Juniper 防火墙策略路由配置

Juniper 防火墙策略路由配置

一、网络拓扑图

要求：

1、默认路由走电信；

2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址，走电信，访问互联网走网通；

二、建立extended acl

1、选择network---routing---pbr---extended acl list,点击new 添加：

Extended acl id:acl 编号Sequence No.：条目编号源地址：192.168.1.10/32 目的地址：1.0.0.0/8 Protocol：选择为any

端口号选择为：1-65535 点击ok：

2、点击add seg No.再建立一条同样的acl，但protocol 为icmp，否则在trace route 的时候仍然后走默认路由:

3、建立目的地址为0.0.0.0 的acl：

切记添加一条协议为icmp 的acl；

命令行：

set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10

set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20

set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10

set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol

icmp entry 20

三、配置match group：

1、network---routing---pbr---match group，点击add：

Match group 的作用就是关联acl

按照同样的方法将两个acl 进行关联：

命令行：

set match-group name group_10

set match-group group_10 ext-acl 10 match-entry 10

set match-group name group_20

set match-group group_20 ext-acl 20 match-entry 10

四、配置action group：

1、network---routing---pbr---action group，点击add：

在这里指定下一跳接口和地址。配置访问电信1.0.0.0/8 的下一跳地址；

在这里指定下一跳接口和地址。配置访问电信1.0.0.0/8 的下一跳地址；继续配置访问网通的下一跳路由地址：

五、配置policy

1、network---routing---pbr---policy，点击add：

将刚建立的访问电信1.0.0.0/8 的match group 和action group 绑定

点击Add Seg No.，添加访问网通的策略：

命令行：

set pbr policy name pbr_trust

set pbr policy pbr_trust match-group group_10 action-group action_10 10 set pbr policy pbr_trust match-group group_20 action-group action_20 20

六、配置policy binding：

1、network---routing---pbr---policybinding，点击add：

将配置好的policy（pbr_trust）应用到trust 接口上

命令行：

set interface ethernet0/0 pbr pbr_trust