茫茫網海中的冷日
         
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已!
 恭喜您是本站第 1672410 位訪客!  登入  | 註冊
主選單

Google 自訂搜尋

Goole 廣告

隨機相片
PIMG_00121.jpg

授權條款

使用者登入
使用者名稱:

密碼:


忘了密碼?

現在就註冊!

硬體園地 : [分享]NetScreen SSG 5 初始化

討論區主頁 - 主題一覽 > 硬體園地 > [分享]NetScreen SSG 5 初始化
討論串 | 最新的先
前一個主題 | 下一個主題 | 頁尾
主題一覽的上方
發表者 討論內容
« 1 2 (3) 4 »
冷日
(冷日)		 發表時間:2012/11/6 2:52
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 19 SSG5 如何Creating a Secondary IP Address
SSG5三十天就上手-Day 19 SSG5 如何Creating a Secondary IP Address

讓你的 Interface 掛多個 IP

有些情況,你會需要讓你的 Interface 掛兩個 IP,一個掛外面 public ip,另一個掛裡面的 private ip。
這個時候您就可以利用 SSG5 Secondary IP Address 的功能,設定方法如下:
請登入您 SSG5 的 web 管理介面,點選左邊的 "Network" => "Interfaces",然後在右邊頁面中,對於您要編輯的 interface 按下 edit。
在 edit 的頁面中,上面 link 會有一個 Secondary IP,點下 Link 後,進入 Secondary IP 編輯頁面,按下 Add,輸入 IP 跟 Netmask 如下:
IP Address/Netmask: 192.168.2.1/24

這樣 SSG5 就可以在一個 interface 掛兩個 IP。

原文出處:Donald IT Share: SSG5三十天就上手-Day 19 SSG5 如何Creating a Secondary IP Address
回覆
冷日
(冷日)		 發表時間:2012/11/6 2:55
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 20 SSG5 Simple Network Management Protocol
SSG5三十天就上手-Day 20 SSG5 Simple Network Management Protocol

Simple Network Management Protocol

SSG5 也支援 Simple Network Management Protocol (SNMP),您可以透過 SNMP 監控 SSG5 的狀態,如 CPU 或是流量等等,很多範例都是透過 Cacti 來抓 SSG5 SNMP,藉由 Cacti 了解 SSG5 使用狀態。

如果您要讓 Cacti 可以利用 SNMP 抓取 SSG5 狀態,您需要先對 SSG5 進行設定,設定的方式如下:
請登入您 SSG5 的 web 管理介面,點選左邊的 "Configuration" => "Report Settings" => "SNMP",然後在右邊頁面中按下右上角的 New Community,然後設定你的 Community Name,如 poblic,勾選您的 Permissions,預設值是全部勾選,然後選擇支援的 Version。
最後設定 Hosts IP Address 跟 Netmask,此設定需要將您 Cacti 的主機包含進去。然後選擇此設定的 Source Interface,這樣您就可以透過 SNMP 抓取 SSG5 的狀態。

原文出處:Donald IT Share: SSG5三十天就上手-Day 20 SSG5 Simple Network Management Protocol
回覆
冷日
(冷日)		 發表時間:2012/11/7 6:26
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 21 SSG5 Address Groups
SSG5三十天就上手-Day 21 SSG5 Address Groups

設定群組 address

假設您在設定 Policy 的時候,希望可以設定嚴格一點,比如說 source address 不想要用 any,但是您可能又有一堆 address 需要設定進去,這個時候您就可以利用 SSG5 的 address groups。

設定方法如下:
請登入您 SSG5 的 web 管理介面,點選左邊的 "Policy" => "Policy Elements" => "Addresses" => "Groups",然後在右邊頁面中左上方選擇要新增的 Zone 之後按下右上角的 New,然後設定你的 Group Name,如 My Network,接著將您的 address 由右邊拉到左邊,然後按下 OK 即可。
如果在上列步驟沒有您要的 address 可以拉,那就到 "Policy" => "Policy Elements" => "Addresses" => "List" 中,然後在右邊頁面中左上方選擇要新增的 Zone 之後按下右上角的 New,然後設定你的 address 即可。

原文出處:Donald IT Share: SSG5三十天就上手-Day 21 SSG5 Address Groups
回覆
冷日
(冷日)		 發表時間:2012/11/7 6:28
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 22 SSG5 Destination Static Routing
SSG5三十天就上手-Day 22 SSG5 Destination Static Routing

Destination Static Routing

為了讓你的 SSG5 知道要讓封包走哪一條路,最簡單的方式,就是在 SSG5 上面設定 Destination Static Routing,讓他知道這個目的地的位址,要走哪一條路。

