Juniper-FW-training-(NXPowerLite).ppt

Juniper防火墙产品技术培训 Juniper防火墙概述 01Juniper防火墙基本概念 目标 防火墙部署的必要性构成防火墙安全特性和功能的组建包括以下的内容 VirtualSystems VSYS ZonesPoliciesVirtualRoutersInterfaces了解和分析数据包是如何通过防火墙的如何正确部署防火墙设备 为企业的网络保驾护航 安全设备的必备条件 数据包的转发 Bridging Layer2 Routing Layer3 防火墙基于IP TCP UDP 的内容过滤 以及针对应用层的内容过滤 NAT网络地址翻译私网到公网的地址翻译VirtualPrivateNetworks 虚拟专用网络 封装 认证 加密主要通过IPSec来实现 Layer2FrameForwarding Bridging Switching 透明模式的功能Learning basedonSourceMACaddress Forward Flood Filter basedonDestinationMACaddress Loopprevention SpanningTreeprotocol MACAddressTable 00c0 01cd 5120 E1 E8 00e0 01ab cd10 Layer3PacketForwarding Routing 根据目的地址转发数据包主要的路由协议StaticroutesDynamicroutes RIP OSPF BGP Defaultroutes 10 1 1 1 10 3 3 10 E8 10 2 2 1 24 208RouteTable E1 10 1 1 1 24 10 2 2 2 24 10 3 3 1 24 Firewall 根据包头进行过滤IP SA DA Protocol TCP UDP Port 实现安全策略的方法 网络 端口地址翻译 把私网地址转换为公网的地址 NAT PAT 10 1 1 5 Trust10 1 1 1 Untrust201 1 8 1 虚拟专用网络 VPN 在Internet中传输的数据提供加密的隧道封装加密认证 Trust10 0 0 254 10 1 20 310 1 20 4 Untrust1 1 1 1 Untrust2 2 2 1 Trust20 1 20 1 10 0 0 510 0 0 6 传统防火墙的特点 外网InternetoranotherpublicnetworkNocontrol内网OurprivatenetworkWehavecontrol UntrustZone TrustZone 10 0 0 510 0 0 6 WebServerFTPServerMailServer 停火区 DMZ 能够为Internet提供访问服务 DMZ区可能遭受到黑客的入侵提供WEB 邮件 FTP等服务 10 0 0 510 0 0 6 UntrustZone TrustZone DMZZone UntrustZone NextStep NoTrustedNetworks 内部网络中的安全需求企业网络面临的新的挑战部署更加灵活可以对企业网络进行预测 WebServerFTPServerMailServer DMZZone AdministrationZone MarketingZone EngineeringZone Juniper防火墙的安全特点 Juniper的解决方案是针对新的安全挑战提供更加灵活部署 可以预测的性能 更加安全的保证 构成 InterfacesZonesVirtualRoutersPolicyVirtualSystems NetScreenDevice 安全体系的组成 安全的概念 功能 防火墙的主要作用是阻止企业不希望通过防火墙的流量从防火墙通过 防火墙有以下的分类 包过滤应用代理状态检测应用网关攻击防御 包过滤 对数据包头进行安全过滤Source DestinationIPProtocolNumberSource DestinationPortTCPAckFlag大多数的路由器可以实现这个功能不能了解数据包通过防火墙时候的状态容易造成地址欺骗的发生 应用代理 对特定的应用程序做代理服务器 防火墙充当代理服务器的作用实现对流量的访问控制HTTPandFTParetwocommonlyusedproxies防火墙可以直接检查应用层的数据 同时根据管理员的需要决定是否允许数据包通过 实现第七层 OSI模型 的内容过滤性能比包过滤防火墙要差 状态检测 根据数据包的状态以及我们的访问控制规则决定是否允许数据包通过 通过多项指标保持IP数据包的连接状态 3 7 层新的连接被检查后添加到状态表中只有已经建立session的数据包和被防火墙允许通过的数据包才能够通过防火墙系统 提供比包过滤防火墙更高级别的防火墙安全体系比代理网关型防火墙速度更快 但是可能无法提供像代理网关那样细度的访问控制 应用层网关 ALGs 特殊协议的特点特殊的命令动态打开的端口例如 FTPH 323ALGs的开发使得防火墙能够满足更加复杂的应用环境 支持协议中的多端口 端口重定向支持每个会话中动态打开 关闭的端口 攻击防御 拒绝服务攻击SCREENfunctions病毒Anti Virusscanning恶意数据攻击通过DI中的攻击签名进行防御 JuniperFWDecisionProcess PacketFlow ExternalZone PrivateZone 1 1 70 250 1 1 70 0 24 10 1 10 5 10 1 20 0 24 B 10 1 10 0 24 PublicZone 10 1 20 5 254 200 5 5 5 A B C D 10 1 1 0 24 10 1 2 0 24 1 254 1 254 1 1 7 0 24 1 1 8 0 24 254 1 PacketFlowExample PacketFlowExample PacketFlowExample cont 