netscreen會(huì)阻斷路由?請(qǐng)指教!

dhhb

我這里使用netscreen isg2000 透明模式上下連cisco 65交換機(jī)，65之間
使用ospf和eigrp協(xié)議，想問(wèn)下netscreen做路由策略時(shí)是否放開(kāi)6509互聯(lián)網(wǎng)段端口互訪即可
，還是需要專門(mén)設(shè)置針對(duì)動(dòng)態(tài)路由協(xié)議進(jìn)行放開(kāi)?

cheveu

OSPF在ISG里有預(yù)定義�？磗ervice。
EIGRP在ISG里要自定義，ip 協(xié)議號(hào) 88。
定義策略，V1-untrust 到 V1-trust ，源和目的都是any，服務(wù)是OSPF和EIGRP。
如果V1-trust 到 V1-untrust 沒(méi)有全放開(kāi)，也要定義相應(yīng)策略。

這樣的策略最好放在第一排。

Juniper的FireWall，要是長(zhǎng)時(shí)間連續(xù)運(yùn)行（半年以上）沒(méi)有重啟過(guò)，容易策略失效。
解決辦法有二：1、重啟。2、把策略停了再應(yīng)用（把勾去掉再點(diǎn)上）試試。

ssffzz1

應(yīng)該是要放開(kāi)的。H3C的是需要配置一下的。JUNIPPER的不清楚。

wxgghaha

get policy看一下， 沒(méi)有policy是不會(huì)通的

dhhb

謝謝回復(fù)。目前的情況是這樣的。我把兩臺(tái)交換機(jī)的互聯(lián)地址放開(kāi)后，permit 192.122.2.0/255 any ,發(fā)現(xiàn)eigrp協(xié)議是可以
學(xué)習(xí)到的，但是交換機(jī)日志里看不到ospf 的neighbor的信息，只看到eigrp的neighbor被發(fā)現(xiàn)。由于出現(xiàn)故障時(shí)沒(méi)有看show ospf nei,目前
沒(méi)有辦法測(cè)試，但是懷疑ospf被阻斷了?

dhhb

具體是什么policy?是針對(duì)src ip和dst ip的?還是針對(duì)協(xié)議號(hào)的?

ssffzz1

OSPF使用的是組播224.0.0.5 224.0.0.6地址，你需要把這2個(gè)放開(kāi)。OSPF用的是組播，要不就干脆吧OSPF協(xié)議放開(kāi)。

depthblue_xsc

ospf透明下過(guò)不去的問(wèn)題，幾年前在某個(gè)大廠商的設(shè)備確實(shí)存在，不過(guò)人家早就解決了
檢查策略吧

cheveu

居然被評(píng)最佳了，哈哈哈哈，頭一次，慶祝一下！