Upload
haduong
View
243
Download
2
Embed Size (px)
Citation preview
例
ScreenOS 5.1.0
編號 093-1372-000-TC
修訂本 B
NetScreen 概念與範
ScreenOS 參考指南
第 7 卷 : 位址轉譯
compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation.
interference to radio or television y turning the equipment off and on, the e interference by one or more of the
ing antenna.
en the equipment and receiver.
ienced radio/TV technician for help.
utlet on a circuit different from that to d.
o this product could void the user's device.
ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE
WARRANTY, CONTACT YOUR OR A COPY.
Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.
Juniper Networks, the Juniper Network logo, NetScreen, NetScreen Technologies, GigaScreen and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.
Information in this document is subject to change without notice.
No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from:
Juniper Networks, Inc.
ATTN: General Counsel
1194 N. Mathilda Ave.
Sunnyvale, CA 94089-1206
FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a pa
If this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:
• Reorient or relocate the receiv
• Increase the separation betwe
• Consult the dealer or an exper
• Connect the equipment to an owhich the receiver is connecte
Caution: Changes or modifications twarranty and authority to operate this
DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F
目錄
i
........................................33
..............................................34................................................... 36
................................................... 40位址.......................................... 41以路由器分離的位址 ................. 42................................................. 43
..............................................44地轉譯 ...................................... 45
位址 ......................................... 49地轉譯 ...................................... 49
..............................................53地轉譯 ...................................... 53
..............................................58地轉譯 ...................................... 59
st ............................................63對應的 NAT-Dst ......................... 63
與 NAT-Dst ..............................68rc 與 NAT-Dst ............................. 68
..........................................89
..............................................90................................................... 91介面上的 MIP ........................... 92到達 MIP ................................... 95到通道介面............................. 100
................................................. 101
上的 MIP ................................ 102
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
目錄前言............................................................................... iii
慣例 ........................................................................... iv
CLI 慣例........................................................................ iv
WebUI 慣例 ................................................................... v
插圖慣例 ......................................................................vii
命名慣例和字元類型 ....................................................viii
Juniper Networks NetScreen 文件 .............................. ix
第 1 章 位址轉譯............................................................1
位址轉譯簡介 ..............................................................2
來源網路位址轉譯 .........................................................2
目的地網路位址轉譯 ......................................................4
以政策為基礎的轉譯選項.............................................9
NAT-Src 與 NAT-Dst 的方向特質..................................13
第 2 章 來源網路位址轉譯............................................15
NAT-Src 簡介 .............................................................16
來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src .....................17
範例:已啟用 PAT 的 NAT-Src.................................18
來自 DIP 集區 ( 已停用 PAT) 的 NAT-Src ......................21
範例:已啟用 PAT 的 NAT-Src.................................21
來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src .................24
範例:具有位址轉移的 NAT-Src .............................25
來自出口介面 IP 位址的 NAT-Src ................................30
範例:不具有 DIP 的 NAT-Src .................................30
第 3 章 目的地網路位址轉譯
NAT-Dst 簡介 ...............NAT-Dst 的封包流動..
NAT-Dst 的路由設定..連結至一個介面的
連結至一個介面但
以介面分離的位址
NAT-Dst:一對一對應 ..範例:一對一目的
從一個位址轉譯為多個
範例:一對多目的
NAT-Dst:多對一對應 ..範例:多對一目的
NAT-Dst:多對多對應 ..範例:多對多目的
具連接埠對應的 NAT-D範例:具有連接埠
相同政策中的 NAT-Src 範例:結合 NAT-S
第 4 章 對應和虛擬 IP 位址
對應的 IP 位址 .............MIP 和 Global 區域 ..
範例:Untrust 區域
範例:從不同區域
範例:將 MIP 新增
MIP-Same-as-Untrust
範例:Untrust 介面
目錄
ii
態............................................ 121
態............................................ 121
連接埠服務的 VIP .................... 122
......................................... IX-I
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
MIP 與回傳介面 .........................................................105範例:兩個通道介面的 MIP..................................106
虛擬 IP 位址.............................................................115VIP 和 Global 區域.....................................................118
範例:設定虛擬 IP 伺服器....................................118
範例:編輯 VIP 組
範例:移除 VIP 組
範例:有自訂和多
索引 ...................................