部署Juniper防火墙设备 专业设计的安全网关设备单一防火墙系统应用 Smalloffice HomeOffice smallenterprise系统支持多个虚拟防火墙应用 largeenterprise serviceprovider 设备的部署 EngineeringZone B B B AdminZone MarketingZone RemoteClient 系统部署 ServiceProvider VSYSA VSYSB PhysicalNetwork LogicalNetwork 总结 在本章我们应该掌握 Juniper安全网关的功能Juniper安全设备的优势和特点Juniper防火墙设备对数据包进行处理的步骤Juniper防火墙产品的部署 02对防火墙的管理 目标 介绍防火墙的管理通过控制线和网络实现对防火墙的管理配置管理员设置和选项配置防火墙与第三方设备之间的管理通信License的管理对防火墙的配置文件和软件升级的管理灾难恢复的管理 系统组成 所有关键的系统功能都在内存中运行 可以通过控制线和webu对防火墙的配置进行修改 TablesBuffersRunningConfigScreenOS active ScreenOSImageSavedConfigCerts etc RAM Flash Interf Interf Interf TFTP PwrUp Reset Aux Storage WebUI Juniper Aux Mgt Servers DNS Syslog Console Get Set 建立控制台的连接 可以通过物理的控制线来连接防火墙设备 用控制线连接的好处直接连接到防火墙 安全性好完成配置不需要网络连接不需要IP地址可以看到启动的信息可以看到时事的debugorsnoop信息 JuniperFWDevice ConsolePort 命令行界面 使用终端登录防火墙 用默认的口令登录防火墙login netscreenpassword netscreenCommandlineinterface CLI 是默认的模式UseUpandDownArrowkeystorecallpreviouscommandsUseCTL AtomovetothebeginningofacommandlineUseCTL EtomovetotheendofacommandlineUseLeftandRightArrowkeystopositioncursoreditingcommandsUseTABforcommandcompletionHelpfacilityavailableUse todisplayoptionsUseatthepromptforcommandsUsewithinacommandforparameters 提供命令使用的帮助 CLI ns208 clearcleardynamicsysteminfoexecexecsystemcommandsexitexitcommandconsolegetgetsysteminformationpingpingotherhostresetresetsystemsavesavecommandsetconfiguresystemparameterstrace routetracerouteunsetunconfiguresystemparameters 输入问号可以提供时事的帮助信息 左列显示该命令的使用右列显示该命令的帮助信息 ns208 getsystemProductName NS208SerialNumber 0043042002000034 ControlNumber 00000000HardwareVersion 0110 0 11 FPGAchecksum 00000000 VLAN1IP 0 0 0 0 SoftwareVersion 5 0 0 0 Type Firewall VPNBaseMac 0010 db1d 1c30FileName n200 LAS0z0ad Checksum 00000000Date04 15 200322 06 53 DaylightSavingTimeenabledTheNetworkTimeProtocolisDisabledUp2hours31minutes14secondsSince15Apr200319 35 39TotalDeviceResets 0SysteminNAT routemode UseinterfaceIP ConfigPort 80UserName netscreenInterfaceethernet1 number0 if info0 if index0 modenatlinkup phy linkup full duplexvsysRoot zoneTrust vrtrust vrdhcpdisabled ip1 1 1 1 24mac0010 db1d 1c30 manageip1 1 1 1 mac0010 db1d 1c30 more 显示状态信息 CLI IntheCLI getcommandsprovidevaluablestatusaboutoperationalconditions SystemserialnumberSoftwareversionOperatingmodeInterfacestatusInterfaceaddressManagementaddresses 图形化界面 WebUI Juniper防火墙可以通过图形化的界面进行管理 需要的条件 ie oneIPaddress 一台PC机与防火墙在同一个网段口令保护 初始化配置向导 一台新设备可以通过初始化向导进行防火墙的配置 也可以跳过向导手工进行配置 初始化配置向导 初始化完毕系统会通过向用户提供配置信息 WebUI的主界面 Displaysinformationsimilartogetsystemoutput WebUI启动java菜单 NavigationinthecategoryselectionpanelcanbeaccomplishedusingJavalinkformat 