企業(yè)JUNIPER-SSG配置

                                                        Juniper-SSG系列之子接口（單臂路由）運(yùn)用

十余年的忻城網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。全網(wǎng)營銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整忻城建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)公司從事“忻城網(wǎng)站設(shè)計(jì)”,“忻城網(wǎng)站推廣”以來，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

一、網(wǎng)絡(luò)結(jié)構(gòu)

二、分析與預(yù)規(guī)劃
規(guī)劃如上圖↑
分析客戶目前暫定的拓?fù)浞桨?，?shí)現(xiàn)多vlan間通信。G0/0/48端口做成Trunk，理論上SW-A默認(rèn)只會(huì)讓10.10.0.X/24的主機(jī)過，Juniper防火墻Ping vlanif1-6都能到，這個(gè)是問題來了，只有10.10.0.x/24的主機(jī)，端口不做情況下就能到Juniper設(shè)備上。這時(shí)就能意識(shí)到，單臂路由的方向??！(^__^)

【單臂路由定義掃盲】
單臂路由（router-on-a-stick）是指在路由器的一個(gè)接口上通過配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式，實(shí)現(xiàn)原來相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通（這一次由于起子接口的設(shè)備上是Juniper設(shè)備，防火墻通過策略可以實(shí)現(xiàn)Vlan間互相獨(dú)立，若不做策略便是互聯(lián)互通）
優(yōu)點(diǎn)：實(shí)現(xiàn)不同vlan之間的通信，有助理解、學(xué)習(xí)VLAN原理和子接口概念。
缺點(diǎn)：容易成為網(wǎng)絡(luò)單點(diǎn)故障，配置稍有復(fù)雜，現(xiàn)實(shí)意義不大。

四、防火墻配置：
Web-UI上配置如下：
Step-1，下拉選擇Sub-IF

Step-2，填寫參數(shù)

set interface "ethernet0/1.1" tag 2 zone "Trust"
set interface "ethernet0/1.2" tag 3 zone "Trust" #在e0/1創(chuàng)建子接口并打上vlan標(biāo)簽
set interface ethernet0/1.1 ip 10.10.2.1/24 #IP配置
set interface ethernet0/1.1 nat
set interface ethernet0/1.2 ip 10.10.3.1/24 #IP配置
set interface ethernet0/1.2 nat
（PS：注意接口和區(qū)域，和Vlan tag，這里的10.10.2.1/24是SW-A的Vlanif2，所以這里要一一對(duì)應(yīng)起來， ），點(diǎn)擊-OK輸出如下圖

這里請(qǐng)各位留意，子接口一旦建立，默認(rèn)是UP，一旦主接口down，子接口也就down了。這樣一一對(duì)應(yīng)都建立好了之后，剛才vlan間的不能通信也順利完成了通信。測(cè)試vlan端口正常，這也就是單臂路由。為了更好的讓各位理解單臂路由，我找了一個(gè)圖，大家往下看。

理論上，vlan10與vlan20之間是無法互相ping通的，但通過介紹的單臂路由就可以實(shí)現(xiàn)他們的互聯(lián)互通。（通俗一點(diǎn)講，就是在Fa0/0通過子接口方式起多個(gè)網(wǎng)關(guān)）
五、實(shí)施回顧
單臂路由長應(yīng)用在中小型企業(yè)當(dāng)中，當(dāng)企業(yè)無法預(yù)算購買三層交換機(jī)時(shí)，通過二層交換機(jī)實(shí)現(xiàn)多vlan的互聯(lián)互通。
此次跨境通的實(shí)施交付，因客戶需要vlan間互通，我這里策略就沒做，以下為各位簡單的介紹下SSG系列策略配置。
禁止2個(gè)網(wǎng)段互相訪問，這個(gè)可以根據(jù)實(shí)際需要添加。
set policy id 35 from "Trust" to "Trust" "10.10.2.1/24" "10.10.3.1/24" "ANY" deny log 
set policy id 35
exit
set policy id 34 from "Trust" to "Trust" "10.10.3.1/24" "10.10.2.1/24" "ANY" deny log 
set policy id 34
接著配置Untrust-Trust的訪問策略，互相獨(dú)立起來，做各自的安全policy即可：
set policy id 36 from "Utrust" to "Trust" "any" "10.10.2.1/24" "ANY" deny log 
set policy id 36
set policy id 37 from "Utrust" to "Trust" "any" "10.10.3.1/24" "ANY" deny log 
set policy id 37

分享文章：企業(yè)JUNIPER-SSG配置
本文鏈接：http://m.jiaotiyi.com/article/jisics.html