juniper srx240优势是什么?
点击联系发帖人
时间:2012-07-19 12:26
>> Juniper SRX基于路由的IPSEC VPN
由于在实际工作中有时会遇到SRX系列的路由器防火墙模块设备,在网上能到的资料大多也是一些界面文档或者以Netscreen为主的资料,官方资料大部分都是英文的,有时候排错或者配置,真的很头痛;
开两台VmSRX:
第一步:配置IP:
set interfaces ge-0/0/0 unit 0 family inetaddress 10.247.171.1/24
set interfaces lo0 unit 10 family inetaddress 192.168.10.1/24
set interfaces st0 unit 1 family inetaddress 1.1.1.1/24
第二步:配置地址条目
set security address-book trust address A.0/24
set security address-book trust attach zonetrust
set security address-book untrust addressA20 192.168.20.0/24
set security address-book untrust attachzone untrust
第三步:配置IKE:
set security ike policy abc mode aggressive
set security ike policy abc proposal-setstandard
set security ike policy abc pre-shared-keyascii-text &$9$JZUi.QF/0BEP5BEcyW8ZUj&
set security ike gateway gw1 ike-policy abc
set security ike gateway gw1 address10.247.171.2
set security ike gateway gw1external-interface ge-0/0/0.0
第四步:配置IPSEC
set security ipsec policy aaa proposal-setstandard
set security ipsec vpn vpn1 bind-interfacest0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ikeipsec-policy aaa
set security ipsec vpn vpn1establish-tunnels immediately
第五步:配置NAT:
set security nat source rule-set rsl fromzone trust
set security nat source rule-set rsl tozone untrust
set security nat source rule-set rsl ruler1 match source-address 0.0.0.0/0
set security nat source rule-set rsl ruler1 match destination-address 0.0.0.0/0
set security nat source rule-set rsl ruler1 then source-nat interface
第六步:配置策略
set security policies from-zone trustto-zone untrust policy 3 match source-address A10
set security policies from-zone trustto-zone untrust policy 3 match destination-address A20
set security policies from-zone trustto-zone untrust policy 3 match application any
set security policies from-zone trustto-zone untrust policy 3 then permit
set security policies from-zone trustto-zone untrust policy 1 match source-address any
set security policies from-zone trustto-zone untrust policy 1 match destination-address any
set security policies from-zone trustto-zone untrust policy 1 match application any
set security policies from-zone trustto-zone untrust policy 1 then permit
set security policies from-zone untrustto-zone trust policy 4 match source-address A20
set security policies from-zone untrustto-zone trust policy 4 match destination-address A10
set security policies from-zone untrustto-zone trust policy 4 match application any
set security policies from-zone untrustto-zone trust policy 4 then permit
set security policies from-zone untrustto-zone trust policy 2 match source-address any
set security policies from-zone untrustto-zone trust policy 2 match destination-address any
set security policies from-zone untrustto-zone trust policy 2 match application any
set security policies from-zone untrustto-zone trust policy 2 then permit
第七步:开启相应的系统服务
set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zone untrustinterfaces st0.1 host-inbound-traffic system-services all
set security zones security-zone trustinterfaces lo0.10 host-inbound-traffic system-services all
第八步:路由
set routing-options static route192.168.20.0/24 next-hop st0.1
第九步:测试
juniper@SRX1# run show security ikeactive-peer
Remote Address & & & & & & & & & & &Port & & Peer IKE-ID & & & & & & & & & & & & XAUTH username & & & & & & & & & & &Assigned IP
10.247.171.2 & & & & & & & & & & & &500 & & &10.247.171.2
juniper@SRX1# run show security ikesecurity-associations
Index &State &Initiator cookie &Responder cookie &Mode & & & & &Remote Address &
2186252 UP & & 68aa002abd20d235 &8938 &Aggressive & &10.247.171.2
juniper@SRX1# run show security ipsecsecurity-associations
Total active tunnels: 1
ID & &Algorithm & & & SPI & & Life:sec/kb &Mon lsys Port &Gateway &
&131073 ESP:3des/sha1 efe41cb5 3431/ unlim & - &root 500 & 10.247.171.2 & &
&131073 ESP:3des/sha1 ada231d7 3431/ unlim & - &root 500 & 10.247.171.2
juniper@SRX1# run show security ipsecstatistics & &
ESP Statistics:
Encrypted bytes: & & & & & &31864
Decrypted bytes: & & & & & &19300
Encrypted packets: & & & & & &236
Decrypted packets: & & & & & &231
AH Statistics:
Input bytes: & & & & & & & & & &0
Output bytes: & & & & & & & & & 0
Input packets: & & & & & & & & &0
Output packets: & & & & & & & & 0
&AHauthentication failures: 0, Replay errors: 0
&ESPauthentication failures: 0, ESP decryption failures: 0
&Badheaders: 0, Bad trailers: 0
juniper@SRX1# run ping 192.168.20.1 source192.168.10.1
PING 192.168.20.1 (192.168.20.1): 56 databytes
64 bytes from 192.168.20.1: icmp_seq=0ttl=64 time=3.892 ms
64 bytes from 192.168.20.1: icmp_seq=1ttl=64 time=4.428 ms
64 bytes from 192.168.20.1: icmp_seq=2ttl=64 time=2.309 ms
64 bytes from 192.168.20.1: icmp_seq=3ttl=64 time=2.347 ms
64 bytes from 192.168.20.1: icmp_seq=4ttl=64 time=2.332 ms
--- 192.168.20.1 ping statistics ---
5 packets transmitted, 5 packets received,0% packet loss
round-trip min/avg/max/stddev =2.309/3.062/4.428/0.913 ms
下面是SRX1的完整体配置:
juniper@SRX1# run show configuration |display set & &
set version 12.1X44.4
set system host-name SRX1
set system domain-name juniper.net
set system authentication-order password
set system root-authenticationencrypted-password &$1$hY6E.7uG$pn0ThmAXMrL2vf7BSLhmG0&
set system login user juniper uid 2001
set system login user juniper classsuper-user
set system login user juniperauthentication encrypted-password&$1$3VlKTGll$5MGwhUdY4BYtY2hILDRc/1&
set system services ssh protocol-version v2
set system services telnet
set system services web-management httpinterface ge-0/0/0.0
set system services web-management sessionidle-timeout 10
set system syslog user * any emergency
set system syslog file messages any any
set system syslog file messagesauthorization info
