Juniper ScreenOS 基于策略的源地址转换实验案例-图文

JuniperScreenOSJuniperScreenOS基于基于Policy的源地址转换源地址转换((NATNAT--SRCSRC配置示例配置示例由wzknet@原创原创JuniperIDJuniperID::JPR29525JNCISJNCIS--FWVFWV/JNCIS/JNCIS/JNCIS--ERER/JNSS/JNSS/JNSS--S设备设备型号及型号及ScreenOS版本版本深圳(ISGNetScreenISG--10001000:3010(0HardwareVersion:3010(0--(04,SoftwareVersion:5.3.0SoftwareVersion:5.3.0r10.0,Type:Firewall+VPNr10.0,Type:Firewall+VPNr10.0,Type:Firewall+VPN网络拓朴如下网络拓朴如下::案例说明案例说明::1.个人PC通过ADSL拨入互联网,然后通过L2TP拨入到防火墙,实现对测试服务器(14资源访问。2.防火墙上的IPPOOL:~54在Trust区段中是不可路由的。3.在防火墙上如何配置L2TPVPN服务器请参考:NetScNetScreenISGreenISG--10001000远程远程VPN(OnlyL2TPUserUser详细配置指南详细配置指南,本文档不详述。4、本文档只是本人做的实验,以加深对基于Policy的NAT-SRC知识点的理解,正好有时间,记录之,以备忘。难免有错误,欢迎指正。只有一个IP地址DIP池(启用PATPAT的NATNAT--SRCSRC在绑定到trust区段的ethernet1/2接口上定义DIP池4,DIP池只包含单个IP地址16,且缺省启用了PAT。-------------------------------------------------------------------------------一、定义DIPDIP通过WebUI界面配置:通过CLI命令行配置:二、配置基于Policy的srcsrc--natnat通过WebUI界面配置:通过CLI命令行配置:setpolicyfrom"dialup_sz"to"Trust""Dialsetpolicyfrom"dialup_sz"to"Trust""Dial--UpVPN""14UpVPN""14/32""PING"/32""PING"natsrcdipnatsrcdip--id4tunnell2tp"l2tpvpn"logid4tunnell2tp"l2tpvpn"log三、测试测试在个人PC上通过l2tp拨号到防火墙后成功获取地址:PPPadapterl2tpvpn:Connection-specificDNSSuffix.:Description...........:WAN(PPP/SLIPInterfacePhysicalAddress.........:00-53-45-00-00-00DhcpEnabled...........:NoDefaultGateway.........:ping目的IP地址:C:\>ping14-tPinging14with32bytesofdata:Replyfrom14:bytes=32time=79msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254查看防火墙PolicyLog:只有一个IP地址DIP池(禁用PATPAT的NATNAT--SRCSRC在绑定到trust区段的ethernet1/2接口上定义DIP池4,DIP池只包含单个IP地址16,且禁用了PAT。-------------------------------------------------------------------------------一、定义DIPDIP通过WebUI界面配置:通过CLI命令行配置:setinterfaceethernet1/2dip41setinterfaceethernet1/2dip41616fix1616fix1616fix--portport二、配置基于Policy的srcsrc--natnat通过WebUI界面配置:通过CLI命令行配置:setpolicyfrom"dialup_sz"to"Trust""Dialsetpolicyfrom"dialup_sz"to"Trust""Dial--UpVPN""14/32""PING"natsrcdipnatsrcdip--id4tunnell2tp"l2tpvpn"logid4tunnell2tp"l2tpvpn"log三、测试测试在个人PC上通过l2tp拨号到防火墙后成功获取地址:PPPadapterl2tpvpn:Connection-specificDNSSuffix.:Description...........:WAN(PPP/SLIPInterfacePhysicalAddress.........:00-53-45-00-00-00DhcpEnabled...........:NoDefaultGateway.........:ping目的IP地址:C:\>ping14-tPinging14with32bytesofdata:Replyfrom14:bytes=32time=79msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254查看防火墙PolicyLog:有多个IP地址DIP池(启用PATPAT的NATNAT--SRCSRC在绑定到trust区段的ethernet1/2接口上定义DIP池4,DIP池包含从16到17IP地址范围,且缺省启用了PAT。