JuniperSSG-5-SH新手配置手册.doc

Juniper SSG-5-SH 新手配置手册SSG5三十天就上手-Day 1 SSG5 是什么？ 要学SSG5之前，当然是要先知道什么是SSG5，本篇文章，会先对SSG5作简单的介绍让大家知道SSG5是什么? 它有哪些功能? 以及如何运用它？Juniper SSG-5（基本型）参数细节（2007.07上市）基本规格防火墙类型：企业级防火墙网络吞吐量：160Mbps并发连接数：4000主要功能：地址转换,防火墙,统一威胁管理/ 内容安全,VoIP 安全性,vpn,防火墙和VPN 用户验证,路由,封装,流量管理（QoS）,系统管理,日志记录和监视网络网 络管理：系统管理,NetIQ WebTrends,SNMP (v2),SNMP full custom MIB,console,telne,SSH,NetScreen-Security Manager,All management via VPN tunnel on any interface,Rapid deployment端口类型：7x 10/100,广域网：出厂配置的RS232 Serial/AUX或 ISDN BRI S/T 或 V.92安全性过滤带宽：40Mbps人数限制：无用户数限制入侵检测：Dos，DDoS安全标准：CSA，CB端口参数控制端口：console电气规格电源电压：100240 VAC外观参数产品质量：0.59kg长度(mm)：143宽度(mm)：222高度(mm)：41环境参数工作温度：040工作湿度：10% - 90%，非冷凝存储温度：-20 65存储湿度：10% - 90%，非冷凝企业用途 一般网络工程师最头痛的莫过于受到外部网络的攻击，有了SSG5 让你的外网可以搭建简单而又不失安全性。 如果公司有一条与外线相连，通过SSG5可以轻轻松松帮你建立 site to site 的VPN。SSG5三十天就上手-Day 2 SSG5 如何还原到出厂设定值。方法一：在 SSG5的后面有一个Reset 的针孔，如果今天只是要跟你说用针插一下这个孔，那我就略掉了。当然它绝对不是你所想得这么简单，要使用Reset 重启按钮，你需要对该针孔插两次针，且不是随便插，你必须配合它的灯号，第一次插大约4秒不动，然后灯号变成一红一绿，在将针拔出间隔约1秒之后，再将针 插入约4秒，如此才能完成Reset 操作。方法二：Console Reset：需要连到SSG5的Console 线一根，它是一端为Com port 另一端为RJ45，跟Cisco Switch 用的线一样。将线连接到SSG5的Console port 后，使用超级终端连接SSG5，然后帐号密码都输入SSG5背后贴纸的序号。接着按下两次Y，如此你就可以还原到原厂设定值。还原后的SSG5预设帐号和 密码都为netscreen。SSG5三十天就上手-Day 3 SSG5 如何进行备份与还原。 一般如果有两台SSG5要互相替换，当然最佳的方法是做HA ，可惜在没有钱的IT界，一定是一台SSG5来当很多台的Backup，此时如果在线的SSG5挂了，如何让你Backup的SSG5，可以快速还原就非常重要！第一、平时要对你在线的SSG5进行Config的 Backup，请登入你SSG5的Web页面，在左边的选单中，进入 - 然后在右边画面中，点选 如此就能Backup 你的 Configuration。第 二、进行快速还原，请登入你Backup的SSG5的Web页面，在左边的选项中，进入 - ，在右边画面中Upload Configuration to Device 选择 Replace Current Configuration ，并按下 选择出第一步骤中所备份出 file。SSG5三十天就上手-Day 4 SSG5 如何进行软件更新。新版软件会帮你解决一些旧版的bug 之外，还会进行功能的改进，因此对SSG5进行软件升级就变成你必备的技能。下载软件你可以拿你SSG5的序列号，到Juniper 的网页，注册一个账号，注册后你可以download 新版 SSG5 的软件。更新软件准 备好软件档案后，登入你的SSG5的Web页面，在左边的选单中，进入 - - ，在右边画面中选择 Firmware Update (ScreenOS) ，并按下 选择出第一步骤中所备出 file。接着就等SSG5更新完毕！SSG5三十天就上手-Day 5 SSG5 Security ZonesSecurity Zones-安全区设定你可以通过 Security Zones 将你的SSG5 切个为多个安全区域，在SSG5中预设会有下列Zones：NullTrustUntrustSelfGlobalHAMGTUntrust-TunV1-NullV1-TrustV1-UntrustDMZV1-DMZVLAN其中建议你最少要使用两个Security Zones将你的网络进行区隔。