JUNIPER 防火牆做IP轉換時三概念:VIPMIPDIP


 

 

VIP/MIP/DIP設定比較圖如下:

 

VIP

MIP

DIP

外網

P

P

P

內網

P

P

自動抓取一組外網配對

PORT

任意設定

O

O

Policy

一組外網&PORT對應一組內網&PORT

外網對應內網

O



 

 

 

一、VIP說明與設定


 

VIP架構上圖說明:JUNIPER防火牆的外網IP/80 PORT對應電腦A-5000 PORT,電腦B-5001 PORT則對應JUNIPER 外網/81PORT,所以VIP模式為一組防火牆外網IP/PORT對應電腦A根據不同的PORT做對應

 


 

Step1:

登入畫面(預設:帳號:netscreen,密碼:netscreen)


 

Step2:

Network-點選Interface-選擇指定外網 IP –點選Edit


 

Step3:

Edit後點擊VIP


 

Step4:

點選VIP-點選Add填入外網 IP-點擊NEW VIP設定對應網址/PORT


 

Step5:

選擇設定外網與內網對應PORT

Virtial IP:選擇外網IP

Virtial Port:是外網的端口,這裡可以任意填寫只要不衝突即可

Map to Service:是對於內網服務的端口,是可以自行定義

Sever Auto Detection:不打勾則不會去檢查ping IP是否存在

                  打勾會去檢查並ping內網IP 是否存在

 


 

Step6:

點選Policy-點選Policies -點選NEW設定外網對應內網-


 

Step7:

設定目的外網IP對應內網IP& 設定對應PORT便可啟動


 

Step8:

Policy設定完成後VIP Services-Status可以看見OK表示設定完成


 


 

 

 

二、MIP說明與設定


 

MIP架構上圖說明:JUNIPER防火牆一組外網對應電腦一組內網,並不會任意更動

MIP(Mapped IP):是一個外網IP位置對應一個內網IP位置

簡單說:一個外部IP會對應一個內部IP,並不會改變


 

Step1:

登入畫面(預設:帳號:netscreen,密碼:netscreen)


 

Step2:

Network-點選Interface-選擇指定外網 IP –點選Edit


 

Step3:

填入外網與PORT點擊MIP


 

Step4:       

點選-NEW


 

Step5:

設定一組外網 IP對應一組內網 IP

Mapped IP:外網IP

Host IP:內網IP


 

Step6:

點選Policy-點選Policies -點選NEW設定外網對應內網-


 

Step7:

選擇目的外網IP並 確認對應PORT便可啟動


 

Step8:

Policy確認外網對內網設定後便完成設定

 


 

三、DIP說明與設定


 

DIP架構上圖說明:電腦內網會自動選擇一組外網IP配對來達成NAT簡單說為一對多IP轉換但需在同一網段而不是通過接口完成


 

DIP:一種為PAT,另一種就是地址映射.例如:CISCONAT相同

Step1:

登入畫面(預設:帳號:netscreen,密碼:netscreen)


 

Step2:

Network-點選Interface-選擇指定外網 IP –點選Edit


 

Step3:

點擊DIP再點擊NEW:


 

Step4:

設定ID編號與IP範圍

1.來源地址NAT,並在下拉選單中選擇剛定義好的DIP地址,保存並完成配置

2.完成之後用内部的IP地址的網络設備在連網時會自動從該地址中選擇一個外網IP地址進行NAT

3.簡單說: DIP為一對多的地址轉換。此應用是非常相似NAT,不同之處在於它是一個網路連接基礎上,而不是通過接口完成的。


 

總結:

簡易圖示說明:外網進來先到介面區之下以Policy防禦分配port的對應,接下來以3種方式轉換-

VIP:以外網對內網不同port方式對應

MIP:以外網對應內網方式對應

DIP:以內網分配出自動配接到外網成立一個NAT出去,方式跟CISCO NAT一樣

POLICY,配置由外到內,以此允許來自外部網路對內網伺服器的應用