0

我的帖子

个人中心

设置

  发新话题
请问下各位同志,juniper防火墙里面MIP、DIP、VIP的含义 。另外trust-vr是什么意思啊




本帖最后由 小侠唐在飞 于 2011-5-10 20:23 编辑
juniper防火墙里面MIP、DIP、VIP是用来做地址转换使用。但有区别


1.MIP 是一对一的地址映射,工作在第三层。
   主要应用在公网ip与内网ip的一一映射,内网对互联网提供服务。

2.DIP是动态的地址池。
   通常用在拥有大量的注册ip,但又拥有大量的非注册ip
小多对大多。

3.VIP 是端口地址映射,面对的是只有一个注册的公网ip地址,有大量的内网地址需要上互联网
   主要是通过ip地址协议有65535个端口,所以理论上一个注册的公网ip地址可以带动60000个pc机上互联网
eg:   10.28.1.2    80         176.99.68.5   80
         10.28.1.3    123       176.99.68.5   123
有两个内网的ip要上公网,通过一公网ip地址的不同端口达到要求 (防火墙部署模式nat结合)





MIP是静态一对一的双向地址映射。
VIP是地址+端口的映射,将不同地址的不同端口,映射到规定地址的规定端口。
DIP分2种一种是PAT,另一种就是用地址池中的地址映射。和CISCO 的NAT相同。

1、配置由外网到内网的VIP:
在E3端口上配置VIP,可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器,邮件服务器或其他服务放到内网,而从外网只看到一个公网IP,增加安全性。

1. Network > Interfaces > Edit(对于ethernet1):输入以下内容,然后单击Apply:
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24(当地内部网网关IP)

2. Network > Interfaces > Edit(对于ethernet3):输入以下内容,然后单击OK:
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24(当地电信所分配的IP地址)

VIP
3. Network > Interfaces > Edit(对于ethernet3)> VIP:输入以下地址,然后单击Add:
Virtual IP Address: 210.1.1.10(对外的服务器地址)

4. Network > Interfaces > Edit(对于ethernet3)> VIP > New VIP Service:输入以下内容,然后单击OK:
Virtual Port: 80
Map to Service: HTTP (80):(此例为WEB服务器的配置,如果是其他的服务器,就加入其服务与对应的端口号)
Map to IP: 10.1.1.10(此为服务器本身IP,内网IP)

策略
5. Policies > (From: Untrust, To: Global) > New:输入以下内容,然后单击OK:
Source Address:
Address Book:(选择), ANY
Destination Address:
Address Book:(选择), VIP(210.1.1.10):对外服务器地址
Service: HTTP(WEB服务器选项)
Action: Permit



