juniper配置MIP/VIP/DIP

原創 gyj110 2019-07-12 12:59

3Juniper防火牆幾種常用功能的配置

這裏講述的Juniper防火牆的幾種常用功能主要是指基於策略的NAT的實現,包括:MIPVIPDIP,這三種常用功能主要應用於防火牆所保護服務器提供對外服務。

3.1MIP的配置

MIP一對一的雙向地址翻譯(轉換)過程。通常的情況是:當你有若干個公網IP地址,又存在若干的對外提供網絡服務的服務器(服務器使用私有IP地址),爲了實現互聯網用戶訪問這些服務器,可在Internet出口的防火牆上建立公網IP地址與服務器私有IP地址之間的一對一映射(MIP),並通過策略實現對服務器所提供服務進行訪問控制。

MIP應用的網絡拓撲圖:

注:MIP配置在防火牆的外網端口(連接Internet的端口)。

wKioL1cXZbyho9wWAAB-3WtDXso974.png

3.1.1、使用Web瀏覽器方式配置MIP

     登錄防火牆,將防火牆部署爲三層模式(NAT或路由模式);

     定義MIPNetwork=>Interface=>ethernet2=>MIP,配置實現MIP的地址映射。Mapped IP:公網IP地址,Host IP:內網服務器IP地址

wKioL1cXZcjQLDgkAAD1Kv-vLvk487.png

 

     定義策略:在POLICY中,配置由外到內的訪問控制策略,以此允許來自外部網絡對內部網絡服務器應用的訪問。

wKiom1cXZRTiQEmJAAEk0hZuz70882.png

3.1.2、使用命令行方式配置MIP

 配置接口參數

set interface ethernet1 zone trust

setinterface ethernet1 ip 10.1.1.1/24

setinterface ethernet1 nat

setinterface ethernet2 zone untrust

setinterface ethernet2 ip 1.1.1.1/24

定義MIP

setinterface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr

定義策略

setpolicy from untrust to trust any mip(1.1.1.5) http permit

save

 

3.2VIP的配置

MIP是一個公網IP地址對應一個私有IP地址,是一對一的映射關係;而VIP是一個公網IP地址的不同端口(協議端口如:21、25、110等)與內部多個私有IP地址的不同服務端口的映射關係。通常應用在只有很少的公網IP地址,卻擁有多個私有IP地址的服務器,並且,這些服務器是需要對外提供各種服務的。

wKiom1cXZR3iBALdAACEmolizUM327.png

注:VIP配置在防火牆的外網連接端口上(連接Internet的端口)。

3.2.1、使用Web瀏覽器方式配置VIP

     登錄防火牆,配置防火牆爲三層部署模式。

         添加VIPNetwork=>Interface=>ethernet8=>VIP

     添加與該VIP公網地址相關的訪問控制策略。

 


wKiom1cXZS7QR04pAACip0qMyuQ490.png

wKiom1cXZS7BzpgBAACWvcx3Om0068.png


添加與該VIP公網地址相關的訪問控制策略。

wKiom1cXZTqhqORuAADu9jdWISc756.png

使用命令行方式配置VIP

 配置接口參數

set interfaceethernet1 zone trust

setinterface ethernet1 ip 10.1.1.1/24

setinterface ethernet1 nat

setinterface ethernet3 zone untrust

setinterface ethernet3 ip 1.1.1.1/24

定義VIP

setinterface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

定義策略

set policyfrom untrust to trust any vip(1.1.1.10) http permit

save

 

注:VIP的地址可以利用防火牆設備的外網端口地址實現(限於低端設備)。

 

3.3DIP的配置

DIP的應用一般是在內網對外網的訪問方面。當防火牆內網端口部署在NAT模式下,通過防火牆由內網對外網的訪問會自動轉換爲防火牆設備的外網端口IP地址,並實現對外網(互聯網)的訪問,這種應用存在一定的侷限性。解決這種侷限性的辦法就是DIP,在內部網絡IP地址外出訪問時,動態轉換爲一個連續的公網IP地址池中的IP地址。

DIP應用的網絡拓撲圖:

 

 

0.png?responseCacheControl=max-age%3D388


 


 

 

 

3.3.1、使用Web瀏覽器方式配置DIP

      登錄防火牆設備,配置防火牆爲三層部署模式;

      定義DIP:Network=>Interface=>ethernet3=>DIP,在定義了公網IP地址的untrust端口定義IP地址池;

 

wKioL1cXZg_xqZq0AAEhT5M5N74644.png

 

 

 

 

     定義策略:定義由內到外的訪問策略,在策略的高級(ADV)部分NAT的相關內容中,啓用源地址NAT,並在下拉菜單中選擇剛剛定義好的DIP地址池,保存策略,完成配置

 

wKioL1cXZhrRDiZuAAFHhtPkluw083.png

策略配置完成之後擁有內部IP地址的網絡設備在訪問互聯網時會自動從該地址池中選擇一個公網IP地址進行NAT

wKioL1cXZifwzL-nAAD3qUNwW54918.png

 

 

使用命令行方式配置DIP

 配置接口參數

setinterface ethernet1 zone trust

setinterface ethernet1 ip 10.1.1.1/24

setinterface ethernet1 nat

setinterface ethernet3 zone untrust

setinterface ethernet3 ip 1.1.1.1/24

定義DIP

setinterface ethernet3 dip 5 1.1.1.30 1.1.1.30

定義策略

setpolicy from trust to untrust any any http nat src dip-id 5 permit

save


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SRX WEB認證功能

Ybj_314 2020-06-02 15:33:04

juniper防火牆×××的配置

tancom1015 2020-05-31 20:23:02

juniper警告級別

lvjian512 2020-05-31 04:47:27

juniper RMA壞件返還流程

傑1992 2020-05-30 22:56:09

Juniper SRX防火牆-靜態NAT(一)

wb_rambo123 2020-03-22 12:59:40

Juniper SRX防火牆-NAT(一)

wb_rambo123 2020-03-19 12:56:44

juniper防火牆基礎(一)

wb_rambo123 2020-03-16 13:00:47

SRX防火牆連通性測試,策略全放行環境

大寫的七 2019-12-25 14:51:03

關於Juniper虛擬路由器---服務器流量不從NAT出入,從指定的IP從指定的IP做流量出入

MissyouIT 2019-11-09 14:49:52

juniper交換機配置指南

leo703 2019-09-16 13:48:14

關於juniper火牆不能登錄工商網銀問題

leo703 2019-09-16 13:48:04

juniper SSG 導出導入配置

zhujinbing 2019-07-28 13:16:13

Juniper SSG5-Serial 配置

zhujinbing 2019-07-19 13:20:05

Juniper-Ospf基本配置

desktop10 2019-07-18 14:20:29

瞻博Juniper EX4200以太網交換機的光模塊解決方案

qq5c36e07e0b753 2019-06-20 13:13:27