在默认值中会将ethernet0/0放到Untrust，ethernet0/1放到DMZ，其它放到Trust。假设你只有一条对外线，建议你将该线路放到 ethernet0/0 (Untrust)，内部就放到Trust。然后再设定SSG5的 Policy 来保护内部网络。SSG5三十天就上手-Day 6 SSG5 InterfaceInterface 是SSG5中实际封包进出的出入口，经由Interface 让封包来进出security zone。为了让网络封包能够进出security zone，你必须将bind 一个interface到该security zone，如果你要让两个security zone互通封包时，你就必须设定 policies (就像是iptables)。你可以把多个Interface bind到同一个security zone，但是一个 Interface只能被bind 到一个security zone，也就是说Interface 跟 security zone 是多对一的关系。Interface TypesPhysical Interfaces这就是你SSG5中的实体网络 port ，你可以对照SSG5机体上的编号：eth0/0 eth0/6 共有七个网络 portBridge Group InterfacesSubinterfacesAggregate InterfacesRedundant InterfacesVirtual Security InterfacesSSG5三十天就上手-Day 7 SSG5 Interface Modes在SSG5 Interface 可以以下列几种方式运作：Transparent ModeNAT(Network Address Translation) Mode Route ModeInterface 被bind 在 Layer 3 且有设定 IP 时可以选择使用 NAT 或 Route方式运作。Interface 被bind 在 Layer 2的Zone 时，Interface 需以Transparent 方式运作。Transparent Mode：当Interface 在此模式时， IP address 会设定为，此时SSG5不会对于封包中的source 或destination信息做任何的修改。SSG5此时就像扮演 Layer 2 switch 或 bridge。NAT Mode：此时你的SSG5就像扮演 Layer 3 Switch 或是 Router，会对封包进行转译(translates)，他会换掉流向 Untrust zone 封包的 Source IP 跟 Port。Route Mode：当SSG5的Interface在此模式时，防火墙不会对于两个不同zone之间的封包做Source NAT。SSG5三十天就上手-Day 8 SSG5 PoliciesPolicies 你可以将它想成 iptables在SSG5中，预设会将跨security zone的封包(interzone traffic) deny ，bind 在同一个zone的interface 的封包(intrazone traffic)预设为allow如果你需要对以上预设行为进行调整，那你就必须透过 Policies来进行。Policies 由下列基本元素所组成：Direction：这是指封包的流向从 source zone 流向 destination zoneSource Address：这是封包起始的地址Destination Address：这是封包要送到的地址Service：这是封包的服务种类，如DNS、http等等Action ：这是当收到封包满足此Polices时要进行的动作。 举例来说：假设你要设定任何地址都可以由Trust zone 到 Untrust Zone 中的 的 FTP Server，则你的基本policies元素如下：Direction: 从Trust 到 Untrust Source Address: any Destination Address: Service: ftp (File Transfer Protocol)Action: permit Three Types of Policies你可以通过下列三种型态的Policies 来控制您的封包：Interzone Policies控制一般Zone与zone之间的封包。Intrazone Policies控制同一Zone之间的封包Global Policies套用到所有zoneSSG5三十天就上手-Day 9 SSG5 Domain Name System (DNS) SupportSSG5 也支持DNS，让你可以通过DNS Name 来找到 IP Address。