Как я продолжаю IP интерфейса Juniper ScreenOS, когда никто не включается в него?
Я полагаю, что необходимо будет установить mynetworks_style, mynetworks, и relay_domains настройки в Постфиксном конфигурационном файле. В основном первые два управляют, какой Постфикс серверов примет почту от, и последние средства управления, к каким серверам это перешлет почту. Точные настройки зависят от того, как Вы хотите свой настроенный почтовый сервер (т.е. кто разрешен послать электронные письма через сервер), но в целом relay_domains должен быть установлен только на имена хостов самого почтового сервера (то же как mydestinations) и mynetworks_style может быть установлен на host что означает, только принимают электронные письма от самого локального хоста.
Существуют некоторые тесты, перечисленные по http://articles.slicehost.com/2008/8/7/postfix-checking-for-an-open-relay, который можно использовать для проверки, выполняет ли сервер открытое реле. (Некоторые ссылки могут быть мертвыми, но я вполне уверен по крайней мере один все еще, работы... не помнят который хотя),
Вот выборка от Постфиксной конфигурации моего сервера:
luser_relay =
mydestination = $myhostname, $mydomain, localhost, localhost.$mydomain
mynetworks = 127.0.0.1/32 [server's IP address]/32
mynetworks_style = host
myorigin = $mydomain
relay_domains = $mydestination
smtpd_helo_restrictions = permit_mynetworks,
reject_non_fqdn_hostname,
reject_invalid_hostname
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_policy_service unix:private/postgrey,
check_policy_service unix:private/policyd-spf,
reject_rbl_client sbl-xbl.spamhaus.org
Корректный ответ должен создать петлевой интерфейс. Когда ничто не включается в LAN bgroup, интерфейс идет "вниз", и все маршруты, связанные с ним, удалены из таблицы маршрутизации. Это - поведение, которое Вы хотите, на самом деле, поскольку оно помогает при использовании основанного на маршруте избыточного VPNs - это - единственный путь к устройству, чтобы знать, "что туннель снижается, и я должен теперь направить к здесь".
Хорошо, поэтому то, что Вы делаете:
- В Вашем vrouter - вероятно, доверительном стабиловольте - проверяют опцию "Проигнорировать Конфликт Подсети для Интерфейсов в Этом VRouter"
- Создайте новый петлевой 1 интерфейс
- Дайте ему последний адрес в своей LAN bgroup пространство с/32 сетевой маской. Например, если бы Ваша LAN bgroup имеет 192.168.1.0/24, обратная петля 1 была бы 192.168.1.254/32. Аналогичный для меньших сетевых пробелов.
- Удостоверьтесь свой сервер DHCP, на котором bgroup не включает адрес петлевого интерфейса в свой пул (пулы) IP.
Теперь можно управлять единицей с помощью того петлевого IP-адреса, который будет всегда оставаться достижимым; и Вы не должны были вырезать дополнительное адресное пространство, чтобы сделать это.
Обеспечение, что туннель остается, является совершенно другим беспокойством. В ScreenOS это может быть выполнено с "монитором, повторно вводят" опцию (и "оптимизированный" в придачу, если Вы хотите, с определенным целевым IP и исходным портом, если внешняя сторона не является дающей отклик на ping-запрос, и возможно с интервалом 5 вместо 1, если строки Вы переходите, жилой ISPs). Это не имеет никакого отношения к способности справиться, как бы то ни было. Это может дать Вам хороший признак и заблаговременное предупреждение отказа VPN при конфигурировании сервера, который получает журналы и отсылает уведомления штату по "VPN Вниз". Это также имеет риск создания Вашего VPNs "откидная створка", если Вы неправильно конфигурируете - то есть, если адрес, который проверяет с помощью ping-запросов Монитор, не может, на самом деле, быть проверен с помощью ping-запросов, или если интервал слишком агрессивен по качеству / задержка Вашего соединения (соединений) ISP. Это может быть обработано, например, проверение с помощью ping-запросов сказало что петлевой адрес через туннель: Вы не будете полагаться на внешний адрес, являющийся достижимым для проверки с помощью ping-запросов.
Попытайтесь создать петлевой интерфейс и подключить туннель к этому.
Если это - основанный на политике туннель VPN, и все клиенты снижаются, то не может быть достаточного 'интересного' трафика для продолжения туннеля. Может быть таймер для расширения (возможно, до бесконечности) этого тайм-аута для предотвращения этого.
Ну, не зная очень о Вашей установке (было бы хорошо знать, является ли это маршрут по сравнению с базирующейся политикой, и т.д.) необходимо иметь в виду, что ScreenOS обычно требует, чтобы трафик, направленный или переданный политикой в туннель, инициировал туннель или продолжил туннель. Так, если у Вас не будет трафика, входящего в туннель, то туннель не не ляжет спать. Это походит на Вашу проблему. Однако существует несколько параметров командной строки для тонкой настройки способа, которым ведут себя туннели. Попробуйте Главу 10 в Поваренной книге Oreilly ScreenOS или загрузке ScreenOS "Понятия и Руководство В качестве примера". Это - довольно значительный PDF, доступный с веб-сайта Juniper, но он также разбит в несколько объемов. Попытайтесь смотреть на объем 5: Виртуальные частные сети, Усовершенствованные Функции Виртуальной частной сети. Обратите определенное внимание на опцию, названную "Контроль VPN", использование "установило монитор vpn, повторно вводят", должен помочь сохранить туннель активным в различных случаях, но убедиться читать. Кроме того, если Вы хотите пойти немного дальше, Вы могли бы исследовать DPD (Обнаружение недоступных узлов) на более новых версиях кода.
-
1Туннель остается активен от содержания alives, его просто интерфейс на удаленном конце, который отключает. Действительно его просто проблема продолжения интерфейса без соединения. Этот won' t быть проблемой, когда сайты живы, просто проблема с контролем vpn устойчивость между временем, местоположение сначала установлено и когда люди на самом деле начинают использовать офис. – sclarson 18 May 2009 в 18:56
-
2Интерфейс присоединяется к единственному хосту ПК? Если так, соединение его к switchport должно решить эту проблему. – Peter 1 June 2009 в 19:06
Я не думаю, что Вы можете. Интерфейс IP является иждивенцем на физическом интерфейсе (или bgroup) из-за таблицы маршрутизации. Таким образом, если физический интерфейс снижается, маршрутизатор предполагает, что вся сеть, включая себя, недостижима.
На Вашей установке Фазы 2 для VPN (AutoKey IKE) нажмите на кнопку Advanced и затем включите (проверяют) Монитор VPN и Повторно вводят. Это откроет туннель, если ключи истекут или если соединение отбрасывает по некоторым причинам. Мы используем это для наших удаленных пользователей, которые часто выключают все подключенное оборудование. Таким образом, у нас все еще есть способность достигнуть удаленного Netscreen, даже если нет никакого трафика в VPN.
