Juniper SSG-5-SH 新手配置手册(2)SSG5三十天就上手-Day 15 SSG5 Event Log通过SSG5 的Event Log可以让你知道你的SSG5发生了什么事情。比如SSG5本身产的讯息或是alarms等等。 在SSG5将Event Log分为下列Level: [Alert]: 这个信息是需要马上被注意的,如防火墙遭到攻击。 [Critical]: 这个信息 是有可能会影响运作或是功能,如HA (High Availability)状态改变。 [Error]: 这个信息是SSG5发生错误且可能造成运作上或是功能上的错误,如连上SSH Servers. [Warning]: 这个信息是SSG5发生了会影响功能方面的事件,如认证失败。 [Notification]: 这是发生一般正常的事件,给予管理这常态的通知,如管理人员变更网络参数设定,是否需开通上网功能。 [Debugging]: 这是提供详细的信息让你用来做debug用途。 你可以登入 SSG5 的web管理页面,并在 "Reports" => "System Log" => "Event" 查看SSG5的 Event Log。 SSG5三十天就上手-Day 16 SSG5 Sending Email Alerts身为一位网络工程师人员,每天看Log可以说是天命。但是天天进系统看Log实在会累死人,尤其是当你可以能会用十几台SSG5的时候。 这个时候当然是要叫SSG5 每天自动把alarm 用e-mail 寄给你!设定的方法如下: 登入 SSG5 的web管理页面,并进入 "Configuration" => "Report Settings" => "Email" ,在右边的页面,你就可以设定下列信息: 1.SMTP Server Name 2.E-mail Address 1 3.E-mail Address 2 请 在 SMTP Server Name设定你的mail server,假设我的mail server为 192.168.171.25,那就将192.168.171.25输入到SMTP Server Name的字段。当然如果你有将SSG5 DNS enable,你就可以使用hostname(如mail.126.com)。 接着在E-mail Address 的字段输入要被通知的网络工程师的邮箱。如 WhiteRose1989 At 126.com 然后按下Apply即可。 PS:当然你要将Enable E-mail Notification for Alarms 勾选,另外还可以选择Include Traffic Log。 SSG5三十天就上手-Day 17 SSG5 How to setup Radius ServerSSG5 可以让你设定外部的 Radius Server 来进行认证的工作,假设你有一台 freeradius ,已经安装好, IP 为192.168.191.18,监听的端口为:1812,且设定Shared Secret为 ithome。你只要进行下列设定,就可以让你的SSG5可以使用这台Radius 进行认证。 登入 SSG5 的web管理页面,并进入 "Configuration" => "Auth" => "Auth Servers " ,在右边的页面右上方,点选NEW,你就可以设定下列信息:Name 输入你要为这台Server取的名称,假设我们取为 Radius。IP/Domain Name 输入这台Server的 IP 192.168.191.18 Account Type 由于我们想要用在认证,所以勾选AuthRADIUS Port 输入1812 ,Shared Secret 输入ithome,接着按下OK ,这样你的Auth Server 就设定完成。 SSG5三十天就上手-Day 18 SSG5 如何利用 Radius Server 控制上网权限通 常公司都会管控公司网络的上网权限,避免有人可以来乱上网。在SSG5可以轻松做到对上网进行权限管控。在Day 5我们有介绍过SSG5 Security Zones,假设你将你的LAN放在Trust 的Zone,把上网的线路,放在Untrust的Zone。在Day 8 我们有介绍过Policies ,你可以通过Policies 来控制两个Zone之间的traffic。我们可以通过Policies 中的进阶设定,设定我们在Day 16 所设定完成的Radius来进行认证,只让认证通过的user可以上网。设定方法如下: 请登入你SSG5 的web 管理接口,点选左边的 "Policy" ==>"Policies" ,然后在右边页面中,上方的From选择"Trust",To选择"Untrust",然后按下最右边的 "New"。设定好 Source Address 跟Destination Address ,此范例中都选择 Any ,Service也选择 Any。接着按下"Advanced"进入进阶设定页面,勾选"Authentication",并选择我们设定好的Radius Server。按下OK,这样你就可以通过Radius Server控制上网权限。 SSG5三十天就上手-Day 19 SSG5 如何 Creating a Secondary IP Address让你的Interface 挂多个IP 。有些情况,你会需要让你的 Interface挂两个 IP ,一个挂外面 public ip,另一个挂里面的private ip。这个时候你就可以利用SSG5 Secondary IP Address的功能,设定方法如下: 请登入你SSG5的web 管理接口,点选左边的 "Network" ==>"Interfaces",然后在右边页面中,对于您要编辑的interface按下edit。 在edit的页面中,上面link 会有一个 Secondary IP,点下 Link后,进入Secondary IP编辑页面,按下Add,输入IP跟Netmask入下: IP Address/Netmask: 192.168.2.1/24 。这样SSG5 就可以在一个interface 挂两个 IP 。 