冷无冰 2007-12-13 15:38
Juniper service 系列实验
[img]http://junipers.cn/upload_files/other/_20071211091224_dW50aXRsZWQ=.jpg[/img]
实验背景和要求
1.HQ-1 和site A 之间建立 GRE 隧道,HQ-1 的WAN 口Se-1/0/0.0 作为GRE 隧道的local e
ndpoint,GRE 隧道被IPSEC VPN 加密保护,IPSEC 和 GRE 使用相同的endpoint。
2.有状态防火墙保护穿越 GRE 隧道的流量,允许所有从HQ-1 到site A outbound 的流量,
禁止所有inbound 的连接。
3.为了满足性能的需求,公司在整个网络中实施 CoS。
4.HQ-1 在LAN 口Fe-0/0/1.0 上设置 multifield classifier 用来分类流量
5.路由器依靠重写IP precedence behavior aggregate(BA)维持CoS 分类,并贯穿整个
网络
6.为了避免个分支site A 连接速度超出范围,配置 virtual-channel 来限制到分支site
A 流量 为768kbps
}
###################################
[edit interfaces]
se-1/0/0 {
per-unit-scheduler;
//作用为每个不同的VLAN 设置不同的 COS 配置
unit 0 {
family inet {
filter {
output choose-vc;
//在WAN 接口 se-1/0/0.0 的output 方向上应用firewall filter “choose-vc”
}
service {
input {
service-set vpn-to-SiteA service-filter match-vpn-to-SiteA-no-gre;
service-set sffw-outbound service-filter no-gre;
}
output {
service-set vpn-to-SiteA service-filter match-vpn-to-SiteA;
service-set sffw-outbound;
}
}
address 172.17.38.4/29;
}
}
}
}
#####################################
routing-options {
static {
route 0.0.0.0/0 next-hop 172.17.38.1;
//设置下一跳为172.17.38.1 的默认路由
route 192.168.200.0/24 next-hop gr-0/0/0.0;
//设置到192.168.200.0/24 网段的下一跳接口为gr-0/0/0.0
}
}
####################################
[edit class-of-service]
virtual-channels {
SiteA-vc;
default-vc;
//定义两个虚拟通道VC
}
virtual-channel-groups {
wan-vc-group {
//定义虚拟通道组,用于为虚拟通道 VC 设置shaping 和 cos 参数
SiteA-vc {
scheduler-map standard-scheduler-map;
shaping-rate 768k;
}
default-vc {
scheduler-map standard-scheduler-map;
default;
}
}
}
####################################
[edit class-of-service]
interfaces {
gr-0/0/0.0 {
scheduler-map standard-scheduler-map;
unit 0 {
classifiers {
inet-precedence default;
}
rewrite-rules {
inet-precedence default;
}
}
}
//在GRE 接口上既要分类数据包,又要调度分类
####################################
[edit class-of-service]
sp-0/0/0 {
scheduler-map standard-scheduler-map;
}
###################################
[edit class-of-service]
se-1/0/0 {
unit 0 {
virtual-channel-group wan-vc-group;
//在WAN 接口上应用虚拟通道组
classifiers {
inet-precedence default;
} rewrite-rules {
inet-precedence default;
}
}
}
#####################################
[edit class-of-service]
fe-0/0/1 {
scheduler-map standard-scheduler-map;
}
}
#####################################
[edit class-of-service]
scheduler-maps {
standard-scheduler-map {
forwarding-class network-control scheduler my-nc-sched;
forwarding-class expedited-forwarding scheduler my-ef-sched;
forwarding-class assured-forwarding scheduler my-af-sched;
forwarding-class best-effort scheduler my-be-sched;
//定义调度映射来关联调度策略到每个输出队列
}
}
########################################
[edit class-of-service]
schedulers {
//定义各种调度策略
my-be-sched {
transmit-rate percent 10;
buffer-size percent 10;
priority low;
}
my-af-sched {
transmit-rate percent 25;
buffer-size percent 25;
priority medium-low;
}
my-ef-sched {
transmit-rate percent 50;
buffer-size percent 50;
priority medium-high;
}
my-nc-sched {
transmit-rate percent 15; buffer-size percent 15;
priority high;
}
}
}
#######################################
[edit firewall family inet ]
filter classify-packets
//用于分类数据包输出队列的firewall filter,符合某个filter 的数据包放到相应的
转发类
{
term interactive-applications {
from {
protocol tcp;
source-port [ 22 23 ];
}
then {
forwarding-class expedited-forwarding;
accept;
}
}
term sip {
from {
protocol [ udp tcp ];
port 5060;
}
then {
forwarding-class assured-forwarding;
accept;
}
}
term rtp {
from {
protocol udp;
port 16384-32767;
}
then {
forwarding-class assured-forwarding;
accept;
}
}
term default {
then accept; }
}
#################################################
[edit firewall family inet ]
//定义service-filter 规则,用于在service-set 中的应用