配置管理员访问 概述 配置IP地址以便进行通信AssignaddressManagementservicesManage IPaddresses optional 修改rootadministrator口令建立系统管理员systemadministrators管理员选项TimeoutsManager IPaddresses 网卡配置步骤 分配网卡到安全域定义L3ip地址 Zone和Interface的分配 AstricthierarchicallinkageexistsbetweenzonesandinterfacesinaNetScreendeviceZonesareassignedtoavirtualrouterInterfacesareassignedtoasecurityzoneAninterfacecanonlybelongtoonesecurityzoneIndividualconfigurationparametersareassignedtointerfacesIPaddressesManagementservicesOthers Int Zone Zone VirtualRouter IP Zone的类型 安全zonePre defined Trust Untrust DMZ V1 Trust V1 Untrust V1 DMZUser definedTunnelZone 功能ZonesNullMGTHASelfVLAN ns5gt getzoneTotal10zonescreatedinvsysRoot 5arepolicyconfigurable TotalpolicyconfigurablezonesforRootis5 IDNameTypeAttrVRDefault IFVSYS0NullNullShareduntrust vrhiddenRoot1UntrustSec L3 Sharedtrust vruntrustRoot2TrustSec L3 trust vrtrustRoot4SelfFunctrust vrselfRoot5MGTFunctrust vrnullRoot10GlobalSec L3 trust vrnullRoot11V1 UntrustSec L2 trust vrv1 untrustRoot12V1 TrustSec L2 trust vrv1 trustRoot14VLANFunctrust vrvlan1Root16Untrust TunTuntrust vrhidden 1Root ConfiguringZones Interfaces WebUI Network Interfaces edit ConfiguringZones Interfaces CLI 一个网卡必须属于一个 securityzone 然后才能分配IP地址 setinterfacezonesetinterfaceip ns208 setinterfacee1zonetrustns208 setinterfacee1ip1 1 1 1 24 管理服务 WebUI 在默认情况下与域的分配有关 Trustzone allservicesenabledAnyotherzone allservicesdisabled Network Interfaces Edit ManagementServices CLI setinterfacemanage ns208 setinterfacee1managepingns208 setinterfacee1managewebEnableallservices ns208 setinterfacee1manage 如果没有通过命令指定管理服务 那么所有的管理服务都被允许 Manage IPAddress SeparateIPaddressspecificallyformanagement setinterfacemanage ipsetinterfacee1manage ip1 1 1 250 Network Interfaces Edit 验证网卡的配置 WebUI Network Interfaces Edit 验证网卡的配置 CLI ns208 getinterfacee1Interfaceethernet1 number0 if info0 if index0 modenatlinkup phy linkup full duplexvsysRoot zoneTrust vrtrust vrdhcpdisabledip1 1 1 1 24mac0010 db1d 1c30manageip1 1 1 3 mac0010 db1d 1c30pingenabled telnetenabled SSHenabled SNMPenabledwebenabled ident resetdisabled SSLenabledwebauthdisabled webauth ip0 0 0 0OSPFdisabledBGPdisabledRIPdisabledDHCP Relaydisabledbandwidth physical100000kbps configured0kbps current0kbpstotalconfiguredgbw0kbps totalallocatedgbw0kbps 设备管理员 Juniper防火墙可以被不同级别的管理员进行管理RootadmindefinedbytheScreenOSLocaladmincreatedbytheRootaccount ClicktocreatenewLocalAdministrator ClicktoviewsettingsforRootaccount Configuration Admin Administrators 修改根管理员的用户名和口令 Configuration Admin Administrators setadminnamesetadminpassword 建立系统管理员 