Copyright?2004JuniperNetworks,Inc.All JuniperNetworks,theJuniperNetworkslogo,NetScreen,NetScreenTechnologies,GigaScreen,andtheNetScreenlogoareregisteredtrademarksofJuniperNetworks,Inc.NetScreen-5GT,NetScreen-5XP,NetScreen-5XT,NetScreen-500,NetScreen-5200,NetScreen-5400,NetScreen-GlobalPRO,NetScreen-GlobalPROExpress,NetScreen-RemoteSecurityClient, Client,NetScreen-IDP10,NetScreen-IDP100,NetScreen-IDP500,GigaScreenASIC,GigaScreen-IIASIC,andNetScreenScreenOSaretrademarksofJuniperNetworks,Inc.Allothertrademarksandregisteredtrademarksarethepropertyoftheirrespectivecompanies.Informationin issubjecttochangewithoutNopartofthis maybereproducedortransmittedinanyformorbyanymeans,electronicormechanical,foranypurpose,withoutreceivingwrittenpermissionfrom:JuniperNetworks,Inc.ATTN:GeneralCounsel1194N.MathildaAve.Sunnyvale,CA94089-FCCThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.Theselimitsaredesignedtoprovidereasonableprotectionagainstharmfulinterferencewhentheequipmentisoperatedinacommercialenvironment.Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.

ThefollowinginformationisforFCCcomplianceofClassBdevices:Theequipmentdescribedinthismanualgeneratesandmayradiateradio-frequencyenergy.IfitisnotinstalledinaccordancewithNetScreen’sinstallationinstructions,itmaycauseinterferencewithradioand evisionreception.ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.Ifthisequipmentdoescauseharmfulinterferencetoradioor reception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:ReorientorrelocatethereceivingIncreasetheseparationbetweentheequipmentandConsultthedealeroranexperiencedradio/TVtechnicianforConnecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.Caution:Changesormodificationstothisproductcouldvoidtheuser'swarrantyandauthoritytooperatethisdevice. THESOFTWARELICENSEANDLIMITEDWARRANTYFORPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURNETSCREENREPRESENTATIVEFORACOPY.前 CLI約 WebUI約 插圖約 JuniperNetworksNetScreen文 第1章虛擬系 虛擬路由 區(qū) 接 發(fā)往NetScreen設(shè)備的信息 直通信息

接 共享接 定義子接口和VLAN標(biāo)記 索 JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 )自己的地址薄、用戶列表、定務(wù)、和策略以使自己的安全域個(gè)性化。JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 前 約約vii|setinterface{ethernet1|ethernet2|ethernet3}變量以方式出現(xiàn)。例如setadminusernameNetScreen設(shè)備的序列號(hào)”。當(dāng)鍵入關(guān)鍵字時(shí)，只需鍵入足夠的字母就可以唯一地標(biāo)識(shí)單詞。例如，要輸入命setadminuserjoej12fmt54setadmujoej12fmt54就足夠了。盡管輸入命令時(shí)可以使用此捷徑，但本文所述的所有命令都JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 前 約 框的路徑顯示為Objects>Addresses>List>New。此導(dǎo)航序列如下所示4123ObjectsObjectsDHTML菜單Addresses

JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 前 約如要用WebUI執(zhí)行任務(wù)，必須首先導(dǎo)航到相應(yīng)的 令集劃分為兩部分:導(dǎo)航路徑和配置詳細(xì)信息。例如，下列指令集包含指向地址配置 ObjectsAddressesListNewAddressName:IPAddress/ Zone:由于沒由于沒CommentIPAddressName/ Zone:OKJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 前 約通用NetScreen

/24安全區(qū) 白色受保護(hù)區(qū)段接口例如Trust區(qū)段黑色例如Untrust

動(dòng)態(tài)IPDIP)

例如:NAT服務(wù)器，接入集中器)

JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 前 約 trust“l(fā)ocalLAN”/24。NetScreen為雙字節(jié)字符集，DBCS)的例子是中文、韓文和日文。JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 前 JuniperNetworksNetScreen文檔要獲取任何JuniperNetworksNetScreen產(chǎn)品的技術(shù)文檔， 打開支持個(gè)例，還可撥 國(guó)內(nèi))或 以外的地區(qū)) JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 前 JuniperNetworksNetScreen文JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 己的地址薄、用戶列表、自定義服務(wù)、和策略以使自己的安全域個(gè)性化不過，只有根級(jí)管理員才可以設(shè)置防火墻安全選項(xiàng)、創(chuàng)建虛擬系統(tǒng)管理員以及定義接口接口)。擬系統(tǒng)的下列概念和具體實(shí)現(xiàn):3Vsys第15頁上的 JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 1 JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 創(chuàng)建Vsys對(duì)象vsysadmin分類或兩者的組合。完成這些配置后，您可以退出虛擬系統(tǒng)，允許vsysadmin(如果已定義)登錄并開始配 、路由和策略范例Vsys對(duì)象和在此例中，作為根級(jí)admin，您可以創(chuàng)建三個(gè)vsys對(duì)象:vsys1、vsys2、vsys3。為vsys1創(chuàng)建名為Alice、 wIEaS1v1的vsysadmin3。為vsys2創(chuàng)建名為Bob、 為pjF56Ms2的vsysadmin。您沒有為vsys3定義vsysadmin，而是接受NetScreen設(shè)備自動(dòng)生成的admin定義。對(duì)于vsys3的情況，NetScreen設(shè)備創(chuàng)建admin 注意注意:Vsys名稱、admin名稱以 只有根級(jí)管理員才可創(chuàng)建vsysadmin配置文件(用戶名和 戶名。但是，vsysadmin可以(也應(yīng)當(dāng))更改其 JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 創(chuàng)建Vsys對(duì) 顯示區(qū)—Vsys:Name上方VsysNewVsysName:VsysAdminName:VsysAdminNewPassword:wIEaS1v1ConfirmNewPassword:wIEaS1v1VirtualRouter:CreateadefaultvirtualrouterVsysName:vsys2VsysAdminName:BobVsysAdminNewPassword:pjF56Ms2ConfirmNewPassword:pjF56Ms2VirtualRouter:CreateadefaultvirtualrouterJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 創(chuàng)建Vsys對(duì)VsysNewVsysName:vsys3VirtualRouter:Selectanexistingvirtualrouter),untrust-ns->setvsysns(vsys1)->setadminnameAlicens(vsys1)->setadminpasswordwIEaS1v1ns(vsys1)->save4ns(vsys1)->ns->setvsysns(vsys2)->setadminnameBobns(vsys2)->setadminpasswordpjF56Ms2ns(vsys2)->savens(vsys2)->ns->setvsysvsys3vroutershareuntrust-vrns(vsys3)->saveJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 創(chuàng)建Vsys對(duì)意義。這是vsys Trust-vsysname區(qū)段的路由表。所有vsys級(jí)的虛擬路由器皆不可共享。)vsysvsysname-vruntrust-vr的方式來免除vsysname-vr6-19注意:此ScreenOS JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 創(chuàng)建Vsys對(duì)vsys對(duì)象時(shí)，將自動(dòng)繼承或創(chuàng)建以下區(qū)段:Trust-vsys_name VsysEntervsys1NetworkZonesNewZoneType:Layerns->entervsysns(vsys1)->setzonenamename_strns(vsys1)->setzonevroutervrouterns(vsys1)->saveJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 創(chuàng)建Vsys對(duì)vsys或根系統(tǒng)可以包含的最大安全區(qū)段數(shù)目?jī)H受限于設(shè)備級(jí)的可用安全區(qū)段數(shù)目5admin/寫系統(tǒng)共享根級(jí)安全區(qū)段，并不利用任何用戶定義的vsys級(jí)區(qū)段，則所有安全區(qū)段可以供根級(jí)使用。 )

)? 密鑰定義)與 JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 創(chuàng)建Vsys對(duì)

共享的接

Trust-

子接物理接

Trust-Trust-vii頁上的“插圖約。JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 信息息流，并將其以兩種不同方式進(jìn)行分類: NetScreen 由 對(duì)象是在vsys1中配置的，所發(fā)送到該對(duì)象的信息流屬于vsys1MIP對(duì)象是在vsys2中配置的，所以發(fā)送到該對(duì)象的信息流屬于vsys2VIP對(duì)象是在vsys3送到該對(duì)象的信息流屬于vsys3

ethernet1/2Untrust區(qū)段vsys1、vsys2vsys3共享此接口

站點(diǎn)的AutoKeyIKE JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 IPVLANVLAN標(biāo)記6來標(biāo)識(shí)入站信息流所屬的備用于確定數(shù)據(jù)包所屬的系統(tǒng)的過程通過以下三個(gè)步驟進(jìn)行:IP信息流分 接口 接口還是共享接口7 的(例如“v-i”)，NetScreen設(shè)備會(huì)將信息流與該接口專屬的系統(tǒng)聯(lián)系起來 IP分類失敗 IP分類成功出口接IP信息流分 有關(guān)共享 JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 當(dāng)數(shù)據(jù)包到達(dá)具有虛擬系統(tǒng)的NetScreen設(shè)備時(shí)，設(shè)備執(zhí)行下列步驟將數(shù)據(jù)包與vsys1接口1

