Chinaunix

标题: netscreen会阻断路由?请指教! [打印本页]

作者: dhhb 时间: 2008-07-04 16:40
标题: netscreen会阻断路由?请指教!
我这里使用netscreen isg2000 透明模式上下连cisco 65交换机，65之间
使用ospf和eigrp协议，想问下netscreen做路由策略时是否放开6509互联网段端口互访即可
，还是需要专门设置针对动态路由协议进行放开?

作者: cheveu 时间: 2008-07-04 16:41
OSPF在ISG里有预定义。看service。
EIGRP在ISG里要自定义，ip 协议号 88。
定义策略，V1-untrust 到 V1-trust ，源和目的都是any，服务是OSPF和EIGRP。
如果V1-trust 到 V1-untrust 没有全放开，也要定义相应策略。

这样的策略最好放在第一排。

Juniper的FireWall，要是长时间连续运行（半年以上）没有重启过，容易策略失效。
解决办法有二：1、重启。2、把策略停了再应用（把勾去掉再点上）试试。

作者: ssffzz1 时间: 2008-07-04 16:51
应该是要放开的。H3C的是需要配置一下的。JUNIPPER的不清楚。

作者: wxgghaha 时间: 2008-07-04 16:56
标题: 回复 #1 dhhb 的帖子
get policy看一下，没有policy是不会通的

作者: dhhb 时间: 2008-07-04 17:02
谢谢回复。目前的情况是这样的。我把两台交换机的互联地址放开后，permit 192.122.2.0/255 any ,发现eigrp协议是可以
学习到的，但是交换机日志里看不到ospf 的neighbor的信息，只看到eigrp的neighbor被发现。由于出现故障时没有看show ospf nei,目前
没有办法测试，但是怀疑ospf被阻断了?

作者: dhhb 时间: 2008-07-04 17:04
具体是什么policy?是针对src ip和dst ip的?还是针对协议号的?

作者: ssffzz1 时间: 2008-07-04 18:02
OSPF使用的是组播224.0.0.5 224.0.0.6地址，你需要把这2个放开。OSPF用的是组播，要不就干脆吧OSPF协议放开。

作者: depthblue_xsc 时间: 2008-07-04 18:19
ospf透明下过不去的问题，几年前在某个大厂商的设备确实存在，不过人家早就解决了
检查策略吧

作者: cheveu 时间: 2008-07-06 16:06
标题: 回复 #2 cheveu 的帖子
居然被评最佳了，哈哈哈哈，头一次，庆祝一下！

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)