在你要使用DNS之前，你需要先在你的SSG5 上设定DNS Server。假设你的DNS Server的 IP 为 跟 ，并且你要将DNS 设定为每天晚上11 点 refresh。请登入你SSG5的web 页面，点击左边的 Network =DNS =Host 然后在右边的页面中，输入下列之信息：Primary DNS Server: Secondary DNS Server: DNS Refresh: (请勾选) 并手动在Every Day at:字段上输入 23:00，然后按下Apply ，这样你SSG5 的 DNS 就设定完成了。SSG5三十天就上手-Day 10 SSG5 DHCP（Dynamic Host Configuration Protocol）SupportDHCP (Dynamic Host Configuration Protocol) 可以用来让网络中的计算机自动获取IP 。通过DHCP 可以让网络工程师对网络中的计算机设定更容易。SSG5 在DHCP 中可以办演下列角色： DHCP Client：可以通过网络中的DHCP Server 取得所配发的 IP 。DHCP Server：可以在网络中配发IP 给 DHCP Client。DHCP Relay Agent：负责接收网络中的 DHCP Client 要求 IP 的封包，并转给(relay)给指定的DHCP Server，必取得Server 所配IP之讯后，转回给 Client。要在SSG5 中设定 DHCP ，请登入 SSG5 的 web 管理接口，点选左的 Network =DHCP 然后在右边的页面中，选择要设定的Interface ，点选 Configure 字段中的 edit。如此就可以设定DHCP 相关信息。当你的Interface 为Down 或 ip 设定为 /0(就是没设ip) ，你只能选择 DHCP Client。其它你可以在上述中的三个角色三选一。若选择DHCP Relay Agent，接着设定Relay Agent Server IP 或 Domain Name。若选择DHCP Server，接着设定DHCP Server 其它相关设定：Server Mode-可选择Auto (Probing)、Enable、Disable 一般会选择EnableLease -预设为Unlimited接着 Gateway Netmask DNS WINS 等相关信息即可。SSG5三十天就上手-Day 11 SSG5 Setup PPPoE（Point-to-Point Protocol over Ethernet）如 果公司的外线没有固定IP，那大多会使用(大多是ADSL)PPPoE 拨号上网。SSG5 对 PPPoE 的支持也没有问题，在SSG5 的默认值中，通常会将 eth0/0 设定在Untrust 的 Zone ，并使用 eth0/0 来当做对外线路，所以这里也建议你可以利用eth0/0来设定PPPoE的拨号上网。Setting Up PPPoE 请登入 SSG5 的 web 管理接口，点选左边的 Network= Interfaces ，然后在右边的页面，对eth0/0点选Edit，进入编辑页面后，点选Obtain IP using PPPoE，并接着在选项后面有一个 Link (Create new pppoe setting ) 可以让您点选并Create 你的PPPoE的 Profile，或者你已经是前就先Create后，也可以直接在选项后直接使用下拉选单挑选事先Create 好的 PPPoE Porfile。Create PPPoE Profile 请 登入 SSG5 的 web 管理接口，点选左边的 Network= PPP =PPPoE Profile ，然后在右边的页面右上方，按下New的按钮，接着设定PPPoE Instance (这是这个Profile的名子)、接着输入从ISP那边拿来的帐号密码。这样你的SSG5就可以使用PPPoE拨号上网了。SSG5三十天就上手-Day 12 SSG5 Setup Network Boot （SSG5支持网络开机）当 你的环境中，可以网络开机时候，你可以让SSG5 也支持这样的设定。一般如果你要让network boot 可以正常work ，你必须在你的DHCP Server中，设定两个项目：1.next-server ：这个 IP 是TFTP server的 IP address 2.filenam： 这是Bootfile 的 file name 。这样DHCP Client 如果设定使用网络开机的时候，他就知道拿完IP之后，要去找哪一台 TFTP Server 来download bootfile进行开机。在SSG5中，你在设定DHCP的时候，只要指定上述两个数值即可让你的SSG5支持网络开机。