0

我的帖子

个人中心

设置

  发新话题
大家好,我刚接触一台SSG520的机器,原来公司内部 IP地地址是这样配 192.168.0.X  网关是192.168.0.1,DNS也是填的这个192.168.0.1  设备是Watch Guard x55e的,现在SSG520 如果用DHCP获取IP地址,默认网是192.168.0.1  但是如果手动设置成192.168.0.1 的话,就只能上QQ了,不知道是什么 问题,请大家帮忙看一下。

这个是DHCP的情况
以太网适配器 本地连接:

   连接特定的 DNS 后缀 . . . . . . . : SSG-520M
   描述. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   物理地址. . . . . . . . . . . . . : F0-4D-A2-45-27-94
   DHCP 已启用 . . . . . . . . . . . : 是
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::e4bf:f772:9208:670c%11(首选)
   IPv4 地址 . . . . . . . . . . . . : 192.168.0.222(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   获得租约的时间  . . . . . . . . . : 2012年1月9日 13:08:58
   租约过期的时间  . . . . . . . . . : 2148年2月15日 19:58:05
   默认网关. . . . . . . . . . . . . : 192.168.0.1
   DHCP 服务器 . . . . . . . . . . . : 192.168.0.1
   DHCPv6 IAID . . . . . . . . . . . : 250629538
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-16-96-D9-6E-F0-4D-A2-45-27-94

   DNS 服务器  . . . . . . . . . . . : 61.177.7.1
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用



把 SSG520

只能上QQ,最可能的原因是DNS有问题,或没开放DNS权限
或DHCP中设置的DNS功能有问题。。

1、你手工设置IP和设置公网DNS长期一下
2、你把 SSG520 设备的配置发来我看看



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
这个配置是从520里导出来的,
unset key protection enable
set clock timezone 8
set vrouter trust-vr sharable
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
exit
set alg appleichat enable
unset alg appleichat re-assembly enable
set alg sctp enable
set auth-server "Local" id 0
set auth-server "Local" server-name "Local"
set auth default auth server "Local"
set auth radius accounting port 1646
set admin name "netscreen"
set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn"
set admin auth web timeout 10
set admin auth server "Local"
set admin format dos
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "DMZ" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone "Untrust-Tun" vrouter "trust-vr"
set zone "Trust" tcp-rst
set zone "Untrust" block
unset zone "Untrust" tcp-rst
set zone "MGT" block
unset zone "V1-Trust" tcp-rst
unset zone "V1-Untrust" tcp-rst
set zone "DMZ" tcp-rst
unset zone "V1-DMZ" tcp-rst
unset zone "VLAN" tcp-rst
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
set interface "ethernet0/0" zone "Trust"
set interface "ethernet0/1" zone "DMZ"
set interface "ethernet0/2" zone "Untrust"
set interface ethernet0/0 ip 192.168.0.1/24
set interface ethernet0/0 nat
unset interface vlan1 ip
set interface ethernet0/2 ip 58.210.31.18/30
set interface ethernet0/2 nat
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface ethernet0/0 ip manageable
set interface ethernet0/2 ip manageable
set interface ethernet0/2 manage ping
set interface ethernet0/2 manage ssh
set interface ethernet0/2 manage ssl
set interface ethernet0/2 manage web
set interface ethernet0/0 dhcp server service
set interface ethernet0/0 dhcp server auto
set interface ethernet0/0 dhcp server option lease 1440000
set interface ethernet0/0 dhcp server option dns1 61.177.7.1
set interface ethernet0/0 dhcp server ip 192.168.0.220 to 192.168.0.254
unset interface ethernet0/0 dhcp server config next-server-ip
unset flow no-tcp-seq-check
set flow tcp-syn-check
unset flow tcp-syn-bit-check
set flow reverse-route clear-text prefer
set flow reverse-route tunnel always
set domain skoda-kingway.com
set pki authority default scep mode "auto"
set pki x509 default cert-path partial
set dns host dns1 61.177.7.1 src-interface ethernet0/0
set dns host dns2 221.228.255.1 src-interface ethernet0/0
set dns host dns3 0.0.0.0
set dns host schedule 06:28
set dns proxy
set dns proxy enable
set dns server-select domain DNSUntrust outgoing-interface ethernet0/2 primary-server 61.177.7.1 secondary-server 221.228.255.1 failover
set dns server-select domain DNS outgoing-interface ethernet0/0 primary-server 61.177.7.1 secondary-server 221.228.255.1 failover
set crypto-policy
exit
set ike respond-bad-spi 1
set ike ikev2 ike-sa-soft-lifetime 60
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit
set url protocol websense
exit
set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit
set policy id 1
exit
set policy id 2 from "Untrust" to "Trust"  "Any" "Any" "ANY" permit
set policy id 2
exit
set nsmgmt bulkcli reboot-timeout 60
set ssh version v2
set config lock timeout 5
unset license-key auto-update
set telnet client enable
set snmp port listen 161
set snmp port trap 162
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset add-default-route
set route 0.0.0.0/0 interface ethernet0/2 gateway 58.210.31.17
set route 0.0.0.0/0 vrouter "untrust-vr" preference 20 metric 1
exit
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit



