Juniper-SSG系列之子接口（單臂路由）運用

一、網絡結構

二、分析與預規劃
規劃如上圖↑
分析客戶目前暫定的拓撲方案，實現多vlan間通信。G0/0/48端口做成Trunk，理論上SW-A默認只會讓10.10.0.X/24的主機過，Juniper防火墻Ping vlanif1-6都能到，這個是問題來了，只有10.10.0.x/24的主機，端口不做情況下就能到Juniper設備上。這時就能意識到，單臂路由的方向！！(^__^)

【單臂路由定義掃盲】
單臂路由（router-on-a-stick）是指在路由器的一個接口上通過配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式，實現原來相互隔離的不同VLAN（虛擬局域網）之間的互聯互通（這一次由于起子接口的設備上是Juniper設備，防火墻通過策略可以實現Vlan間互相獨立，若不做策略便是互聯互通）
優點：實現不同vlan之間的通信，有助理解、學習VLAN原理和子接口概念。
缺點：容易成為網絡單點故障，配置稍有復雜，現實意義不大。

四、防火墻配置：
Web-UI上配置如下：
Step-1，下拉選擇Sub-IF

Step-2，填寫參數

set interface "ethernet0/1.1" tag 2 zone "Trust"
set interface "ethernet0/1.2" tag 3 zone "Trust" #在e0/1創建子接口并打上vlan標簽
set interface ethernet0/1.1 ip 10.10.2.1/24 #IP配置
set interface ethernet0/1.1 nat
set interface ethernet0/1.2 ip 10.10.3.1/24 #IP配置
set interface ethernet0/1.2 nat
（PS：注意接口和區域，和Vlan tag，這里的10.10.2.1/24是SW-A的Vlanif2，所以這里要一一對應起來， ），點擊-OK輸出如下圖

這里請各位留意，子接口一旦建立，默認是UP，一旦主接口down，子接口也就down了。這樣一一對應都建立好了之后，剛才vlan間的不能通信也順利完成了通信。測試vlan端口正常，這也就是單臂路由。為了更好的讓各位理解單臂路由，我找了一個圖，大家往下看。

理論上，vlan10與vlan20之間是無法互相ping通的，但通過介紹的單臂路由就可以實現他們的互聯互通。（通俗一點講，就是在Fa0/0通過子接口方式起多個網關）
五、實施回顧
單臂路由長應用在中小型企業當中，當企業無法預算購買三層交換機時，通過二層交換機實現多vlan的互聯互通。
此次跨境通的實施交付，因客戶需要vlan間互通，我這里策略就沒做，以下為各位簡單的介紹下SSG系列策略配置。
禁止2個網段互相訪問，這個可以根據實際需要添加。
set policy id 35 from "Trust" to "Trust" "10.10.2.1/24" "10.10.3.1/24" "ANY" deny log
set policy id 35
exit
set policy id 34 from "Trust" to "Trust" "10.10.3.1/24" "10.10.2.1/24" "ANY" deny log
set policy id 34
接著配置Untrust-Trust的訪問策略，互相獨立起來，做各自的安全policy即可：
set policy id 36 from "Utrust" to "Trust" "any" "10.10.2.1/24" "ANY" deny log
set policy id 36
set policy id 37 from "Utrust" to "Trust" "any" "10.10.3.1/24" "ANY" deny log
set policy id 37

PS：目前此操作還未進行任何調試與實驗，實用性有待考究。感謝史振南的支持。