JuniperSSG140使用PBR实现双线路接入
转载:http://active.blog.51cto.com/1100981/1119894/
公司一直使用电信10M线路用于访问互联网,同时基于此线路与各个子公司建立VPN传输业务数据,近期新增了一条10M联通线路用于流量分流,要求在不调整电信线路的基础上实现:
1.VPN流量依旧通过电信线路进行处理
2.总公司内部网段能够正常互访
3.总公司10网段互联网流量通过联通转发,90网段互联网流量通过电信转发
因出口使用的是SSG140查询相关资料后准备使用PBR功能实现此需求,拓扑图如下:
PBR(Policy Basic Routing)功能是指依据特定的策略将符合策略标准的数据包按照指定的路由进行转发,可以依据源地址、源端口、协议、目的地址、目的端口等标准进行转发。而不符合策略的流量就按照默认的路由表进行转发,OK,let’s go!
一、 配置联通线路接入
联通线路接入到SSG140的E0/7端口,因此需要在此端口上配置联通的公网IP、工作模式等信息,WEB登陆后选择NetworkàInterfaceàEthernet0/7,配置如下:
备注:Ethernet0/7端口绑定到Untrust区域
二、 配置PBR功能
PBR功能的实现需要依次配置EACL/Match_GROUP/Active_Group/Policy/Binding等内容,下面开始一步步的进行配置:
1.EACL是定义符合策略的元素,比如源地址、目的地址等,按照我们的需求在这里建立2个EACL。
EACL1:内部流量,即目的地址是10、90、172段的流量
EACL2:10段访问互联网的流量,即从源地址10到0.0.0.0的流量
由于90段的流量默认是通过电信线路进行转发,所以我们这里无需为90段创建EACL
WEB登录防火墙定位到Network > Routing > PBR > Extended ACL List 创建EACL,如下图:
备注:创建EACL时要选择创建到trust-vr路由表中
2.创建Match Group,由于EACL中包含很多条记录且使用数字进行命名,不便于识别,所以使用更便于识别的Match Group来标示。我们也只需创建2个MatchGroup,Intranet用于匹配内部流量的EACL,Internet-LT匹配10段的公网流量。点击Network > Routing > PBR > Match Group List配置,如下图:
3.创建ActionGroup,它的作用是指定数据包的处理方式,也就是如何路由转发数据,对于10段的公网流量直接转至联通线路,即E0/7接口;对于内部流量则无需指定处理方式,防火墙会按照默认路由表进行处理,点击Network > Routing > PBR > Action Group List配置,如下图:
4.创建策略,策略是将前面步骤中创建的MatchGroup和ActiveGroup关联起来,也就实现了将符合EACL的数据包按照指定的ActionGroup进行处理。需要注意的是,一个策略集当中会包含多条策略,而策略的执行是按照ID大小从上到下开始执行,所以要将内部流量的策略放在最上面。点击Network > Routing > PBR > Policy List进行配置,如下图:
5.绑定策略,这里完成的是如何让已经创建好的策略生效,只有策略生效过后数据包才会按照我们的需求被转发。策略可以绑定到接口、安全区域、虚拟路由等地方,我们这里选绑定到接口,即10段所在的接口E0/0,点击Network > Routing > PBR > Policy Binding配置,如下图:
至此,我们完成了PBR功能的各项设置,现在开始检测数据是否按照我们的要求被处理
三、 验证结果
1.VPN流量是否是通过电信线路处理
由于VPN是通过电信线路建立的,而我们并没有在联通线路上建立VPN通道,所以只要内部网段能够正常的访问VPN连接的子公司,那么VPN流量就是正常的。
我们分别从90和10段主机上Ping子公司所在的网段,如下图:
2.总公司内部网段能否互通,通过在90段主机上Ping10段IP,正常通过
3.10段和90段公网流量是否走对应的线路?我们分别在10和90段选择一台主机登录到IP138.COM查询它的公网IP,如下图:
10段主机:
90段主机:
可以直接在百度输入IP,看看自己的外网IP就可判断访问外网走那条线。
本文出自 “OnMyWay” 博客,请务必保留此出处http://active.blog.51cto.com/1100981/1119894
JuniperSSG140使用PBR实现双线路接入相关推荐
- 全国战争linux添加eth0,linux服务器双线路接入配置
linux服务器双线路接入配置 现在有两个专线外接进来分别是移动IP:218.204.242.XXX和电信IP:124.172.245.XXX 服务器的地址eth0和eth1的地址分别是:移动IP:2 ...
