您的位置:360文档中心› juniper Netscreen防火墙策略路由配置

juniper Netscreen防火墙策略路由配置

Juniper 防火墙策略路由PBR配置手册

工程师:王恒

2009年3月24日

电话:027-********,87315781 目 录

一、网络拓扑图............................................................................- 3 -

二、建立extended acl .................................................................- 3 -

三、配置match group:..............................................................- 6 -

四、配置action group .................................................................- 7 -

五、配置policy ............................................................................- 8 -

六、配置policy binding:............................................................- 9 -

七、配置访问策略........................................................................- 9 -

电 话:027-********,87315781

一、网络拓扑图

要求:

1、默认路由走电信;

2、源地址为192.168.1.10的pc 访问电信1.0.0.0/8的地址,走电信,访问互联网走网通。

二、建立extended acl

1、选择 network---routing---pbr---extended acl list,点击new 添加:

电 话:027-********,87315781

Extended acl id:acl 编号 Sequence No.:条目编号 源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol :选择为any 端口号选择为:1-65535 点击ok :

2、点击add seg No.再建立一条同样的acl ,但protocol 为icmp ,否则在trace route 的时候仍然后走默认路由:

电 话:027-********,87315781

3、建立目的地址为0.0.0.0的acl :

切记添加一条协议为icmp 的acl

电 话:027-********,87315781 命令行:

set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10

set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20

set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10

set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol icmp entry 20

三、配置match group :

1、network---routing---pbr---match group ,点击add :

Match group 的作用就是关联acl 按照同样的方法将两个acl 进行关联:

电 话:027-********,87315781

命令行:

set match-group name group_10

set match-group group_10 ext-acl 10 match-entry 10 set match-group name group_20

set match-group group_20 ext-acl 20 match-entry 10

四、配置action group

1、network---routing---pbr---action group ,点击add :

在这里指定下一跳接口和地址。配置访问电信1.0.0.0/8的下一跳地址。

电 话:027-********,87315781 继续配置访问网通的下一跳路由地址:

五、配置policy

1、network---routing---pbr---policy ,点击add :

将刚建立的访问电信1.0.0.0/8的match group 和action group 绑定。

点击 Add Seg No.,添加访问网通的策略:

电 话:027-********,87315781 命令行:

set pbr policy name pbr_trust

set pbr policy pbr_trust match-group group_10 action-group action_10 10 set pbr policy pbr_trust match-group group_20 action-group action_20 20

六、配置policy binding :

1、network---routing---pbr---policybinding ,点击add :

将配置好的policy (pbr_trust )应用到trust 接口上

命令行:

set interface ethernet0/0 pbr pbr_trust

七、配置访问策略

相关主题
相关文档
最新文档