以前总是搞不清楚Trust-VR和Untrust-VR有什么作用和区别,今天仔细看了看说明书,总于明白了。
虚拟路由 |
虚拟路由器 (VR) 与非虚拟路由器功能相同。它拥有自己的接口和路由表。在 ScreenOS 中,NetScreen 设备支持两个虚拟路由器。从而允许 NetScreen 设备维护两个单独的路由表,并隐藏虚拟路由器彼此之间的路由信息。 例如,通常用来与不可信方进行通信的 untrust-vr 不含有任何保护区段的任何路由信息,这些信息由 trust-vr 进行维护。因此,通过从 untrust-vr 中秘密提取路由的方式,搜集不到任何内部网络信息。 |
上面是摘自Netscreen说明书。这句话可以这样理解,对应Netscreen可以维护两个完全独立的路由表,一个是trust-vr,一个是Untrust-vr。如果trust-vr中包括10.0.0.0/24到10.0.1.0/24的路由,而Untrust-vr中包括20.0.0.0/24到20.0.1.0/24的路由,对于10.0.0.0/16的两个网段是可以互访的,而不能到20.0.0.0/16的网段,在有允许的策略下也不行,因为trust-vr中不包含这样的路由信息,如果你希望10.0.0.0/16可以访问20.0.0.0/16网段,你就需要在trust-vr中添加到20.0.0.0/16的路由,并且在untrust-vr中添加到10.0.0.0/16的路由信息,这就叫做路由的重新分配。下面一句话摘自Netscreen说明书:
每个虚拟路由器 (VR) 都维护着一个路由表,其中含有用于其路由选择域的唯一条目。也就是说,trust-vr 中的条目与那些在 untrust-vr 中维护的条目完全不同。因为在 trust-vr 中找不到 untrust-vr 中的路由表条目,所以对于 trust-vr 路由表没有而您又想使 trust-vr 中的信息流可以访问的任何路由,在 trust-vr 路由表中必须包含一条指向 untrust-vr 的路由。(同样,对于另一方向上的信息流,需要做的事情正好相反,即从 untrust-vr 到 trust-vr。)两个虚拟路由器之间的这种联系,在术语上叫做路由重新分配。 |
现在应该比较清楚这项技术的理论知识了。下面我来提个问题,如果是我有一台小的Netscreen设备,她只有Trust和Untrust两个Zone,我需要怎样设定默认路由呢?0.0.0.0/0的路由是应该加在Trust-vr里还是Untrust-vr里呢?如果加在Trust-VR中,但我又没有在Untrust-Vr中指定到trust-vr中的回来路由也是可以通的,为什么?
首先来说第一个问题,如果要加默认路由的话,应该加在Trust-vr里面,网关使用的端口是Untrust,然后指定下一跳的IP,再配上相应的策略就可以通讯了,这是一般的情况。
图形配置如下:
但一定会有人问,我又没有设定回来的路由怎么会通讯呢?问的好!我们看看下面的设定,
有没有看到Untrust Zone使用的Virtual Router是什么了吗?对,她使用的是trust-vr,也就是说Trust和Untrust Zone都使用同样的路由表,所以你根本就不需要加Unturst-Vr的路由了,如果你把Untrust Zone设定为使用Untrust-vr路由,那么你就需要指定回来的路由了。
阅读(2765) | 评论(0) | 转发(0) |