否走对应的线路?我们分别在10和90段选择一台主机登录到IP138.COM查询它的公网IP,如下图:
10段主机:
90段主机:
可以直接在百度输入IP,看看自己的外网IP就可判断访问外网走那条线。
本文出自 “OnMyWay” 博客,请务必保留此出处http://active.blog.51cto.com/1100981/1119894
- JuniperSSG140使用PBR实现双线路接入
- 服务器双线路接入技术常识解析
- 双线路接入(双网卡)
- 双线接入技术解密!
- cisco路由器PBR实现
- 使用双线性插值法放大图像(matlab实现)
- 双IP双线路实现方式 先来说说双线单IP和双线双IP的区别
- 使用双线性插值进行图像放大的实现
- Python双线程使用
- 全面分析IDC双线路实现技术方案
- 双网卡双ip实现双线路共用
- 使用JPBC实现双线性对加密算法(BasicIdent体制的java实现)
- 使用JPBC实现双线性对加密算法(BasicIdent体制的java实现)
- 双线程临界区实现
- 分析全国双线实现技术
- 双线性插值实现图像缩放
- 双线性插值(Matlab实现)
- 双线性插值原理与实现
- 解决magento中guest页面cookie保存时间过短问题
- 剑指offer01--二维排序数组查找元素
- Trie 树的操作
- 共同学习Java源代码--数据结构--ArrayList类(三)
- vs2012+win8.1+cloudcompare源码编译
- JuniperSSG140使用PBR实现双线路接入
- iOS CoreImage滤镜 图片处理效果
- SegmentFault 巨献 1024 程序员护卫队#1红岸的呼唤
- 获取Android设备上的所有存储设备
- 关于SQL Server 2008 安装提示"重新启动计算机失败"的解决办法
- vim中大小写转化
- Magento 获取当前货币和货币符How to get current currency in Magento
- nodejs MODEL层 封装(二)
- lua稀疏table转换为json