1、路由實例

企業(yè)建站必須是能夠以充分展現(xiàn)企業(yè)形象為主要目的，是企業(yè)文化與產(chǎn)品對外擴展宣傳的重要窗口，一個合格的網(wǎng)站不僅僅能為公司帶來巨大的互聯(lián)網(wǎng)上的收集和信息發(fā)布平臺，創(chuàng)新互聯(lián)面向各種領(lǐng)域：建筑動畫等網(wǎng)站設(shè)計、成都全網(wǎng)營銷解決方案、網(wǎng)站設(shè)計等建站排名服務(wù)。

路由實例是路由表、接口和路由協(xié)議參數(shù)的集合。通過設(shè)置接口及路由協(xié)議各種參數(shù)可以形成路由實例的路由表。

每個路由實例都有自己的實例名稱，并且各自維護一張獨立的路由表。

全局路由其實也是一個路由實例，其實例名稱為inet.0。

2、普通靜態(tài)策略路由（只做策略，不作NAT轉(zhuǎn)換）

設(shè)置包括如下步驟：

1）設(shè)置應(yīng)用接口子接口，定義為服務(wù)區(qū)域的入接口/出接口

2）定義路由實例，實例類型為forwarding，實例路由表

3）定義過濾器firewall filter

4）定義接口路由組rib-group；

5）將接口路由組導入到全局路由表及路由實例的路由表中；

6）在內(nèi)網(wǎng)接口應(yīng)用過濾器filter

3、做NAT的靜態(tài)策略路由（既做策略又做NAT轉(zhuǎn)換）

注意：

1）該情況下需要試用virtual-router類型的路由實例

2）每個virtual-router維護一張獨立的路由表

配置實例拓撲圖

達到目的：

默認內(nèi)網(wǎng)主機上網(wǎng)走CNC 2M鏈路訪問公網(wǎng)，指定的PC走CNC 50M鏈路訪問外網(wǎng)

實現(xiàn)思路：

默認內(nèi)網(wǎng)所有主機通過全局路由表inet.0走CNC 2M鏈路出局訪問公網(wǎng)，部分指定的PC通過Juniper SRX的FBF路由策略走路由實例的路由表出局訪問公網(wǎng)

設(shè)置步驟如下：

1）定義服務(wù)區(qū)域zone

配置示例：

set security zones security-zone lt host-inbound-traffic system-services all

set security zones security-zone lt host-inbound-traffic protocols all

2）設(shè)置應(yīng)用接口子接口，定義為服務(wù)區(qū)域的入接口/出接口

配置示例：

set security zones security-zone lt interfaces ge-0/0/2.0 host-inbound-traffic system-services all

set security zones security-zone lt interfaces ge-0/0/2.0 host-inbound-traffic protocols all

3）定義路由實例，路由實例數(shù)量可根據(jù)接入的ISP線路數(shù)量來定義。實例類型為virtual-router，VR的虛擬接口，VR的路由表

配置示例：

set routing-instances CNC50M instance-type virtual-router

set routing-instances CNC50M interface ge-0/0/2.0

set routing-instances CNC50M routing-options static route 0.0.0.0/0 next-hop XX.XX.XX.XX  ##指向ISP提供的公網(wǎng)網(wǎng)關(guān)

4）定義NAT的相關(guān)映射rule-set、rule，策略policy、address-book、application等

√Source NAT的rule-set 配置示例：

set security nat source rule-set CNC50M-snat-internet from zone trust

set security nat source rule-set CNC50M-snat-internet to zone lt

set security nat source rule-set CNC50M-snat-internet rule CNC50M-inside-to-outside match source-address 0.0.0.0/0

set security nat source rule-set CNC50M-snat-internet rule CNC50M-inside-to-outside match destination-address 0.0.0.0/0

set security nat source rule-set CNC50M-snat-internet rule CNC50M-inside-to-outside then source-nat interface

√ 策略policy 配置示例：

set security policies from-zone trust to-zone lt policy CNC50M-snat-internet match source-address CBGZ-out-norestrict

set security policies from-zone trust to-zone lt policy CNC50M-snat-internet match destination-address any

set security policies from-zone trust to-zone lt policy CNC50M-snat-internet match application any

set security policies from-zone trust to-zone lt policy CNC50M-snat-internet then permit

set security policies from-zone trust to-zone lt policy CNC50M-snat-internet then log session-init

set security policies from-zone trust to-zone lt policy CNC50M-snat-internet then log session-close

5）定義過濾器filter

配置示例：

set firewall family inet filter filter-1 term LAN_term from destination-address 172.16.0.0/16

set firewall family inet filter filter-1 term LAN_term from destination-address 172.20.0.0/16

set firewall family inet filter filter-1 term LAN_term from destination-address 192.168.0.0/16

set firewall family inet filter filter-1 term LAN_term then accept     ##允許內(nèi)網(wǎng)PC互訪，不作以上配置將會導致網(wǎng)關(guān)為此防火墻內(nèi)網(wǎng)接口的PC無法訪問內(nèi)網(wǎng)其他PC。

##指定的PC從CNC 50M鏈路出局訪問公網(wǎng)

set firewall family inet filter filter-1 term CNC50M_term from source-address 172.16.29.25/32

set firewall family inet filter filter-1 term CNC50M_term from source-address 172.16.29.251/32

set firewall family inet filter filter-1 term CNC50M_term from source-address 172.16.28.166/32

set firewall family inet filter filter-1 term CNC50M_term from source-address 172.16.28.137/32

set firewall family inet filter filter-1 term CNC50M_term from source-address 172.16.28.139/32

set firewall family inet filter filter-1 term CNC50M_term from source-address 172.16.28.138/32

set firewall family inet filter filter-1 term CNC50M_term then routing-instance CNC50M

set firewall family inet filter filter-1 term default then accept ##對于filter的其他數(shù)據(jù)，采取默認動作accept（接受）

6）定義接口路由組

配置示例：

set routing-options interface-routes rib-group inet INSIDE

7）將接口路由組導入到全局路由表及實例的路由表中

配置示例：

set routing-options rib-groups INSIDE import-rib inet.0

set routing-options rib-groups INSIDE import-rib CNC50M.inet.0

set routing-options rib-groups INSIDE import-rib default.inet.0

8）在內(nèi)網(wǎng)接口應(yīng)用相應(yīng)的過濾器filter

set interfaces ge-0/0/0 unit 0 family inet filter input filter-1

4、普通靜態(tài)策略路由與NAT轉(zhuǎn)換的策略路由之間的區(qū)別

路由實例類型不同：

普通靜態(tài)策略路由類型：forwarding

NAT轉(zhuǎn)換的策略路由類型：virtual-router

參考鏈接：http://www.docin.com/p-598358767.html

名稱欄目：JuniperSRX策略路由總結(jié)
本文地址：http://m.2m8n56k.cn/article48/jdsihp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、用戶體驗、網(wǎng)站排名、微信小程序、云服務(wù)器、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)