0

我的帖子

个人中心

设置

  发新话题
接口配置,trustuntrust,不列出命令set interfaces ge-0/0/0 unit 0 family inetaddress 203.0.113.63/24
NAT source接口配置,从
set security nat source rule-set rs1 to zoneuntrust
set security nat source rule-set rs1 rule r1match destination-address 0.0.0.0/0

ping 202.1.103.1  
ping不通!为什么?

  In: 2.2.2.2/1--> 203.0.113.1/16905;icmp, If: .local..0, Pkts: 1, Bytes: 84
  Out: 203.0.113.1/16905 --> 2.2.2.2/1;icmp,If: ge-0/0/0.0, Pkts: 0, Bytes: 0

2345截图20180415143326.png (40.45 KB)

2018-4-15 14:59

2345截图20180415143326.png




本帖最后由 小侠唐在飞 于 2018-4-16 21:18 编辑
1、 你这样做意义 在哪???

2、从trunst to untrust 策略、NAT都没有问题。

重点是!!! trust 接口是不会被NAT的,当你从trust 接口ping untrust 的主机地址是地。。设备不会走正常的NAT、策略

Session ID: 136, Policy name:self-traffic-policy/1, Timeout: 50, Valid
  In: 2.2.2.2/1--> 203.0.113.1/16905;icmp, If: .local..0, Pkts: 1, Bytes: 84
  Out: 203.0.113.1/16905 --> 2.2.2.2/1;icmp,If: ge-0/0/0.0, Pkts: 0, Bytes: 0


self-traffic-policy 表示设备自身向外的流量!!!默认有个管理策略。设备与对方间互访、管理、协议,都会用这个协议。。
发起ping的时候接口If: .local..0 代表设备自己。。
不管是互联接口,还是其他接口 做源地址,都不会命中NAT与策略!




你如果想测试NAT
请认真的、老实的在trust 配置一台主机!!


做实验。建议两边用win\linux来测试。。

因为策略与安全特性。需要运行一些协议:ftp、http一类的功能 测试
也可以做DNS功ALG、SCREEM安全功能。。


都建议用主机来做测试




【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
你在trust 连接一台设备,或主机,从设备上或主机上发起。马上就验证出来了



【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
正解



问题:网络流量分为几种?
1、穿越网络设备的流量:网络设备(路由器、防火墙、交换机等)转发的流量,目标地址为其他设备或终端。
2、目标为网络设备的流量:目标地址是当前网络设备的流量
管理流量(TELNET、ssh、FTP、WEB、SNMP等)
协议流量(PING、OSPF、BGP、RIP、DHCP、VRRP等)



管理流量、协议流量,你在看session时,都是从设备自身发起的。。



【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
路过学习。。



‹‹ 上一贴:Juniper SRX Firewall 配置FBF(Filter Based Forwardi ...   |   下一贴:请教关于SRX 650路由设置问题 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com