Juniper SRX防火墙ICMP-Traceroute

最新推荐文章于 2024-03-05 12:16:32 发布
最新推荐文章于 2024-03-05 12:16:32 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络技术 文章标签: juniper 网络 安全 icmp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Cli_Networks/article/details/110455255
本文介绍了如何在运行Junos OS 9.6及更高版本的SRX设备上配置允许ICMP-Traceroute的特定应用程序,以解决TTL大于1的数据包被丢弃的问题。内容包括配置UDP和ICMP Traceroute的应用示例,以及通过Wireshark抓包分析防火墙如何处理Traceroute数据包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通常可以在设备使用show junos junos-defaults 查看到系统自定义的应用参数,Junos-OS提供是的默认参数命令Hidden的,junos-defaults group包含了预定义的参数和通用的应用状态;

Junos-OS软件使用的提供的Traceroute的应用配置如下所示:

Traceroute application:

application junos-traceroute { 

application-protocol traceroute;

protocol udp;

destination-port 33435-33450;

ttl-threshold 30;

}

The traceroute application stops at the device supporting the firewall (packets with ttl > 1 will be discarded).

application junos-traceroute-ttl-1 { 

application-protocol traceroute;

protocol udp;

destination-port 33435-33450;

ttl-threshold 1;

}

以上应用配置仅支持在J-Series基于数据包设备(junos-os 9.3是最后一版本)

现在,必须配置一个特定的应用程序来显式地允许traceroute包在运行Junos OS 9.6及以后版本的SRX设备上,而不是上面提到的应用程序。

当配置以上指定 的应用协议和TTL溢出值时,将会显示以下报错:

