《Juniper维护手册》深圳发展银行
最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。 下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区,从下拉框中点选,其他选项保持不变即可。
Staitc IP选择框是设置接口的IP地址和掩码信息的,其中有一个Mangeable的选项,只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。Manage IP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。 接口模式有路由模式和NAT模式:
NAT模式:从此接口进入从其他口流出的流量源地址都会做转换,即使我们在策略中不引用转换地址池,源地址都会转换为出站的接口地址。
路由模式:除非我们在策略定义中明确引用了转换地址池,否则源地
25
《Juniper维护手册》深圳发展银行
址都不会做转换。
由于路由模式比NAT模式更灵活,所以我们一般都会用路由模式。 ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。 Service options服务选项:设置此接口是否允许被PING,WEB或TELNET等方式进行管理,默认情况下ETH1(内网口)的都是打开的,而ETH4口(外网口)的WEB和TELNET管理选项是关闭的,也就是说如果我们想从外网登陆ETH4口的IP进行管理,必须把相应的WEB或TELNET选项点中。 最后的配置框可以保持默认值。 CLI:
set interface redundent1 zone trust set interface redundent1 ip X.X.X.X/X set interface redundent1 manage telnet set interface redundent1 manage web set interface redundent1 manage ping
set interface redundent1 mode nat (trust zone 的接口都是nat mode)
7.2.3设置地址转换
Juniper防火墙的地址转换有三种方式:MIP-静态一对一地址转换;VIP-虚拟一对多地址转换;DIP-动态多对多地址转换。
由于MIP和VIP地址转换有一些规则限制,比如要转换外网发起流
26
《Juniper维护手册》深圳发展银行
量的源地址的时候,转换后的地址必须和ETH1内网口在同一个子网,否则无法配置。而DIP不受此规则的影响,同时可以完成MIP和VIP的功能,应用和设置比较灵活。 7.2.3.1配置MIP静态地址转换
配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配置:例如流量从E1口入从E4口出,192.168.1.1访问外网,我们把192168.1.1的地址转换为1.1.1.1,那么这个1.1.1.1的地址的MIP是做在出站接口,也就是E4口上的。 新建MIP静态地址映射
27
《Juniper维护手册》深圳发展银行
当使用静态MIP地址映射时,对方发起的数据流的目的地地址要注意设置为MIP后的地址。 CLI:
set interface ethernet1 mip X.X.X.X host Y.Y.Y.Y netmask 255.255.255.255 vrouter trust-vr
set policy from untrust to trust any mip(X.X.X.X) http permit 7.2.3.2设置DIP动态地址转换
28