- 西安网吧电信网通双线路接入方案(转)
前言: 网吧这个新兴的产业,带动了很多业务的发展,网吧路由器作为网吧的关键接入设备,必须要非常适合网吧使用的特点,具体情况如下: 1.规模大,用户多,设备不间断运行:一般的,网吧的机器数量少则一百多台 ...
- 双线路接入时IPSec数据不通问题
双线路接入时IPSec数据不通问题 文档编号:631 浏览:1163 评分:17 网络环境: 中心点UTT 3640,采用双线路固定IP接入方式,且线路组合方式为负载均衡模式,中心点IP地址段192. ...
- HiPER月光网吧宽带安全网关接入解决方案(转)
客户背景: 网吧凭借舒适宽松的上网环境.高速便捷的网络服务以及低廉的联网费用,成为众多网民网上冲浪以及休闲娱乐的好去处.而月光网吧正是看好了这个商机后在天津蓟县新开的一家全新的大型网吧.整个网吧的硬件 ...
- 网吧接入的新趋势(转)
据IDC数字统计,目前中国网民的人数已经突破了8000万大关,全国约有11万家网吧,总量约600万台计算机.很多网吧业主在经历了刚发展阶段市场的暴利后,都对目前的上网价格表示苦恼和无奈,从原先的12元 ...
- 解决南北互通瓶颈 服务器多线接入探讨
多线路接入技术就是在互联网数据中心(IDC)通过特殊的技术手段把不同的网络接入商(ISP)服务接入到一台服务器上或服务器集群,使服务器所提供的网络服务访问用户能尽可能以同一个ISP或互访速度较快的IS ...
- 网吧双线路接入服务器方案(转)
目前国内互联网络主要为两大ISP运营 - 中国网通 中国电信.当用户使用中国网通的光纤线路时.访问网通上的各类网站.游戏服务器等速度正常,而访问中国电信网络上的各类服务器时速度异常缓慢 使用中国电信的 ...
- 某大学计算机接入中国教育和,关于我校校园网正式接入中国教育和科研计算机网的公告...
在学校领导的高度重视下,信息中心自校园网项目启动之初起,一直致力于将我校校园网接入中国教育和科研计算机网(CERNET).2013年9月16日,校园网与Cernet教育网的对接调试完毕,已实现中国移动 ...
- 小型企业的上网行为管理方案
近日接一老同学打来电话说要我帮忙设计个方案,他们公司要做一个员工上网行为管理方案,总共PC不超过20台,询问他公司网络结构拓扑以及需要解决问题 1:网络拓扑 从电信拉了一条4M线路通过TPLINK路由 ...
- 组网中交换机虚拟化技术的应用
在我即将要进行实施的校园云教室项目中,甲方有个要求在两台核心交换机上要使用虚拟化技术,实现多虚一的功能.虽说我对交换机的多虚一或一虚多技术有所了解,但我还从没在实现项目中应用过这种技术,于是我想在实施 ...
最新文章
- JavaScript机器学习之线性回归
- Ruby测试框架Rspec初探
- pwa要离线html么,正确使用PWA
- calender获取本月最后一天的日期_怕忘记2020法考重点日期?这份法考日历为你护航,信息量巨大...
- [云炬创业管理笔记]第四章把握创业机会测试4
- 被3整除的子序列(线性dp)
- 程序员面试金典 - 面试题 17.26. 稀疏相似度(哈希map)
- 什么是 Apache Sentry , Apache Sentry 介绍
- android+usb转串口+唯一id,Android平台3G模块驱动移植-USB转串口
- oracle 定时器时间分区_Oracle数据库之oracle按时间分区以及自动分区
- 用 grldr 引导WinXP/Ubuntu双系统
- 生物信息学软件_高通量测序技术|生信的发展,常用数据格式及分析软件
- 2018北京网络赛B题 Tomb Raider
- CH 6202 黑暗城堡
- 树莓派改造成通用计算机,218元!树莓派电脑板成功改造完整便携式电脑(图)...
- 【ABC算法】人工蜂群算法原理及代码
- 在线帮助中心,轻松解决售后服务问题
- c语言 gps课程设计,完整版GPS定位系统设计.doc
- **RL张力称重传感器及自动化中的应用**
- “中关村黑马程序员训练营”练习题(二)