juniper防火牆裏面MIP、DIP、VIP協議

juniper防火牆裏面MIP、DIP、VIP是用來做地址轉換使用。但有區別


1.MIP 是一對一的地址映射，工作在第三層。
   主要應用在公網ip與內網ip的一一映射，內網對互聯網提供服務。

2.DIP是動態的地址池。
   通常用在擁有大量的註冊ip，但又擁有大量的非註冊ip
小多對大多。

3.VIP 是端口地址映射，面對的是隻有一個註冊的公網ip地址，有大量的內網地址需要上互聯網
   主要是通過ip地址協議有65535個端口，所以理論上一個註冊的公網ip地址可以帶動60000個pc機上互聯網
eg:   10.28.1.2    80         176.99.68.5   80
         10.28.1.3    123       176.99.68.5   123
有兩個內網的ip要上公網，通過一公網ip地址的不同端口達到要求 （防火牆部署模式nat結合） 





MIP是靜態一對一的雙向地址映射。 
VIP是地址+端口的映射，將不同地址的不同端口，映射到規定地址的規定端口。
DIP分2種一種是PAT，另一種就是用地址池中的地址映射。和CISCO 的NAT相同。

1、配置由外網到內網的VIP：
在E3端口上配置VIP，可將一個外網IP和端口號對應到一個內網IP。通過這種方法可以將WEB服務器，郵件服務器或其他服務放到內網，而從外網只看到一個公網IP，增加安全性。

1. Network > Interfaces > Edit（對於ethernet1）：輸入以下內容，然後單擊Apply：
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24（當地內部網網關IP）

2. Network > Interfaces > Edit（對於ethernet3）：輸入以下內容，然後單擊OK：
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24（當地電信所分配的IP地址）

VIP
3. Network > Interfaces > Edit（對於ethernet3）> VIP：輸入以下地址，然後單擊Add：
Virtual IP Address: 210.1.1.10（對外的服務器地址）

4. Network > Interfaces > Edit（對於ethernet3）> VIP > New VIP Service：輸入以下內容，然後單擊OK：
Virtual Port: 80
Map to Service: HTTP (80)：（此例爲WEB服務器的配置，如果是其他的服務器，就加入其服務與對應的端口號）
Map to IP: 10.1.1.10（此爲服務器本身IP，內網IP）

策略
5. Policies > (From: Untrust, To: Global) > New：輸入以下內容，然後單擊OK：
Source Address:
Address Book:（選擇）, ANY
Destination Address:
Address Book:（選擇）, VIP(210.1.1.10)：對外服務器地址
Service: HTTP（WEB服務器選項）
Action: Permit