juniper ssg及ns系列防火墙 基于内网网段做源路由分流上网问题

《juniper ssg及ns系列防火墙 基于内网网段做源路由分流上网问题》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、刘向曜Juniper中的基于内网网段的分流（特殊案例）创建人：刘向曜（2569365@qq.com）相关产品：juniperssgns系列防火墙知识点：内网网段分流互通，虚拟路由实施探索刘向曜JuniperSSG及NS系列安全层次划分：•安全网关有严格的逻辑上的层次结构–安全区从属于虚拟路由器•安全区默认都从属于trust-vr–接口从属于安全区•一个接口只能从属于一个安全区–IP地址从属于接口知识点NetscreenOS默认情况下有两个虚拟路由trust-vr和untrust-vr，有三个L3

2、的zone，分别是trust、untrust、dmz，默认都属于trust-vr默认的路由查询优先级路由表优先级注ForSourceInterfaceBasedRouting3优先级大的优先查询，最大255ForSourceBasedRouting2ForDestintationRouting1刘向曜环境拓扑要实现的效果，基于内网网段的分流效果图如下所示：刘向曜问题：如果只是在默认的trust-vr里写源路由的话，会造成172.16.1.0与172.16.2.0网段不可以互通。解释：A、172.

3、16.0.0网段存在于destinationrouting里面B、SourceBasedRouting查询优先于DestintationRouting所以做了源路由，172.16.2.0无论访问内网地址还是外网地址都会走10.0.2.223造成了内网网段不可以互通解决办法将三个不同的区域联通、电信、内网划分为三个虚拟路由Untrust-vr包含untrust区域，区域中包含电信接口Trust-vr包含trust区域，区域中包含内网接口Wifi包含wifi区域，区域中包含联通接口需要写的路由如下图

4、示：解释：（DestintationRouting路由表）分别在连接外网的虚拟路由中添加默认路由指向公网的网关分别在连接外网的虚拟路由中添加内网网段，指向内网虚拟路由器trust-vr内网两个默认路由（用作上网）分别指向虚拟路由器untrust-vr和wifi刘向曜这样放通策略，用户就可以正常上网，但是默认路由是位置高一些的起作用（从上到下的）这样就可以做源路由（在trust-vr中，下一跳指向虚拟路由器）来实现基于内网网段的分流