Configuration Admin Administrators setadminusernamepasswordprivilege all read only 验证管理员信息 WebUI Configuration Admin Administrators 验证管理员 CLI ns208 getadminuserNamePrivilege netscreenRootIT Admin 10Read WriteIT Admin 20Read WriteAdmin MktgRead Onlyns208 getadminsshallAdminNameSSHPWAenabledSSHPKAkeys netscreenyes0IT Admin 10yes0IT Admin 20yes0Admin Mktgno0 Timeout Console ManagementviatheconsoleportisprotectedbyanidletimeoutDefaultvalueis10minutesDisablebysettingtimeoutto0 setconsoletimeoutns208 setconsoletimeout5 Timeout WebUI setadminauthtimeout Configuration Admin Management Manager IPAddresses 出于安全的考虑 Juniper防火墙可以指定一些IP地址 这些IP地址被认为是可以信任的管理IP地址 通过 PermittedIP addresses来定义可以信任的管理IP地址 允许管理的IP地址可以包括掩码进行网段的定义 可以是主机 子网 网络组等 每个设备可以定义6个条目以前的版本称 RestrictedManagementIP ConfiguringManager IP setadminmanager ipns208 setadminmanager ip1 1 7 250255 255 255 255ns208 setadminmanager ip1 1 1 0255 255 255 0 Configuration Admin PermittedIPs VerifyingManager IP CLI ns208 getsystemSerialNumber 0043042002000034 ControlNumber 00000000HardwareVersion 0110 0 11 FPGAchecksum 00000000 VLAN1IP 0 0 0 0 SoftwareVersion 5 0 0ad 0 Type Firewall VPNBaseMac 0010 db1d 1c30FileName n200 LAS0z0ad Checksum 00000000Date04 15 200322 39 46 DaylightSavingTimeenabledTheNetworkTimeProtocolisDisabledUp3hours4minutes7secondsSince15Apr200319 35 39TotalDeviceResets 0SysteminNAT routemode UseinterfaceIP ConfigPort 80MngHostIP 1 1 7 250 255 255 255 255MngHostIP 1 1 1 0 255 255 255 0UserName netscreenInterfaceethernet1 number0 if info0 if index0 modenatlinkup phy linkup full duplexvsysRoot zoneTrust vrtrust vr more 管理的运作步骤 ManagementrequeststerminateontheunitAsasecuritydevice theNetScreenmustqualifyallmanagementrequestsMatchthemanagementaddressofthearrivinginterfaceMatchtheIPaddressofa trusted sourceMatchanallowedservicetypeMatchusername password ManagementServiceFilter Interface manage ipMgt Address Allowedservices Authentication Username password manager ipTrustedSource 外部管理设备 Juniper防火墙也可以通过一些标准的网络设备进行管理 例如 DNSSyslogSNMP DNSConfiguration Network DNS setdnshostdns1setdnshostdns2setdnshostschedule SyslogConfiguration Configuration ReportSettings Syslog setsyslogconfigfacilitysetsyslogconfiglog all traffic event setsyslogsrc interfacesetsyslogenable SNMPConfiguration WebUI Configuration ReportSettings SNMP SNMPConfiguration WebUI cont Configuration ReportSettings SNMP Community SNMPConfiguration CLI setsnmpcontactsetsnmplocationsetsnmpport listen trap setsnmpcommunity trap on trap off setsnmpcommunityversion v1 v2c setsnmphostsrc interfacesetsnmphosttrap LicenseKeys的管理 以下的特征需要增加licensekey