application traceroute { 

##

## Warning: statement ignored: unsupported platform (srx210h-poe)

##
最低0.47元/天 解锁文章

200万优质内容无限畅学
Juniper防火墙ICMP-Ping
往年之事
12-01 2035
穿越Ping流量,从Router-A-10.10.10.1-----------VSRX--------------20.20.20.1-Router-B 当Router-B没有回程路由时,此时从A到Ping到B,分析防火墙上的ICMP会话, 当对端无回包时,ICMP的Timeout是60秒。 root@vSRX> show security flow session protocol icmp |refresh 1 |no-more Jul 25 07:03:10 —(refreshed at.
JNCIA-Junos( JNO-104) - Part Ⅰ
qq_44887353的博客
08-06 3637
Junos, Associate (JNCIA-Junos)
ICMP类型在juniper中的应用
05-16
junipericmp应用,设置不同的类型可以实现不同的效果。
深入理解静态路由(JUNOS)
weixin_34197488的博客
08-20 922
深入理解静态路由(JUNOS) write by flypig 拓扑如图: ①直连ping通 配置: set logical-systems r1 interfaces em0 unit 12 vlan-id 12 set logical-systems r1 interfaces em0 uni...
Juniper 命令
Jian Sun_的博客
03-05 429
show route forwarding-table [destination]:查看指定目的地的转发信息。show interface [interface-name]:查看指定接口的状态。show bgp neighbor [address]:查看指定BGP邻居的信息。show route [destination]:查看指定目的地的路由信息。show security ipsec sa:查看IPsec安全关联信息。show ospf interface:查看OSPF接口信息。
Juniper防火墙网络防***设置
weixin_34387284的博客
01-21 267
防火墙的最重要的功能是阻挡网络***,网络***的种类五花八门,防火墙能做到哪些网络防范是防火墙性能的一个重要指标。Juniper防火墙可以阻挡大多数的网络***行为,配置上也非常简单,下面就做一些简单介绍。在“Security > Screening > Screen”界面如上图所示,screen的功能设置可以根据不同德zone选择不同德配置,这是trust借...
SRX300 WAN load balance
最新发布
04-01
好的,我现在需要帮用户配置Juniper SRX300的WAN负载均衡。首先,我得回想一下Juniper设备的配置结构,通常使用JUNOS系统,配置模式是基于层次结构的,比如set interfaces、set routing-options等。用户的问题涉及...
Juniper SRX防火墙故障排查命令指导
06-30
Juniper-SRX防火墙包含低中高型号,不管是SRX100,还是SRX5800,都是基于Junos操作系统,因此在操作和配置上并无明显差别。当防火墙遇到故障时,部分型号也有些排查的命令可能不被支持,但此文档也作了一定的区分学习。 通过有效的故障排查,可以大大的缩短业务中断时间及提高自己的专业排错能力。
思科/华为/Juniper探测技术
weixin_34037173的博客
02-08 811
探测目的地址是否存活,多用于多链路出口探测使用。可用于关联路由、策略路由、防火墙双机切换等。实现高可用性,各个厂商都有相关技术,以下举例思科、华为、Juniper配置方法。 思科 ip sla 2 //SLA 编号icmp-echo 192.169.9.66 source 192.168.1.2 //探测目的地址并指定源地址timeout 10000 //超时时间10000毫秒freque...
Juniper SRX340防火墙配置
Jian Sun_的博客
05-23 2074
直接上配置,IP地址/端口根据具体需求配置。 admin@SRX340> show configuration | display set | no-more set version 15.1X49-D150.2 set system host-name SRX340 set system time-zone Asia/Shanghai set system default-address-selection set system no-redirects set system no-ping-re
juniper防火墙命令大全(中文)
A叔的杂货铺
03-06 2万+
本文纯属个人爱好进行翻译整理的,如有差错望谅解并给出改正,正在努力学习juniper防火墙相关知识,如有想一起研究探讨的朋友请加QQ 64064996  共同研究,一起进步!期待….高手进来执教~~~~~~~~~~~~~~ 群:154168237  加QQ与群的朋友请标明 IT爱好者,谢谢   #---表示翻译不一定准确 *---表示常用命令 >get ? Address
Juniper Junos pre-defined Applications and Application-Sets details
Cyber Security Memo
09-21 665
Updated Sep 21 2014 under JUNOS Software Release [12.1X44-D35.5] [emailprotected]> show configuration groups junos-defaults applications ## File Transfer Protocol#application junos-ftp { ap...
网络--juniper防火墙抓包处理故障
weixin_30340745的博客
02-08 797
抓包命令:set ffi src-ip x.x.x.x dst-ip x.x.x.xdebug flow basicget dbuf streamundebug all 转载于:https://www.cnblogs.com/luyan0102/p/8431557.html