设定方法如下：请登入 SSG5 的 web 管理接口，点选左边的 Network =DHCP 然后在右边的页面中，选择要设定的Interface ，点选 Configure 字段中的 edit。请选择设定为DHCP Server，并设定 Next Server Ip ，这里选择From Input 并输入 IP。 接着点选右下角的Custom Options，进入 Custom Options 设定页面。再点选右上角的New，在code 输入 67，type选择 string，value中输入bootfile的 file name 。这样就完成设定，接着你就可以测试看看。 PS: 如果你的 Firmware Version: 6.3.0r4.0 (Firewall+VPN) ，会遇到带出的bootfile 的 filename 多了一个怪怪符号，目前看来是这一版的bug。SSG5三十天就上手-Day 13 SSG5 管理员帐号和密码前 面讲了SSG5 的功能如何设定，接下来要跟大家讲解最基本的安全问题，那就是SSG5的管理员帐号和密码。SSG5的预设管理员帐号和密码为 netscreen/netscreen，如果要修改可以通过console接口进行修改，如果手上没有console的线，也可以通过下列方式。当 拿到一台新的SSG5或是将SSG5 reset 到原厂设定值的时候，它预设会将 eth0/2eth0/6 设定为一个bgroup0，并且会当DHCP Server配发 IP，该bgroup0的IP会设定为 。可以将你的计算机连接到该bgroup0的port，取得 IP 之后，透过Telnet 进入Console。进入Console后，先用预设帐号和密码登入。登入后先利用下列指令修改管理员的帐号名称。set admin name 管理员帐号接这SSG5会提示时已将密码设定为netscreen，并建议你立即修改密码，再利用下列指令修改管理员的密码。set admin password 管理员密码 这样就完成了修改管理员帐号和密码的工作。SSG5三十天就上手-Day 14 SSG5 变更管理portSSG5预设的http管理web是通过80端口。假设你的interface ip 为 ，预设开启web 管理时可以通过 来进行管理，如果你把端口变更为5522，你则需用下列方式连接：:5522 变更登录方式为：请登入 SSG5 的 web 管理接口，点选左边的 Configuration =Admin=Management，然后在HTTP Port 字段输入你的port ，如5522。SSG5三十天就上手-Day 15 SSG5 Event Log通过SSG5 的Event Log可以让你知道你的SSG5发生了什么事情。比如SSG5本身产的讯息或是alarms等等。在SSG5将Event Log分为下列Level：Alert: 这个信息是需要马上被注意的，如防火墙遭到攻击。Critical: 这个信息是有可能会影响运作或是功能，如HA (High Availability)状态改变。Error: 这个信息是SSG5发生错误且可能造成运作上或是功能上的错误，如连上SSH Servers.Warning: 这个信息是SSG5发生了会影响功能方面的事件，如认证失败。Notification: 这是发生一般正常的事件，给予管理这常态的通知，如管理人员变更网络参数设定，是否需开通上网功能。Debugging: 这是提供详细的信息让你用来做debug用途。 你可以登入 SSG5 的web管理页面，并在 Reports = System Log = Event 查看 SSG5的 Event Log。SSG5三十天就上手-Day 16 SSG5 Sending Email Alerts身为一位网络工程师人员，每天看Log可以说是天命。但是天天进系统看Log实在会累死人，尤其是当你可以能会用十几台SSG5的时候。这个时候当然是要叫SSG5 每天自动把 alarm 用e-mail 寄给你！设定的方法如下：登入 SSG5 的web管理页面，并进入 Configuration = Report Settings = Email ，在右边的页面，你就可以设定下列信息：1.SMTP Server Name2.E-mail Address 13.E-mail Address 2请 在 SMTP Server Name设定你的mail server，假设我的mail server为 5，那就将5输入到SMTP Server Name的字段。当然如果你有将SSG5 DNS enable，你就可以使用hostname(如)。接着在E-mail Address 的字段输入要被通知的网络工程师的邮箱。如 WhiteRose1989 At 126.com 然后按下Apply即可。