Juniper-SSG系列之子接口（單臂路由）運(yùn)用-創(chuàng)新互聯(lián)

一、網(wǎng)絡(luò)結(jié)構(gòu)

創(chuàng)新互聯(lián)專注于深州企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,成都商城網(wǎng)站開發(fā)。深州網(wǎng)站建設(shè)公司,為深州等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站設(shè)計(jì)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

二、分析與預(yù)規(guī)劃
規(guī)劃如上圖↑
分析客戶目前暫定的拓?fù)浞桨?，?shí)現(xiàn)多vlan間通信。G0/0/48端口做成Trunk，理論上SW-A默認(rèn)只會(huì)讓10.10.0.X/24的主機(jī)過(guò)，Juniper防火墻Ping vlanif1-6都能到，這個(gè)是問(wèn)題來(lái)了，只有10.10.0.x/24的主機(jī)，端口不做情況下就能到Juniper設(shè)備上。這時(shí)就能意識(shí)到，單臂路由的方向?。?^__^)

【單臂路由定義掃盲】
單臂路由（router-on-a-stick）是指在路由器的一個(gè)接口上通過(guò)配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式，實(shí)現(xiàn)原來(lái)相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通（這一次由于起子接口的設(shè)備上是Juniper設(shè)備，防火墻通過(guò)策略可以實(shí)現(xiàn)Vlan間互相獨(dú)立，若不做策略便是互聯(lián)互通）
優(yōu)點(diǎn)：實(shí)現(xiàn)不同vlan之間的通信，有助理解、學(xué)習(xí)VLAN原理和子接口概念。
缺點(diǎn)：容易成為網(wǎng)絡(luò)單點(diǎn)故障，配置稍有復(fù)雜，現(xiàn)實(shí)意義不大。

四、防火墻配置：
Web-UI上配置如下：
Step-1，下拉選擇Sub-IF

Step-2，填寫參數(shù)

set interface "ethernet0/1.1" tag 2 zone "Trust"
set interface "ethernet0/1.2" tag 3 zone "Trust" #在e0/1創(chuàng)建子接口并打上vlan標(biāo)簽
set interface ethernet0/1.1 ip 10.10.2.1/24 #IP配置
set interface ethernet0/1.1 nat
set interface ethernet0/1.2 ip 10.10.3.1/24 #IP配置
set interface ethernet0/1.2 nat
（PS：注意接口和區(qū)域，和Vlan tag，這里的10.10.2.1/24是SW-A的Vlanif2，所以這里要一一對(duì)應(yīng)起來(lái)， ），點(diǎn)擊-OK輸出如下圖

這里請(qǐng)各位留意，子接口一旦建立，默認(rèn)是UP，一旦主接口down，子接口也就down了。這樣一一對(duì)應(yīng)都建立好了之后，剛才vlan間的不能通信也順利完成了通信。測(cè)試vlan端口正常，這也就是單臂路由。為了更好的讓各位理解單臂路由，我找了一個(gè)圖，大家往下看。

理論上，vlan10與vlan20之間是無(wú)法互相ping通的，但通過(guò)介紹的單臂路由就可以實(shí)現(xiàn)他們的互聯(lián)互通。（通俗一點(diǎn)講，就是在Fa0/0通過(guò)子接口方式起多個(gè)網(wǎng)關(guān)）
五、實(shí)施回顧
單臂路由長(zhǎng)應(yīng)用在中小型企業(yè)當(dāng)中，當(dāng)企業(yè)無(wú)法預(yù)算購(gòu)買三層交換機(jī)時(shí)，通過(guò)二層交換機(jī)實(shí)現(xiàn)多vlan的互聯(lián)互通。
此次跨境通的實(shí)施交付，因客戶需要vlan間互通，我這里策略就沒做，以下為各位簡(jiǎn)單的介紹下SSG系列策略配置。
禁止2個(gè)網(wǎng)段互相訪問(wèn)，這個(gè)可以根據(jù)實(shí)際需要添加。
set policy id 35 from "Trust" to "Trust" "10.10.2.1/24" "10.10.3.1/24" "ANY" deny log
set policy id 35
exit
set policy id 34 from "Trust" to "Trust" "10.10.3.1/24" "10.10.2.1/24" "ANY" deny log
set policy id 34
接著配置Untrust-Trust的訪問(wèn)策略，互相獨(dú)立起來(lái)，做各自的安全policy即可：
set policy id 36 from "Utrust" to "Trust" "any" "10.10.2.1/24" "ANY" deny log
set policy id 36
set policy id 37 from "Utrust" to "Trust" "any" "10.10.3.1/24" "ANY" deny log
set policy id 37

PS：目前此操作還未進(jìn)行任何調(diào)試與實(shí)驗(yàn)，實(shí)用性有待考究。感謝史振南的支持。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)題目：Juniper-SSG系列之子接口（單臂路由）運(yùn)用-創(chuàng)新互聯(lián)
當(dāng)前網(wǎng)址：http://muchs.cn/article32/dhispc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營(yíng)銷、品牌網(wǎng)站建設(shè)、服務(wù)器托管、定制網(wǎng)站、微信公眾號(hào)、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)