設定的方法如下:
請登入您 SSG5 的 web 管理介面,點選左邊的 "Network" => "Routing" => "Destination",然後在右邊頁面中右上角的 New,最簡單的方式,就是設定 Next Hop 為 Gateway 的方式,當然在 IP Address/Netmask 要設定目的地的 IP 如 192.168.1.0/24,Next Hop 挑選 Gateway,並選擇 Interface 以及設定 Gateway IP Address,如 eth0/2 與 192.168.3.1 (通常這個時候代表 192.168.3.1 這台會知道接下來怎麼走到 192.168.1.0/24)。
這樣最簡單的 Destination Static Routing 就設定完成了。

原文出處:Donald IT Share: SSG5三十天就上手-Day 22 SSG5 Destination Static Routing
回覆
冷日
(冷日)		 發表時間:2012/11/7 6:33
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 23 SSG5 Site-to-Site VPN
SSG5三十天就上手-Day 23 SSG5 Site-to-Site VPN

Virtual Private Networks (VPN)

SSG5 最主要的用途,除了一般做 NAT 跟 Routing,另外就是讓你拿來建 VPN,雖然在台灣申請點對點的線路(一般所說的 PN),在多家業者競爭下,已經比起國外便宜許多。
但是跟一般上網線路比較起來,還是貴了許多,尤其如果你的點在國外,那這個時候,就要靠 VPN 囉!
今天就跟大家介紹如何在 SSG5 上建立 Site-to-Site VPN。

在SSG5 只需要簡單三步驟:
步驟一:建立 VPN Gateway,讓你的 SSG5 知道要跟誰建 VPN。
步驟二:建立 VPN Tunnel Interface,讓你的 VPN 有一條隧道可以走。
步驟三:建立 VPN

以下步驟請先登入您 SSG5 的 web 管理介面,後進行操作,此範例假設我們兩個端點都是 Static IP Address。

建立VPN Gateway:
點選 "VPNs" => "AutoKey Advanced" => "Gateway",然後按下右上角的 New,設定 Gateway Name,設定 Static IP Address,按下 Advanced,進入進階設定頁面。
設定 Preshared Key,請注意 Preshared Key 兩個端點要設定相同,挑選 Outgoing Interface,一般就是你上網的那個 Interface。按下下 Return 回到設定頁面後,再按下 OK。

建立VPN Tunnel Interface:
點選 "Network" => "Interfaces" => "List",右上角選擇 Tunnel IF 後按下 New,設定 Tunnel Interface Name 可以挑選(1~10),設定 Zone,挑選 Unnumbered (假設我們 Tunnel Interface 不設IP),接著按下 OK。

建立VPN:
點選 "VPNs" => "AutoKey IKE",然後按下右上角的 New,設定 VPN Name,Remote Gateway 挑選 Predefined 然後選擇你在第一步驟中設定的 Gateway,按下 Advanced,進入進階設定頁面。
Bind to 請選擇 Tunnel Interface,並挑選你在第二步驟中新增的 Tunnel Interface。按下 Return 回到設定頁面後,再按下 OK。

將你的兩個端點依上列三個步驟執行後,大致上你的 VPN 就已經沒有問題,不過因為沒有封包來他平常不會先幫你建好,接著你就設定你的 Routing (SSG5 三十天就上手 - Day 22),到訴你的 SSG5 路由怎麼走,封包來時 VPN 就會幫你 UP。

原文出處:Donald IT Share: SSG5三十天就上手-Day 23 SSG5 Site-to-Site VPN
回覆
冷日
(冷日)		 發表時間:2012/11/7 6:36
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 24 SSG5 VPN Options
SSG5三十天就上手-Day 24 SSG5 VPN Options

VPN 進階選項

如果你看完Day 23,那你已經知道如何在 SSG5 設定 VPN,當然接下來你會希望,可以讓 SSG5 監控你的 VPN 狀態。

通常我會建議您可以設定下列兩個選項為enable:
VPN Monitor
Rekey

您可以再昨天的步驟三建立的時後,在 Advanced 的設定頁面中,將上列兩個選項打勾。
當您勾選了 VPN Monitor,SSG5 會幫您用 ping 來監控,此時您就可以在 VPN Monitor 的頁面中查看 VPN 的狀態。
另外當您勾選了 Rekey,SSG5 就會立即幫你送出 ICMP echo requests。
所以當您在昨天的第三步驟勾選這兩個選項後,您就會發現 VPN 設定完後馬上就會 UP