set system syslog file interactive-commandsinteractive-commands any
set system syslog file monitor-log match192.168.159.128
set system license autoupdate urlhttps://ae1.juniper.net/junos/key_retrieval
set chassis aggregated-devices ethernetdevice-count 2
set interfaces ge-0/0/0 unit 0 family inetaddress 10.247.171.1/24
set interfaces lo0 unit 10 family inetaddress 192.168.10.1/24
set interfaces st0 unit 1 family inetaddress 1.1.1.1/24
set routing-options static route192.168.20.0/24 next-hop st0.1
set security pki
set security ike policy abc mode aggressive
set security ike policy abc proposal-setstandard
set security ike policy abc pre-shared-keyascii-text &$9$JZUi.QF/0BEP5BEcyW8ZUj&
set security ike gateway gw1 ike-policy abc
set security ike gateway gw1 address10.247.171.2
set security ike gateway gw1external-interface ge-0/0/0.0
set security ipsec policy aaa proposal-setstandard
set security ipsec vpn vpn1 bind-interfacest0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ikeipsec-policy aaa
set security ipsec vpn vpn1establish-tunnels immediately
set security address-book trust address A.0/24
set security address-book trust attach zonetrust
set security address-book untrust addressA20 192.168.20.0/24
set security address-book untrust attachzone untrust
set security nat source rule-set rsl fromzone trust
set security nat source rule-set rsl tozone untrust
set security nat source rule-set rsl ruler1 match source-address 0.0.0.0/0
set security nat source rule-set rsl ruler1 match destination-address 0.0.0.0/0
set security nat source rule-set rsl ruler1 then source-nat interface
set security policies from-zone trustto-zone untrust policy 3 match source-address A10
set security policies from-zone trustto-zone untrust policy 3 match destination-address A20
set security policies from-zone trustto-zone untrust policy 3 match application any
set security policies from-zone trustto-zone untrust policy 3 then permit
set security policies from-zone trustto-zone untrust policy 1 match source-address any
set security policies from-zone trustto-zone untrust policy 1 match destination-address any
set security policies from-zone trustto-zone untrust policy 1 match application any
set security policies from-zone trustto-zone untrust policy 1 then permit
set security policies from-zone untrustto-zone trust policy 4 match source-address A20
set security policies from-zone untrustto-zone trust policy 4 match destination-address A10
set security policies from-zone untrustto-zone trust policy 4 match application any
set security policies from-zone untrustto-zone trust policy 4 then permit
set security policies from-zone untrustto-zone trust policy 2 match source-address any
set security policies from-zone untrustto-zone trust policy 2 match destination-address any
set security policies from-zone untrustto-zone trust policy 2 match application any
set security policies from-zone untrustto-zone trust policy 2 then permit
set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zone untrustinterfaces st0.1 host-inbound-traffic system-services all
set security zones security-zone trustinterfaces lo0.10 host-inbound-traffic system-services all
最新图文资讯
相关文章列表:
推荐文章:
随机资讯:查看:1854|回复:0
Juniper的一台SRX防火墙,版本是10.0的,较老了,最近把联通的出口(Ge0/0/1)改成PPPOE方式后,IP是获取到了,但是下面的网段(192.168.250.X/24)不能上网,在防火墙上也ping不同外网的IP。贴上配置,请各位大侠帮忙指导下哪边配置有问题。
PS:防火墙上G0/0/0是电信的出口(固定IP),目前是正常的,下面上网也正常。
CLI ViewerThe current configuration running on the device
## Last changed:
00:10:00 UTC
version 10.0R1.8;
& & authentication-
& & root-authentication {
& && &&&encrypted-password XXXXXX;
& & name-server {
& && &&&208.67.XXX.222;
& && &&&208.67.XXX.220;
& & login {
& && &&&user XXXXXX {
& && && && &uid 2001;
& && && && &class super-
& && && && &authentication {
& && && && && & encrypted-password &$1$Kowf0Noj$QTkS7qLP8ZiuIbkiNr4s01&;
& && && && &}
& && &&&user XXXXXX {
& && && && &uid 2000;
& && && && &class super-
& && && && &authentication {
& && && && && & encrypted-password &$1$O9ZDGNyv$rufDyR79k0IzPXLbFegHG.&;
& && && && &}
& & services {
& && &&&xnm-clear-
& && &&&web-management {
& && && && &http {
& && && && && & interface [ ge-0/0/0.0 ge-0/0/0.1 ];
& && && && &}
& && && && &https {
& && && && && & system-generated-
& && && && &}
& && &&&dhcp {
& && && && &pool 192.168.250.1/24 {
& && && && && & address-range low 192.168.250.2 high 192.168.250.254;
& && && && && & name-server {
& && && && && && &&&221.7.XXX.68;
& && && && && && &&&221.7.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.250.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/2.0;
& && && && &}
& && && && &pool 192.168.251.0/24 {
& && && && && & address-range low 192.168.251.2 high 192.168.251.254;
& && && && && & name-server {
& && && && && && &&&221.7.XXX.68;
& && && && && && &&&221.7.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.251.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/3.1;
& && && && &}
& && && && &pool 192.168.252.0/24 {
& && && && && & address-range low 192.168.252.2 high 192.168.252.254;
& && && && && & name-server {
& && && && && && &&&202.103.XXX.68;
& && && && && && &&&202.103.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.252.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/4.0;
& && && && &}
& && && && &pool 192.168.253.0/24 {
& && && && && & address-range low 192.168.253.2 high 192.168.253.254;
& && && && && & name-server {
& && && && && && &&&202.103.XXX.68;
& && && && && && &&&202.103.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.253.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/6.0;
& && && && &}
& && && && &pool 192.168.255.1/24 {
& && && && && & address-range low 192.168.255.2 high 192.168.255.254;
& && && && && & name-server {
& && && && && && &&&202.103.XXX.68;