你们单位运营商的DNS是多少?
是:61.177.7.1 吗?
这个配置没有问题
set interface ethernet0/0 dhcp server service
set interface ethernet0/0 dhcp server auto
set interface ethernet0/0 dhcp server option lease 1440000
set interface ethernet0/0 dhcp server option dns1 61.177.7.1
set interface ethernet0/0 dhcp server ip 192.168.0.220 to 192.168.0.254

策略也是打开的,允许全问题上网。



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
set interface ethernet0/0 ip 192.168.0.1/24
set interface ethernet0/0 nat
这个不对。
内网类型应当为:set interface ethernet0/0  route
改成这个试一下



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
ping 一下DNS是否通。
如果还有问题,可以手工填 DNS8.8.8.8做个测试。。



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
内网类型应当为:set interface ethernet0/0  route
内网类型改为 route
是Ping 不出去的,但改为NAT的话,是可PING出去的,同时首选DNS为192.168.0.1,但是还是只能上QQ不能打开网页哦



61.177.7.1 是苏州电信的DNS



因为下面的客户端的DNS都是填的192.168.0.1现在再去修改,那是太麻烦了,所以想把这个问题给解决了



引用:
原帖由 siwei2002 于 2012-1-9 16:16 发表
因为下面的客户端的DNS都是填的192.168.0.1现在再去修改,那是太麻烦了,所以想把这个问题给解决了
如果使用静态IP必须得改。
如果使用DHCP,不用改啊。。



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
关于DNS的问题。
我没有试过用内网接口地址当DNS服务器地址的方式
你可以做以下分析或尝试
1、set interface ethernet0/0 dhcp server option dns1 61.177.7.1
将这个改为内网接口地址192.168.0.1试一下,能不能用?
2、
set dns proxy
set dns proxy enable
set dns server-select domain DNSUntrust outgoing-interface ethernet0/2 primary-server 61.177.7.1 secondary-server 221.228.255.1 failover
set dns server-select domain DNS outgoing-interface ethernet0/0 primary-server 61.177.7.1 secondary-server 221.228.255.1 failover
这个DNS转发功能,好像只能对特定域名进行转发。



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
引用:
原帖由 小侠唐在飞 于 2012-1-9 16:24 发表



如果使用静态IP必须得改。
如果使用DHCP,不用改啊。。
可是,都是安全网关,怎么区别这么大呢



引用:
原帖由 siwei2002 于 2012-1-9 16:42 发表


可是,都是安全网关,怎么区别这么大呢
我查了一下手册,没找到这个说明。。我原来也没试过。。

你可以尝试一下用内网地址当DNS服务器地址。。
如果不行。嘿。。
我打juniper的人问一下,估计。。哎。



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
JUNIPER的电话也打了,很难有人接的。



公司分支机构一直用SSG5的设备,由于各地的DNS不一样,设置时要查DNS有点不方便,在juniper上设置DNS PROXY就可以达到client将DNS设成网关的地址便能上网:
1、Network---dns---proxy,启用代理DNS,并点击NEW

2、Domain Name:输入*号即可
出口接口选外网口(ethernet0/0),
主DNS Server:202.103.0.68
次DNS Server:8.8.8.8
勾上Failover

3、Network--DNS---Host:
填上刚才代理DNS的主,次DNS的IP地址,src接口选择ethernet0/0,并勾上DNS Refresh

4、在内网口启用DNS Proxy:


5、测试:

OK,搞定!如果配置不生效请重启SSG或PC机试一下



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
set dns proxy
set dns proxy enable
set dns server-select domain *  outgoing-interface ethernet0/2 primary-server 61.177.7.1 secondary-server 221.228.255.1 failover
set dns server-select domain * outgoing-interface ethernet0/0 primary-server 61.177.7.1 secondary-server 221.228.255.1 failover
这样设置一下



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
引用:
原帖由 小侠唐在飞 于 2012-1-10 21:03 发表
set dns proxy
set dns proxy enable
set dns server-select domain *  outgoing-interface ethernet0/2 primary-server 61.177.7.1 secondary-server 221.228.255.1 failover
set dns server-select domain * outgo ...
多谢了,新年快乐 !



引用:
原帖由 小侠唐在飞 于 2012-1-10 21:03 发表
set dns proxy
set dns proxy enable
set dns server-select domain *  outgoing-interface ethernet0/2 primary-server 61.177.7.1 secondary-server 221.228.255.1 failover
set dns server-select domain * outgo ...
你好! 您那有juniper SSG520 6.1.0r2.0这个版本的固件吗?有的话发我一个吧,谢谢!邮箱oaters@qq.com



高大上的设备啊



引用:
原帖由 ITcopper 于 2014-2-26 15:51 发表
高大上的设备啊
入门极



JNCIE-SP、JNCIE-DC、JNCIE-SEC、JNCIE-ENT
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
【大侠唐在飞出品网络教学视频课程 】 ☺欢迎加入“唐志强技术教学交流群”,群号:67182271。
‹‹ 上一贴:请问juniper的WEB-Fitter功能   |   下一贴:juniperSRX 无状态的基于包的转发的部署疑问 ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2020 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com