service-filter no-gre {
term ignore-gre {
from {
protocol gre;
}
then skip;
}
term default {
then service;
}
}
service-filter match-vpn-to-SiteA {
term vpn-to-SiteA {
from {
source-address {
172.17.38.4/32;
}
destination-address {
172.17.37.4/32;
}
}
then service;
}
term default {
then skip;
}
}
service-filter match-vpn-to-SiteA-no-gre
{
term ignore-gre {
from {
protocol gre;
}
then skip;
}
term vpn-to-SiteA {
from {
source-address { 172.17.37.4/32;
}
destination-address {
172.17.38.4/32;
}
}
then service;
}
term default {
then skip;
}
}
}
###############################################
[edit firewall family inet ]
filter choose-vc {
term SiteA {
from {
destination-address {
172.17.37.4/32;
}
}
then {
virtual-channel SiteA-vc;
//分离不同的流量到不同的VC,这里的意思是去往目的ip 为 172.17.37.4 的流量属于
SiteA-vc 虚拟通道
accept;
}
}
term default {
then accept;
}
}
}
###############################################
[edit firewall]
//定义有状态防火墙的规则
services {
stateful-firewall {
rule allow-all-telnet-ping {
match-direction input;
//定义允许input 方向的telnet,ping 有状态的规则
term allow-all-telnet {
from { source-address {
172.17.37.0/24;
172.17.38.0/24;
}
applications junos-telnet;
}
then {
accept;
}
}
term allow-all-ping {
from {
applications junos-icmp-ping;
}
then {
accept;
}
}
}
rule allow-vpn-traffic {
match-direction input-output;
term allow-ike-ipsec {
from {
applications [ junos-ipsec-esp junos-ike ];
}
then {
accept;
//定义允许在 input,output 两个方向上的VPN 流量传输的有状态的规则
}
}
}
rule allow-all-outbound {
match-direction output;
term default {
then {
accept;
}
}
}
}
###############################################
nat {
pool external-IP {
address 172.17.38.4/32;
port automatic;
//定义NAT 地址池,这里是 PAT
}
rule translate-private
//定义NAT 规则
{
match-direction output;
term match-192-168-201 {
from {
source-address {
192.168.201.0/24;
}
}
then {
translated {
source-pool external-IP;
translation-type source dynamic;
//转换类型source dynamic
}
}
}
term default {
then {
no-translation;
}
}
}
}
############################################
service-set sffw-outbound {
stateful-firewall-rules allow-all-outbound;
stateful-firewall-rules allow-all-telnet-ping;
stateful-firewall-rules allow-vpn-traffic;
nat-rules translate-private;
interface-service {
service-interface sp-0/0/0;
//定义service-set,这里的 service-set 包含了有状态防火墙和 NAT 规则,以及服务接口
sp-0/0/0
} }
service-set sffw-outbound-only {
stateful-firewall-rules allow-all-outbound;
interface-service {
service-interface sp-0/0/0;
}
}
service-set vpn-to-SiteA {
interface-service {
service-interface sp-0/0/0;
}
#################################################
//IPSEC VPN 的相关设置
ipsec-vpn-options {
local-gateway 172.17.38.4;
}
ipsec-vpn-rules HQ-to-SiteA;
}
ipsec-vpn {
rule HQ-to-SiteA {
term gre-tunnel {
from {
source-address {
172.17.38.4/32;
}
destination-address {
172.17.37.4/32;
}
}
then {
remote-gateway 172.17.37.4;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
match-direction output;
}
#############################################
//IPSEC SA 建立阶段的相关设置
ipsec {
proposal esp_sha1_3des_ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy dynamic_ipsec_policy {
perfect-forward-secrecy {
keys group2;
}
proposals esp_sha1_3des_ipsec_proposal;
}
}
############################################
//IKE SA 建立阶段相关设置
ike {
proposal psk_sha1_3des_ike_proposal {
authentication-method pre-shared-keys;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy main_mode_ike_policy {
mode main;
proposals psk_sha1_3des_ike_proposal;
pre-shared-key ascii-text "$9$kqT3AtORcl0BlMLNY2UjH"; ##
SECRET-DATA
}
}
traceoptions {
flag ike;
}
establish-tunnels immediately;
诚诚爱津津 2007-12-17 19:02
谢谢了!~~~~~~~~~~~~:handshake
whbipt 2007-12-18 14:38
太高深了!
非常感谢楼主,谢谢了!:lol 可是我没钱啊!需要灌水啊!
whbipt 2007-12-18 14:38
谢谢!
