junper防火墙之自摆乌龙
Juniper防火墙划分三个端口:
1.E0/0连接内网网络,网段是172.16.1.0/24,E0/0的端口ip地址是172.16.1.1,作为内网网络的网关
2.E0/1连接DMZ区域,网段是172.16.2.0/24,E0/1的端口ip地址是172.16.2.1,作为DMZ的网关
3.E0/2连接外网区域,网段是202.202.202.0/24,E0/2的端口ip地址是202.202.202.202,同时配置默认路由,指向202.202.202.1
划分为三个不同区域,策略如下:
1.E0/0是trust区域,trust区域能够访问DMZ和untrust区域
2.E0/1是DMZ区域,DMZ区域能够访问trust和untrust区域
3.E0/2是untrust区域,untrust区域能够访问DMZ区域
PC连接到交换机上,交换机的有个端口连接到Juniper防火墙的E0/0端口,PC的ip地址是172.16.1.5,网关是172.16.1.1,服务器连接到交换机上,交换机的有个端口连接到Juniper防火墙的E0/1端口,服务器的ip地址是172.16.2.5,网关是172.16.2.1配置完成后,出现了以下问题:
1.PC能够ping通172.16.1.1,也能够ping通202.202.202.202,也能够上网,但是不能ping通172.16.2.1
2.服务器也能够ping通172.16.2.1,也能够ping通202.202.202.202,也能够上网,但是不能ping通172.16.1.1
为了找出问题所在,在策略里面增加日志记录功能,发现和DMZ区域通信时,相应的策略并没有任何的日志记录,判断数据并没有到达Juniper或者Juniper对数据进行了过滤。
后来发现是PC的掩码配置错误,应该为255.255.255.0,配置错误为255.255.0.0。和DMZ区域(172.16.2.0/24)通信时误以为和自己是一个网段的,所以会arp广播查询mac地址,但是广播包无法通过Juniper的三层口。即使有mac地址,172.16.1.5和172.16.2.5通信时,二层源mac地址是172.16.1.5的mac地址,目的mac地址是172.16.2.5的mac地址。这个包发给交换机后,由于没有该mac地址对应的端口,会从所有端口洪泛此包,到达Juniper后,发现目的mac地址并不属于自己的,会进行丢弃处理,所以通信仍不能建立。
最新文章
- MongoDB安装与故障
- JDWP Agent
- 每秒执行一个shell脚本(转载)
- HDU 1285 确定比赛排名 (数组实现 )
- python md5加密中文
- paip.最省内存的浏览器评测 cah
- C#用正则表达式 获取标签的属性或值
- CircularProgressBar
- shell编程的一些例子3
- ajax请求获取到数据,但是仍然不能触发success方法
- JAVA加密算法系列-MD5
- 基于TCP协议的socket编程
- centos 系统日志
- 移植cjson到windows下编译
- 使用 Homebrew 安装 Git
- Cocos2D中Action的进阶使用技巧(二)
- #Java学习之路——第一部分总结
- python保存文件到数据库
- 记录pageHelper分页orderby的坑
- ASP.NET Core MVC 概述