Juniper VIP
責編:admin |2015-02-10 16:26:59今天在客戶那邊處理防火墻故障,以前都是以路由交換機為主,基本上在項目中沒有接觸來防火墻,就是平時自己學一下,看一下文檔,好歹了解一下,真的是書到用時方恨少呀;在這里只貼出VIP的部分,方便需要參考的攻城師看一上,對于不同的GUI界面來說,有可能是平一樣的,只供簡單參考;
根據 TCP 或 UDP 片段包頭的目標端口號,虛擬 IP (VIP) 地址將在一個 IP 地址處接
收到的信息流映射到另一個地址。例如,
目標地址為 1.1.1.3:80 ( 也就是 IP 地址為 1.1.1.3,端口號為 80) 的 HTTP 封包
可能映射到地址為 10.1.1.10 的 Web 服務器。
目標地址為 1.1.1.3:21 的 FTP 封包可能映射到地址為 10.1.1.20 的 FTP 服務器。
目標地址為 1.1.1.3:25 的 SMTP 封包可能映射到地址為 10.1.1.30 的郵件服務器。
目標 IP 地址相同。目標端口號確定安全設備將信息流轉發到的主機。
wKioL1MwL76T_86mAAHn4GPEZ5k383.jpg
Untrust 區段中的接口 IP Global 區段中的 VIP 端口轉發至Trust 區段中的主機 IP
1.1.1.1/24 1.1.1.3 80 (HTTP) 10.1.1.10
1.1.1.1/24 1.1.1.3 21 (FTP) 10.1.1.20
1.1.1.1/24 1.1.1.3 25 (SMTP) 10.1.1.30
安全設備將去往 VIP 的內向信息流轉發到 VIP 指向地址上的主機。但是,當 VIP 主
機發起出站信息流時,如果先前在入口接口或應用到來自該主機信息流的策略中的
NAT-src 上配置了 NAT,則安全設備會僅將初始源 IP 地址轉換為其它地址。否則,
安全設備不會對來自 VIP 主機的信息流進行源 IP 地址轉換。
需要以下信息來定義“虛擬 IP”:
VIP 的 IP 地址必須與 Untrust 區段中的接口 ( 或某些安全設備上的接口) 在同一
子網中,甚至可以是該接口使用的地址
在某些安全設備上,Untrust 區段中的接口可以通過 DHCP 或 PPPoE 動態接收
IP 地址。如果希望在上述情況中使用 VIP,請使用 WebUI (Network >
Interfaces > Edit ( 對于 Untrust 區段中的接口) > VIP) 執行以下操作之一:
如果配置 VIP,將同一 IP 地址用作支持多個 VIP 的設備的 Untrust 區段接
口,其它“常規”VIP 將不可用。
如果配置了常規 VIP,除非先刪除常規 VIP,否則無法使用 Untrust 區段接
口創建 VIP。
處理請求的服務器的 IP 地址
希望安全設備從 VIP 轉發到主機 IP 地址的服務類型
在本例中,將接口 ethernet1 綁定到 Trust 區段,并為其分配 IP 地址 10.1.1.1/24。
將接口 ethernet3 綁定到 Untrust 區段,并為其分配 IP 地址 1.1.1.1/24。
然后,在 1.1.1.10 配置 VIP,以便將入站 HTTP 信息流轉發到地址為 10.1.1.10 的
Web 服務器,并創建一個策略,允許 Untrust 區段的信息流到達 Trust 區段中的
VIP ( 始終到達 VIP 指向地址上的主機)。
由于 VIP 與 Untrust 區段接口 (1.1.1.0/24) 在同一子網中,因此無需定義路由,以
便 Untrust 區段的信息流到達 VIP。此外,VIP 將信息流轉發到的主機不需要通訊
簿條目。所有安全區域都在 trust-vr 路由域中。
如果希望安全區段 ( 而非 Untrust 區段) 的 HTTP 信息流到達 VIP,則必須在安全
區段的路由器上設置到達 1.1.1.10 的路由,從而指向綁定到該區段的接口。例
如,假設 ethernet2 被綁定到用戶定義區段上,且配置了該區段的路由器,將目
標地址為 1.1.1.10 的信息流發送到 ethernet2。路由器將信息流發送到 ethernet2
后,安全設備中的轉發機制將 VIP 定位在 ethernet3,它將信息流映射到
10.1.1.10 并發送出 ethernet1,到達 Trust 區段。此過程與第 61 頁上的“范例:
從不同區段到達 MIP”中描述的類似。此外,還必須設置一個策略,允許 HTTP
信息流從源區段流向 Trust 區段中的 VIP。
1. 接口
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2. VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
3. 策略
set policy from untrust to trust any vip(1.1.1.10) http permit
save