-------------------------------------------------------------------------------一、定义DIPDIP通过WebUI界面配置:通过CLI命令行配置:二、配置基于Policy的srcsrc--natnat通过WebUI界面配置:通过CLI命令行配置:setpolicyfrom"dialup_sz"to"Trust""Dialsetpolicyfrom"dialup_sz"to"Trust""Dial--UpVPN""14/32""PING"natsrcdipnatsrcdip--id4tunnell2tp"l2tpvpn"logid4tunnell2tp"l2tpvpn"log三、测试测试在个人PC上通过l2tp拨号到防火墙后成功获取地址:PPPadapterl2tpvpn:Connection-specificDNSSuffix.:Description...........:WAN(PPP/SLIPInterfacePhysicalAddress.........:00-53-45-00-00-00DhcpEnabled...........:NoDefaultGateway.........:ping目的IP地址:C:\>ping14-tPinging14with32bytesofdata:Replyfrom14:bytes=32time=79msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254查看防火墙PolicyLog:有多个IP地址DIP池(禁用PATPAT的NATNAT--SRCSRC在绑定到trust区段的ethernet1/2接口上定义DIP池4,DIP池包含从16到17IP地址范围,且禁用了PAT。-------------------------------------------------------------------------------一、定义DIPDIP通过WebUI界面配置:通过CLI命令行配置:setinterfaceethernet1/2dip41617fixsetinterfaceethernet1/2dip41617fix--portport二、配置基于Policy的srcsrc--natnat通过WebUI界面配置:通过CLI命令行配置:setpolicysetpolicyfrom"dialup_sz"to"Trust""Dialfrom"dialup_sz"to"Trust""Dialfrom"dialup_sz"to"Trust""Dial--UpVPN""14/32""PING"natsrcdipnatsrcdip--id4tunnell2id4tunnell2tp"l2tpvpn"logtp"l2tpvpn"logtp"l2tpvpn"log三、测试测试在个人PC上通过l2tp拨号到防火墙后成功获取地址:PPPadapterl2tpvpn:Connection-specificDNSSuffix.:Description...........:WAN(PPP/SLIPInterfacePhysicalAddress.........:00-53-45-00-00-00DhcpEnabled...........:NoDefaultGateway.........:ping目的IP地址:C:\>ping14-tPinging14with32bytesofdata:Replyfrom14:bytes=32time=79msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254查看防火墙PolicyLog:无DIP池(来自出口接口IP地址地址的NATNAT--SRCSRC如果只在策略中应用NAT-src而不指定DIP池,安全设备会将源IP地址转换成出口接口的地址。在上述情况下,安全设备始终应用PAT。一、配置基于Policy的srcsrc--natnat通过WebUI界面配置:通过CLI命令行配置:setpolicyfrom"dialup_sz"to"Trust""Diasetpolicyfrom"dialup_sz"to"Trust""Diall-UpVPN""14/32""PING"natsrctunnell2tp"l2tpvpn"lognatsrctunnell2tp"l2tpvpn"log三、测试测试在个人PC上通过l2tp拨号到防火墙后成功获取地址:PPPadapterl2tpvpn:Connection-specificDNSSuffix.:Description...........:WAN(PPP/SLIPInterfacePhysicalAddress.........:00-53-45-00-00-00DhcpEnabled...........:NoDefaultGateway.........:ping目的IP地址:C:\>ping14-tPinging14with32bytesofdata:Replyfrom14:bytes=32time=79msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254查看防火墙PolicyLog:有DIP池(带有地址变换带有地址变换的NATNAT--SRCSRC可以定义一对一映射,将IP地址范围内的初始源IP地址映射成已转换源IP地址。上述映射可以确保安全设备始终将该范围内的特定源IP地址转换成DIP池内的同一已转换地址。该范围内的地址可以为任意数字。甚至还可以将一个子网映射到另一子网,但需要使用一致的一对一映射(将一个子网中的每个初始地址映射成另一子网中相应的已转换地址。执行带有地址变换的NAT-src可能有一个用途:为接收来自第一个安全设备的信息流的另一个安全设备提供较大的策略精细度。例如,站台A的设备-A管理员的政策定义如下:通过站台对站台VPN通道与站台B的设备-B进行通信时,转换其主机的源地址。