SSG5三十天就上手-Day 20 SSG5 Simple Network Management Protocol(SNMP)SSG5 也支持SNMP,你可以通过SNMP 监控SSG5的状态,如CPU或流量等等,很多范例都是通过Cacti来抓SSG5 SNMP ,由Cacti了解SSG5使用状态。如果你要让Cacti可以利用SNMP抓取SSG5状态,你需要先对SSG5进行设定,设定的方式如下: 请 登入你SSG5的web 管理接口,点选左边的 "Configuration " ==>"Report Settings"==>"SNMP",然后在右边页面中按下右上角的 New Community ,然后设定你的 Community Name,如poblic,勾选你的 Permissions,默认值是全部勾选,然后选择支持的Version。最后设定 Hosts IP Address 跟 Netmask,此设定需要将你Cacti的主机包含进去。然后选择此设定的 Source Interface,这样你就可以通过SNMP抓取SSG5的状态。 SSG5三十天就上手-Day 21 SSG5 Address Groups假设你在设定Policy 的时候,希望可以设定严格一点,比如说source address不想要用any,但是你可能又有一堆address 需要设定进去,这个时候你就可以利用SSG5的address groups。设定方法如下: 请 登入您SSG5的web 管理接口,点选左边的 "Policy" ==>"Policy Elements"==>"Addresses"==>"Groups",然后在右边页面中左上方选择要新增的Zone之后按下右上角的 New ,然后设定你的Group Name,如 My Network,接着将你的address由右边拉到左边,然后按下OK即可。如果在上列步骤没有你要的address可以选择,那就到"Policy" ==>"Policy Elements"==>"Addresses"==>"List"中,然后在右边页面中左上方选择要新增的Zone之后按下右上角的 New ,然后设定你的 address即可。 SSG5三十天就上手-Day 22 SSG5 Destination Static Routing为了让你的SSG5知道要让封包走哪一条路,最简单的方式,就是在SSG5上面设定Destination Static Routing,让他知道这个目的地的地址,要走哪一条路。设定的方法如下: 请 登入您SSG5的web 管理接口,点选左边的 "Network" ==>"Routing "==>" Destination",然后在右边页面中右上角的 New ,最简单的方式,就是设定Next Hop为 Gateway 的方式,当然在 IP Address/Netmask要设定目的地的 IP如192.168.1.0/24,Next Hop挑选Gateway,并选择Interface以及设定Gateway IP Address,如 eth0/2 与192.168.3.1 (通常这个时候代表 192.168.3.1 这台会知道接下来怎么走到 192.168.1.0/24)。这样最简单的 Destination Static Routing就设定完成了。 SSG5三十天就上手-Day 23 SSG5 Site-to-Site VPN(Virtual Private Networks )SSG5 最主要的用途,除了一般做NAT跟Routing,另外就是让你拿来建 VPN 。今天就跟大家介绍如何在SSG5上建立Site-to-Site VPN。 在SSG5只需要简单三步骤: 步骤一:建立VPN Gateway,让你的SSG5知道要跟谁建VPN。 步骤二:建立VPN Tunnel Interface,让你的VPN有一条隧道可以走。 步骤三:建立VPN 以下步骤请先登入您SSG5的web 管理接口,后进行操作,此范例假设我们两个端点都是Static IP Address。 建立VPN Gateway: 点选"VPNs" ==> "AutoKey Advanced" ==> "Gateway",然后按下右上角的New,设定Gateway Name,设定Static IP Address,按下Advanced,进入进阶设定页面。 设定Preshared Key,请注意Preshared Key两个端点要设定相同,选择Outgoing Interface,一般就是你上网的那个Interface。按下下Return回到设定页面后,再按下OK。 建立VPN Tunnel Interface: 点选"Network" ==> "Interfaces" ==> "List",右上角选择Tunnel IF 后按下New,设定Tunnel Interface Name可以挑选(1~10) ,设定Zone,选择Unnumbered(假设我们Tunnel Interface 不设IP),接着按下OK。 建立VPN: 点选"VPNs" ==> "AutoKey IKE",然后按下右上角的New,设定VPN Name,Remote Gateway 选择Predefined 然后选择你在第一步骤中设定的Gateway,按下Advanced,进入进阶设定页面。Bind to请选择Tunnel Interface,并选择你在第二步骤中新增的Tunnel Interface。按下下Return回到设定页面后,再按下OK。将你的两个端点依上列三个步骤执行后,大致上你的VPN就已经没有问题,不过因为没 有封包,接着你就设定你的Routing,设置你的SSG5 路由怎么走,封包来时VPN就会帮你UP。 SSG5三十天就上手-Day 24 SSG5 VPN Options
如
果你看完Day
23,那你已经知道如何在SSG5
设定VPN
,当然接下来你会希望,可以让SSG5
监控你的VPN