出口接口22檢檢 否將數(shù)據(jù)包 vsys(“v-i”)相關(guān)

否 vsys(“v-e”)相關(guān)檢查源IP檢查源IP檢查目的IP否是否是源 IP接口 分類失IPvsys“v-i

IP出口接口 目的IP分類失IPvsys“v-e)JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 Vsys信息流分 IP地址關(guān)聯(lián)的vsys(例如，名為“v-ivsys)。IPvsys例如，名為“v-evsys當(dāng)同一共享區(qū)段出現(xiàn)信息流時(shí)，NetScreenintervsysNetScreen設(shè)備先應(yīng)用 再應(yīng)用“v-e”策略組和路由表。(請(qǐng)參閱第28頁上的“范例:InterVsys的通信”。) JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 執(zhí) 接口/源IP(I/S)和出口接口/目的IP(E/D)分類之后，NetScreen設(shè)備將查找結(jié)果用于確定信息流分類I/S分類 是是

使用vsys“v-i”

E/D分類 丟使用vsys“v-e”同 是vsys“v-i“v-

是

否應(yīng)用vsys“v-i”策略組和路由表，然后應(yīng)用vsys區(qū)段內(nèi) 信息是應(yīng)用vsys“v-iJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 于某系統(tǒng)，如下所示:將變成該vsys的 )untrust-vrUntrust區(qū)段為共享區(qū)段。因此，vsysUntrust區(qū)段的根級(jí)物理接口、子接口、冗余接口或聚合接口。Untrust區(qū)段以外的某一區(qū)段創(chuàng)建共享接口，必須將該區(qū)段定義為根級(jí)共享區(qū)段8。為此，該區(qū)段必須屬于某一 JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 根系統(tǒng)使用。如果將vsys級(jí)區(qū)段綁定 于該vsys的虛擬路由器或在根系統(tǒng)中創(chuàng)建的共享虛擬路由器，該區(qū)段仍為 vsys使用。 到共享區(qū)段的vsys級(jí)接口仍為 接口，僅可用于為其創(chuàng)建該接口的vsys。 WebUICLI中的選項(xiàng)如下所示:NetworkRoutingVirtualRoutersNewSharedandaccessiblebyothervsysApplysetvrouternamesetvroutername_str器改成共享虛擬路由器。)JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 setzonenamesetzonezonevroutersetzonezonesetinterfaceinterfacezone當(dāng)兩個(gè)或個(gè)系統(tǒng)共個(gè)接口時(shí)，NetScreenIP的信息流分類方法來正確地分類入閱33IP的信息流分類”)JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 于某一vsys。事實(shí)上，是將物理接口從根系統(tǒng)導(dǎo)入到虛擬系統(tǒng)中。將物理接口 范例/24NetworkInterfaces:Importethernet4/1ZoneName:IPAddress/Netmask:ExitVsys在菜單欄的底部JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 ns->entervsysns(vsys1)->setinterfaceethernet4/1importns(vsys1)->setinterfaceethernet4/1zoneuntrustns(vsys1)->setinterfaceethernet4/1ip/24ns(vsys1)->savens(vsys1)->范例ethernet4/1導(dǎo)出到根系統(tǒng)導(dǎo)出NetworkInterfacesEditethernet4/1OK:ZoneName:NullIPAddress/Netmask/0Network>Interfaces:Export(ethernet4/1。JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 ExitVsys在菜單欄的底部ns->entervsys導(dǎo)出接ns(vsys1)->unsetinterfaceethernet4/1ipns(vsys1)->unsetinterfaceethernet4/1zonens(vsys1)->unsetinterfaceethernet4/1importThiscommandwillremoveallobjectsassociatedwithinterface,continue?y/[n]?ns(vsys1)->savens(vsys1)->JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分基于VLAN的信息流分在缺省情況下，vsysUntrustTrustvsys都可以與根系統(tǒng)以UntrustvsysUntrust區(qū)段的物理接口(從根系統(tǒng)導(dǎo)入)。VLAN感知交換

