Juniper 三層操作

查看防火墻的本地路由表：

àget route

默認情況下所有的Zone都屬于Trust-VR虛擬路由器

查看防火墻的虛擬路由器

àget vrouter

由于防火墻需要連接多個Zone，不同的Zone屬于不同的網段，需要Zone之間進行互通的話，防火墻需要路由

Juniper的防火墻支持哪些路由協議：

1.靜態路由

1.普通的靜態路由協議

àset route (vrouter trust-vr) 10.1.3.0/24 interface eth4 gateway 1.1.1.3

àget route protocol static

2.缺省靜態路由（默認靜態路由）

àset route 0.0.0.0/0 interface eth4 gateway 1.1.1.3

2.動態路由

OSPF

RIP

BGP

Juniper定義地址組建和地址組

a.定義一個地址

àset address untrust 10.1.2.2 10.1.2.2 255.255.255.255

b.定義一個地址組

àset group addrss untrust cjclub01 add 10.1.2.2

àset group addrss untrust cjclub01 add 10.1.3.2

c.應用外網到內網區段的策略

àset policy from untrust to home cjclub01 any any permit

àset policy from untrust to home any any any permit

允許外網到Home區段所有的服務進入

配置Juniper防火墻的三層功能：

a.建立一個Zone（如果不使用默認Zone的話）;

àset zone name cjclub

b.建立一個接口，將接口劃分進Zone中，并配置IP地址

àset interface loopback.1 zone cjclub

àset interface loopback.1 ip 8.8.8.8/32

c.配置防火墻的靜態路由

àset route 10.1.2.0/24 interface eth4 gateway 1.1.1.2

三層的查看命令：

a.查看到達目的主機的路由是存在

àget route ip 10.1.2.1

b.查看到達目的網段的路由條目

àget route prefix 10.1.2.0/24

c.查看靜態的路由條目

àget route protocol static

d.跟蹤路由

àtrace-route 10.1.3.2

Juniper的防火墻的Debug信息：

1. Debug信息可以實時的監控網絡發送流量的數據包

默認Juniper的防火墻的Debug信息是放到緩存中的

2. Debug信息的配置

a.打開Debug信息

àdebug flow basic

b.查看DB的緩存

àget db stream

c.查看DB緩存的狀態

àget db info

d.設置DB緩存的大小

àset db size 4096

e.清除緩存計數

àclear dbuf

l直接將Debug信息通過Console口輸出

àunset console dbuf

3. 配置Juniper防火墻的流過濾

Flow filter:

a.基于IP地址

b.基于TCP/UDP 端口號

c.基于IP的協議

làundebug all 關閉所有的Debug信息

4. 通過Debug信息查看數據包經過防火墻的詳細過程

a.設置Flow Filter

àset ff src-ip 10.1.1.2

b.查看Flow Filter

àget ff

Flow filter based on :

Id:0 src ip 10.1.1.2

c.打開Debug的信息

àdebug flow basic

d.清除DB的緩存

àclear db

e.關閉所有的Debug信息

àundebug all

l詳細過程

1.Screen filter 的檢查

Packet passed sanity check

2.查找是否存在會話

Flow got session

3.查找路由條目

Search route to

4.查找Policy

5.查找普通的NAT

6.建立Session；

7.路由數據包

8.解析下一跳IP的MAC地址（使用ARP）

& ISG-2000和NS-5000高端防火墻一些信息無法通過Debug捕獲

Debug信息的捕獲完全根據CPU處理，高端設備采用ASIC芯片;

Loopback interface(回環接口地址)

a.虛擬的接口，一直是UP，不需要物理連接

b.作用：

1.管理

2.×××

3.動態路由協議(ROUTER-ID)

c.配置loopback

1.給接口配置IP地址

àset interface loopback.3 ip 10.10.10.10/32

2.配置loopback的管理功能

àset interface lo.3 manage