:loveliness: :Q :handshake :handshake 非常感谢楼主,谢谢了!:lol 可是我没钱啊!需要灌水啊!
星光灿烂 2008-1-5 19:36
不错,,这个教程学习起来挺方便的呢?谢谢了我也需要的哦。。
eagleding 2008-12-30 17:46
楼主辛苦辛苦,谢谢分享了
hkpwchj47 2008-12-31 03:47
北京11
[url=http://www.hangkongpiaowu.com.cn/jpcx/06_35_6009.html]北京去阿比让特价机票查询[/url]
[url=http://www.hangkongpiaowu.com.cn/jpcx/05_23_3740.html]北京去马斯喀特特价机票查询[/url]
[url=http://www.hangkongpiaowu.com.cn/jpcx/05_23_7204.html]北京去科威特特价机票查询[/url]
[url=http://www.hangkongpiaowu.com.cn/jpcx/05_50_71.html]北京去多哈特价机票查询[/url]
[url=http://www.hangkongpiaowu.com.cn/jpcx/05_52_5284.html]北京去巴林特价机票查询[/url]
hn1213 2008-12-31 18:19
鄙视楼主..
呵呵.
[color=white][url=http://www.sdzbj.com/]纸杯机[/url]
love198 2009-1-3 18:11
外贸企业如何过冬
最近读了好多是关于“冬天来了”的文章,到处都在找“棉袄”防寒。削减人员,进行品牌化运作,转向国内市场,甚至还有发扬山寨精神!这里我也给咱们的小外贸公司,尤其外贸公司的老总们出点过冬的主意。 1. 树立信心:对于我们所有外贸人来说眼前最需要的是信心!单子少了,收入少了,那是眼前的现象。放在长远来看,社会还是在进步,人类照样需要发展,过了这个冬天春天自然就来了,不能中了那些喊“冬天难过”的人的计,不然我们都成垫背的了。总之,我相信只要做好合适的调整,我们肯定能挺过这段不景气的时间,只要我们坚持,将来就会过得更好,谁能在春天来临之际第一个跑起来,谁就能跑得更远! 2. 省钱:大家都知道,要想坚持地时间长,就需要节省开支,这里我给兄弟们提点我的建议。 A:减少开支不要先从裁员开始。我发现大部分做外贸的老板在谈到省钱的时候第一个想到的是先砍掉几个人,可是我觉得这个是不负责的行为。想想员工们平常为我们做了多少贡献,老板们剥削了多少员工的血汗,现在一闹危机就先把员工开掉,这样不光是对自己对员工不负责,也对社会不负责! B: 建议广大老板们少找几个“女朋友”,不少老板们除了自己的老婆外还交有不少女朋友,而且在女朋友身上付出的心血要多于在公司员工身上。同志们,这时候和你并肩战斗的是你公司那一个个坐在电脑边上发展客户的员工!(这个建议给那些有特殊喜好的老板) C:谨慎对待网上流传的“防冬”术 ,往往喊出“冬天来了”或喊着能帮你“过冬”的人,是想用你的钱来帮他自己过冬。同样,我写的这篇文章,也有这个嫌疑,不要轻易相信哦! ^_^ 。以下给兄弟们推荐一些节省开支的推荐: a : 看看自己租的房子是不是贵了,如果租个市中心的房子只是为了面子的话,建议这段时间可以先换一些便宜的办公室,省下的房租也够几个员工的工资! b : 看看自己投入的几万甚至十几万的外贸网站推广,是不是真带来了效果。如果没有,可以停止投入。往往咱国内的外贸推广网站问中国人要的钱远远高于老外的收费,如果要真的想通过网上做推广建议选择一些性价比高点的外贸网站。以下给大家介绍一些实在点的推广方法。 http://www。tradekey.com (公认的性价比高,会员费369美金。) http://www。dhgate.com (敦煌网,不见鬼子不挂弦,靠产生交易才收费。) http://www。wholesalecentral.com/ (仅限做美国市场。) http://www.okokchina.com/ (仅限做美国市场。) http://www.sz-wholesale.com/ (仅限做美国市场。) http://www.oneinhundred.com/(仅限做美国市场) http://www.wellpromo.com/ (仅限做美国市场。) 熟悉skype应用,国际长途可以尽量用skype 打,另外他的搜索功能也可以用来找客户。可以加入一些欧美的行业协会,一般费用都是几百美金,而且老外的协会是真正给人办事情的,可以通过他们帮我们联系客户。 3. 赚钱:谈到赚钱,这块就是最难的!网上很多文章都给大家开出了方子,教我们如何赚钱,这里我也给大家点建议。 A: 不要轻易下水去做网络销售。