Juniper防火墙划分三个端口:

1.E0/0连接内网网络,网段是172.16.1.0/24,E0/0的端口ip地址是172.16.1.1,作为内网网络的网关

2.E0/1连接DMZ区域,网段是172.16.2.0/24,E0/1的端口ip地址是172.16.2.1,作为DMZ的网关

3.E0/2连接外网区域,网段是202.202.202.0/24,E0/2的端口ip地址是202.202.202.202,同时配置默认路由,指向202.202.202.1

划分为三个不同区域,策略如下:

1.E0/0是trust区域,trust区域能够访问DMZ和untrust区域

2.E0/1是DMZ区域,DMZ区域能够访问trust和untrust区域

3.E0/2是untrust区域,untrust区域能够访问DMZ区域

PC连接到交换机上,交换机的有个端口连接到Juniper防火墙的E0/0端口,PC的ip地址是172.16.1.5,网关是172.16.1.1,服务器连接到交换机上,交换机的有个端口连接到Juniper防火墙的E0/1端口,服务器的ip地址是172.16.2.5,网关是172.16.2.1配置完成后,出现了以下问题:

1.PC能够ping通172.16.1.1,也能够ping通202.202.202.202,也能够上网,但是不能ping通172.16.2.1

2.服务器也能够ping通172.16.2.1,也能够ping通202.202.202.202,也能够上网,但是不能ping通172.16.1.1

为了找出问题所在,在策略里面增加日志记录功能,发现和DMZ区域通信时,相应的策略并没有任何的日志记录,判断数据并没有到达Juniper或者Juniper对数据进行了过滤。

后来发现是PC的掩码配置错误,应该为255.255.255.0,配置错误为255.255.0.0。和DMZ区域(172.16.2.0/24)通信时误以为和自己是一个网段的,所以会arp广播查询mac地址,但是广播包无法通过Juniper的三层口。即使有mac地址,172.16.1.5和172.16.2.5通信时,二层源mac地址是172.16.1.5的mac地址,目的mac地址是172.16.2.5的mac地址。这个包发给交换机后,由于没有该mac地址对应的端口,会从所有端口洪泛此包,到达Juniper后,发现目的mac地址并不属于自己的,会进行丢弃处理,所以通信仍不能建立。

最新文章

  1. MongoDB安装与故障
  2. JDWP Agent
  3. 每秒执行一个shell脚本(转载)
  4. HDU 1285 确定比赛排名 (数组实现 )
  5. python md5加密中文
  6. paip.最省内存的浏览器评测 cah
  7. C#用正则表达式 获取标签的属性或值
  8. CircularProgressBar
  9. shell编程的一些例子3
  10. ajax请求获取到数据,但是仍然不能触发success方法
  11. JAVA加密算法系列-MD5
  12. 基于TCP协议的socket编程
  13. centos 系统日志
  14. 移植cjson到windows下编译
  15. 使用 Homebrew 安装 Git
  16. Cocos2D中Action的进阶使用技巧(二)
  17. #Java学习之路——第一部分总结
  18. python保存文件到数据库
  19. 记录pageHelper分页orderby的坑
  20. ASP.NET Core MVC 概述

热门文章

  1. [每日一学]apache camel简介
  2. thinkphp一般数据库操作
  3. POJ-2762-Going from u to v or from v to u(强连通, 拓扑排序)
  4. 树莓派开机自动启动Chomium浏览器并打开指定网页
  5. 【leetcode】Exchange Seats
  6. sudo: pip:command not found问题解决
  7. Haproxy-4层和7层代理负载实战
  8. linux-shell脚本基础-2
  9. Linux培训教程 Git在linux下的使用
  10. Futures工具类使用