Netscreen VR学习

neatcat

以前总是搞不清楚Trust-VR和Untrust-VR有什么作用和区别，今天仔细看了看说明书，总于明白了。
虚拟路由虚拟路由器 (VR) 与非虚拟路由器功能相同。它拥有自己的接口和路由表。在 ScreenOS 中，NetScreen 设备支持两个虚拟路由器。从而允许 NetScreen 设备维护两个单独的路由表，并隐藏虚拟路由器彼此之间的路由信息。
例如，通常用来与不可信方进行通信的 untrust-vr 不含有任何保护区段的任何路由信息，这些信息由 trust-vr 进行维护。因此，通过从 untrust-vr 中秘密提取路由的方式，搜集不到任何内部网络信息。

上面是摘自Netscreen说明书。这句话可以这样理解，对应Netscreen可以维护两个完全独立的路由表，一个是trust-vr，一个是Untrust-vr。如果trust-vr中包括10.0.0.0/24到10.0.1.0/24的路由，而Untrust-vr中包括20.0.0.0/24到20.0.1.0/24的路由，对于10.0.0.0/16的两个网段是可以互访的，而不能到20.0.0.0/16的网段，在有允许的策略下也不行，因为trust-vr中不包含这样的路由信息，如果你希望10.0.0.0/16可以访问20.0.0.0/16网段，你就需要在trust-vr中添加到20.0.0.0/16的路由，并且在untrust-vr中添加到10.0.0.0/16的路由信息，这就叫做路由的重新分配。下面一句话摘自Netscreen说明书：
每个虚拟路由器 (VR) 都维护着一个路由表，其中含有用于其路由选择域的唯一条目。也就是说，trust-vr 中的条目与那些在 untrust-vr 中维护的条目完全不同。因为在 trust-vr 中找不到 untrust-vr 中的路由表条目，所以对于 trust-vr 路由表没有而您又想使 trust-vr 中的信息流可以访问的任何路由，在 trust-vr 路由表中必须包含一条指向 untrust-vr 的路由。（同样，对于另一方向上的信息流，需要做的事情正好相反，即从 untrust-vr 到 trust-vr。）两个虚拟路由器之间的这种联系，在术语上叫做路由重新分配。

现在应该比较清楚这项技术的理论知识了。下面我来提个问题，如果是我有一台小的Netscreen设备，她只有Trust和Untrust两个Zone，我需要怎样设定默认路由呢？0.0.0.0/0的路由是应该加在Trust-vr里还是Untrust-vr里呢？如果加在Trust-VR中，但我又没有在Untrust-Vr中指定到trust-vr中的回来路由也是可以通的，为什么？
首先来说第一个问题，如果要加默认路由的话，应该加在Trust-vr里面，网关使用的端口是Untrust，然后指定下一跳的IP，再配上相应的策略就可以通讯了，这是一般的情况。
图形配置如下：

但一定会有人问，我又没有设定回来的路由怎么会通讯呢？问的好！我们看看下面的设定，

有没有看到Untrust Zone使用的Virtual Router是什么了吗？对，她使用的是trust-vr，也就是说Trust和Untrust Zone都使用同样的路由表，所以你根本就不需要加Unturst-Vr的路由了，如果你把Untrust Zone设定为使用Untrust-vr路由，那么你就需要指定回来的路由了。
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/1200/showart_79715.html