& && && && && && &&&202.103.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.255.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/5.0;
& && && && &}
& & syslog {
& && &&&archive size 100k files 3;
& && &&&user * {
& && && && &
& && &&&file messages {
& && && && &
& && && && &
& && &&&file interactive-commands {
& && && && &interactive-
& & max-configurations-on-flash 5;
& & max-configuration-rollbacks 5;
& & license {
& && &&&autoupdate {
& && && && &
& & aggregated-devices {
& && &&ðernet {
& && && && &device-count 7;
interfaces {
& & ge-0/0/0 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & address 124.227.XXX.14/28;
& && && && &}
& & ge-0/0/1 {
& && &&&unit 0 {
& && && && &encapsulation ppp-over-
& & fe-0/0/2 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.250.1/24;
& && && && &}
& & fe-0/0/3 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.251.1/24;
& && && && &}
& & fe-0/0/4 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.252.1/24;
& && && && &}
& & fe-0/0/5 {
& && &&&unit 0 {
& && && && &description dianxin-
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.255.1/24;
& && && && &}
& & fe-0/0/6 {
& && &&&unit 0 {
& && && && &description dianxin-253;
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.253.1/24;
& && && && &}
& & fe-0/0/7 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 198.188.29.1/24;
& && && && &}
& && &&&unit 0 {
& && && && &ppp-options {
& && && && && & chap {
& && && && && && &&&default-chap-secret &$9$snYaZGDiH.Pg45QzF/9reKvX7&;
& && && && && && &&&local-name ;
& && && && && && &&&
& && && && && & }
& && && && && & pap {
& && && && && && &&&default-password &$9$9bO4C0B1RhcretpvW8LN-jHkq5Q&;
& && && && && && &&&local-name ;
& && && && && && &&&local-password &$9$41oUjik.m5QJZFn6/tpvW8L-V&;
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &pppoe-options {
& && && && && & underlying-interface ge-0/0/1.0;
& && && && && & idle-timeout 0;
& && && && && & auto-reconnect 3;
& && && && && &
& && && && &}
& && && && &family inet {
& && && && && & mtu 1492;
& && && && && & negotiate-
& && && && &}
& & vlan {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & address 192.168.1.1/24;
& && && && &}
routing-options {
& & interface-routes {
& && &&&rib-group inet source-
& & static {
& && &&&route 0.0.0.0/0 {
& && && && &next-hop 124.227.XXX.1;
& && && && &qualified-next-hop pp0.0;
& && && && &metric 100;
& & rib-groups {
& && &&&source-filter {
& && && && &import-rib [ route-source-dianxin.inet.0 route-source-liantong.inet.0 inet.0 ];
security {
& && &&&respond-bad-
& && &&&proposal p1 {
& && && && &description p1;
& && && && &authentication-method pre-shared-
& && && && &dh-group group1;
& && && && &authentication-algorithm md5;
& && && && &encryption-algorithm des-
& && && && &lifetime-seconds 28800;
& && &&&policy njzq {
& && && && &
& && && && &proposal-
& && && && &pre-shared-key ascii-text &$9$vhNW7-bs2aGDwsTzn/tp&;
& && &&&gateway njzq {
& && && && &ike-policy XXXX;
& && && && &address 218.2.XXX.58;
& && && && &local-identity inet 124.227.XXX.14;
& && && && &external-interface ge-0/0/0.0;
& & ipsec {
& && &&&vpn-monitor-
& && &&&proposal p2 {
& && && && &description p2;
& && && && &
& && && && &authentication-algorithm hmac-md5-96;
& && && && &encryption-algorithm des-
& && && && &lifetime-seconds 3600;
& && && && &lifetime-kilobytes 64;
& && &&&policy XXXX {
& && && && &description XXXX;
& && && && &proposals p2;
& && &&&vpn XXXX {
& && && && &vpn-
& && && && &ike {
& && && && && & gateway XXXX;
& && && && && & ipsec-policy XXXXX;
& && && && &}
& && && && &establish-
& && &&&source {
& && && && &rule-set dianxin-dmz-untrust {
& && && && && & from zone dmz-
& && && && && & to zone untrust-
& && && && && & rule source-nat-dx {
& && && && && && &&&match {
& && && && && && && && &source-address [ 192.168.252.0/24 192.168.253.0/24 192.168.255.0/24 ];
& && && && && && &&&}
& && && && && && &&&then {
& && && && && && && && &source-nat {
& && && && && && && && && &
& && && && && && && && &}
& && && && && && &&&}
& && && && && & }
& && && && &}
& && && && &rule-set dmz-untrust {
& && && && && &
& && && && && & to interface pp0.0;
& && && && && & rule Egress-Int {
& && && && && && &&&match {
& && && && && && && && &source-address 0.0.0.0/0;
& && && && && && && && &destination-address 0.0.0.0/0;
& && && && && && &&&}
& && && && && && &&&then {
& && && && && && && && &source-nat {
& && && && && && && && && &
& && && && && && && && &}
& && && && && && &&&}
& && && && && & }
& && && && &}
& & screen {
& && &&&ids-option untrust-screen {
& && && && &icmp {
& && && && && & ping-
& && && && &}
& && && && &ip {
& && && && && & source-route-
& && && && && & tear-
& && && && &}
& && && && &tcp {
& && && && && & syn-flood {
& && && && && && &&&alarm-threshold 1024;
& && && && && && &&&attack-threshold 200;
& && && && && && &&&source-threshold 1024;
& && && && && && &&&destination-threshold 2048;
& && && && && && &&&timeout 20;
& && && && && & }
& && && && && &
& && && && &}
& & zones {
& && &&&functional-zone management {
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && && &&&
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && &&&security-zone trust {
& && && && &address-book {
& && && && && & address 198.188.29.0 198.188.29.0/24;
& && && && &}
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && &&&security-zone untrust {
& && && && &address-book {
& && && && && & address 10.254.255.0 10.254.255.0/24;
& && && && &}
& && && && &screen untrust-
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && && &&&
& && && && && && &&&
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & pp0.0;
& && && && &}
& && &&&security-zone dmz {
& && && && &address-book {
& && && && && & address 192.168.253.0 192.168.253.0/24;
