JUNIPER防火墻實(shí)現(xiàn)MAC地址加IP地址綁定實(shí)例說明分析

1、現(xiàn)在我講一下JUNIPER防火墻實(shí)現(xiàn) MAC地址+IP地址的綁定操作的典型案例，有什么寫的不好的請大家多多指點(diǎn)案例錯誤！未定義書簽。一、項(xiàng)目背景2二、設(shè)計理念3實(shí)現(xiàn)目的：3實(shí)施效果：3工程 TOPOLOGY 3三、實(shí)施思路及過程5實(shí)施思路：5配置思路：5、項(xiàng)目背景隨著教育信息化基礎(chǔ)設(shè)施規(guī)劃與建設(shè)的推進(jìn)，教育信息化應(yīng)用全面深化， 尤其是教育城域網(wǎng)的建設(shè)也進(jìn)一步向公眾網(wǎng)擴(kuò)展，其中遠(yuǎn)程教育、視頻點(diǎn)播等已成為極富發(fā)展?jié)摿Φ某怯蚓W(wǎng)業(yè)務(wù)。教育城域網(wǎng)是一個為教學(xué)活動、科研活動和教育管理活動服務(wù)的網(wǎng)絡(luò)環(huán)境，是“校校通”的基礎(chǔ)工程；特別是在國家教育部提出的：用5 10年的時間在全國范圍內(nèi)的中小學(xué)實(shí)現(xiàn)“校校通”的

2、建設(shè)目標(biāo)指導(dǎo)下，句容市教育局?jǐn)M定進(jìn)行城域網(wǎng)建設(shè)改造。句容市教育局城域網(wǎng)建設(shè)的目標(biāo)是建設(shè)一個供全縣各級教育部門對外宣傳的窗口，為全縣中小學(xué)師生提供利用網(wǎng)絡(luò)資源進(jìn)行教學(xué)、科研和管理工作的基礎(chǔ)設(shè)施。同時，希望通過利用城域網(wǎng)絡(luò)的優(yōu)勢，實(shí)現(xiàn)合理、有效地利用有限的人力、物力和財力，優(yōu)化教學(xué)資源分配， 縮小城鄉(xiāng)教學(xué)差別，平衡教育發(fā)展，凈化網(wǎng)絡(luò)資源。句容市教育局城域網(wǎng)解決方案特點(diǎn) ：提高網(wǎng)絡(luò)可獲得性、改善運(yùn)行效率：減少系統(tǒng)和網(wǎng)絡(luò)的故障時間，提高響應(yīng)速度，對網(wǎng)絡(luò)出現(xiàn)的問題盡快予以回應(yīng)，在多數(shù)情況下，要求對問題立刻予以解決；降低網(wǎng)絡(luò)運(yùn)行成本：網(wǎng)管部門能夠有效地管理異質(zhì)系統(tǒng)和多種協(xié)議；降低網(wǎng)絡(luò)瓶頸：網(wǎng)絡(luò)管理必須監(jiān)控

3、網(wǎng)絡(luò)的活動，對網(wǎng)絡(luò)的通信量予以分析，適時調(diào)整網(wǎng)絡(luò)資源分配，消除網(wǎng)絡(luò)瓶頸，并為決策部門網(wǎng)絡(luò)的調(diào)整和擴(kuò)容提供依據(jù)；增加運(yùn)行和集成的靈活性：網(wǎng)絡(luò)技術(shù)飛速發(fā)展以迎合不斷變更的要求，當(dāng)引入新的應(yīng)用時，聯(lián)網(wǎng)的協(xié)議也常常改變，這就需要通過升級網(wǎng)絡(luò)管理軟件的版本可以保證的對新設(shè)備和新協(xié)議的無縫兼容；統(tǒng)一分配和管理網(wǎng)絡(luò)資源：對網(wǎng)絡(luò)的IP地址、域名、數(shù)據(jù)線路、帶寬等等實(shí)行統(tǒng)一管理和分配。二、設(shè)計理念實(shí)現(xiàn)目的：在一個由眾多小型局域網(wǎng)組成的大型城域網(wǎng)中，如果大家都使用的IP不固定或者是給了固定地址，終端的使用者不根據(jù)規(guī)劃更改IP的情況。那么將會導(dǎo)致一個局面，就是小型局域網(wǎng)里的部分主機(jī)中毒，將會導(dǎo)致整個網(wǎng)絡(luò)訪問速度的嚴(yán)

