Juniper
為什麼我的 JunOS 防火牆過濾器會切斷管理訪問權限?
我們最近安裝了第二個 Internet 連接,因此我在邊緣路由器上成功地配置了基於策略的路由,該路由器是執行 JunOS 9.5R1.8 的瞻博網路 J4350。
我或多或少地通過範例遵循了指南(在此處找到:http: //community.riverbed.com/rvrb/attachments/rvrb/rvrb-7/2886/1/Juniper%20PBR.pdf)並且 PBR 路由出站工作,根據需要將來自 LAN 內特定範圍的流量路由到 ISP 之外,但是當啟用過濾器時,它似乎也擷取了其他流量 - 我無法再通過 LAN 介面通過 SSH 連接到路由器,並且配置似乎也中斷了一些 IPSEC VPN 通過同一路由器。
總之,沒有任何 PBR 和路由通過單個 ISP 正常工作,而
routing-options
.作為參考,我輸入的配置部分如下:
ge-0/0/0 { vlan 標記; 單元 0 { vlan-id 1; 家庭網{ 篩選 { 輸入 PBR; } 地址 192.168.51.13/24; } } 單元 16 { 描述 Hants-ext; vlan-id 16; 家庭網{ 抽樣{ 輸入; 輸出; } 地址 10.249.16.126/25; } } 單元 128 { 描述非軍事區; vlan-id 128; 家庭網{ 地址 10.249.16.129/25; } } 單元 150 { 描述網路流; vlan-id 150; 家庭網{ 地址 217.20.18.50/29; } } }
家庭網{ 過濾採樣{ 術語預設{ 然後 { 樣本; 接受; } } } 過濾 PBR { 術語 traffic_for_hants { 從 { 源地址{ 192.168.0.0/16; 172.16.0.0/16; 192.168.12.0/24 除外; } } 然後 { 路由實例 viaHants; } } 術語 traffic_for_networkflow { 從 { 源地址{ 192.168.12.0/24; } } 然後 { 通過NetworkFlow 路由實例; } } 術語預設{ 然後接受; } } }
路由選項{ 介面路由{ 肋骨組inet fbf組; } 靜止的 { 路由 192.168.0.0/16 下一跳 192.168.51.37; 路由 10.217.163.0/24 下一跳 192.168.51.37; 路由 172.19.0.0/16 下一跳 192.168.51.12; 路由 172.16.0.0/16 下一跳 10.249.16.1; 路由 0.0.0.0/0 下一跳 10.249.16.1; } 肋組{ fbf 組 { 進口肋[inet.0 viaHants.inet.0 viaNetworkFlow.inet.0]; } } }
防火牆{ 家庭網{ 過濾採樣{ 術語預設{ 然後 { 樣本; 接受; } } } 過濾 PBR { 術語 traffic_for_hants { 從 { 源地址{ 192.168.0.0/16; 172.16.0.0/16; 192.168.12.0/24 除外; } } 然後 { 路由實例 viaHants; } } 術語 traffic_for_networkflow { 從 { 源地址{ 192.168.12.0/24; } } 然後 { 通過NetworkFlow 路由實例; } } 術語預設{ 然後接受; } } } 過濾所有{ 術語全部{ 然後 { 樣本; 接受; } } } }
路由實例{ viaHants { 實例類型轉發; 路由選項{ 靜止的 { 路由 0.0.0.0/0 下一跳 10.249.16.1; 路由 192.168.0.0/16 下一跳 192.168.51.37; 路由 10.217.163.0/24 下一跳 192.168.51.37; 路由 172.19.0.0/16 下一跳 192.168.51.12; 路由 172.16.0.0/16 下一跳 10.249.16.1; } } } 通過網路流 { 實例類型轉發; 路由選項{ 靜止的 { 路由 0.0.0.0/0 下一跳 217.20.18.49; 路由 192.168.0.0/16 下一跳 192.168.51.37; 路由 10.217.163.0/24 下一跳 192.168.51.37; 路由 172.19.0.0/16 下一跳 192.168.51.12; 路由 172.16.0.0/16 下一跳 10.249.16.1; } } } }
路由表:
inet.0:13 個目的地,13 個路線(13 個活動,0 個抑制,0 個隱藏) + = 活動路線,- = 最後活動路線,* = 兩者 0.0.0.0/0 *[靜態/5] 5d 02:52:09 > 通過 ge-0/0/0.16 到 10.249.16.1 10.217.163.0/24 *[靜態/5] 5d 02:52:09 > 通過 ge-0/0/0.0 到 192.168.51.37 10.249.16.0/25 *[直接/0] 38w2d 11:16:31 > via ge-0/0/0.16 10.249.16.126/32 *[本地/0] 38w2d 11:17:33 本地通過 ge-0/0/0.16 10.249.16.128/25 *[直接/0] 38w2d 11:16:31 > via ge-0/0/0.128 10.249.16.129/32 *[本地/0] 38w2d 11:17:33 本地通過 ge-0/0/0.128 172.16.0.0/16 *[靜態/5] 5d 02:52:09 > 通過 ge-0/0/0.16 到 10.249.16.1 172.19.0.0/16 *[靜態/5] 5d 02:52:09 > 通過 ge-0/0/0.0 到 192.168.51.12 192.168.0.0/16 *[靜態/5] 5d 02:52:09 > 通過 ge-0/0/0.0 到 192.168.51.37 192.168.51.0/24 *[直接/0] 38w2d 11:16:31 > via ge-0/0/0.0 192.168.51.13/32 *[本地/0] 38w2d 11:17:33 本地通過 ge-0/0/0.0 217.20.18.48/29 *[直接/0] 1w5d 23:06:44 > via ge-0/0/0.150 217.20.18.50/32 *[本地/0] 1w5d 23:06:44 本地通過 ge-0/0/0.150 viaHants.inet.0:13 個目的地,13 條路線(13 條活動,0 條壓制,0 條隱藏) + = 活動路線,- = 最後活動路線,* = 兩者 0.0.0.0/0 *[靜態/5] 6d 08:47:33 > 通過 ge-0/0/0.16 到 10.249.16.1 10.217.163.0/24 *[靜態/5] 5d 20:07:57 > 通過 ge-0/0/0.0 到 192.168.51.37 10.249.16.0/25 *[直接/0] 5d 03:17:39 > via ge-0/0/0.16 10.249.16.126/32 *[本地/0] 20:39:33 本地通過 ge-0/0/0.16 10.249.16.128/25 *[直接/0] 5d 03:17:39 > via ge-0/0/0.128 10.249.16.129/32 *[本地/0] 20:39:33 本地通過 ge-0/0/0.128 172.16.0.0/16 *[靜態/5] 5d 20:07:57 > 通過 ge-0/0/0.16 到 10.249.16.1 172.19.0.0/16 *[靜態/5] 5d 20:07:57 > 通過 ge-0/0/0.0 到 192.168.51.12 192.168.0.0/16 *[靜態/5] 5d 20:07:57 > 通過 ge-0/0/0.0 到 192.168.51.37 192.168.51.0/24 *[直接/0] 5d 03:17:39 > via ge-0/0/0.0 192.168.51.13/32 *[本地/0] 20:39:33 本地通過 ge-0/0/0.0 217.20.18.48/29 *[直接/0] 5d 03:17:39 > via ge-0/0/0.150 217.20.18.50/32 *[本地/0] 20:39:33 本地通過 ge-0/0/0.150 viaNetworkFlow.inet.0:13 個目的地,13 個路由(13 個活動,0 個抑制,0 個隱藏) + = 活動路線,- = 最後活動路線,* = 兩者 0.0.0.0/0 *[靜態/5] 6d 08:47:33 > 通過 ge-0/0/0.150 到 217.20.18.49 10.217.163.0/24 *[靜態/5] 5d 20:07:57 > 通過 ge-0/0/0.0 到 192.168.51.37 10.249.16.0/25 *[直接/0] 5d 03:17:39 > via ge-0/0/0.16 10.249.16.126/32 *[本地/0] 20:39:33 本地通過 ge-0/0/0.16 10.249.16.128/25 *[直接/0] 5d 03:17:39 > via ge-0/0/0.128 10.249.16.129/32 *[本地/0] 20:39:33 本地通過 ge-0/0/0.128 172.16.0.0/16 *[靜態/5] 5d 20:07:57 > 通過 ge-0/0/0.16 到 10.249.16.1 172.19.0.0/16 *[靜態/5] 5d 20:07:57 > 通過 ge-0/0/0.0 到 192.168.51.12 192.168.0.0/16 *[靜態/5] 5d 20:07:57 > 通過 ge-0/0/0.0 到 192.168.51.37 192.168.51.0/24 *[直接/0] 5d 03:17:39 > via ge-0/0/0.0 192.168.51.13/32 *[本地/0] 20:39:33 本地通過 ge-0/0/0.0 217.20.18.48/29 *[直接/0] 5d 03:17:39 > via ge-0/0/0.150 217.20.18.50/32 *[本地/0] 20:39:33 本地通過 ge-0/0/0.150
這該死的好作品!由於您實際上只需要使用不同的預設網關,因此我會通過在每個術語的 from 節下添加目標地址 0.0.0.0/0 來對您的防火牆過濾器進行一些更改。這樣,只有當目的地是出站 ISP 時才會應用它。不過,這不應該影響訪問管理界面。我通常還會添加一個導入所有連接路線的部分,但我認為您在這裡所做的就是這樣做。你能發布路由表嗎?
這是我做的一些範例,我在其中設置了策略路由以將流量重定向到內部 Web 過濾框。
policy-options { prefix-list web-redirect-src-exclusions; prefix-list web-redirect-dst-exclusions { 10.254.0.0/16; 10.254.1.10/32; 10.254.1.11/32; 10.254.1.12/32; 10.254.128.10/32; 10.254.128.11/32; 10.254.128.12/32; } } firewall { family inet { filter web-redirect { term srx-exclusions { from { source-prefix-list { web-redirect-src-exclusions; } } then accept; } term dst-exclusions { from { destination-prefix-list { web-redirect-dst-exclusions; } } then accept; } term web-redirect { from { destination-address { 0.0.0.0/0; } destination-port [ http https ]; } then { routing-instance web-redirect; } } term default { then accept; } } } } routing-instances { web-redirect { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 10.1.1.5; } } } }