PS:当然你要将Enable E-mail Notification for Alarms 勾选，另外还可以选择Include Traffic Log。SSG5三十天就上手-Day 17 SSG5 How to setup Radius ServerSSG5 可以让你设定外部的 Radius Server 来进行认证的工作，假设你有一台 freeradius ，已经安装好， IP 为 8，监听的端口为：1812，且设定Shared Secret为 ithome。你只要进行下列设定，就可以让你的SSG5可以使用这台Radius 进行认证。登入 SSG5 的web管理页面，并进入 Configuration = Auth = Auth Servers ，在右边的页面右上方，点选NEW，你就可以设定下列信息：Name 输入你要为这台Server取的名称，假设我们取为 Radius。IP/Domain Name 输入这台Server的 IP 8Account Type 由于我们想要用在认证，所以勾选AuthRADIUS Port 输入1812 ，Shared Secret 输入ithome，接着按下OK ，这样你的 Auth Server 就设定完成。SSG5三十天就上手-Day 18 SSG5 如何利用 Radius Server 控制上网权限通常公司都会管控公司网络的上网权限，避免有人可以来乱上网。在SSG5可以轻松做到对上网进行权限管控。在Day 5我们有介绍过SSG5 Security Zones，假设你将你的LAN放在Trust 的Zone，把上网的线路，放在Untrust的Zone。在Day 8 我们有介绍过Policies ，你可以通过Policies 来控制两个Zone之间的traffic。我们可以通过Policies 中的进阶设定，设定我们在Day 16 所设定完成的Radius来进行认证，只让认证通过的user可以上网。设定方法如下：请登入你SSG5 的 web 管理接口，点选左边的 Policy =Policies ，然后在右边页面中，上方的From选择Trust，To选择 Untrust，然后按下最右边的 New。设定好 Source Address 跟 Destination Address ，此范例中都选择 Any ，Service也选择 Any。接着按下Advanced进入进阶设定页面，勾选Authentication，并选择我们设定好的Radius Server。按下OK，这样你就可以通过Radius Server控制上网权限。SSG5三十天就上手-Day 19 SSG5 如何 Creating a Secondary IP Address让 你的Interface 挂多个IP 。有些情况，你会需要让你的 Interface挂两个 IP ，一个挂外面 public ip，另一个挂里面的private ip。这个时候你就可以利用SSG5 Secondary IP Address的功能，设定方法如下： 请登入你SSG5的 web 管理接口，点选左边的 Network =Interfaces，然后在右边页面中，对于您要编辑的interface按下edit。在edit的页面中，上面link 会有一个 Secondary IP，点下 Link后，进入Secondary IP编辑页面，按下Add，输入IP跟Netmask入下：IP Address/Netmask: /24 。这样SSG5 就可以在一个interface 挂两个 IP 。SSG5三十天就上手-Day 20 SSG5 Simple Network Management Protocol（SNMP）SSG5 也支持SNMP，你可以通过SNMP 监控SSG5的状态，如CPU或流量等等，很多范例都是通过Cacti来抓SSG5 SNMP ，由Cacti了解SSG5使用状态。如果你要让Cacti可以利用SNMP抓取SSG5状态，你需要先对SSG5进行设定，设定的方式如下：请 登入你SSG5的web 管理接口，点选左边的 Configuration =Report Settings=SNMP，然后在右边页面中按下右上角的 New Community ，然后设定你的 Community Name，如 poblic，勾选你的 Permissions，默认值是全部勾选，然后选择支持的Version。最后设定 Hosts IP Address 跟 Netmask，此设定需要将你Cacti的主机包含进去。然后选择此设定的 Source Interface，这样你就可以通过SNMP抓取SSG5的状态。SSG5三十天就上手-Day 21 SSG5 Address Groups假设你在设定Policy 的时候，希望可以设定严格一点，比如说source address不想要用any，但是你可能又有一堆address 需要设定进去，这个时候你就可以利用SSG5的 address groups。