iii
包含下列各章節,說明如何設定
及不附帶連接埠位址轉譯 (Port
,附帶及不附帶目的地連接埠位動的相關資訊。
至另一個目的地 IP 位址的對應 ( 虛擬 IP )。
2 -122 頁上的「NAT 模式」。
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
前言
第 7 卷,「位址轉譯 」重點介紹 ScreenOS 中用來執行位址轉譯的各種方法。本卷NetScreen 裝置,使其執行下列各種轉譯:
• 第 1 章,位址轉譯,各種轉譯選項的綜述,詳細資訊請見後續章節。
• 第 2 章, 來源網路位址轉譯,(NAT-src) 封包標頭中來源 IP 位址的轉譯,附帶Address Translation,PAT)。
• 第 3 章,目的地網路位址轉譯,(NAT-dst) 封包標頭中目的地 IP 位址的轉譯址對應。本節也包括有關執行 NAT-src、路由設定考量以及位址轉移時封包流
• 第 4 章,對應和虛擬 IP 位址,只依據 IP 位址的情況下,一個目的地 IP 位址( 對應 IP ),或是依據目的地 IP 位址和目的地連接埠號碼情況下的位址對應
注意 : 如需有關以介面為基礎的網路來源位址轉譯 ( 簡稱為 NAT ) 的說明,請參閱第
前言 慣例
iv
manage
)。例如:「使用 get system 指
令 令時可以使用此捷徑,但是本
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
慣例本文件包含幾種類型的慣例,分別在以下幾節中進行介紹:
• CLI 慣例
• 第 v 頁上的「WebUI 慣例」
• 第 vii 頁上的「插圖慣例」
• 第 viii 頁上的「命名慣例和字元類型」
CLI 慣例
出現指令行介面 (CLI) 指令的語法時使用以下慣例:
• 中括弧 [ ] 中的任何內容都是可選的。
• 大括弧 { } 中的任何內容都是必需的。
• 如果選項不止一個,則使用導線 ( | ) 分隔每個選項。例如,
set interface { ethernet1 | ethernet2 | ethernet3 }
意味著「設定 ethernet1、ethernet2 或 ethernet3 介面的管理選項」。
• 變數以斜體 方式出現。例如:
set admin user name password
當 CLI 指令在句子的上下文中出現時,以粗體方式出現 ( 除了始終為斜體 的變數之外令顯示 NetScreen 裝置的序號」。
注意 : 鍵入關鍵字時,只需鍵入足夠的字母就可以專屬地識別單詞。例如,要輸入指set admin user joe j12fmt54,鍵入 set adm u joe j12fmt54 就足夠了。儘管輸入指文所述的所有指令都以完整的方式提供。
前言 慣例
v
下功能表選項和連結。例如,位所示。
出現。
4
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI 慣例
貫穿本書的全部篇章,用一個 V 形符號 ( > ) 來指示在 WebUI 中瀏覽,其方法是按一址組態對話方塊的路徑顯示為 Objects > Addresses > List > New。此瀏覽序列如下
1. 在功能表欄中,按一下 Objects。會展開 Objects 功能表選項,顯示 Objects 選項的子集。
2. ( Applet 功能表 ) 將滑鼠游標暫留在 Addresses 上。
( DHTML 功能表 ) 按一下 Addresses。
會展開 Addresses 選項,顯示出 Addresses 選項的子集。
3. 按一下 List。會出現通訊錄表格。
4. 按一下 New 連結。
新位址組態對話方塊
1
2
3
前言 慣例
vi
物件和設定參數。每個任務的說方塊的路徑和要組態的設定:
注意 : 由於沒有 Comment 欄位的說明,請保持其原內容不變。
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
如要用 WebUI 執行任務,必須先瀏覽到相應的對話方塊,然後在該對話方塊中定義明集分為兩個部分:瀏覽路徑和組態詳細資訊。例如,下列說明集包含位址組態對話
Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK:
Address Name: addr_1IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.2.2.5/32Zone: Untrust
Zone: Untrust
按一下 OK。
Address Name: addr_1
IP Address Name/Domain Name:
IP/Netmask: ( 選擇 ), 10.2.2.5/32
前言 慣例
vii
含單一子網路的區域路 (LAN)
例如:10.1.1.0/24 )
際網路
上型電腦
服器
用網路裝置
例如: NAT 伺服器,存集中器 )