Capacityexpansion extended advancedreleases Anti virusURLfilteringDeepInspection两种安装key的方法Manual getkeyfromJuniper resellerAutomatic registerdeviceatJuniperWebsite thendownloadlicenses execlicense key capacity execlicense keyupdate 文件管理 备份 恢复Juniper防火墙所需要的重要的配置文件信息 ScreenOSimageConfigurationfiles备份 恢复配置文件的存放On boardFlashTFTPserverExternalstorage SANdisk Managementstation WebUIonly 保存配置 WebUISavesautomaticallywhenyouclick Apply or OK ConsoledisplayssavemessagesCLIManualcommandWritestoon boardflashconfigurationfile ns208 save 配置文件管理 CLI 只有根管理员才能进行这些操作配置文件备份配置文件恢复Option1 copiesfileintoflash availableatnextrebootOption2 mergesfileintoRAM BECAREFUL saveconfigfromflashto tftp pcmcia slot1 ns208 saveconfigfromflashtotftp1 1 7 25015Jun03 cfg saveconfigfrom tftp pcmcia slot1 toflashns208 saveconfigfromtftp1 1 7 25015June03 cfgtoflash saveconfigfrom tftp pcmcia slot1 mergens208 saveconfigfromtftp1 1 7 25015June03 cfgmerge 配置文件管理 WebUI Configuration Update ConfigFile 配置的回退 Rollback Provides safetynet forfailed corruptedconfigIfdefaultconfiginflashcan tbeloaded systemwilltrytoload lastknowngood fileCanbeforcedmanuallytocorrectconfigmistakesCreaterollbackfileForcerollback saveconfigtolast known good execconfigrollback 软件包的管理 ImagebackupImageimporting Upgrade Downgradefrom5 0orhighertopriorreleases savesoftwarefromflashto tftp pcmcia slot1 ns208 savesoftwarefromflashtotftp1 1 7 250ns208image bin savesoftwarefrom tftp pcmcia slot1 toflashns208 savesoftwarefromtftp1 1 7 250newimagetoflash execdowngrade UpgradeExample CLI 5XT savesoftwarefromtftp1 1 7 250newimage bintoflash tftpreceivedoctets 3304662tftpsuccess TFTPSucceededSavetoflash Itmaytakeafewminutes updatenewflashimage 02c86db0 3304662 platform 17 cpu 10 version 16offset 20 address 900000 size 3304584date 0 time 0 cksum 28e9f31cProgramflash 0 3304662 doneDone5XT reset Configuration Update ScreenOS Keys UpgradeExample WebUI 灾难恢复 Disaster Recovery JuniperFWdevicessupportfeaturestodealwithelectronic disasters CorruptedScreenOSimageinFlashLostrootpasswordRequirementtoresetto factorydefaults RecoveringtheScreenOSImage BootMode NetScreenNS 200BootLoaderVersion3 0 0 Checksum 35E1A866 Copyright c 1997 2003NetScreenTechnologies Inc Totalphysicalmemory 128MBTest PassInitialization DoneModelNumber NS 208HitanykeytorunloaderHitanykeytorunloaderHitanykeytoruSerialNumber 0043042002000034 READONLYHWVersionNumber 0110 READONLYSelfMACAddress 0010 db1d 1c30 READONLYBootFileName n200 LAS0z0ad n200 LAS0z0adSelfIPAddress 172 16 10 1 1 1 1 1TFTPIPAddress 172 16 10 131 1 1 1 2Saveloaderconfig 112bytes Done