- 1、本文档共18页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙配置vip
Netscreen 配置 VIP
writer: demonalex[at]dark2s[dot]org
NS 设备默认有三种 NAT 方式:DIP、MIP、VIP。其中:
DIP 用于针对 NAT-scr 方式的地址映射(连接发起端的 NAT 方式);
MIP 用于针对主机地址的映射;
VIP 用于针对服务的映射。
本文的主要内容是针对 VIP 的映射方式进行下面的叙述的。
实验设备:
端口配置:
ns204- get int all
box is not in pure_l2_mode
A - Active, I - Inactive, U - Up, D - Down, R - Ready
Total interface: 13
Name IP Address Zone MAC VLAN State VSD
eth1 /0 Trust 0012.1ea0.0ae0 - D -
eth2 /24 Untrust 0012.1ea0.0ae5 - U -
eth3 /0 Untrust 0012.1ea0.0ae6 - D -
eth4 /24 Trust 0012.1ea0.0ae7 - U -
vlan1 /0 VLAN 0012.1ea0.0aef 1 D -
具体操作步骤:
1)首先登陆 WEB UI,进入 Network-Interfaces 界面:
2)选定 Untrust 区域的网络接口—本例是 eth2,进入其 Basic 页面:
3)切换至 VIP 分页,在 Virtual IP Address 栏输入 VIP NAT 后的地址(注意:这个地址一定
要与你的 NAT 出口同一网段,但系统默认不支持使用与 NAT 出口同一地址,具体内容请参
照本文最后的“小技巧”部分),本例使用的是 ,按 Add 按钮添加:
4)添加完成后可以在主页面偏下方看到我们添加的 VIP 记录,设置 VIP---在主页面右上角
有一个 New VIP Service 的按钮,点击它…
5)在 Virtual IP 中选定我们刚新建好的、VIP NAT 后的地址;Virtual Port 中输入 VIP NAT
后的传输层端口;Map to Service 是我们需要映射的传输层端口(这个可以在 NetScreen 设备
的 Objects-Services-Custom 中自行定义);Map to IP 中输入我们要映射的主机 IP 地址;
Server Auto Detection 用于防火墙以 PING 的方式检测该 Map to IP 的主机是否‘存在’的功
能(作用不大…);按 OK 按钮进入下一步操作…
6)现在我们回到 VIP 的主界面后就可以观赏到一条完整的 VIP 记录了:
7)建立了 VIP 后需要定义一条策略使其生效,进入 Policies 页面,建立一条 Untrust 到 Global
的 策 略 : Source Address=Any ; Destination Address=VIP() ; Service=Any ;
Application=None;Action=Permit;(忽略其它通用的选项)…
8)建立后我们可以在 Policies 主界面看到该策略:
9)现在我们重新回到 eth2 的 VIP 界面,可以看到我们原来新建的那条 VIP 记录的 Status 了
吧??
下面提供一个我在项目实施中的具体案例:
拓扑:
cfg 配置:
set clock timezone 0
set vrouter trust-vr sharable
unset vrouter trust-vr auto-route-export
set service 20 protocol tcp src-port 0-65535 dst-port 20-20
set service 21 protocol tcp src-port 0-65535 dst-port 21-21
set service 8023 protocol tcp src-port 0-65535 dst-port 8023-8023
set service 80 protocol tcp src-port 0-65535 dst-port 80-80
set service 80 + udp src-port 0-65535 dst-port 80-80
set service 6633 protocol tcp src-port 0-65535 dst-port 6633-6633
set service 6633 + udp src-port 0-65535 dst-port 6633-6633
set service
您可能关注的文档
- 迎宾秀园.doc
- 迎宾景观街_青年大街改造规划.doc
- 迎宾礼炮在这里鸣响.doc
- 迎宾器可替换声音语音芯片方案.doc
- 输送皮带线选型计算.doc
- 运用新思想新理论设计自准直导轨磨床.doc
- 迎宾踏板系列产品.doc
- 近超临界条件下直接合成碳酸二甲酯.doc
- 运行安全工器具清册.doc
- 近代北京地毯的对外贸易.doc
- 专题06 经济体制(我国的社会主义市场经济体制)-五年(2020-2024)高考政治真题分类汇编(解析版).docx
- 专题11 世界多极化与经济全球化-5年(2020-2024)高考1年模拟政治真题分类汇编(解析版).docx
- 专题03 经济发展与社会进步-5年(2020-2024)高考1年模拟政治真题分类汇编(浙江专用)(解析版).docx
- 专题09 文化传承与文化创新-5年(2020-2024)高考1年模拟政治真题分类汇编(北京专用)(原卷版).docx
- 5年(2020-2024)高考政治真题分类汇编专题08 社会进步(我国的个人收入分配与社会保障)(原卷版).docx
- 专题07 探索世界与把握规律-5年(2020-2024)高考1年模拟政治真题分类汇编(解析版).docx
- 5年(2020-2024)高考政治真题分类汇编专题06 经济体制(我国的社会主义市场经济体制)(原卷版).docx
- 专题11 全面依法治国(治国理政的基本方式、法治中国建设、全面推进依法治国的基本要求)-五年(2020-2024)高考政治真题分类汇编(解析版).docx
- 专题17 区域联系与区域协调发展-【好题汇编】十年(2015-2024)高考地理真题分类汇编(解析版).docx
- 专题01 中国特色社会主义-5年(2020-2024)高考1年模拟政治真题分类汇编(原卷版).docx
文档评论(0)