JUNIPER防火墙实现MAC地址加IP地址绑定实例说明分析.docx

现在我讲一下JUNIPER防火墙实现MAC地址+IP地址的绑定操作的典型案例，有什么写的不好的请大家多多指点案例1一、 项目背景2二、 设计理念3u 实现目的：3u 实施效果：3工程TOPOLOGY3三、 实施思路及过程3u 实施思路：3u 配置思路：31、 项目背景随着教育信息化基础设施规划与建设的推进，教育信息化应用全面深化，尤其是教育城域网的建设也进一步向公众网扩展，其中远程教育、视频点播等已成为极富发展潜力的城域网业务。教育城域网是一个为教学活动、科研活动和教育管理活动服务的网络环境，是“校校通”的基础工程；特别是在国家教育部提出的：用510年的时间在全国范围内的中小学实现“校校通”的建设目标指导下，句容市教育局拟定进行城域网建设改造。句容市教育局城域网建设的目标是建设一个供全县各级教育部门对外宣传的窗口，为全县中小学师生提供利用网络资源进行教学、科研和管理工作的基础设施。同时，希望通过利用城域网络的优势，实现合理、有效地利用有限的人力、物力和财力，优化教学资源分配，缩小城乡教学差别，平衡教育发展，净化网络资源。句容市教育局城域网解决方案特点:u 提高网络可获得性、改善运行效率：减少系统和网络的故障时间，提高响应速度，对网络出现的问题尽快予以回应，在多数情况下，要求对问题立刻予以解决；u 降低网络运行成本：网管部门能够有效地管理异质系统和多种协议；u 降低网络瓶颈：网络管理必须监控网络的活动，对网络的通信量予以分析，适时调整网络资源分配，消除网络瓶颈，并为决策部门网络的调整和扩容提供依据；u 增加运行和集成的灵活性：网络技术飞速发展以迎合不断变更的要求，当引入新的应用时，联网的协议也常常改变，这就需要通过升级网络管理软件的版本可以保证的对新设备和新协议的无缝兼容；u 统一分配和管理网络资源：对网络的IP地址、域名、数据线路、带宽等等实行统一管理和分配。 2、 设计理念u 实现目的：在一个由众多小型局域网组成的大型城域网中，如果大家都使用的IP不固定或者是给了固定地址，终端的使用者不根据规划更改IP的情况。那么将会导致一个局面，就是小型局域网里的部分主机中毒，将会导致整个网络访问速度的严重下滑或者无法访问网络，即使管理员及时发现网络中报文的不正常，网络中有病毒的存在，也很难找出病毒源。u 实施效果：此时我们可以再每个小型局域网中连接核心局域网的位置中，放置一台防火墙，做MAC地址与IP地址的绑定。及可以保护各局域网的安全，又可以在网络中充斥病毒报文时找出病毒源并且将其踢出局域网。已达到网络安全、稳定的效果。工程TOPOLOGY原TOPOLOGY：工程改造TOPOLOGY：实施思路及过程u 实施思路：注意要点：在JUNIPER防火墙上，要实现IP地址+MAC地址绑定需要知道一下几点1、在做IP地址与MAC地址绑定前，规划好所有局域网的IP地址，提前统计所有的终端的MAC地址。2、IP+MAC地址绑定需要在防火墙的三层模式下完成（透明模式做IP+MAC绑定将无法实现效果）u 配置思路：1.基本配置包括用户名、密码、设备名称set admin name adminset admin password jrjyj2012set hostname 2.接口IP地址配置、接口划入trust和untrust、内网口改为route模式、开启所有接口ping-web-telnet功能3.开启from trun 到 untrust的policy，允许any4.刷入相应的arp绑定5.写入缺省路由set route 0.0.0.0/0 gateway 1.1.1.1u 实际配置过程：1、set admin name admin 配置管理员用户名 set admin password nEJwObrDF0tKcaGFcsvFHWBt4NO74n 配置管理员密码set hostname SSG350 设置设备名2、set interface ethernet0/0 zone Null 设置ethernet0/0口为保留接口set interface ethernet0/1 zone DMZ 设置ethernet0/1口为DMZ接口（服务器接口）set interface ethernet0/2 zone Trust 设置ethernet0/2口没Trust口（内网口）set interface ethernet0/3 zone Untrust 设置ethernet0/1口为Untrust口（外网口）set interface ethernet0/3 ip 10.6.2.102/30 设置ethernet0/3口IPset interface ethernet0/2 ip 10.6.40.1/24 设置ethernet0/2口IPset interface ethernet0/2 route 设置ethernet0/2工作在route模式set interface ethernet0/3 route set interface ethernet0/3 ip manageable 在untrust口开去服务， 默认untrust口不开启，服务端口。set interface ethernet0/3 manage sshset interface ethernet0/3 manage telnetset interface ethernet0/3 manage webset interface ethernet0/3 manage pingset interface ethernet0/3manage snmpset interface ethernet0/3 manage ssl3、set policy id 1 from Trust to Untrust Any Any ANY permit set policy id 1 设置策略，允许trust区到untrust区有所有访问WEB配置：4、set arp 10.6.40.6 00258681cf22 ethernet0/2 设置IP绑定MAC地址 set arp 10.6.40.7 f4ec3835a34c ethernet0/2set arp 10.6.40.4 0023cd29c210 ethernet0/2set arp 10.6.40.5 0025868125a0 ethernet0/2set arp 10.6.40.2 000000000001 ethernet0/2set arp 10.6.40.3 000000000001 ethernet0/2set arp 10.6.40.14 00e0b1032f6b ethernet0/2set arp 10.6.40.15 00e0b103058c