上型電腦
態 IP (DIP) 集區
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
插圖慣例
下列圖形構成了貫穿本書的插圖所用的基本影像集:
通用 NetScreen 裝置
安全區
安全區介面
白色 = 受保護區域介面( 例如:Trust 區段 )
黑色 = 區域外介面( 例如:Untrust 區域 )
路由器圖示
交換機圖示
虛擬路由設定網域
VPN 通道
包網
(
網
桌
伺
通
(取
通道介面
膝
動
前言 慣例
viii
、虛擬系統、VPN 通道和區域 )
) 括起,例如 set address trust
LAN ” 將變為 “local LAN”。
local LAN”不同於“local
II、 歐洲語和希伯萊語。 MBCS
元有特殊的意義,可作為包含空
Web 瀏覽器所支援的字元集。
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
命名慣例和字元類型
關於 ScreenOS 組態中定義的物件 ( 如位址、admin 使用者、auth 伺服器、IKE 閘道的名稱,ScreenOS 採用下列慣例。
• 如果名稱字串包含一個或多個空格,則整個名稱字串的兩邊必須用雙引號 ( “ “local LAN” 10.1.1.0/24。
• NetScreen 會刪除一組雙引號內文字的任何前導或結尾空格,例如,“ local
• NetScreen 將多個連續的空格處理為單個空格。
• 儘管許多 CLI 關鍵字並不區分大小寫,但名稱字串是區分大小寫的。 例如,“lan”。
ScreenOS 支援以下字元類型:
• 單位元組字元集 (SBCS) 和多位元組字元集 (MBCS)。 SBCS 的範例是 ASC( 也稱為雙位元組字元集,DBCS ) 的範例是中文、韓文和日文。
• ASCII 字元為 32 ( 十六進位 0x20 ) 到 255 (0xff),雙引號 ( “ ) 除外,這些字格的名稱字串的開始或結尾指示符。
注意 : 主控台連接只支援 SBCS。WebUI 對 SBCS 和 MBCS 都支援,取決於
前言 Juniper Networks NetScreen 文件
ix
techpubs/。
一個支援案例,或電洽
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
JUNIPER NETWORKS NETSCREEN 文件
要獲得任何 Juniper Networks NetScreen 產品的技術文件,請造訪 www.juniper.net/
如需技術支援,請使用 http://www.juniper.net/support/ 的 Case Manager 連結來開啟1-888-314-JTAC ( 美國境內 ) 或 1-408-745-9500 ( 美國境外 )。
如果在下面的內容中發現任何錯誤或遺漏,請用下面的電子郵件地址與我們連絡:
前言 Juniper Networks NetScreen 文件
x
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯1
1
ðƒ 1 Š¼
。本章說明可用的多種位址轉譯
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
位址轉譯
NetScreen 提供許多執行來源與目的地 IP 位址及來源與目的地連接埠位址轉譯的方式方法, 依據下列章節編排:
• 第 2 頁上的「位址轉譯簡介」
– 第 2 頁上的「來源網路位址轉譯」
– 第 4 頁上的「目的地網路位址轉譯」
• 第 9 頁上的「以政策為基礎的轉譯選項」
• 第 13 頁上的「NAT-Src 與 NAT-Dst 的方向特質」
第 1 章 位址轉譯 位址轉譯簡介
2
中的 IP 位址轉譯, 還可以包括包括來源連接埠號碼 )、目的地
同的位址。已轉譯的位址可以來IP 集區取得已轉譯的位址, 則其 或是持續擷取與原始來源 IP 位中的來源 IP 位址轉譯為該介面您將政策設定為套用 NAT-src, NAT2。( 本章著重以政策為基礎
22 頁上的「NAT 模式」。( 如需
頁上的「來自 DIP 集區 ( 具有位址轉st」。
T-src 參數將取代介面層級 NAT 參數。
負載
來源 IP 位址
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
位址轉譯簡介NetScreen 提供多種套用網路位址轉譯 (NAT) 的機制。NAT 的概念包括 IP 封包標頭TCP 片段或 UDP 資料電報標頭中的連接埠號碼轉譯。轉譯內容包括來源位址 ( 還可以位址 ( 還可以包括目的地連接埠號碼 ) 或已轉譯元素的組合。
來源網路位址轉譯執行來源網路位址轉譯 (NAT-src) 時, NetScreen 裝置會將原始來源 IP 位址轉譯為不自於動態 IP (DIP) 集區, 或來自 NetScreen 裝置的出口介面。若 NetScreen 裝置從 D可進行隨機或定態擷取, 也就是說 NetScreen 裝置可以隨機從 DIP 集區擷取任何位址,址相關的特定位址