4、重下滑或者無法訪問網(wǎng)絡(luò)，即使管理員及時發(fā)現(xiàn)網(wǎng)絡(luò)中報文的不正常，網(wǎng)絡(luò)中有病毒的存在，也很難找出病毒源。實(shí)施效果：此時我們可以再每個小型局域網(wǎng)中連接核心局域網(wǎng)的位置中，放置一臺防火墻，做 MAC地址與IP地址的綁定。及可以保護(hù)各局域網(wǎng)的安全，又可以在網(wǎng)絡(luò)中充斥病毒報文時找出病毒源并且將其踢出局域網(wǎng)。已達(dá)到網(wǎng)絡(luò)安全、穩(wěn)定的效果。工程 TOPOLOGY原 TOPOLOGY :甸霧市載育城威阿拓?fù)淙铇?gòu)風(fēng)服勢器群數(shù)據(jù)中心)nterneJ5R6604流控設(shè)備網(wǎng)管中心句谷市教育局百容帝各學(xué)裱JSS5O5S5516ADSL姿學(xué)檢B類學(xué)校C類學(xué)校D類學(xué)校(llfjf)所)所(2所工程改造TOPOLOGY :實(shí)施思

5、路及過程實(shí)施思路：注意要點(diǎn)：在JUNIPER防火墻上，要實(shí)現(xiàn)IP地址+MAC地址綁定需要知道一下幾點(diǎn)1在做IP地址與MAC地址綁定前，規(guī)劃好所有局域網(wǎng)的IP地址，提前統(tǒng)計所有的終端的MAC地址。2、IP+MAC地址綁定需要在防火墻的三層模式下完成（透明模式做 IP+MAC綁定將無法實(shí) 現(xiàn)效果）配置思路：1基本配置包括用戶名、密碼、設(shè)備名稱set adm in n ame adm inset adm in password jrjyj2012set host name2. 接口 IP地址配置、接口劃入trust和untrust、內(nèi)網(wǎng)口改為route模式、開啟所有接口ping-web-teInet

6、 功能3. 開啟 from trun 至U untrust 的 policy，允許 any4. 刷入相應(yīng)的arp綁定5. 寫入缺省路由set route 0.0.0.0/0 gateway 1.1.1.1實(shí)際配置過程：配置管理員用戶名1、set admin name admin3、set policy id 1 from Trust to UntrustAny Any ANY permitset admin password n EJwObrDF0tKcaGFcsvFHWBt4NO7 4n配置管理員密碼set host name SSG350設(shè)置設(shè)備名2、set in terface ethe

7、rnetO/O zone Null set in terface ethernet0/1 zone DMZ set in terface ethernet0/2 zone Trust set in terface ether net0/3 zone Un trust set in terface ethernet0/3 ip 1062.102/30 set in terface ethernet0/2 ip 10.6.40.1/24 set in terface ether net0/2 route set in terface ether net0/3 route set in terfac

8、e ether net0/3 ip man ageable 服務(wù)端口。set in terface ether net0/3 man age sshset in terface ether net0/3 man age telnetset in terface ether net0/3 man age web set in terface ether net0/3 man age ping設(shè)置ethernet0/0 口為保留接口設(shè)置ethernet0/1 口為DMZ接口（服務(wù)器接口）設(shè)置 ethernet0/2 口沒 Trust 口（內(nèi)網(wǎng)口）設(shè)置 ethernet0/1 口為 Un trust

9、 口（外網(wǎng)口）設(shè)置 ethernet0/3 口 IP設(shè)置 ethernet0/2 口 IP設(shè)置ethernet0/2工作在route模式在untrust 口開去服務(wù)，默認(rèn)untrust 口不開啟，set in terface ether net0/3ma nage snmpset in terface ether net0/3 man age ssl防火墻接口配置亠疑毎L配置IP地址SjJuniper3、set policy id 1 from Trust to UntrustAny Any ANY permitset policy id 1設(shè)置策略，允許trust區(qū)到untrust區(qū)有所有訪

10、問3、set policy id 1 from Trust to UntrustAny Any ANY permit3、set policy id 1 from Trust to UntrustAny Any ANY permitWEB配置:安全策略3、set policy id 1 from Trust to UntrustAny Any ANY permit3、set policy id 1 from Trust to UntrustAny Any ANY permitURTI 屮A *4* 固專*TH* 二扌 LJ a * -1 /. a a - a u apr-fliSSGU0-SSG140-SSGU0-SSGltO-SSGUfl-SSG140- set inrp 10.6.JS 2 的怖冊腕曲01 etherne10/2set arp 10.6.25.2 000000000001 Ehemet0/2#將10.6.25.2綁定型一個不存在的MACset arp 10.6.25.8 00061