如果设备-A使用无地址变换的DIP池的地址应用NAT-src,则设备-B的管理员只能为站点A发出的信息流配置通用策略。除非知道特定的已转换IP地址,否则设备-B的管理员只能为从设备-ADIP池提取的源地址范围设置入站策略。另一方面,如果设备-B的管理员(通过地址变换得知已转换源地址,则会针对来自站点A的入站信息流设置的策略,做出选择性及限制性的处理。注意,可以在策略中应用启用地址变换的DIP池(该策略应用于超出池中指定的范围之外的源地址。在上述情况下,安全设备传递策略允许的所有源地址发出的信息流,将带有地址变换的NAT-src应用于DIP池范围内的地址,但让源地址超出了DIP池范围之外的地址保持不变。如果希望安全设备对所有源地址应用NAT-src,一、定义DIPDIP通过WebUI界面配置:通过CLI命令行配置:二、配置基于Policy的srcsrc--natnat通过WebUI界面配置:通过CLI命令行配置:setpolicyfrom"dialup_sz"to"setpolicyfrom"dialup_sz"to"Trust""DialTrust""DialTrust""Dial--UpVPN""14/32""PING"natsrcdipnatsrcdip--id4tunnell2tp"l2tpvpn"logid4tunnell2tp"l2tpvpn"log三、测试测试在第一台个人PC上通过l2tp拨号到防火墙后成功获取地址:PPPadapterl2tpvpn:Connection-specificDNSSuffix.:Description...........:WAN(PPP/SLIPInterfacePhysicalAddress.........:00-53-45-00-00-00DhcpEnabled...........:NoDefaultGateway.........:ping目的IP地址:C:\>ping14-tPinging14with32bytesofdata:Replyfrom14:bytes=32time=79msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254此时查看防火墙PolicyLog:在第二台个人PC上通过l2tp拨号到防火墙后成功获取地址:PPPadapterdialtest:Connection-specificDNSSuffix.:Description...........:WAN(PPP/SLIPInterfacePhysicalAddress.........:00-53-45-00-00-00DhcpEnabled...........:NoDefaultGateway.........:ping目的IP地址:C:\>ping14-tPinging14with32bytesofdata:Replyfrom14:bytes=32time=79msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254Replyfrom14:bytes=32time=70msTTL=254此时查看防火墙PolicyLog:在第二台个人PC上通过l2tp拨号到防火墙后成功获取地址:PPPadapterdialtest:Connection-specificDNSSuffix.:Description...........:WAN(PPP/SLIPInterfacePhysicalAddress.........:00-53-45-00-00-00DhcpEnabled...........:NoDefaultGateway.........:ping目的IP地址:C:\>ping14-tPinging14with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.此时查看防火墙PolicyLog:从上面的Log可见防火墙并没有进行源地址转换,这是为什么呢?因为我们定义的DIP池只有两个IP:16和17,而之前已有两个客户端拨号上来,如下红色部分所示:netscreen_isg1000->getl2tpl2tpvpnactiveL2TPNameTunnelIdPeerAddressPortPeerHostCallsStatet_info---------------------------------------------------------------------HEX---l2tpvpn(27/281042quan1estblsh8000801bcallid(local/peer=(1/1assignedip=,user="al2tpuser",type=incoming,state=establishLoggedinat:07/02/200817:45:39l2tpvpn(21/181041btserver1estblsh80008015callid(local/peer=(1/1assignedip=,user="al2tpuser",type=incoming,state=establishLoggedinat:07/02/200817:02:07l2tpvpn(20/1081701revenco-wzk1estblsh80008014callid(local/peer=(1/1assignedip=,user="al2tpuser",type=incoming,state=establishLoggedinat:07/02/200816:36:52l2tpvpn(0/000idle80000002DIP池中的IP已经用完,没有IP可供第三个客户作一对一源地址转换了。也就是说做的是严格的一对一IP地址映射,对应关系如下:如果再来一个客户端,获取到的IP是,则不会被转换(即便此时马上断开一个先前的连接:从下面的实验我们可以现防火墙将非常死板