中繼端

VLAN1vsys1)VLAN2vsys2)

vsys上的Trust區(qū)段共享的Untrust區(qū)段

口上的信息流無需VLAN標(biāo)記。JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分UntrustvsysUntrustVLAN聯(lián)系起來。子接口源于物理接口，隨后將充當(dāng)中繼端口。中繼端口允許第2層網(wǎng)絡(luò)設(shè)備通過單個(gè)物理端口 來自多個(gè)VLAN義為中繼端口。當(dāng)在“透明”模式下使用根級(jí)VLAN時(shí)，必須使用以下CLI命令以手動(dòng)方式將所有物理端口定義為中繼端口:setinterfacevlan1vlantrunk。共享互聯(lián)

VLANNetScreen根vsysvsys

Trust區(qū)段根

JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分當(dāng)vsys使用綁定到Trust-vsys_name區(qū)段的子接口(非 和內(nèi)部路由器必須具有支持VLAN的功能。如果在某一物理接口上創(chuàng)建了多個(gè)子接口，則必須將連接交換機(jī)的端口定義為中繼端口并使其成為使用該端口的所有VLAN中的成員。當(dāng)vsys使用綁定到共享Untrust區(qū)段的子接口(非共享接口或 換機(jī)和外部路由器必須具有支持VLAN的能力。路由器會(huì)對(duì)內(nèi)向幀進(jìn)行標(biāo)記，以 內(nèi)向幀到達(dá)NetScreen設(shè)備:setinterfacevlan1vlantrunk。Trust-vsys_namevsysVLAN。UntrustvsysWANVLANID14095ABCUntrustNetScreenVLAN。JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分vsys1與根系統(tǒng)共享Untrust到Untrust區(qū)段的 根系統(tǒng)具有綁定到其Trust區(qū)段的理接 VLAN。vsys2具有兩個(gè)綁定VLAN。

ifsif互聯(lián)

根……

NetScreenIEEE802.1QVLANVLAN中的從屬關(guān)綁定到vsys，則在NetScreen設(shè)備的根系統(tǒng)中設(shè)置的策略將被應(yīng)用到該幀。MAC地址、端vsysadmin接著可以通過創(chuàng)建地址、用戶、服務(wù)、和策略來管理vsysvsysadmin，那么根級(jí)管理員將執(zhí)行這些任務(wù)。如果根adminVLAN關(guān)聯(lián)vsysVLANNetScreen設(shè)備根系統(tǒng)中運(yùn)JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分 vsys。范例定義三個(gè)子接口和VLAN在此例中，將為在3VsysAdmin”vsys1vsys2vsys3定義VLANNAT;Vsys1子接口VLANNetworkInterfacesNewSub-IFethernet3/2InterfaceName:ethernet3/2.1ZoneName:Trust-vsys1IPAddress/Netmask:VLANTag:JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分Vsys2子接口VLANNetworkInterfacesNewSub-IFethernet3/2InterfaceName:ethernet3/2.2ZoneName:Trust-vsys2IPAddress/Netmask:VLANTag:Vsys3子接口VLANNetworkInterfacesNewSub-IFethernet3/2InterfaceName:ZoneName:Trust-IPAddress/Netmask:/24VLANTag:3ExitVsysJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分Vsys1子接口VLANns->entervsysns(vsys1)->setinterfaceethernet3/2.1zonetrust-vsys1ns(vsys1)->setinterfaceethernet3/2.1ip/24tag114ns(vsys1)->savens(vsys1)->Vsys2子接口VLANns->entervsysns(vsys2)->setinterfaceethernet3/2.2zonetrust-vsys2ns(vsys2)->setinterfaceethernet3/2.2ip/24tag2ns(vsys2)->savens(vsys2)->Vsys3子接口VLANns->entervsysns(vsys3)->setinterfaceethernet3/2.3zonetrust-vsys3ns(vsys3)->setinterfaceethernet3/2.3ip/24tag3ns(vsys3)->setinterfaceethernet3/2.3routens(vsys3)->savens(vsys3)->JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分vsys中的VLAN成員彼此間的通 VLANVLAN間的信息流在由相關(guān)虛擬系統(tǒng)策略設(shè)置的參數(shù)范圍內(nèi)運(yùn)行15。NetScreen設(shè)備只傳遞允許離開始發(fā)虛擬系統(tǒng)的信息流和允許進(jìn)入目標(biāo)虛擬系統(tǒng)的信息流。()流動(dòng)。vsys1vsys2請(qǐng)參閱25VLAN設(shè)置策略以使VLAN1(work_jsIP0/32VLAN2(ftp_serverIP地址為0/32)之間能夠傳遞信息流。如果滿足以下兩個(gè)條件，兩者之間就可以進(jìn)行連接:3NetScreen3VLAN1和VLAN2間的信息流就可以通過此路由器，同時(shí)繞過NetScreen設(shè)備上設(shè)置的所有策略。的JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分