& && && && && & address 192.168.250.0 192.168.250.0/24;
& && && && && & address 192.168.251.0 192.168.251.0/24;
& && && && && & address 192.168.252.0 192.168.252.0/24;
& && && && &}
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&any-
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & fe-0/0/2.0;
& && && && && & fe-0/0/3.0;
& && && && &}
& && &&&security-zone untrust-dianxin {
& && && && &address-book {
& && && && && & address 124.227.XXX.14 124.227.XXX.14/32;
& && && && && & address 10.254.255.0 10.254.255.0/24;
& && && && && & address 10.254.255.1 10.254.255.0/24;
& && && && &}
& && && && &screen untrust-
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && && &&&
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & ge-0/0/0.0;
& && && && &}
& && &&&security-zone dmz-dianxin {
& && && && &address-book {
& && && && && & address 192.168.252.0 192.168.252.0/24;
& && && && && & address 192.168.253.0 192.168.253.0/24;
& && && && && & address 192.168.255.0 192.168.255.0/24;
& && && && &}
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&any-
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & fe-0/0/4.0;
& && && && && & fe-0/0/5.0;
& && && && && & fe-0/0/6.0;
& && && && &}
& && &&&security-zone trust-dianxin {
& && && && &address-book {
& && && && && & address 198.188.29.0 198.188.29.0/24;
& && && && &}
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & fe-0/0/7.0;
& && && && &}
& & policies {
& && &&&from-zone dmz-dianxin to-zone untrust-dianxin {
& && && && &policy dianxin-dmz-untrust {
& && && && && & match {
& && && && && && &&&source-address [ 192.168.255.0 192.168.253.0 192.168.252.0 ];
& && && && && && &&&destination-
& && && && && && &&&
& && && && && & }
& && && && && & then {
& && && && && && &&&
& && && && && & }
& && && && &}
& && &&&from-zone untrust-dianxin to-zone trust-dianxin {
& && && && &policy dx-vpn-in {
& && && && && & match {
& && && && && && &&&source-address 10.254.255.1;
& && && && && && &&&destination-address 198.188.29.0;
& && && && && && &&&
& && && && && & }
& && && && && & then {
& && && && && && &&&permit {
& && && && && && && && &tunnel {
& && && && && && && && && & ipsec-vpn XXXX;
& && && && && && && && &}
& && && && && && && && &destination-address {
& && && && && && && && && & drop-
& && && && && && && && &}
& && && && && && &&&}
& && && && && & }
& && && && &}
& && &&&from-zone trust-dianxin to-zone untrust-dianxin {
& && && && &policy dx-vpn-out {
& && && && && & match {
& && && && && && &&&source-address 198.188.29.0;
& && && && && && &&&destination-address 10.254.255.0;
& && && && && && &&&
& && && && && & }
& && && && && & then {
& && && && && && &&&permit {
& && && && && && && && &tunnel {
& && && && && && && && && & ipsec-vpn XXXX;
& && && && && && && && &}
& && && && && && && && &destination-address {
& && && && && && && && && & drop-
& && && && && && && && &}
& && && && && && &&&}
& && && && && && &&&log {
& && && && && && && && &session-
& && && && && && && && &session-
& && && && && && &&&}
& && && && && & }
& && && && &}
& && &&&from-zone dmz to-zone untrust {
& && && && &policy allow-all {
& && && && && & match {
& && && && && && &&&source-
& && && && && && &&&destination-
& && && && && && &&&
& && && && && & }
& && && && && & then {
& && && && && && &&&
& && && && && & }
& && && && &}
firewall {
& & family inet {
& && &&&filter classify-source {
& && && && &term dianxin {
& && && && && & from {
& && && && && && &&&source-address {
& && && && && && && && &192.168.253.0/24;
& && && && && && && && &192.168.252.0/24;
& && && && && && && && &192.168.255.0/24;
& && && && && && &&&}
& && && && && && &&&interface fe-0/0/7.0;
& && && && && && &&&interface fe-0/0/6.0;
& && && && && && &&&interface fe-0/0/5.0;
& && && && && && &&&interface fe-0/0/4.0;
& && && && && & }
& && && && && & then {
& && && && && && &&&routing-instance route-source-
& && && && && & }
& && && && &}
& && && && &term liantong {
& && && && && & from {
& && && && && && &&&source-address {
& && && && && && && && &192.168.250.0/24;
& && && && && && && && &192.168.251.0/24;
& && && && && && &&&}
& && && && && & }
& && && && && & then {
& && && && && && &&&routing-instance route-source-
& && && && && & }
& && && && &}
& && && && &term default {
& && && && && &
& && && && &}
& & profile jweb-pp0 {
& && &&&client
chap-secret &$9$9tyCC0B1RhcretpvW8LN-jHkq5Q&;
routing-instances {
& & route-source-dianxin {
& && &&&instance-type virtual-
& && &&&interface ge-0/0/0.0;
& && &&&routing-options {
& && && && &interface-routes {
& && && && && & rib-group inet source-
& && && && &}
& && && && &static {
& && && && && & route 0.0.0.0/0 next-hop 124.227.XXX.1;
& && && && &}
& & route-source-liantong {
& && &&&instance-type virtual-
& && &&&interface pp0.0;
& && &&&routing-options {
& && && && &interface-routes {
& && && && && & rib-group inet source-
& && && && &}
& && && && &static {
& && && && && & route 0.0.0.0/0 next-hop pp0.0;
& && && && &}
& & vlan-trust {
& && &&&vlan-id 3;
& && &&&l3-interface vlan.0;
configuration_viewedit_viewtext_page}
由于在实际工作中有时会遇到SRX系列的路由器防火墙模块设备,在网上能到的资料大多也是一些界面文档或者以Netscreen为主的资料,官方资料大部分都是英文的,有时候排错或者配置,真的很头痛;
开两台VmSRX:
第一步:配置IP:
set interfaces ge-0/0/0 unit 0 family inetaddress 10.247.171.1/24
set interfaces lo0 unit 10 family inetaddress 192.168.10.1/24
set interfaces st0 unit 1 family inetaddress 1.1.1.1/24
第二步:配置地址条目
set security address-book trust address A.0/24
set security address-book trust attach zonetrust
set security address-book untrust addressA20 192.168.20.0/24
set security address-book untrust attachzone untrust
第三步:配置IKE:
set security ike policy abc mode aggressive
set security ike policy abc proposal-setstandard
set security ike policy abc pre-shared-keyascii-text &$9$JZUi.QF/0BEP5BEcyW8ZUj&