Traceroute网络排障实用指南
探索世界,改变世界
06-05 5734
目录 一、概述 1.1 什么是Traceroute 1.2Traceroute的问题所在 二、Traceroute原理 2.1Traceroute实现原理 2.2Traceroute实现细节 2.3Traceroute延时计算 2.4 每一跳产生原理  三、Traceroute中的DNS反向解析 3.1 路由器地理位置 3.2 接口类型与带宽 3.3 路由类型与角色 3....
防火墙笔记
samtaoys的博客
10-16 2581
Juniper NetScreen/SSG Checkpoint Cisco PIX/ASA Hillstone(山石网科) H3C secpath NSForce(绿盟科技) topsec(天融信) venustech(启明星辰) 防火墙功能 UTM(统一威胁管理) 安全防护(区域防护) VPN网关(IPSEC SSL) 入侵防护 病毒过滤 技术
ICMP基础traceroute工作原理
xnasda的博客
02-17 2567
转自:添加链接描述 ** 基本概念: ** ICMP(Internet Control MessageProtocol)Internet控制报文协议。 它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。 ICMP使用IP的基本支持,就像它是一个更高级别的协议,但是,ICMP实际上是IP的一个组成部分,必须由每个IP模块实现。 ICMP出现的
juniper SRX防火墙配置详解
热门推荐
qq_22193519的博客
10-23 2万+
一、JUNOS 操作系统介绍 JUNOS 集成了路由、交换、安全性和一系列丰富的网络服务。目前 Juniper 公司的全系列路由器产品、交换机产品和 SRX 安全产品均采用统一源代码的 JUNOS 操作系统,JUNOS 是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS 采用基于 FreeBSD 内核的软件模块化操作系统,支持 CLI 命令行和 WEBUI 两种设...
juniper的一些基本命令
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
05-31 3623
1 Transit 过境 juniper设备第一次进入console口必须配置密码 2 help reference 命令显示相关配置选项的完整列表以及特定于命令语句的其他几个详细信息 3 ctrl+b 将光标向左移动一个字符 4 ctrl+a 将光标移动到命令行的开头 5 ctrl+f 将光标向右移动一个字符 6 ctrl+e 将光标移动到命令行的末尾 7 delete/backspa...
ICMP协议(ping命令,traceroute命令)
Shawei_的博客
08-19 1万+
ICMP协议 ICMP协议是一个网络层协议。 我们在建立好网络通信的时候,肯定要进行网络是否通畅。我们知道IP协议并不提供可靠的传输,无法通过IP协议来反馈我们的网络是否通畅,TCP又是传输层的协议,并不能在这里使用,所以提出了ICMP协议。专门为了测试我们网络是否通畅。 ICMP功能 1.确认IP包是否成功到达目的地址 2.通知在发送IP包过程中丢包的原因 3.ICMP也是基于IP协...
Juniper SRX防火墙上配置静态路由和异步路由时,如何结合OSPF动态路由协议确保网络流量正确转发?
10-28
参考资源链接:[SRX 防火墙:静态路由与异步路由配置详解](https://wenku.youkuaiyun.com/doc/78tbar3gs4?utm_source=wenku_answer2doc_content) 在Juniper SRX防火墙中,静态路由和异步路由的配置需要精确匹配网络安全和性能需求。结合OSPF动态路由协议,可以实现更灵活的网络流量管理。以下是一个配置示例,将指导您如何操作: 1. **配置接口**:确保所有接口已经根据网络设计正确配置,例如Inside1和Outside接口分别连接到内部网络和外部互联网。 2. **配置静态路由**:进入静态路由配置模式,并添加静态路由条目。例如,为Inside1到Outside的流量设置静态路由,指定下一跳地址: ``` set routing-options static route ***.***.***.*/24 next-hop ***.***.*.* ``` 3. **启用OSPF**:在SRX防火墙上启用OSPF动态路由协议,并宣告内部和外部网络: ``` set protocols ospf area *.*.*.* interface ge-0/0/0.0 set protocols ospf area *.*.*.* interface ge-0/0/1.0 ``` 4. **配置异步路由**:确保异步路由条件满足,如Outside接口和Sp2接口位于同一安全区域。异步路由主要用于提高网络的冗余性,以确保在部分链路故障时流量能够正确转发。 5. **配置虚拟路由器**(如果需要):为特定的网络流量创建虚拟路由器实例,以实现更加细致的流量控制和隔离。 6. **设置防火墙策略**:应用基于过滤转发的策略,如使用ACL或策略服务链来控制流量。确保策略不会与静态和动态路由配置发生冲突。 7. **验证配置**:通过运行`show route`和`run show ospf database`命令来验证路由表和OSPF数据库的正确配置。 8. **监控和测试**:使用`traceroute`工具测试从内部网络到外部网络的路径,确保数据包能够按照预期的路由正确转发。 通过上述步骤,您可以确保SRX防火墙上的静态路由、异步路由以及OSPF动态路由协议协同工作,为网络流量的正确转发提供了坚实的基础。为了深入理解这些概念和配置,建议参考《SRX 防火墙:静态路由与异步路由配置详解》一书,其中包含了详尽的步骤和案例,能够帮助您更好地掌握SRX防火墙的配置细节。 参考资源链接:[SRX 防火墙:静态路由与异步路由配置详解](https://wenku.youkuaiyun.com/doc/78tbar3gs4?utm_source=wenku_answer2doc_content)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值