2層

地ObjectsAddressesListNewAddressName:IP IP/Netmask:0/32Zone:Trust-vsys1ObjectsAddressesListNewAddressName:ftp_serverIPAddress/ IP/Netmask:0/32Zone:UntrustJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分NetworkRoutingRoutingEntriesuntrust-vrNewNextHopVirtualRouterNamevsys1-NetworkRoutingRoutingEntriesvsys1-vrNewNetworkAddress/Netmask:/0Gateway:(選擇)NextHopVirtualRouterNameuntrust-PoliciesFromTrust-vsys1ToUntrustNewSourceAddressBookEntrywork_jsDestinationAddress:AddressBookEntryAction:PermitObjectsAddressesListNewAddressName:IPAddress/ IP/Netmask/32Zone:Trust-JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:NetworkRoutingRoutingEntriesuntrust-vrNewNextHopVirtualRouterName:();vsys2-vrNetworkRoutingRoutingEntriesvsys2-vrNewOK:NextHopVirtualRouterNameuntrust-PoliciesFromUntrustToTrust-vsys2)NewOK:SourceAddress:AddressBookEntrywork_jsDestinationAddress:AddressBookEntryftp_serverServiceFTP-GetAction:JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于VLAN的信息流分setaddresstrust-vsys1work_js0/32setaddressuntrustftp_server0/32setvrouteruntrust-vrroute/24vroutervsys1-vrsetvroutervsys1-vrroute/0vrouteruntrust-vrsetpolicyfromtrust-vsys1tountrustwork_jsftp_serverftp-getpermitsetaddresstrust-vsys2ftp_serversetaddressuntrustwork_jssetvrouteruntrust-vrroute/24vroutervsys2-vrsetvroutervsys2-vrroute/0vrouteruntrust-vrVsys2setpolicyfromuntrusttotrust-vsys2work_jsftp_serverftp-getpermitJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于IP的信息流分基于IP的信息流分)所有系統(tǒng)共享以下各項(xiàng):Untrust共享的UNTRUST-共享的Untrust

Untrust區(qū)段根

互聯(lián)

共享的untrust-vrinternal-vr。接口)?？梢圆扇』旌戏椒?，在一側(cè)使用共享接口，在另一側(cè)使用 接口(具有VLAN標(biāo)記)?；赩LAN和基于IP的信息流分類可以同時(shí)在同一系統(tǒng)內(nèi)或不同系統(tǒng)JuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于IP的信息流分IP地址范圍，必須在根級(jí)執(zhí)行以下任一操作

NetworkZonesEditzoneIPClassificationSystemrootvsys_name_strip_addr1–ip_addr2setzonezoneip-classificationnetip_addr/mask{root|vsysname_strsetzonezoneip-classificationrangeip_addr1-ip_addr2{root|vsysname_str由于基于IP的信息流分類方法要求使用共享安全區(qū)段，所以虛擬系統(tǒng)不能使用 的內(nèi)部IP地址，但對(duì)于基于VLAN的信息流分類方法卻可以。此外，由于所有系統(tǒng)共享相同的內(nèi)部接口，所以該接口的運(yùn)行模式必須是NAT或在靈活性方面就不如更常用的基于VLAN方法的編址方案。vsys一個(gè)內(nèi)部虛擬路由器、內(nèi)部安全區(qū)段以及內(nèi)部vsysIPJuniperNetworks建議您禁用共享內(nèi)部接口上IPSCREENIPVLANJuniperNetworksNetScreen概念與范例–第9卷:虛擬系 第1章虛擬系 基于IP的信息流分范例IPtrust-vr定義為可共享。創(chuàng)建新區(qū)段，將其命名為Internaltrust-vrInternal區(qū)段可共享。將ethernet3/2InternalIP/16NAT模式。/24–/24–/24–NetworkRoutingVirtualRoutersEdittrust-vrSharedandaccessiblebyothervsys復(fù)選框，然后單擊OK。NetworkZonesNewZoneName:VirtualRouterName:trust-ZoneType:LayerNetworkZonesEditInternalShareZoneOKNetworkInterfacesEditethernet3