JUNIA第三天(FWV三層操作)

默認情況下，所有的Zone都屬于Trunst-VR虛擬路由器
查看防火墻的虛擬路由器
ns5gt-> get vrouter
由于防火墻需要鏈接多個ZOne ,不通ZOne屬于不同的的網段,需要Zone之間進行互通的話,防火墻需要路由

Juniper防火墻靜態路由配置
ns5gt-> set route 12.1.1.0/24 gateway 10.1.1.1
ns5gt-> set vrouter trust-vr 
ns5gt(trust-vr)-> set route 10.3.1.0/24 gateway 10.1.1.1 

查看靜態路由學習到的條目
ns5gt(trust-vr)-> get route protocol static 

Juniper定義地址組建和地址組
a.定義一個地址

ns5gt-> set address untrust 172.16.2.1 172.16.2.1/32
b.定義一個地址組

通過WEBUI界面添加地址組建和地址組

c.應用外網到內網區段的策略ns5gt-> set policy from untrust to home huda any any permit

d.應用外網到Home區段所有的服務都進入
ns5gt-> set policy from untrust to home any any any permit

查看Policy
ns5gt-> get policy 
刪除Policy
ns5gt-> unset policy id 6


配置Juniper防火墻的三層功能
a.建立一個Zone(如果不使用默認Zone的話)
ns5gt-> set zone name kang
b.建立一個接口，將接口劃分進Zone中,并且配置IP地址
ns5gt-> set interface loopback.1 zone kang
ns5gt-> set interface lo.1 ip 1.1.1.1/32
c.配置防火墻的靜態路由
ns5gt-> set route 10.1.2.0/24 interface eth4 gateway 192.168.1.1

三層的查看命令
1.查看到達目的地主機的路由條目
 ns5gt-> get route ip 10.1.2.1
2.查看到達目的地網段的路由條目
 ns5gt-> get route prefix 10.1.2.0/24
3.查看靜態的路由條目
ns5gt-> get route protocol static

跟蹤路由
ns5gt-> trace-route 192.168.1.12

Juniper防火墻的Debug信息
1.Debug信息可以實時的監控網絡發送流量的數據包
   默認Juniper防火墻Debug信息是放到緩存中的
2.Deug信息的配置：
a.打開Debug信息
 ns5gt-> debug flow basic
b.查看DB的緩存
ns5gt-> get db stream
c.查看DB緩存的狀態
 ns5gt-> get db info
d.設置DB緩存的大小
 ns5gt-> set db size 4096
e. 清除緩存計數
 ns5gt-> clear dbuf
f.直接將Debug信息通過Console接口輸出
 ns5gt-> unset console dbuf

配置Juniper防火墻流過濾
 Flow Filter：
a.基于IP地址
b.基于TCP/UDP端口號
c.基于IP協議號 

ns5gt-> undebug all
關閉所有的Debug信息 

通過Debug信息查看數據包經過防火墻的詳細過程
a.設置Flow Filter
ns5gt-> set ff src-ip 192.168.1.12
b.查看Flow Filter
 ns5gt-> get ff
c.打開Debug的信息
ns5gt-> debug flow basic
d.清楚DB的緩存
ns5gt-> clear dbuf

詳細過程
1.Screen Filter的檢查
packet passed sanity check
2.查找是否存在會話
flow got session
3.查找路由條目
4.查找Policy
5.查找普通的NAT
6.建立Session
7.路由數據包
8.解析下一跳IP的MAC地址(使用ARP)