set security ike gateway gw1 ike-policy abc
set security ike gateway gw1 address10.247.171.2
set security ike gateway gw1external-interface ge-0/0/0.0
第四步:配置IPSEC
set security ipsec policy aaa proposal-setstandard
set security ipsec vpn vpn1 bind-interfacest0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ikeipsec-policy aaa
set security ipsec vpn vpn1establish-tunnels immediately
第五步:配置NAT:
set security nat source rule-set rsl fromzone trust
set security nat source rule-set rsl tozone untrust
set security nat source rule-set rsl ruler1 match source-address 0.0.0.0/0
set security nat source rule-set rsl ruler1 match destination-address 0.0.0.0/0
set security nat source rule-set rsl ruler1 then source-nat interface
第六步:配置策略
set security policies from-zone trustto-zone untrust policy 3 match source-address A10
set security policies from-zone trustto-zone untrust policy 3 match destination-address A20
set security policies from-zone trustto-zone untrust policy 3 match application any
set security policies from-zone trustto-zone untrust policy 3 then permit
set security policies from-zone trustto-zone untrust policy 1 match source-address any
set security policies from-zone trustto-zone untrust policy 1 match destination-address any
set security policies from-zone trustto-zone untrust policy 1 match application any
set security policies from-zone trustto-zone untrust policy 1 then permit
set security policies from-zone untrustto-zone trust policy 4 match source-address A20
set security policies from-zone untrustto-zone trust policy 4 match destination-address A10
set security policies from-zone untrustto-zone trust policy 4 match application any
set security policies from-zone untrustto-zone trust policy 4 then permit
set security policies from-zone untrustto-zone trust policy 2 match source-address any
set security policies from-zone untrustto-zone trust policy 2 match destination-address any
set security policies from-zone untrustto-zone trust policy 2 match application any
set security policies from-zone untrustto-zone trust policy 2 then permit
第七步:开启相应的系统服务
set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zone untrustinterfaces st0.1 host-inbound-traffic system-services all
set security zones security-zone trustinterfaces lo0.10 host-inbound-traffic system-services all
第八步:路由
set routing-options static route192.168.20.0/24 next-hop st0.1
第九步:测试
juniper@SRX1# run show security ikeactive-peer
Remote Address & & & & & & & & & & &Port & & Peer IKE-ID & & & & & & & & & & & & XAUTH username & & & & & & & & & & &Assigned IP
10.247.171.2 & & & & & & & & & & & &500 & & &10.247.171.2
juniper@SRX1# run show security ikesecurity-associations
Index &State &Initiator cookie &Responder cookie &Mode & & & & &Remote Address &
2186252 UP & & 68aa002abd20d235 &8938 &Aggressive & &10.247.171.2
juniper@SRX1# run show security ipsecsecurity-associations
Total active tunnels: 1
ID & &Algorithm & & & SPI & & Life:sec/kb &Mon lsys Port &Gateway &
&131073 ESP:3des/sha1 efe41cb5 3431/ unlim & - &root 500 & 10.247.171.2 & &
&131073 ESP:3des/sha1 ada231d7 3431/ unlim & - &root 500 & 10.247.171.2
juniper@SRX1# run show security ipsecstatistics & &
ESP Statistics:
Encrypted bytes: & & & & & &31864
Decrypted bytes: & & & & & &19300
Encrypted packets: & & & & & &236
Decrypted packets: & & & & & &231
AH Statistics:
Input bytes: & & & & & & & & & &0
Output bytes: & & & & & & & & & 0
Input packets: & & & & & & & & &0
Output packets: & & & & & & & & 0
&AHauthentication failures: 0, Replay errors: 0
&ESPauthentication failures: 0, ESP decryption failures: 0
&Badheaders: 0, Bad trailers: 0
juniper@SRX1# run ping 192.168.20.1 source192.168.10.1
PING 192.168.20.1 (192.168.20.1): 56 databytes
64 bytes from 192.168.20.1: icmp_seq=0ttl=64 time=3.892 ms
64 bytes from 192.168.20.1: icmp_seq=1ttl=64 time=4.428 ms
64 bytes from 192.168.20.1: icmp_seq=2ttl=64 time=2.309 ms
64 bytes from 192.168.20.1: icmp_seq=3ttl=64 time=2.347 ms
64 bytes from 192.168.20.1: icmp_seq=4ttl=64 time=2.332 ms
--- 192.168.20.1 ping statistics ---
5 packets transmitted, 5 packets received,0% packet loss
round-trip min/avg/max/stddev =2.309/3.062/4.428/0.913 ms
下面是SRX1的完整体配置:
juniper@SRX1# run show configuration |display set & &
set version 12.1X44.4
set system host-name SRX1
set system domain-name juniper.net
set system authentication-order password
set system root-authenticationencrypted-password &$1$hY6E.7uG$pn0ThmAXMrL2vf7BSLhmG0&
set system login user juniper uid 2001
set system login user juniper classsuper-user
set system login user juniperauthentication encrypted-password&$1$3VlKTGll$5MGwhUdY4BYtY2hILDRc/1&
set system services ssh protocol-version v2
set system services telnet
set system services web-management httpinterface ge-0/0/0.0
set system services web-management sessionidle-timeout 10
set system syslog user * any emergency
set system syslog file messages any any
set system syslog file messagesauthorization info
set system syslog file interactive-commandsinteractive-commands any
set system syslog file monitor-log match192.168.159.128
set system license autoupdate urlhttps://ae1.juniper.net/junos/key_retrieval
set chassis aggregated-devices ethernetdevice-count 2
set interfaces ge-0/0/0 unit 0 family inetaddress 10.247.171.1/24
set interfaces lo0 unit 10 family inetaddress 192.168.10.1/24
set interfaces st0 unit 1 family inetaddress 1.1.1.1/24
set routing-options static route192.168.20.0/24 next-hop st0.1
set security pki
set security ike policy abc mode aggressive
set security ike policy abc proposal-setstandard
set security ike policy abc pre-shared-keyascii-text &$9$JZUi.QF/0BEP5BEcyW8ZUj&
set security ike gateway gw1 ike-policy abc
set security ike gateway gw1 address10.247.171.2
set security ike gateway gw1external-interface ge-0/0/0.0