TFTPservermustbeinsamesubnetasNetScreen sSelfIPaddress Servermustbeconnectedto TrustinterfaceondeviceswithTrustinterfaceE1interfaceondeviceswithE1interfaceE1 1orMGTinterfaceonsystems BootMode cont Loadingfile n200 LAS0z0ad r r tatatatatatatatatatatatatatatatatLoadedSuccessfully size 3 444 522bytes Ignoreimageauthentication Savetoon boardflashdisk y n m Yes Savingasdefaultsystemimageinflashdisk Done size 3 444 522bytes Rundownloadedsystemimage y n Yes Startloading Done NetScreenTechnologies IncNS200SystemSoftwareCopyright 1997 2003Version5 0 0ad 0InitHeap 1546000 50b9c00 32 00000000 00000000 GT64120revisionid 0 x11LoadNVRAMInformation 5 0 Done 根管理员口令丢失 口令不能被恢复系统需要回到出厂设置Alsocalled AssetRecovery Allconfigurationparameters certificates andkeysaredeleted两种方法LogintoconsolewithdeviceserialnumberasusernameandpasswordWarningmessagesregardingdestructiveresultswillappearUsepinholeonexteriorofsystemPressuntilflashinglightchangestoredWaituntilflashingredturnstoflashinggreenPressagain 总结 在这一章中我们要掌握以下的内容 防火墙系统不同管理组件的功能通过网络和控制线建立与防火墙的管理连接配置管理员设置和选项配置与外部管理设备的通信配置文件和软件包的升级管理灾难恢复的步骤 03防火墙NAT路由模式的配置 目标 了解为什么需要路由模式静态路由的配置了解虚拟路由的作用配置inter VRrouting讨论loopback的作用配置loopback地址讨论NAT和路由模式的关系在NAT或路由模式下配置网卡 Layer3操作模式 ExternalZone PrivateZone 1 1 70 250 1 1 70 0 24 10 1 10 5 10 1 20 0 24 B 10 1 10 0 24 PublicZone 10 1 20 5 254 200 5 5 5 A B C D 10 1 1 0 24 10 1 2 0 24 1 254 1 254 1 1 7 0 24 1 1 8 0 24 254 1 InterfaceAddressE110 1 1 1E210 1 2 1E71 1 7 1E81 1 8 1 为什么需要路由 ExternalZone PrivateZone 1 1 70 250 1 1 70 0 24 10 1 10 5 10 1 20 0 24 B 10 1 10 0 24 PublicZone 10 1 20 5 254 200 5 5 5 A B C D 10 1 1 0 24 10 1 2 0 24 1 254 1 254 1 1 7 0 24 1 1 8 0 24 254 1 HowdoIgettohost10 1 10 5 NetworkInterfaceNextHop10 1 1 0 24E1 10 1 2 0 24E2 1 1 7 0 24E7 1 1 8 0 24E8 静态路由 ExternalZone PrivateZone 1 1 70 250 1 1 70 0 24 10 1 10 5 10 1 20 0 24 B 10 1 10 0 24 PublicZone 10 1 20 5 254 200 5 5 5 A B C D 10 1 1 0 24 10 1 2 0 24 1 254 1 254 1 1 7 0 24 1 1 8 0 24 254 1 NetworkInterfaceNextHop10 1 1 0 24E1 10 1 2 0 24E2 1 1 7 0 24E7 1 1 8 0 24E8 10 1 10 0 24E110 1 1 254 默认网关 ExternalZone PrivateZone 1 1 70 250 1 1 70 0 24 10 1 10 5 10 1 20 0 24 B 10 1 10 0 24 PublicZone 10 1 20 5 254 200 5 5 5 A B C D 10 1 1 0 24 10 1 2 0 24 1 254 1 254 1 1 7 0 24 1 1 8 0 24 254 1 NetworkInterfaceNextHop10 1 1 0 24E1 10 1 2 0 24E2 1 1 7 0 24E7 1 1 8 0 24E8 10 1 10 0 24E110 1 1 2540 0 0 0 0E81 1 8 254 Zones和Interfaces的复习和回顾 严格的等级管理网卡必须属于一个zone 然后才能为其分配IP地址 配置第三层的步骤 建立zones 如果没有使用默认的zone 分配网卡给zone分配IP地址给网卡配置静态路由 Step1 建立Zones setzonenameExample ns208 setzonenamePrivate Network Zones Step2 分配网卡给Zones