原文出處:Donald IT Share: SSG5三十天就上手-Day 24 SSG5 VPN Options
回覆
冷日
(冷日)		 發表時間:2012/11/7 6:38
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 25 SSG5 VPN Debug
SSG5三十天就上手-Day 25 SSG5 VPN Debug

Phase 1 : Retransmission limit has been reached

一般如果您按照 VPN 三步驟建好 VPN 之後,通常不會有什麼問題,不過總是會有粗心大意的時候,在這裡就分享一個案例。
一般如果 VPN 建不起來,建議都先去看看 SSG5 的 event log,看看 SSG5 告訴你發生什麼事。
此案例中,SSG5 log 寫說 Phase 1: Retransmission limit has been reached.
這邊遇到這個問題大多會想說兩端點是不是有通,曾經我就遇過,兩邊都互相 ping 的到,設定也都沒有錯,可是就是建不起來。
最後才發現,原來如果來回的路走不一樣,也會讓你建不起來。會來回走不一樣的原因是因為有一端的 SSG5 有多條線路。
解法就是調整的 Routing,確保來回路都走一樣,就可以解決這個問題。

原文出處:Donald IT Share: SSG5三十天就上手-Day 25 SSG5 VPN Debug
回覆
冷日
(冷日)		 發表時間:2012/11/7 6:40
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 26 SSG5 Interface States
SSG5三十天就上手-Day 26 SSG5 Interface States

Interface State Changes

在 SSG5的 interface 有下列四個 states:
Physically Up
--
這是當您的網路 cable 實際讓你的 SSG5 接到一個 Network Device (如 switch 或 Notebook),線路正常的狀態。

Logically Up
--
你可以在邏輯定義上,讓你 interface 設為 up,此時 traffic 才能通過你的 interface。

Physically Down
--
這是當您的網路 cable 實際讓你的 SSG5 接到一個 Network Device (如 switch 或 Notebook),線路斷線的狀態。

Logically Down
--
你可以在邏輯定義上,讓你 interface 設為 down,此時 traffic無法通過你的 interface。

原文出處:Donald IT Share: SSG5三十天就上手-Day 26 SSG5 Interface States
回覆
冷日
(冷日)		 發表時間:2012/11/7 6:42
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 27 SSG5 Open Shortest Path First
SSG5三十天就上手-Day 27 SSG5 Open Shortest Path First

OSPF

如果有很多 site,那給個 site 都可以放一台 SSG5,你會發現維護你的 routing 會是很累人的事。
尤其當你有兩條線路要手動切備援,更是累人。
此時建議您就可以 on ospf,讓 SSG5 幫你自動算 routing,要讓 SSG5 on OSPF 只要以下幾個簡步驟。

步驟一,Create OSPF Instance
步驟二,設定 Area 中的 interface
步驟三,在 Interface 中將 OSPF 設定為 enable

這樣你的 SSG5 就會啟動 OSPF。
OSPF 會依據本身的設定放出的 routing,放出讓鄰居(另外一台SSG5)學習,每一條連接都有自己的 COST,然後他會幫你算出最便宜的路,最後讓你的 Routing 走最便宜的路線。

原文出處:Donald IT Share: SSG5三十天就上手-Day 27 SSG5 Open Shortest Path First
回覆
冷日
(冷日)		 發表時間:2012/11/7 6:44
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]SSG5三十天就上手-Day 28 SSG5 OSPF - Areas
SSG5三十天就上手-Day 28 SSG5 OSPF - Areas

Areas

SSG5 預設在你啟用 ospf 的時候,會將所有的 routers 群組放入一個單獨的 “backbone” area 這個 area 叫做 area 0 (你會在你的 SSG5 中看到 area 0.0.0.0)。
不過通常如果你的架構中,是一個很大的網路,那你會把他區分為幾個小的 area。

在 SSG5 中,你可以在新增 area 時,設定你的 area type,除了 normal,另外兩種類型說明如下:
■ Stub
Stub area — 接收來自 backbone area 的 route summaries 但是不接收來自其他的 area 的 link-state。
■ Not So Stubby Area (NSSA)
像是一個 normal stub area,NSSAs 不能接收非本 area 外的 OSPF 以外的資源。

原文出處:Donald IT Share: SSG5三十天就上手-Day 28 SSG5 OSPF - Areas
回覆
« 1 2 (3) 4 »
主題一覽的下方
討論串
前一個主題 | 下一個主題 | 頁首 | | |

Powered by XOOPS 2.0 © 2001-2008 The XOOPS Project|