set security ipsec policy aaa proposal-setstandard
set security ipsec vpn vpn1 bind-interfacest0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ikeipsec-policy aaa
set security ipsec vpn vpn1establish-tunnels immediately
set security address-book trust address A.0/24
set security address-book trust attach zonetrust
set security address-book untrust addressA20 192.168.20.0/24
set security address-book untrust attachzone untrust
set security nat source rule-set rsl fromzone trust
set security nat source rule-set rsl tozone untrust
set security nat source rule-set rsl ruler1 match source-address 0.0.0.0/0
set security nat source rule-set rsl ruler1 match destination-address 0.0.0.0/0
set security nat source rule-set rsl ruler1 then source-nat interface
set security policies from-zone trustto-zone untrust policy 3 match source-address A10
set security policies from-zone trustto-zone untrust policy 3 match destination-address A20
set security policies from-zone trustto-zone untrust policy 3 match application any
set security policies from-zone trustto-zone untrust policy 3 then permit
set security policies from-zone trustto-zone untrust policy 1 match source-address any
set security policies from-zone trustto-zone untrust policy 1 match destination-address any
set security policies from-zone trustto-zone untrust policy 1 match application any
set security policies from-zone trustto-zone untrust policy 1 then permit
set security policies from-zone untrustto-zone trust policy 4 match source-address A20
set security policies from-zone untrustto-zone trust policy 4 match destination-address A10
set security policies from-zone untrustto-zone trust policy 4 match application any
set security policies from-zone untrustto-zone trust policy 4 then permit
set security policies from-zone untrustto-zone trust policy 2 match source-address any
set security policies from-zone untrustto-zone trust policy 2 match destination-address any
set security policies from-zone untrustto-zone trust policy 2 match application any
set security policies from-zone untrustto-zone trust policy 2 then permit
set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zone untrustinterfaces st0.1 host-inbound-traffic system-services all
set security zones security-zone trustinterfaces lo0.10 host-inbound-traffic system-services all
最新图文资讯
相关文章列表:
推荐文章:
随机资讯:查看:1854|回复:0
Juniper的一台SRX防火墙,版本是10.0的,较老了,最近把联通的出口(Ge0/0/1)改成PPPOE方式后,IP是获取到了,但是下面的网段(192.168.250.X/24)不能上网,在防火墙上也ping不同外网的IP。贴上配置,请各位大侠帮忙指导下哪边配置有问题。
PS:防火墙上G0/0/0是电信的出口(固定IP),目前是正常的,下面上网也正常。
CLI ViewerThe current configuration running on the device
## Last changed:
00:10:00 UTC
version 10.0R1.8;
& & authentication-
& & root-authentication {
& && &&&encrypted-password XXXXXX;
& & name-server {
& && &&&208.67.XXX.222;
& && &&&208.67.XXX.220;
& & login {
& && &&&user XXXXXX {
& && && && &uid 2001;
& && && && &class super-
& && && && &authentication {
& && && && && & encrypted-password &$1$Kowf0Noj$QTkS7qLP8ZiuIbkiNr4s01&;
& && && && &}
& && &&&user XXXXXX {
& && && && &uid 2000;
& && && && &class super-
& && && && &authentication {
& && && && && & encrypted-password &$1$O9ZDGNyv$rufDyR79k0IzPXLbFegHG.&;
& && && && &}
& & services {
& && &&&xnm-clear-
& && &&&web-management {
& && && && &http {
& && && && && & interface [ ge-0/0/0.0 ge-0/0/0.1 ];
& && && && &}
& && && && &https {
& && && && && & system-generated-
& && && && &}
& && &&&dhcp {
& && && && &pool 192.168.250.1/24 {
& && && && && & address-range low 192.168.250.2 high 192.168.250.254;
& && && && && & name-server {
& && && && && && &&&221.7.XXX.68;
& && && && && && &&&221.7.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.250.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/2.0;
& && && && &}
& && && && &pool 192.168.251.0/24 {
& && && && && & address-range low 192.168.251.2 high 192.168.251.254;
& && && && && & name-server {
& && && && && && &&&221.7.XXX.68;
& && && && && && &&&221.7.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.251.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/3.1;
& && && && &}
& && && && &pool 192.168.252.0/24 {
& && && && && & address-range low 192.168.252.2 high 192.168.252.254;
& && && && && & name-server {
& && && && && && &&&202.103.XXX.68;
& && && && && && &&&202.103.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.252.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/4.0;
& && && && &}
& && && && &pool 192.168.253.0/24 {
& && && && && & address-range low 192.168.253.2 high 192.168.253.254;
& && && && && & name-server {
& && && && && && &&&202.103.XXX.68;
& && && && && && &&&202.103.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.253.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/6.0;
& && && && &}
& && && && &pool 192.168.255.1/24 {
& && && && && & address-range low 192.168.255.2 high 192.168.255.254;
& && && && && & name-server {
& && && && && && &&&202.103.XXX.68;
& && && && && && &&&202.103.XXX.68;
& && && && && & }
& && && && && & router {
& && && && && && &&&192.168.255.1;
& && && && && & }
& && && && && & propagate-settings fe-0/0/5.0;
& && && && &}
& & syslog {
& && &&&archive size 100k files 3;
& && &&&user * {
& && && && &
& && &&&file messages {
& && && && &
& && && && &
& && &&&file interactive-commands {
& && && && &interactive-
& & max-configurations-on-flash 5;
& & max-configuration-rollbacks 5;
& & license {
& && &&&autoupdate {
& && && && &
& & aggregated-devices {
& && &&ðernet {
& && && && &device-count 7;
interfaces {
& & ge-0/0/0 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & address 124.227.XXX.14/28;
& && && && &}
& & ge-0/0/1 {
& && &&&unit 0 {
& && && && &encapsulation ppp-over-
& & fe-0/0/2 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.250.1/24;