设定方法如下：请 登入您SSG5的 web 管理接口，点选左边的 Policy =Policy Elements=Addresses=Groups，然后在右边页面中左上方选择要新增的Zone之后按下右上角的 New ，然后设定你的Group Name，如 My Network，接着将你的address由右边拉到左边，然后按下OK即可。如果在上列步骤没有你要的address可以选择，那就到Policy =Policy Elements=Addresses=List中，然后在右边页面中左上方选择要新增的Zone之后按下右上角的 New ，然后设定你的 address即可。SSG5三十天就上手-Day 22 SSG5 Destination Static Routing为了让你的SSG5知道要让封包走哪一条路，最简单的方式，就是在SSG5上面设定 Destination Static Routing，让他知道这个目的地的地址，要走哪一条路。设定的方法如下：请 登入您SSG5的 web 管理接口，点选左边的 Network =Routing = Destination，然后在右边页面中右上角的 New ，最简单的方式，就是设定Next Hop为 Gateway 的方式，当然在 IP Address/Netmask要设定目的地的 IP如 /24，Next Hop挑选Gateway，并选择 Interface以及设定Gateway IP Address，如 eth0/2 与 (通常这个时候代表 这台会知道接下来怎么走到 /24)。这样最简单的 Destination Static Routing就设定完成了。SSG5三十天就上手-Day 23 SSG5 Site-to-Site VPN（Virtual Private Networks ）SSG5 最主要的用途，除了一般做NAT跟Routing，另外就是让你拿来建 VPN 。今天就跟大家介绍如何在SSG5上建立Site-to-Site VPN。 在SSG5 只需要简单三步骤： 步骤一：建立VPN Gateway，让你的SSG5知道要跟谁建VPN。步骤二：建立VPN Tunnel Interface，让你的VPN有一条隧道可以走。步骤三：建立VPN以下步骤请先登入您SSG5的 web 管理接口，后进行操作，此范例假设我们两个端点都是Static IP Address。建立VPN Gateway：点选VPNs = AutoKey Advanced = Gateway，然后按下右上角的New，设定Gateway Name，设定Static IP Address，按下Advanced，进入进阶设定页面。设定Preshared Key，请注意Preshared Key两个端点要设定相同，选择Outgoing Interface，一般就是你上网的那个Interface。按下下Return回到设定页面后，再按下OK。建立VPN Tunnel Interface：点选Network = Interfaces = List，右上角选择Tunnel IF 后按下New，设定Tunnel Interface Name可以挑选(110) ，设定Zone，选择Unnumbered(假设我们Tunnel Interface 不设IP)，接着按下OK。建立VPN：点选VPNs = AutoKey IKE，然后按下右上角的New，设定VPN Name，Remote Gateway 选择Predefined 然后选择你在第一步骤中设定的Gateway，按下Advanced，进入进阶设定页面。Bind to请选择Tunnel Interface，并选择你在第二步骤中新增的Tunnel Interface。按下下Return回到设定页面后，再按下OK。将你的两个端点依上列三个步骤执行后，大致上你的VPN就已经没有问题，不过因为没 有封包，接着你就设定你的Routing，设置你的SSG5 路由怎么走，封包来时VPN就会帮你UP。SSG5三十天就上手-Day 24 SSG5 VPN Options如果你看完Day 23，那你已经知道如何在SSG5 设定VPN ，当然接下来你会希望，可以让SSG5 监控你的VPN 状态。通常我会建议你可以设定下列两个选项为enable：VPN Monitor 和 Rekey 。你可以在昨天的步骤三建立的时候，在Advanced 的设定页面中，将上列两个选项打勾。当你勾选了 VPN Monitor ，SSG5 会帮你用 ping 来监控，此时你就可以在VPN Monitor的页面中查看VPN的状态。另外当你勾选了 Rekey，SSG5就会立即帮你送出 ICMP echo requests。所以当你在昨天的第三步骤勾选这两个选项后，你就会发现VPN 设定完后马上就会UP。