dipmipvip配置.doc_第1页
dipmipvip配置.doc_第2页
dipmipvip配置.doc_第3页
dipmipvip配置.doc_第4页
dipmipvip配置.doc_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

3、Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。3.1、MIP的配置MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。MIP应用的网络拓扑图: 注:MIP配置在防火墙的外网端口(连接Internet的端口)。3.1.1、使用Web浏览器方式配置MIP 登录防火墙,将防火墙部署为三层模式(NAT或路由模式); 定义MIP:Network=Interface=ethernet2=MIP,配置实现MIP的地址映射。Mapped IP:公网IP地址,Host IP:内网服务器IP地址 定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。 3.1.2、使用命令行方式配置MIP 配置接口参数set interface ethernet1 zone trust set interface ethernet1 ip /24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip /24 定义MIP set interface ethernet2 mip host netmask 55 vrouter trust-vr 定义策略set policy from untrust to trust any mip() http permit save 3.2、VIP的配置MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。注:VIP配置在防火墙的外网连接端口上(连接Internet的端口)。3.2.1、使用Web浏览器方式配置VIP 登录防火墙,配置防火墙为三层部署模式。添加VIP:Network=Interface=ethernet8=VIP 添加与该VIP公网地址相关的访问控制策略。 添加与该VIP公网地址相关的访问控制策略。 使用命令行方式配置VIP配置接口参数set interface ethernet1 zone trust set interface ethernet1 ip /24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip /24 定义VIP set interface ethernet3 vip 0 80 http 0 定义策略set policy from untrust to trust any vip(0) http permit save 注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。3.3、DIP的配置DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。DIP应用的网络拓扑图:3.3.1、使用Web浏览器方式配置DIP 登录防火墙设备,配置防火墙为三层部署模式; 定义DIP:Network=Interface=ethernet3=DIP,在定义了公网IP地址的untrust端口定义IP地址池; 定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。使用命令行方式配置DIP 配置接口参数set interface ethernet1 zone trust set interface ethernet1 ip /24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip /24 定义DIP set interfa
人人文库> 全部分类> 应用文书 > 事务文书

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论