我要说的是,做网络销售肯定能赚钱,但是你做外贸那就很难赚钱,投入半天搞个网店最后几乎没有销售量,还浪费半天时间。 我建议外贸公司要想做网络直销就在taobao上面好好搜一些高级别的卖家,然后和这些人搞好关系,让他们做你的网上销售代理,你还是和做外贸一样,只管货物和安排物流,后面的销售委托他们来做。要开发国外的终端市场,你就在ebay上花点功夫,说服一些国外的优秀ebay卖家,帮你去卖。总之,你做惯外贸去面对终端消费者,还不把你给憋坏,还是专人做专事的好! B : 不要轻易开发新兴市场。大家都知道开发一个新客户的成本要远远高于维护老客户,自己的外贸产品在目前部分在市场上还没有做深做透,本身就缺钱的你再去花钱开发新市场投入会更大,而且金融危机是全球性的,到哪都一样,我反到建议大家在已经有的市场里再深入发展。可以尝试和国外的二级经销商建立业务关系,通过很多国外的行业协会或批发网站,类似ttradekey.com 都可以找到这类的客户。未完,待续。。。。。。。。。。。。。。。。。。。。。。。
opqr122 2009-1-4 09:15
银杏苗木13013521666
[b][color=Red][size=7]山东佳园银杏苗木公司[/size][/color][/b],创建于1994年,系山东大型银杏苗木基地,公司位于山东省临沂市郯城县新村乡。现有银杏苗圃600多亩, 种植的苗木主要有:2cm-80cm银杏树,石榴树,樱桃树,枣树,柿子树,意杨,国槐,合欢,白蜡,法桐,雪松、龙柏、广玉兰、木瓜树、桂花、紫薇、剑麻、金叶女贞、大叶女贞,红叶小檗,红叶女贞,金叶女贞,火棘,小叶女贞,红瑞木,大小叶黄杨球,连翘,美人蕉,各类月季,竹子,南天竹.攀援及地被类等100多个品种,且规格品全,苗木产品远销于北京、重庆、上海、浙江、福建、天津、河北、河南、江西、四川、云南、沈阳、大连、南京等二十多个大中园林城市,成为国内许多市政府,电视台定点关注公司及著名城市绿化、美化的定点银杏树供货基地。 公司兼营范围:花卉、银杏盆景、银杏叶、银杏果、银杏茶、银杏枕头、银杏苗木的培育、开发与零售、单位、小区、道路、庭院园林绿化与施工。 佳园苗木愿与您携手共创美好绿化事业!
银杏为银杏科唯一生存的种类,是著名的活化石植物,又是珍贵的药用材和干果树种,具有许多原始性状,对研究裸子植物系统发育、古植物区系、古地理及第四纪冰川气候有重要价值。叶形奇特而古雅,是优美的庭园观赏树。对烟尘和二氧化硫有特残的抵抗能力,为优良的抗污染树种。种子作干果。叶、种子作药用。该物种已被列为国家A级重点保护野生植物(国务院1999年8月4日批准)银杏树价格公布:5公分银杏树价格10元,6公分银杏树价格14-16元,7公分银杏树价格18-22元,8公分银杏树价格40-45元,9公分银杏树价格60-80元,10公分银杏树价格130-160元,11公分银杏树价格220-240元,12公分银杏树价格300-420元,13公分银杏树价格580-650元,14公分银杏树价格1200-1400元,15公分银杏树价格1300-1800元,16公分银杏树价格1700-2000元,18公分银杏树价格4500-5000元,20公分银杏树价格5500-7000元,25公分银杏树价格10000-12000元,30公分银杏树价格12000-18000元,40公分银杏树价格20000-22000元,50公分银杏树价格30000-35000元,以上报价是银杏实生苗价格,以上价格仅供参考。秋季银杏价格2008年10月28号
[url=http://www.lvhuaba.cn]http://www.lvhuaba.cn[/url][url=http://www.zmw9.com]http://www.zmw9.com[/url] [url=http://www.yinxing.me]http://www.yinxing.me[/url][url=http://www.yinxingba.com]http://www.yinxingba.com[/url] [url=http://www.6650776.com]http://www.6650776.com[/url]
shiliao549 2009-1-4 18:29
问 路
一近视迷路,见道傍石上栖歇一鸦,疑是人也,遂再三洁
之。少顷,鸦飞去,其人曰:“我问你不答应,你的帽子被风
吹去了,我也不对你说!”
[url=http://www.zzsszz.com/]鄂式破碎机[/url] [url=http://www.hnjlks.com/]球磨机[/url] [url=http://www.xkjq.com/002.htm]石灰石破碎机[/url] [url=http://www.hnxkc.com/]铅锌矿选矿设备[/url] [url=http://www.zzsszz.com/002.htm]环锤式碎煤机[/url]
