juniper防火牆裏面MIP、DIP、VIP是用來做地址轉換使用。但有區別
1.MIP 是一對一的地址映射,工作在第三層。
主要應用在公網ip與內網ip的一一映射,內網對互聯網提供服務。
2.DIP是動態的地址池。
通常用在擁有大量的註冊ip,但又擁有大量的非註冊ip
小多對大多。
3.VIP 是端口地址映射,面對的是隻有一個註冊的公網ip地址,有大量的內網地址需要上互聯網
主要是通過ip地址協議有65535個端口,所以理論上一個註冊的公網ip地址可以帶動60000個pc機上互聯網
eg: 10.28.1.2 80 176.99.68.5 80
10.28.1.3 123 176.99.68.5 123
有兩個內網的ip要上公網,通過一公網ip地址的不同端口達到要求 (防火牆部署模式nat結合)
MIP是靜態一對一的雙向地址映射。
VIP是地址+端口的映射,將不同地址的不同端口,映射到規定地址的規定端口。
DIP分2種一種是PAT,另一種就是用地址池中的地址映射。和CISCO 的NAT相同。
1、配置由外網到內網的VIP:
在E3端口上配置VIP,可將一個外網IP和端口號對應到一個內網IP。通過這種方法可以將WEB服務器,郵件服務器或其他服務放到內網,而從外網只看到一個公網IP,增加安全性。
1. Network > Interfaces > Edit(對於ethernet1):輸入以下內容,然後單擊Apply:
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24(當地內部網網關IP)
2. Network > Interfaces > Edit(對於ethernet3):輸入以下內容,然後單擊OK:
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24(當地電信所分配的IP地址)
VIP
3. Network > Interfaces > Edit(對於ethernet3)> VIP:輸入以下地址,然後單擊Add:
Virtual IP Address: 210.1.1.10(對外的服務器地址)
4. Network > Interfaces > Edit(對於ethernet3)> VIP > New VIP Service:輸入以下內容,然後單擊OK:
Virtual Port: 80
Map to Service: HTTP (80):(此例爲WEB服務器的配置,如果是其他的服務器,就加入其服務與對應的端口號)
Map to IP: 10.1.1.10(此爲服務器本身IP,內網IP)
策略
5. Policies > (From: Untrust, To: Global) > New:輸入以下內容,然後單擊OK:
Source Address:
Address Book:(選擇), ANY
Destination Address:
Address Book:(選擇), VIP(210.1.1.10):對外服務器地址
Service: HTTP(WEB服務器選項)
Action: Permit
juniper防火牆裏面MIP、DIP、VIP協議
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.