Juniper-SSG系列之子接口（单臂路由）运用（juniper ssg）

Juniper-SSG系列之子接口（单臂路由）运用（juniper ssg）

二、分析与预规划规划如上图↑分析客户目前暂定的拓扑方案，实现多vlan间通信。G0/0/48端口做成Trunk，理论上SW-A默认只会让10.10.0.X/24的主机过，Juniper防火墙Ping vlanif1-6都能到，这个是问题来了，只有10.10.0.x/24的主机，端口不做情况下就能到Juniper设备上。这时就能意识到，单臂路由的方向！！(^__^)

【单臂路由定义扫盲】单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通（这一次由于起子接口的设备上是Juniper设备，防火墙通过策略可以实现Vlan间互相独立，若不做策略便是互联互通）优点：实现不同vlan之间的通信，有助理解、学习VLAN原理和子接口概念。缺点：容易成为网络单点故障，配置稍有复杂，现实意义不大。

理论上，vlan10与vlan20之间是无法互相ping通的，但通过介绍的单臂路由就可以实现他们的互联互通。（通俗一点讲，就是在Fa0/0通过子接口方式起多个网关）五、实施回顾单臂路由长应用在中小型企业当中，当企业无法预算购买三层交换机时，通过二层交换机实现多vlan的互联互通。此次跨境通的实施交付，因客户需要vlan间互通，我这里策略就没做，以下为各位简单的介绍下SSG系列策略配置。禁止2个网段互相访问，这个可以根据实际需要添加。set policy id 35 from "Trust" to "Trust" "10.10.2.1/24" "10.10.3.1/24" "ANY" deny log set policy id 35exitset policy id 34 from "Trust" to "Trust" "10.10.3.1/24" "10.10.2.1/24" "ANY" deny log set policy id 34接着配置Untrust-Trust的访问策略，互相独立起来，做各自的安全policy即可：set policy id 36 from "Utrust" to "Trust" "any" "10.10.2.1/24" "ANY" deny log set policy id 36set policy id 37 from "Utrust" to "Trust" "any" "10.10.3.1/24" "ANY" deny log set policy id 37

PS：目前此操作还未进行任何调试与实验，实用性有待考究。感谢史振南的支持。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。