Juniper-SSG系列之子介面（單臂路由）配置終結篇

標籤：ssg單臂路由   防火牆配置   子介面   juniper   防火牆單臂路由配置   

子介面到底是什麼東東，咋回事？我這裡就過多的解釋，如果不懂單臂路由，請自行“補功課”，這樣才會更容易理解SSG系列當中配置細節和問題。

說下需求，在常見的企業組網當中，不少有一些“不專業”的網工和網管做一些簡單粗暴的組網，比如交換器全部當純二層傻瓜使用，所有的網關均在出口裝置上，在以往的接觸當中和客戶的改網項目經驗中，其中發現不少有這類情況，所以在這裡，完完全全的需要本著一個專業的態度聊SSG的部署。

好了，不多廢話，直接上菜。

如：
650) this.width=650;" src="http://s1.51cto.com/wyfs02/M02/7E/01/wKioL1b09IiTUIXkAAF7vsDuu5Y048.jpg" title="QQ20160325161108.jpg" alt="wKioL1b09IiTUIXkAAF7vsDuu5Y048.jpg" />

子網需求：

 分多個業務網段。

 交換器帶vlan標籤，上聯trunk即可。

【咋一看非常簡單，所以切勿在企業組網中使用，後期很多坑】

一，分析與預規劃：

        規劃如上面的圖示

分析客戶目前暫訂拓撲方案，實現多vlan間通訊。G0/0/48連接埠做成Trunk，理論上SW-A預設只會讓10.10.0.X/24的主機過，Juniper防火牆Ping vlanif1-6都能到，這個是問題來了，只有10.10.0.x/24的主機，連接埠不做情況下就能到Juniper裝置上。這時就能意識到，單臂路由的方向！！(*^__^*)

這裡，我還是嘮叨一句，我個人眼中的單臂路由【個人理解，歡迎拍磚】

【單臂路由定義掃盲】

單臂路由（router-on-a-stick）是指在路由器的一個介面上通過配置子介面（或“邏輯介面”，並不存在真正物理介面）的方式，實現原來相互隔離的不同VLAN（虛擬區域網路）之間的互聯互連（這一次由於起子介面的裝置上是Juniper裝置，防火牆通過策略可以實現Vlan間互相獨立，若不做策略便是互聯互連）

優點：實現不同vlan之間的通訊，有助理解、學習VLAN原理和子介面概念。

缺點：容易成為網路單點故障，配置稍有複雜，現實意義不大。

二、SSG防火牆配置：

Web-UI上配置如下：

Step-1，下拉選擇Sub-IF

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/7E/05/wKiom1b09TqxJkqkAAAgrhB3eQY825.png" style="float:none;" title="2.png" alt="wKiom1b09TqxJkqkAAAgrhB3eQY825.png" />

       Step-2，填寫參數

650) this.width=650;" src="http://s1.51cto.com/wyfs02/M00/7E/02/wKioL1b09dWBdA3WAABjyFXQ0p8624.png" style="float:none;" title="3.png" alt="wKioL1b09dWBdA3WAABjyFXQ0p8624.png" />

PS：附上cli命令配置：

    set interface "ethernet0/1.1" tag2 zone "Trust"

    set interface "ethernet0/1.2" tag3 zone "Trust"   #在e0/1建立子介面並打上vlan標籤

    set interface ethernet0/1.1 ip 10.10.2.1/24       #IP配置

    set interface ethernet0/1.1 nat

    set interface ethernet0/1.2 ip 10.10.3.1/24       #IP配置

    set interface ethernet0/1.2 nat

（PS：注意介面和地區，和Vlan tag，這裡的10.10.2.1/24是SW-A的Vlanif2，所以這裡要一一對應起來，），點擊-OK輸出如

650) this.width=650;" src="http://s5.51cto.com/wyfs02/M02/7E/02/wKioL1b09h_jBsghAABG3-iUbKs283.png" title="4.png" alt="wKioL1b09h_jBsghAABG3-iUbKs283.png" />

這裡請各位留意，子介面一旦建立，預設是UP，介面後面的數字就是vlan-tag，（即：下遊交換器trunk過來可以攜帶的標籤）一旦主介面down，子介面也就down了。這樣一一對應都建立好了之後，剛才vlan間的不能通訊也順利完成了通訊。測試vlan連接埠正常，這也就是單臂路由。為了更好的讓各位理解單臂路由，我找了一個圖，大家往下看。

650) this.width=650;" src="http://s1.51cto.com/wyfs02/M01/7E/05/wKiom1b09bugDU3iAAGvAvf0lXI567.png" title="5.png" alt="wKiom1b09bugDU3iAAGvAvf0lXI567.png" />

理論上，vlan10與vlan20之間是無法互相ping通的，但通過介紹的單臂路由就可以實現他們的互聯互連。（通俗一點講，就是在Fa0/0通過子介面方式起多個網關）

本文出自 “Allen在路上-從零到壹” 部落格，轉載請與作者聯絡！

Juniper-SSG系列之子介面（單臂路由）配置終結篇