JuniperSSG140运用PBR完成双线路接入51CTO博客 - 牛牛娱乐

JuniperSSG140运用PBR完成双线路接入51CTO博客

2019年03月01日10时17分19秒 | 作者: 宛亦 | 标签: 线路,微软,雅黑 | 浏览: 2551

    公司一向运用电信10M线路用于拜访互联网,一起基于此线路与各个子公司树立***传输事务数据,近期新增了一条10M联通线路用于流量分流,要求在不调整电信线路的基础上完结:

1.***流量仍旧经过电信线路进行处理

2.总公司内部网段可以正常互访

3.总公司10网段互联网流量经过联通转发,90网段互联网流量经过电信转发

因出口运用的是SSG140查询相关材料后预备运用PBR功用完结此需求,拓扑图如下:

PBR(Policy Basic Routing)功用是指根据特定的战略将契合战略规范的数据包依照指定的路由进行转发,可以根据源地址、源端口、协议、意图地址、意图端口等规范进行转发。而不契合战略的流量就依照默许的路由表进行转发,OK,let’s go!

一、 装备联通线路接入

联通线路接入到SSG140的E0/7端口,因而需求在此端口上装备联通的公网IP、作业形式等信息,WEB登陆后挑选NetworkàInterfaceàEthernet0/7,装备如下:

补白:Ethernet0/7端口绑定到Untrust区域

二、 装备PBR功用

PBR功用的完结需求顺次装备EACL/Match_GROUP/Active_Group/Policy/Binding等内容,下面开端一步步的进行装备:

1.EACL是界说契合战略的元素,比方源地址、意图地址等,依照咱们的需求在这儿树立2个EACL。

EACL1:内部流量,即意图地址是10、90、172段的流量

EACL2:10段拜访互联网的流量,即从源地址10到0.0.0.0的流量

因为90段的流量默许是经过电信线路进行转发,所以咱们这儿无需为90段创立EACL

WEB登录防火墙定位到Network > Routing > PBR > Extended ACL List 创立EACL,如下图:

补白:创立EACL时要挑选创立到trust-vr路由表中

2.创立Match Group,因为EACL中包括很多条记载且运用数字进行命名,不便于辨认,所以运用更便于辨认的Match Group来标明。咱们也只需创立2个MatchGroup,Intranet用于匹配内部流量的EACL,Internet-LT匹配10段的公网流量。点击Network > Routing > PBR > Match Group List装备,如下图:

3.创立ActionGroup,它的作用是指定数据包的处理方式,也就是怎么路由转发数据,关于10段的公网流量直接转至联通线路,即E0/7接口;关于内部流量则无需指定处理方式,防火墙会依照默许路由表进行处理,点击Network > Routing > PBR > Action Group List装备,如下图:

4.创立战略,战略是将前面过程中创立的MatchGroup和ActiveGroup相关起来,也就完结了将契合EACL的数据包依照指定的ActionGroup进行处理。需求留意的是,一个战略集当中会包括多条战略,而战略的履行是依照ID巨细从上到下开端履行,所以要将内部流量的战略放在最上面。点击Network > Routing > PBR > Policy List进行装备,如下图:

5.绑定战略,这儿完结的是怎么让现已创立好的战略收效,只需战略收效往后数据包才会依照咱们的需求被转发。战略可以绑定到接口、安全区域、虚拟路由等当地,咱们这儿选绑定到接口,即10段地点的接口E0/0,点击Network > Routing > PBR > Policy Binding装备,如下图:

至此,咱们完结了PBR功用的各项设置,现在开端检测数据是否依照咱们的要求被处理

三、 验证成果

1.***流量是否是经过电信线路处理

因为***是经过电信线路树立的,而咱们并没有在联通线路上树立***通道,所以只需内部网段可以正常的拜访***衔接的子公司,那么***流量就是正常的。

咱们分别从90和10段主机上Ping子公司地点的网段,如下图:

2.总公司内部网段能否互通,经过在90段主机上Ping10段IP,正常经过

3.10段和90段公网流量是否走对应的线路?咱们分别在10和90段挑选一台主机登录到IP138.COM查询它的公网IP,如下图:

10段主机:

90段主机:

 

 

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表牛牛娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章