【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
trust-vr
虚拟路由




在Juniper防火墙设备的OS中,集成了虚拟路由和策略路由功能,在一般的情况下,这两个功能都很少使用,但是,在某些特殊的环境中就需要这两个功能的应用了。
      虚拟路由在逻辑上,可以看做是一个独立的路由器,并有独立的路由列表。在Juniper防火墙的OS中,默认有两个虚拟路由:trust-vr和untrust-vr。防火墙中的各种基于流量转发的安全区(ZONE),则默认工作在trust-vr中。
      虚拟路由的功能在一些特殊的环境下,可以将一个独立的多端口防火墙,在逻辑上作为两台独立的防火墙使用(不启用虚拟系统:VSYS),则两个拥有独立路由列表的安全设备可以拥有各自独立的外网线路,并且,互相之间不受影响。
      策略路由,在Juniper的防火墙中也被称为源地址路由,该路由的作用是:对内部地址外出访问互联网或其它网络时,进行外出线路选择。
      策 略路由一般的应用环境是:在防火墙设备实现多链路接入应用并有负载分配需求时,对内部网络IP地址的外出访问互联网时进行人为指定方式的外出链路选择。策 略路由的优先级别在默认的情况下为最高,所以在使用策略路由时,如果防火墙设备还定义了基于trust-vr的DMZ区应用时,一定会受到策略路由优先的 影响,从而导致对DMZ区访问的失败。为了解决这个问题,则需要对防火墙的安全域进行调整,从而,应用到了另外一个虚拟路由:untrust-vr。
      具体的实例说明:
      某客户的网络环境描述:电信和网通的两条专线连接,内部有若干台服务器,若干台内部办公计算机。
      某客户的网络应用需求:
      1、服务器需要与内部办公网络进行隔离;
      2、内部办公网络中的计算机在访问互联网时,指定部分计算机强制使用网通线路,部分计算机强制使用电信线路。
      3、实现访问控制。
      仔细分析客户的网络环境和应用需求我们可以知道确定防火墙应用中的如下信息:
        1)防火墙设备要工作在三层的NAT/ROUTE模式下。
        2) 客户有双链路和链路负载分配的需求,则要求防火墙设备在进行配置时,要对连接两条外网线路的接口定义一个统一的untrust安全域,如此,可以实现外出 链路的自动负载分配。同时,因为需要强制指定部分内部计算机在外出时由指定链路外出,则防火墙设备中应该启用策略路由
        3)内部的服务器所在的网络需要与内部办公网络进行隔离,则防火墙的配置中,应该启用DMZ区域,使服务器所在的网络位于DMZ区域中,并在物理和逻辑上实现隔离。
        4)实现访问控制。
      由上述的应用分析中,我们客户发现,防火墙在部署的过程中应用了策略路由,而且,还有DMZ区的应用,那么,就会出现我们前面提到的,在一般情况下配置策略路由时将会出现的问题:因为策略路由的优先导致的无法访问DMZ的问题。
      如何解决这个问题呢?下面我们提供解决办法。
      我们假设客户采用的防火墙设备是Juniper SSG 550网络安全防火墙设备,该防火墙设备的基本配置是:4个千兆以太网接口,所有的安全域在默认情况下全部工作在trust-vr中,防火墙的OS版本为:5.4.0R2.0。
      首 先,我们规划四个以太网接口所连接的各自的功能网络,定义Eth1为连接内部办公网路的接口,安区域为:trust;定义Eth2为连接服务器所在网络的 接口,安区域为:DMZ;定义Eth3为连接网通线路的接口,安全域为:untrust;定义Eth4为连接电信网络的接口,安全域同 为:untrust。
      其次,修改untrust安全域所在的虚拟路由关系,将untrust由trust-vr中修改到untrust-vr中,如此配置,则保证的内部网络和外部网络在路由列表中就是独立的关系了。
      然 后,按照上述规划,将各自安全域绑定设置到防火墙的各个物理端口上,配置各个端口的IP地址;因为连接电信和网通的接口的安全域是untrust,同时, 该安全域又在untrust-vr虚拟路由中,则定义访问互联网的默认路由必须在untrust-vr中进行配置。Trust和dmz安区域则工作在 trust-vr中,此时,trust-vr和untrust-vr之间因为没有路由关系,则它们之间是无法进行数据转发的,因此,我们需要在 trust-vr中配置一条默认外出路由,路由指向:untrust-vr;
      最 后,策略路由也必须工作在确定的路由列表中,因此,在此配置中,我们需要将策略路由定义在untrust-vr路由表中,指定部分IP地址由电信线路外 出,另外部分IP由网通线路外出。如此配置可以保证,在trust-vr中,内部办公网络可以不受策略路由的影响,正常的访问dmz区的服务器资源;同 时,也可以实现内部IP地址在访问互联网时,由untrust-vr中的策略路由进行线路指定。
      总 结:在Juniper防火墙OS中,策略路由的优先级是最高的,但是,策略路由不能够影响到跨路由表的应用,所有,在此种类型的应用中,我们推荐使用了双 untrust安全域的应用和双虚拟路由的应用,并且在untrust-vr中,设置使用策略路由,实现了多链路负载分配的应用。



【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
高手就是高手。佩服就是佩服。:lol资料相当详细,我的问题已经解决了,而且还是很充分的。谢谢啦




本帖最后由 i6first 于 2011-1-19 17:17 编辑
学习了~!!



网上可以下载相关的资料,写得这么详细,难得



学习了,不错,不错。



好东西啊,好好看看,学习一下~!



恩,正在弄juniper,学习学习!!



抱着学习的态度来的



不错,好东西,学习中



真是学习到了 非常感谢:handshake



提示: 作者被禁止或删除 内容自动屏蔽
厉害啊,又学到了



学习了,公司用的防火墙都是Juniper设备。



引用:
原帖由 小侠唐在飞 于 2011-1-19 16:14 发表
juniper防火墙里面MIP、DIP、VIP是用来做地址转换使用。但有区别


1.MIP 是一对一的地址映射,工作在第三层。
   主要应用在公网ip与内网ip的一一映射,内网对互联网提供服务。

2.DIP是动态的地址池。
   通常用在拥有 ...
厉害,解释的很详细!学习了!



51CTO论坛有移动端啦!扫码下载体验就送月会员哦!
引用:
原帖由 小侠唐在飞 于 2011-1-19 16:14 发表
juniper防火墙里面MIP、DIP、VIP是用来做地址转换使用。但有区别


1.MIP 是一对一的地址映射,工作在第三层。
   主要应用在公网ip与内网ip的一一映射,内网对互联网提供服务。

2.DIP是动态的地址池。
   通常用在拥有 ...
学习中 ~



‹‹ 上一贴:SSG-350M 如何做负载 ?   |   下一贴:求助大神解决Juniper防火墙连接问题 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com