& && && && &}
& & fe-0/0/3 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.251.1/24;
& && && && &}
& & fe-0/0/4 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.252.1/24;
& && && && &}
& & fe-0/0/5 {
& && &&&unit 0 {
& && && && &description dianxin-
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.255.1/24;
& && && && &}
& & fe-0/0/6 {
& && &&&unit 0 {
& && && && &description dianxin-253;
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 192.168.253.1/24;
& && && && &}
& & fe-0/0/7 {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & filter {
& && && && && && &&&input classify-
& && && && && & }
& && && && && & address 198.188.29.1/24;
& && && && &}
& && &&&unit 0 {
& && && && &ppp-options {
& && && && && & chap {
& && && && && && &&&default-chap-secret &$9$snYaZGDiH.Pg45QzF/9reKvX7&;
& && && && && && &&&local-name ;
& && && && && && &&&
& && && && && & }
& && && && && & pap {
& && && && && && &&&default-password &$9$9bO4C0B1RhcretpvW8LN-jHkq5Q&;
& && && && && && &&&local-name ;
& && && && && && &&&local-password &$9$41oUjik.m5QJZFn6/tpvW8L-V&;
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &pppoe-options {
& && && && && & underlying-interface ge-0/0/1.0;
& && && && && & idle-timeout 0;
& && && && && & auto-reconnect 3;
& && && && && &
& && && && &}
& && && && &family inet {
& && && && && & mtu 1492;
& && && && && & negotiate-
& && && && &}
& & vlan {
& && &&&unit 0 {
& && && && &family inet {
& && && && && & address 192.168.1.1/24;
& && && && &}
routing-options {
& & interface-routes {
& && &&&rib-group inet source-
& & static {
& && &&&route 0.0.0.0/0 {
& && && && &next-hop 124.227.XXX.1;
& && && && &qualified-next-hop pp0.0;
& && && && &metric 100;
& & rib-groups {
& && &&&source-filter {
& && && && &import-rib [ route-source-dianxin.inet.0 route-source-liantong.inet.0 inet.0 ];
security {
& && &&&respond-bad-
& && &&&proposal p1 {
& && && && &description p1;
& && && && &authentication-method pre-shared-
& && && && &dh-group group1;
& && && && &authentication-algorithm md5;
& && && && &encryption-algorithm des-
& && && && &lifetime-seconds 28800;
& && &&&policy njzq {
& && && && &
& && && && &proposal-
& && && && &pre-shared-key ascii-text &$9$vhNW7-bs2aGDwsTzn/tp&;
& && &&&gateway njzq {
& && && && &ike-policy XXXX;
& && && && &address 218.2.XXX.58;
& && && && &local-identity inet 124.227.XXX.14;
& && && && &external-interface ge-0/0/0.0;
& & ipsec {
& && &&&vpn-monitor-
& && &&&proposal p2 {
& && && && &description p2;
& && && && &
& && && && &authentication-algorithm hmac-md5-96;
& && && && &encryption-algorithm des-
& && && && &lifetime-seconds 3600;
& && && && &lifetime-kilobytes 64;
& && &&&policy XXXX {
& && && && &description XXXX;
& && && && &proposals p2;
& && &&&vpn XXXX {
& && && && &vpn-
& && && && &ike {
& && && && && & gateway XXXX;
& && && && && & ipsec-policy XXXXX;
& && && && &}
& && && && &establish-
& && &&&source {
& && && && &rule-set dianxin-dmz-untrust {
& && && && && & from zone dmz-
& && && && && & to zone untrust-
& && && && && & rule source-nat-dx {
& && && && && && &&&match {
& && && && && && && && &source-address [ 192.168.252.0/24 192.168.253.0/24 192.168.255.0/24 ];
& && && && && && &&&}
& && && && && && &&&then {
& && && && && && && && &source-nat {
& && && && && && && && && &
& && && && && && && && &}
& && && && && && &&&}
& && && && && & }
& && && && &}
& && && && &rule-set dmz-untrust {
& && && && && &
& && && && && & to interface pp0.0;
& && && && && & rule Egress-Int {
& && && && && && &&&match {
& && && && && && && && &source-address 0.0.0.0/0;
& && && && && && && && &destination-address 0.0.0.0/0;
& && && && && && &&&}
& && && && && && &&&then {
& && && && && && && && &source-nat {
& && && && && && && && && &
& && && && && && && && &}
& && && && && && &&&}
& && && && && & }
& && && && &}
& & screen {
& && &&&ids-option untrust-screen {
& && && && &icmp {
& && && && && & ping-
& && && && &}
& && && && &ip {
& && && && && & source-route-
& && && && && & tear-
& && && && &}
& && && && &tcp {
& && && && && & syn-flood {
& && && && && && &&&alarm-threshold 1024;
& && && && && && &&&attack-threshold 200;
& && && && && && &&&source-threshold 1024;
& && && && && && &&&destination-threshold 2048;
& && && && && && &&&timeout 20;
& && && && && & }
& && && && && &
& && && && &}
& & zones {
& && &&&functional-zone management {
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && && &&&
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && &&&security-zone trust {
& && && && &address-book {
& && && && && & address 198.188.29.0 198.188.29.0/24;
& && && && &}
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && &&&security-zone untrust {
& && && && &address-book {
& && && && && & address 10.254.255.0 10.254.255.0/24;
& && && && &}
& && && && &screen untrust-
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && && &&&
& && && && && && &&&
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & pp0.0;
& && && && &}
& && &&&security-zone dmz {
& && && && &address-book {
& && && && && & address 192.168.253.0 192.168.253.0/24;
& && && && && & address 192.168.250.0 192.168.250.0/24;
& && && && && & address 192.168.251.0 192.168.251.0/24;
& && && && && & address 192.168.252.0 192.168.252.0/24;
& && && && &}
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&any-
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & fe-0/0/2.0;
& && && && && & fe-0/0/3.0;
& && && && &}
& && &&&security-zone untrust-dianxin {
& && && && &address-book {
& && && && && & address 124.227.XXX.14 124.227.XXX.14/32;
& && && && && & address 10.254.255.0 10.254.255.0/24;
& && && && && & address 10.254.255.1 10.254.255.0/24;
& && && && &}
& && && && &screen untrust-
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && && &&&