状态。通常我会建议你可以设定下列两个选项为enable:VPN Monitor 另外当你勾选了 Rekey,SSG5就会立即帮你送出 ICMP echo requests。所以当你在昨天的第三步骤勾选这两个选项后,你就会发现VPN 设定完后马上就会UP。 SSG5三十天就上手-Day 25 SSG5 VPN DebugPhase 1: Retransmission limit has been reached. 一 般如果你按照VPN 三步骤建好VPN之后,通常不会有什么问题,不过总是会有粗心大意的时候,在这里就分享一个案例。一般如果VPN建不起来,建议都先去看看SSG5 的 event log,看看SSG5 告诉你发生什么事。此案例中,SSG5 log写说 Phase 1: Retransmission limit has been reached. 这边遇到这个问题大多会想说两端点是不是有通,曾经我就遇到过,两边都互相 ping的到,设定也都没有错,可是就是建不起来。最后才发现,原来如果来回的路走不一样,也会让你建不起来。会来回走不一样的原因是因为有一端的 SSG5 有多条线路。 解法就是调整的Routing ,确保来回路都走一样,就可以解决这个问题。 SSG5三十天就上手-Day 26 SSG5 Interface States在SSG5的interface 有下列四个 states: Physically Up 这是当你的网络 cable 实际让你的SSG5 接到一个 Network Device (如 switch 或Notebook),线路正常的状态。 Logically Up 你可以在逻辑定义上,让你interface设为up ,此时 traffic才能通过你的 interface。 Physically Down 这是当你的网络 cable 实际让你的SSG5 接到一个 Network Device (如 switch 或Notebook),线路断线的状态。 Logically Down 你可以在逻辑定义上,让你interface设为down ,此时 traffic无法通过你的 interface。 SSG5三十天就上手-Day 27 SSG5 Open Shortest Path First如 果有很多site,那给个site都可以放一台SSG5,你会发现维护你的routing 会是很累人的事。尤其当你有两条线路要手动切备援,更是累人。此时建议你就可以 on ospf,让SSG5 帮你自动算routing ,要让SSG5 on OSPF 只要以下几个简步骤。 步骤一,Create OSPF Instance 步骤二,设定Area 中的interface 步骤三,在Interface中将OSPF 设定为 enable 这样你的SSG5就会启动OSPF。OSPF 会依据本身的设定放出的routing,放出让邻居(另外一台SSG5)学习,每一条连接都有自己的COST,然后他会帮你算出最便宜的路,最后让你的Routing 走最便宜的路线。 SSG5三十天就上手-Day 28 SSG5 OSPF - AreasAreas SSG5 预设在你启用ospf 的时候,会将所有的 routers 群组放入一个单独的“backbone”area 这个area 叫做area 0 (你会在你的SSG5中看到area 0.0.0.0)。不过通常如果你的架构中,是一个很大的网络,那你会把他划分为几个小的 area。 在SSG5中,你可以在新增area 时,设定你的 area type ,除了normal,另外两种类型说明如下: Stub Stub area — 接收来自backbone area 的 route summaries 但是不接收来自其它的area 的link-state。 Not So Stubby Area (NSSA) 像是一个normal stub area,NSSAs 不能接收非本area外的OSPF 以外的资源。 SSG5三十天就上手-Day 29 SSG5 OSPF - Security ConfigurationConfiguring an MD5 Password 为了避免有人利用OSPF 偷偷当你的非法邻居,乱放 routing 给你学,害你的site挂掉,建议你要对你的SSG5 的 OSPF 设定安全性。 SSG5 可以让你在interface 中设定明码或是MD5 编码的密码,在这里建议你选用MD5,他最多可以让你输入16个字符,设定方式如下: 请登入你SSG5 的web 管理接口。 在左边选择"Network" => "Interfaces" =>然后对你要编辑的interface按下 Edit =接着在上方的Link中点选OSPF 进入OSPF 设定页面后,挑选 MD5的选项,并输入你的key与Key ID,最后要选Preferred。然后按下apply即可。 这样没有这定这个key的就不能来当邻居啰! SSG5三十天就上手-Day 30 SSG5 OSPF - Network TypesSSG5 支援下列OSPF 的 network types: Broadcast broadcast network 这是你接到一个有很多 router的网络,且可以送出广播。在 broadcast network 的router 都假设可以彼此互相通讯。最简单的范例就是Ethernet。在broadcast networks中,OSPF 会让router 送出hello packets到multicast address 224.0.0.5 以便动态的侦测决定他的neighbor routers。 Point-to-Point point-to-point network 典型的透过WAN(Wide Area Network) 将两个router 加在一起。最简单的范例就是两个SSG5 透过IPsec VPN tunnel 连接。在point-to-point networks中。OSPF 会让router 送出hello packets到multicast address 224.0.0.5 以便动态的侦测决定他的 neighbor routers 。 Point-to-Multipoint OSPF 对point-to-multipoint network 会看成是一个 non-broadcast network。他是连接的对方是 point-to-point 的links. 在SSG5 只有Tunnel interface 才支持Point-to-Multipoint。 |
|