Juniper-SSG系列之子接口（單臂路由）運用

1、網絡結構

2、分析與預規劃
規劃如上圖↑
分析客戶目前暫定的拓撲方案，實現多vlan間通訊。G0/0/48端口作成Trunk，理論上SW-A默認只會讓10.10.0.X/24的主機過，Juniper防火牆Ping vlanif1-6都能到，這個是問題來了，只有10.10.0.x/24的主機，端口不作狀況下就能到Juniper設備上。這時就能意識到，單臂路由的方向！！(^__^)

【單臂路由定義掃盲】
單臂路由（router-on-a-stick）是指在路由器的一個接口上經過配置子接口（或「邏輯接口」，並不存在真正物理接口）的方式，實現原來相互隔離的不一樣VLAN（虛擬局域網）之間的互聯互通（這一次因爲起子接口的設備上是Juniper設備，防火牆經過策略能夠實現Vlan間互相獨立，若不作策略即是互聯互通）
優勢：實現不一樣vlan之間的通訊，有助理解、學習VLAN原理和子接口概念。
缺點：容易成爲網絡單點故障，配置稍有複雜，現實意義不大。

4、防火牆配置：
Web-UI上配置以下：
Step-1，下拉選擇Sub-IF

Step-2，填寫參數

set interface "ethernet0/1.1" tag 2 zone "Trust"
set interface "ethernet0/1.2" tag 3 zone "Trust" #在e0/1建立子接口並打上vlan標籤
set interface ethernet0/1.1 ip 10.10.2.1/24 #IP配置
set interface ethernet0/1.1 nat
set interface ethernet0/1.2 ip 10.10.3.1/24 #IP配置
set interface ethernet0/1.2 nat
（PS：注意接口和區域，和Vlan tag，這裏的10.10.2.1/24是SW-A的Vlanif2，因此這裏要一一對應起來， ），點擊-OK輸出以下圖

這裏請各位留意，子接口一旦創建，默認是UP，一旦主接口down，子接口也就down了。這樣一一對應都創建好了以後，剛纔vlan間的不能通訊也順利完成了通訊。測試vlan端口正常，這也就是單臂路由。爲了更好的讓各位理解單臂路由，我找了一個圖，你們往下看。

理論上，vlan10與vlan20之間是沒法互相ping通的，但經過介紹的單臂路由就能夠實現他們的互聯互通。（通俗一點講，就是在Fa0/0經過子接口方式起多個網關）
5、實施回顧
單臂路由長應用在中小型企業當中，當企業沒法預算購買三層交換機時，經過二層交換機實現多vlan的互聯互通。
這次跨境通的實施交付，因客戶須要vlan間互通，我這裏策略就沒作，如下爲各位簡單的介紹下SSG系列策略配置。
禁止2個網段互相訪問，這個能夠根據實際須要添加。
set policy id 35 from "Trust" to "Trust" "10.10.2.1/24" "10.10.3.1/24" "ANY" deny log
set policy id 35
exit
set policy id 34 from "Trust" to "Trust" "10.10.3.1/24" "10.10.2.1/24" "ANY" deny log
set policy id 34
接着配置Untrust-Trust的訪問策略，互相獨立起來，作各自的安全policy便可：
set policy id 36 from "Utrust" to "Trust" "any" "10.10.2.1/24" "ANY" deny log
set policy id 36
set policy id 37 from "Utrust" to "Trust" "any" "10.10.3.1/24" "ANY" deny log
set policy id 37

PS：目前此操做還未進行任何調試與實驗，實用性有待考究。感謝史振南的支持。