Network Interfaces Edit setinterfacezonens208 setinterfacee8zoneuntrust Step3 分配地址给网卡 setinterfaceip ns208 setinterfacee8ip1 1 8 1 24 Network Interfaces Edit Step4 配置静态路由 setroute interfacegatewayExample ns208 setroute10 1 10 0 24interfacee1gateway10 1 1 254 Network Routing Destination Edit 验证网卡的配置 Network Interfaces ns208 getinterfaceA Active I Inactive U Up D Down R ReadyInterfacesinvsysRoot NameIPAddressZoneMACVLANStateVSDeth110 1 1 1 24Private0010 db1d 1be0 U eth20 0 0 0 0V1 DMZ0010 db1d 1be4 D eth30 0 0 0 0V1 Untrust0010 db1d 1be5 D eth40 0 0 0 0Private0010 db1d 1be6 D eth50 0 0 0 0Untrust0010 db1d 1be7 D eth60 0 0 0 0Null0010 db1d 1be8 D eth71 1 7 1 24Public0010 db1d 1be9 U eth81 1 8 1 24External0010 db1d 1bea U vlan10 0 0 0 0VLAN0010 db1d 1bef1D 验证静态路由 WebUI Network Routing Destination 验证静态路由 CLI ns208 getrouteuntrust vr 0entries C Connected S Static A Auto Exported I Imported R RIPiB IBGP eB EBGP O OSPF E1 OSPFexternaltype1E2 OSPFexternaltype2trust vr 9entries IDIP PrefixInterfaceGatewayPPrefMtrVsys 70 0 0 0 0eth81 1 8 254S201Root 810 1 1 0 24eth11 1 1 10S201Root910 2 1 0 24eth21 1 2 10S201Root 61 1 8 0 24eth80 0 0 0C00Root1110 3 1 0 24eth31 1 3 10S201Root 51 1 7 0 24eth70 0 0 0C00Root41 1 3 0 24eth30 0 0 0C00Root31 1 2 0 24eth20 0 0 0C00Root 21 1 1 0 24eth10 0 0 0C00Root 验证路由 getrouteipns208 getrouteip10 1 10 5DestinationRoutesfor10 1 10 5 trust vr 10 1 10 0 24 id 6 via10 1 1 254 vr trust vr Interfaceethernet1 metric1 验证路由 ns208 ping10 1 10 5TypeescapesequencetoabortSending5 100 byteICMPEchosto10 1 10 5 timeoutis2seconds SuccessRateis100percent 5 5 round triptimemin avg max 2 3 9msns208 pingTargetIPaddress 10 1 10 5Repeatcount 5 Datagramsize 100 Timeoutinseconds 2 Sourceinterface TypeescapesequencetoabortSending5 100 byteICMPEchosto10 1 10 5 timeoutis2seconds SuccessRateis100percent 5 5 round triptimemin avg max 2 3 4ms Pingandextendedping 验证路由 ns208 trace10 1 10 5TypeescapesequencetoescapeSendICMPechosto10 1 10 5 timeoutis2seconds maximumhopsare3211ms2ms2ms10 1 1 25423ms2ms3ms10 1 10 5Tracecomplete traceroute 路由的相互依赖性 ExternalZone PrivateZone 1 1 70 250 1 1 70 0 24 10 1 10 5 10 1 20 0 24 B 10 1 10 0 24 PublicZone 10 1 20 5 254 200 5 5 5 A B C D 10 1 1 0 24 10 1 2 0 24 1 254 1 254 1 1 7 0 24 1 1 8 0 24 254 1 NetworkInterfaceNextHop1 1 8 0 24E1 0 0 0 0 0E21 1 8 254 HowwilltrafficfromHostDgettoHostA VirtualRouters OneVR Onetabledisplaysallroutes externalandinternalDifficulttosecure RoutingTable IDIP PrefixInterfaceGatewayPPrefMtrVsys 31 1 1 0 24eth80 0 0 0C00Root 81 1 10 0 24eth81 1 1 2S201Root 71 1 20 0 24eth81 1 1 3S201Ro