查看防火墙的本地路由表:
aget路线默认情况下所有的区都属于Trust-VR虚拟路由器
查看防火墙的虚拟路由器
aget vrouter
由于防火墙需要连接多个区,不同的区域属于不同的网段,需要区之间进行互通的话,防火墙需要路由
杜松的防火墙支持哪些路由协议:
1。静态路由
1。普通的静态路由协议
aset路线(vrouter trust-vr) 10.1.3.0/24接口eth4网关1.1.1.3
aget路由协议静态
2。缺省静态路由(默认静态路由)
aset路线0.0.0.0/0接口eth4网关1.1.1.3
2。动态路由
OSPF
把
边界网关协议
Juniper定义地址组建和地址组
。定义一个地址
aset地址untrust 10.1.2.2 10.1.2.2 255.255.255.255
b。定义一个地址组
aset组地址untrust cjclub01添加10.1.2.2
aset组地址untrust cjclub01添加10.1.3.2
c。应用外网到内网区段的策略
aset政策untrust家里cjclub01任何任何允许
aset政策从untrust家里任何允许任何
允许外网到家里区段所有的服务进入
配置Juniper防火墙的三层功能:
。建立一个区域(如果不使用默认带的话);
aset区名称cjclub
b。建立一个接口,将接口划分进区中,并配置IP地址
aset接口环回。1区cjclub
aset接口环回。1 ip 8.8.8.8/32
c。配置防火墙的静态路由
aset路线10.1.2.0/24接口eth4网关1.1.1.2
三层的查看命令:
。查看到达目的主机的路由是存在
aget路由ip 10.1.2.1
b。查看到达目的网段的路由条目
aget路由前缀10.1.2.0/24
c。查看静态的路由条目
aget路由协议静态
d。跟踪路由
atrace-route 10.1.3.2
杜松的防火墙的调试信息:
1。调试信息可以实时的监控网络发送流量的数据包
默认杜松的防火墙的调试信息是放到缓存中的
2。调试信息的配置
。打开调试信息
adebug流基本
b。查看DB的缓存
aget DB流c。查看DB缓存的状态
aget DB信息d。设置DB缓存的大小
aset分贝大小4096
e。清除缓存计数
明确dbuf
l直接将调试信息通过控制台口输出
aunset控制台dbuf
3。配置Juniper防火墙的流过滤
流过滤:
。基于IP地址
b。基于TCP/UDP端口号
c。基于IP的协议
laundebug所有关闭所有的调试信息
4。通过调试信息查看数据包经过防火墙的详细过程
。设置流过滤器
aset ff src ip 10.1.1.2
b。查看流过滤器
aget ff
流过滤基?打开调试的信息
adebug流基本
d。清除DB的缓存
通过DB
e。关闭所有的调试信息
aundebug所有
l详细过程
1。滤网的检查
包通过完整性检查
2。查找是否存在会话
流了会话
3。查找路由条目
搜索途径4。查找政策
5。查找普通的NAT
6。建立会话;
7。路由数据包
8。解析下一跳IP的MAC地址(使用ARP)
,研究小组- 2000和ns - 5000高端防火墙一些信息无法通过调试捕获
调试信息的捕获完全根据CPU处理,高端设备采用ASIC芯片;
环回接口(回环接口地址)
。虚拟的接口,一直是,不需要物理连接
b。作用:
1。管理
2。×××
3。动态路由协议(路由器id)
c。配置环回
1。给接口配置IP地址
aset接口环回。3 ip 10.10.10.10/32
2。配置回送的管理功能
lo aset接口。3管理