单Ju niper SSG 双ISP 接入冗余 幸得公司有两条 ISP,有一台小墙Ju niper SSG 5(两台SSG 550 在生产环境中,不能拿来实验)拿来做个双ISP 接入实验。SSG 5 的 ScreenOS 为 6.3.0r17。 在ju niper 上做DHCP 服务器,给客户端分配 IP,Untru st 口 IP 被遮盖。 CLI: set interface ethernet0/0 ip 222.xxx.xxx.50/28 set interface ethernet0/0 route set interface ethernet0/1 ip 122.xxx.xxx.162/29 set interface ethernet0/1 route set interface ethernet0/6 ip 10.255.255.250/24 set interface ethernet0/6 nat set dns host dns1 61.177.7.1 src-interface ethernet0/0 set dns host dns2 221.6.4.66 src-interface ethernet0/1 set route 0.0.0.0/0 interface ethernet0/0 gateway 222.xxx.xxx.49(首选默认电信路由) set route 0.0.0.0/0 interface ethernet0/1 gateway 122.xxx.xxx.161 preference 30(备用默认联通路由,当电信外网出现故障时,此条 路由起用) (因为环境中没有三层交换机,PC 直连防火墙 trust 端口,所以不用设置回路路由) set address "Trust" "10.255.255.0" 10.255.255.0 255.255.255.0(设置trust 区段的地址薄) set policy id 2 name "Permit Access" from "Trust" to "Untrust" "10.255.255.0" "Any" "ANY" permit log(设置策略,允许内部网段 10.255.255.0/24访问外网) WebUI: Netw ork>Interface>List 设置两个 Untrust 端口 设置Trust 端口,注意接口要是 NAT 模式 设置路由 Netw ork>Routing>Destination 默认电信路由 设置完成后,如下: 策略如下: 以上基本设置完成后,设置Monitor,目的是当电信主线路出现故障后,在设定的时间内,路由自动转向备用联通线路。 CLI: 对 ethernet0/0 起用监控: set interface ethernet0/0 monitor track-ip ip set interface ethernet0/0 monitor track-ip threshold 8(默认为1) set interface ethernet0/0 monitor track-ip w eight 12(默认为255) WebUI: 对某一个IP 进行追踪监控: set interface ethernet0/0 monitor track-ip ip 61.177.7.1 interval 3(默认为1) set interface ethernet0/0 monitor track-ip ip 61.177.7.1 time-out 2(值必须小于等于interval...