SSG5三十天就上手-Day 25 SSG5 VPN DebugPhase 1: Retransmission limit has been reached.一 般如果你按照VPN 三步骤建好VPN之后，通常不会有什么问题，不过总是会有粗心大意的时候，在这里就分享一个案例。一般如果VPN建不起来，建议都先去看看SSG5 的 event log，看看SSG5 告诉你发生什么事。此案例中，SSG5 log写说 Phase 1: Retransmission limit has been reached. 这边遇到这个问题大多会想说两端点是不是有通，曾经我就遇到过，两边都互相 ping的到，设定也都没有错，可是就是建不起来。最后才发现，原来如果来回的路走不一样，也会让你建不起来。会来回走不一样的原因是因为有一端的 SSG5 有多条线路。解法就是调整的Routing ，确保来回路都走一样，就可以解决这个问题。SSG5三十天就上手-Day 26 SSG5 Interface States在SSG5的 interface 有下列四个 states：Physically Up这是当你的网络 cable 实际让你的 SSG5 接到一个 Network Device (如 switch 或 Notebook)，线路正常的状态。Logically Up你可以在逻辑定义上，让你interface设为 up ，此时 traffic才能通过你的 interface。Physically Down这是当你的网络 cable 实际让你的 SSG5 接到一个 Network Device (如 switch 或 Notebook)，线路断线的状态。Logically Down你可以在逻辑定义上，让你interface设为 down ， 此时 traffic无法通过你的 interface。SSG5三十天就上手-Day 27 SSG5 Open Shortest Path First如 果有很多site，那给个site都可以放一台SSG5，你会发现维护你的routing 会是很累人的事。尤其当你有两条线路要手动切备援，更是累人。此时建议你就可以 on ospf，让SSG5 帮你自动算 routing ，要让SSG5 on OSPF 只要以下几个简步骤。 步骤一，Create OSPF Instance步骤二，设定Area 中的 interface步骤三，在Interface中将 OSPF 设定为 enable这样你的SSG5就会启动 OSPF。OSPF 会依据本身的设定放出的routing，放出让邻居(另外一台SSG5)学习，每一条连接都有自己的COST，然后他会帮你算出最便宜的路，最后让你的Routing 走最便宜的路线。SSG5三十天就上手-Day 28 SSG5 OSPF - AreasAreasSSG5 预设在你启用ospf 的时候，会将所有的 routers 群组放入一个单独的“backbone” area 这个area 叫做 area 0 (你会在你的SSG5中看到 area )。不过通常如果你的架构中，是一个很大的网络，那你会把他划分为几个小的 area。在SSG5中，你可以在新增area 时，设定你的 area type ，除了normal，另外两种类型说明如下： StubStub area 接收来自backbone area 的 route summaries 但是不接收来自其它的area 的 link-state。Not So Stubby Area (NSSA)像是一个normal stub area， NSSAs 不能接收非本area外的 OSPF 以外的资源。SSG5三十天就上手-Day 29 SSG5 OSPF - Security ConfigurationConfiguring an MD5 Password为了避免有人利用OSPF 偷偷当你的非法邻居，乱放 routing 给你学，害你的site挂掉，建议你要对你的SSG5 的 OSPF 设定安全性。SSG5 可以让你在 interface 中设定明码或是MD5 编码的密码，在这里建议你选用MD5，他最多可以让你输入16个字符，设定方式如下：请登入你SSG5 的web 管理接口。在左边选择Network = Interfaces =然后对你要编辑的interface按下 Edit =接着在上方的Link中点选OSPF进入OSPF 设定页面后，挑选 MD5的选项，并输入你的key与Key ID，最后要选Preferred。然后按下apply即可。这样没有这定这个key的就不能来当邻居啰！SSG5三十天就上手-Day 30 SSG5 OSPF - Network TypesSSG5 支援下列 OSPF 的 network types：Broadcastbroadca