2010年7月10日星期六
netscreen的一些概念
1、虚拟路由器(vrouter)和域(zone)的关系
虚拟路由器包含域,每个域都属于某个虚拟路由器。比如:Trust Zone、Untrust Zone、DMZ Zone缺省都属于trust-VR,用户自定义的Zone缺省都属于Trust-VR。
2、域(Zone)与接口(interface)的关系
每个interface都属于不同的Zone,只有当interface与某个Zone绑定的时候才能对interface配置IP地址。每个Zone都包含若干interface(物理的和逻辑的)。
3、数据在域(Zone)之间流动如何控制?接口(interface)之间呢?
在Screen OS 3.1中,数据在域(Zone)间流动是通过策略(policy)来控制的。数据在同一个域的不同接口之间流动不需要通过策略来控制。可以通过命令来控制是否允许同一个域内各接口之间数据相互流通。
4、netscreen默认的ipsec模式为tunnel,transport仅用在l2tp over ipsec中。
5、通过webui创建layer3的区段时,有选项
If TCP non SYN, send RESET back:
具体的含义是:
如果发过来的tcp报文不是SYN,同时也不属于任何已经建立的session,发一个RESET置位的tcp报文,重置连接。
如果在cli下设置,该选项缺省checked,如果不需要,
unset zone "test" tcp-rst
test为区段名字
6、如果netscreen设备工作于透明模式,不能添加tunnel interface,不能创建MIP、VIP。
虚拟路由器包含域,每个域都属于某个虚拟路由器。比如:Trust Zone、Untrust Zone、DMZ Zone缺省都属于trust-VR,用户自定义的Zone缺省都属于Trust-VR。
2、域(Zone)与接口(interface)的关系
每个interface都属于不同的Zone,只有当interface与某个Zone绑定的时候才能对interface配置IP地址。每个Zone都包含若干interface(物理的和逻辑的)。
3、数据在域(Zone)之间流动如何控制?接口(interface)之间呢?
在Screen OS 3.1中,数据在域(Zone)间流动是通过策略(policy)来控制的。数据在同一个域的不同接口之间流动不需要通过策略来控制。可以通过命令来控制是否允许同一个域内各接口之间数据相互流通。
4、netscreen默认的ipsec模式为tunnel,transport仅用在l2tp over ipsec中。
5、通过webui创建layer3的区段时,有选项
If TCP non SYN, send RESET back:
具体的含义是:
如果发过来的tcp报文不是SYN,同时也不属于任何已经建立的session,发一个RESET置位的tcp报文,重置连接。
如果在cli下设置,该选项缺省checked,如果不需要,
unset zone "test" tcp-rst
test为区段名字
6、如果netscreen设备工作于透明模式,不能添加tunnel interface,不能创建MIP、VIP。
// 发贴者:放牛娃的春天 @ 七月 10, 2010 
订阅 博文 [Atom]