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & ge-0/0/0.0;
& && && && &}
& && &&&security-zone dmz-dianxin {
& && && && &address-book {
& && && && && & address 192.168.252.0 192.168.252.0/24;
& && && && && & address 192.168.253.0 192.168.253.0/24;
& && && && && & address 192.168.255.0 192.168.255.0/24;
& && && && &}
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&any-
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & fe-0/0/4.0;
& && && && && & fe-0/0/5.0;
& && && && && & fe-0/0/6.0;
& && && && &}
& && &&&security-zone trust-dianxin {
& && && && &address-book {
& && && && && & address 198.188.29.0 198.188.29.0/24;
& && && && &}
& && && && &host-inbound-traffic {
& && && && && & system-services {
& && && && && && &&&
& && && && && & }
& && && && && & protocols {
& && && && && && &&&
& && && && && & }
& && && && &}
& && && && &interfaces {
& && && && && & fe-0/0/7.0;
& && && && &}
& & policies {
& && &&&from-zone dmz-dianxin to-zone untrust-dianxin {
& && && && &policy dianxin-dmz-untrust {
& && && && && & match {
& && && && && && &&&source-address [ 192.168.255.0 192.168.253.0 192.168.252.0 ];
& && && && && && &&&destination-
& && && && && && &&&
& && && && && & }
& && && && && & then {
& && && && && && &&&
& && && && && & }
& && && && &}
& && &&&from-zone untrust-dianxin to-zone trust-dianxin {
& && && && &policy dx-vpn-in {
& && && && && & match {
& && && && && && &&&source-address 10.254.255.1;
& && && && && && &&&destination-address 198.188.29.0;
& && && && && && &&&
& && && && && & }
& && && && && & then {
& && && && && && &&&permit {
& && && && && && && && &tunnel {
& && && && && && && && && & ipsec-vpn XXXX;
& && && && && && && && &}
& && && && && && && && &destination-address {
& && && && && && && && && & drop-
& && && && && && && && &}
& && && && && && &&&}
& && && && && & }
& && && && &}
& && &&&from-zone trust-dianxin to-zone untrust-dianxin {
& && && && &policy dx-vpn-out {
& && && && && & match {
& && && && && && &&&source-address 198.188.29.0;
& && && && && && &&&destination-address 10.254.255.0;
& && && && && && &&&
& && && && && & }
& && && && && & then {
& && && && && && &&&permit {
& && && && && && && && &tunnel {
& && && && && && && && && & ipsec-vpn XXXX;
& && && && && && && && &}
& && && && && && && && &destination-address {
& && && && && && && && && & drop-
& && && && && && && && &}
& && && && && && &&&}
& && && && && && &&&log {
& && && && && && && && &session-
& && && && && && && && &session-
& && && && && && &&&}
& && && && && & }
& && && && &}
& && &&&from-zone dmz to-zone untrust {
& && && && &policy allow-all {
& && && && && & match {
& && && && && && &&&source-
& && && && && && &&&destination-
& && && && && && &&&
& && && && && & }
& && && && && & then {
& && && && && && &&&
& && && && && & }
& && && && &}
firewall {
& & family inet {
& && &&&filter classify-source {
& && && && &term dianxin {
& && && && && & from {
& && && && && && &&&source-address {
& && && && && && && && &192.168.253.0/24;
& && && && && && && && &192.168.252.0/24;
& && && && && && && && &192.168.255.0/24;
& && && && && && &&&}
& && && && && && &&&interface fe-0/0/7.0;
& && && && && && &&&interface fe-0/0/6.0;
& && && && && && &&&interface fe-0/0/5.0;
& && && && && && &&&interface fe-0/0/4.0;
& && && && && & }
& && && && && & then {
& && && && && && &&&routing-instance route-source-
& && && && && & }
& && && && &}
& && && && &term liantong {
& && && && && & from {
& && && && && && &&&source-address {
& && && && && && && && &192.168.250.0/24;
& && && && && && && && &192.168.251.0/24;
& && && && && && &&&}
& && && && && & }
& && && && && & then {
& && && && && && &&&routing-instance route-source-
& && && && && & }
& && && && &}
& && && && &term default {
& && && && && &
& && && && &}
& & profile jweb-pp0 {
& && &&&client
chap-secret &$9$9tyCC0B1RhcretpvW8LN-jHkq5Q&;
routing-instances {
& & route-source-dianxin {
& && &&&instance-type virtual-
& && &&&interface ge-0/0/0.0;
& && &&&routing-options {
& && && && &interface-routes {
& && && && && & rib-group inet source-
& && && && &}
& && && && &static {
& && && && && & route 0.0.0.0/0 next-hop 124.227.XXX.1;
& && && && &}
& & route-source-liantong {
& && &&&instance-type virtual-
& && &&&interface pp0.0;
& && &&&routing-options {
& && && && &interface-routes {
& && && && && & rib-group inet source-
& && && && &}
& && && && &static {
& && && && && & route 0.0.0.0/0 next-hop pp0.0;
& && && && &}
& & vlan-trust {
& && &&&vlan-id 3;
& && &&&l3-interface vlan.0;
configuration_viewedit_viewtext_page}
我要回帖
更多推荐
- ·如何解除微信公众平台登录号的绑定呢?
- ·如何解除微信公众号登录平台账号绑定呢?
- ·学西餐怎么学的培训?
- ·拉动苹果往右滑软件快捷突然消失了里的选项变灰色是正常的吧?
- ·很多天前她把我一个女人屏蔽你看她的朋友圈原因对我屏蔽了,我说很想她她又设置回来了,她为什么这么做?
- ·珍爱网价钱找人能找到吗?会员价钱太高了 可以优惠点吗
- ·表打我的好奇心= =求二见一树gv的GV(喂
- ·(2/2)了不行。到底该怎么dnf游戏设置不行才行?
- ·设置了360浏览器为360默认浏览器器,可是用软件上打开网页时用IE的,怎么会这样?
- ·怎么那个通用网址注册册不了啊、???
- ·请问你姓甚名谁此 ICP证:京ICP证030173 这个是否真实的?
- ·麻烦专家看下,九位数QQ,一个太阳,qq飞车图标等级等级107级,QQ号码为89****190,能卖多少钱
- ·我的电脑玩LOL卡,不知道为啥。这是我的电脑配置,lol大神是什么意思们看看吧
- ·lm3s8962 fatfs例程的 模拟比较器的疑问,求高手解答。
- ·看看这台台电平板电脑怎么样样??多少钱?
- ·qq被盗了怎么办,安全指数100
- ·ISL6566芯片中37脚 ENll 微信是什么么?它来自哪?
- ·电脑买了三年了,没做过任何维护。最近,电脑老是自动关机高温。我该对电脑做些什么?谢谢了
- ·求高手帮忙配个静音的CPU铜铝复合散热器器,不然直接80度,吃不消啊
- ·英特尔hd graphics family 256MB 和 NVIDIA GeForce 英伟达8400m gsS
- ·juniper srx240优势是什么?
- ·派尔 4s 怎样更改4s墙纸下载
- ·您好,能给我一个p1.cn的邀请码么?万分感谢图片!!!邮箱
- ·大家推荐我买酷睿i5 3450 35507860还是I5 3450
- ·为什么将逸贝网乒乓球拍拍命名为729
- ·求柔力球第五套章乐,太极拳柔力球48式陈思坦表演的音乐,我的QQ号 236630983
- ·求郑多燕哑铃高清健身舞,全8集,高清,中文版,谢谢~
- ·想知道: 株洲市公安局 株洲强峰健身房 在哪
- ·新款亿健9007c跑步机家用特价折叠静音正品多功能电动跑步机包邮跪求
- ·PSV比苹果4s怎么下载歌曲!多媒体的方面
- ·迪卡尔沙曼运算
- ·nba球星图片绝招
- ·2K12怎么联网解决白2k12球鞋补丁
- ·我13岁185cm的美女,请问如何练习自己的弹跳和肌肉?投篮怎样投的准?
- ·【包邮3折】耐克跑鞋 nike跑步鞋 耐克男跑步鞋鞋女鞋nike air max 2012谁能告诉我下怎么去这家啊
- ·[春季清仓]Salomon/北京萨洛蒙蒙*男款户外防水越野跑鞋*XT WINGS 2 GTX的作用
