2010年8月11日星期三
配置Juniper Netscreen-5GT为透明模式
1、端口模式设置为trust-untrust,因为别的模式下,端口不能加入二层zone。
2、先配置vlan1,用于管理。
ip address/netmask:1.1.1.210/24,勾选manageable
broadcast模式:arp,勾选trace route
Service Options:
勾选web ui、telnet、ssh、ping、vlan trunk
3、将trust端口加入v1-trust,ip地址为0.0.0.0/0,manage ip为空。
此时不能通过原来192.168.1.1管理设备,将管理主机ip配置为1.1.1.10,可以通过1.1.1.210即vlan1的ip地址管理设备。
4、将untrust端口加入v1-untrust,ip地址为0.0.0.0/0,manage ip为空。
此时通过命令get sys可查看设备工作模式,我们会看到
Box in trust-untrust mode
System in transparent mode.
确定设备工作在透明模式下。
5、将另外一台主机插入untrust口,配置ip为1.1.1.11。此时从1.1.1.10ping1.1.1.11是ping不通的,还需要规则的支持。
6、将默认policy删除,添加一条v1-trust到v1-untrust的规则。
src address: any
dest address: any
service: any
action: permit
从1.1.1.10到1.1.1.11可以ping通。
如果需要从1.1.1.11访问1.1.1.10,则反向添加v1-untrust到v1-trust的规则。
7、如果需要从v1-untrust管理设备,在zone里选择v1-untrust,在service options中选择相应管理选项,即可。
在此种端口模式下,trust和untrust都被指定为物理端口的名称,其中trust物理端口对应面板1、2、3、4口。
2、先配置vlan1,用于管理。
ip address/netmask:1.1.1.210/24,勾选manageable
broadcast模式:arp,勾选trace route
Service Options:
勾选web ui、telnet、ssh、ping、vlan trunk
3、将trust端口加入v1-trust,ip地址为0.0.0.0/0,manage ip为空。
此时不能通过原来192.168.1.1管理设备,将管理主机ip配置为1.1.1.10,可以通过1.1.1.210即vlan1的ip地址管理设备。
4、将untrust端口加入v1-untrust,ip地址为0.0.0.0/0,manage ip为空。
此时通过命令get sys可查看设备工作模式,我们会看到
Box in trust-untrust mode
System in transparent mode.
确定设备工作在透明模式下。
5、将另外一台主机插入untrust口,配置ip为1.1.1.11。此时从1.1.1.10ping1.1.1.11是ping不通的,还需要规则的支持。
6、将默认policy删除,添加一条v1-trust到v1-untrust的规则。
src address: any
dest address: any
service: any
action: permit
从1.1.1.10到1.1.1.11可以ping通。
如果需要从1.1.1.11访问1.1.1.10,则反向添加v1-untrust到v1-trust的规则。
7、如果需要从v1-untrust管理设备,在zone里选择v1-untrust,在service options中选择相应管理选项,即可。
在此种端口模式下,trust和untrust都被指定为物理端口的名称,其中trust物理端口对应面板1、2、3、4口。
标签: Juniper Netscreen-5GT, Transparent mode
// 发贴者:放牛娃的春天 @ 八月 11, 2010 
订阅 博文 [Atom]