1。若已轉譯的位址來自出口介面, 則 NetScreen 裝置會將所有封包的 IP 位址。您可以設定 NetScreen 裝置, 以在介面層級或政策層級套用 NAT-src。若且入口介面處於 NAT 模式, 則以政策為基礎的 NAT-src 設定將會覆寫以介面為基礎的的 NAT-src。如需以介面為基礎之 NAT-src 或是「NAT」的詳細資訊, 請參閱第 2 -1DIP 集區的詳細資訊, 請參閱第 2 -270 頁上的「DIP 集區」。)
1. 定態位址轉譯使用稱為位址轉移的技術, 稍後本章將予以說明。如需套用於 NAT-src 的位址轉移的資訊, 請參閱第 24移 ) 的 NAT-Src」。如需套用於 NAT-dst 的位址轉移的資訊, 請參閱第 68 頁上的「相同政策中的 NAT-Src 與 NAT-D
2. 當入口介面處於「路由」或 NAT 模式時, 您即可使用以政策為基礎的 NAT-src。若其處於 NAT 模式, 則政策層級 NA
SRCIP
10.1.1.5 2.2.2.2 負載
DSTIP
SRCIP
1.1.1.5 2.2.2.2
DSTIP
IP 封包
原始來源 IP 位址 已轉譯
來源 IP 位址轉譯
第 1 章 位址轉譯 位址轉譯簡介
3
埠號碼上執行 連接埠位址轉譯最多具有約 64,500 個不同連接單一 IP 位址的通訊流量的會話由於 NetScreen 裝置會將所有
creen 裝置會使用已轉譯的連接您又希望 NetScreen 裝置能將
以連接埠最大數 (65,535) 減去保留給AT ) 的 NAT-src 時, NetScreen 裝置
IP 與連接埠位址
44235 53 負載
負載
SRC連接
DST連接
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
利用以政策為基礎的 NAT-src, 您即可選擇是否讓 NetScreen 裝置在原始來源連接(PAT)。啟用 PAT 時, NetScreen 裝置即可將最多約 64,500 個不同的 IP 位址轉譯為埠號碼的單一 IP 位址3。NetScreen 裝置使用獨有的已轉譯連接埠號碼來維護進出相同狀態資訊。若是以介面為基礎的 NAT-src 或「NAT」, 連接埠位址轉譯將自動啟用。的原始 IP 位址轉譯為相同的已轉譯 IP 位址 ( 出口介面的已轉譯 IP 位址 ), 因此 NetS埠號碼來識別封包所屬的每一個會話。同樣地, 若 DIP 集區只包含一個 IP 位址, 而且NAT-src 套用至多個使用該位址的主機, 就需要 PAT 以達到相同目的。
3. 啟用 PAT 時, NetScreen 裝置會維持空閒連接埠號碼集區, 以與來自該 DIP 集區的位址一同指派。64,500 這個數值是知名連接埠的數 (1023) 所得出的結果。因此, NetScreen 裝置執行具有 DIP 集區 ( 內含一個單一 IP 位址, 且已啟用 P即可將最多約 64,500 個主機的原始 IP 位址轉譯為單一 IP 位址, 並將每一個原始連接埠號碼轉譯為專有連接埠號碼。
30777 53 負載
SRCIP
10.1.1.5 2.2.2.2
TCP 片段或 UDP 資料電報
IP 封包
原始來源 IP 與連接埠位址 已轉譯來源
DSTIP
SRC連接
DST連接
SRCIP
1.1.1.5 2.2.2.2
DSTIP
來源 IP 位址轉譯與來源連接埠位址轉譯
負載
第 1 章 位址轉譯 位址轉譯簡介
4
故障。為避免發生上述狀況, 您
策為基礎的 NAT-dst 與 VIP, 您
設定 MIP 或 VIP, NetScreen量。換句話說, 若不小心將基礎的 NAT-dst。
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
若是需特定來源連接埠號碼才能正常運作的自訂應用程式, 執行 PAT 會造成應用程式可以停用 PAT。
目的地網路位址轉譯NetScreen 提供下列三種執行目的地網路位址轉譯 (NAT-dst) 的機制:
• 基於政策的 NAT-dst
• 對應的 IP (MIP)
• 虛擬 IP (VIP)
這三個選項都會將 IP 封包標頭中的原始目的地 IP 位址轉譯為不同的位址。利用以政還可啟用連接埠對應4。
注意 : 如需 NAT-src 的詳細資訊, 請參閱第 15 頁上的「來源網路位址轉譯」。
4. 如需有關連接埠對應的資訊, 請參閱下一頁的「以政策為基礎的 NAT-Dst」及第 33 頁上的「目的地網路位址轉譯」。
注意 : NetScreen 並不支援使用結合 MIP 與 VIP 的以政策為基礎的 NAT-dst。若您已裝置會將 MIP 或 VIP 套用至任何亦套用以政策為基礎的 NAT-dst 組態的通訊流NetScreen 裝置設定為將兩者套用至相同通訊流量, 則 MIP 與 VIP 即會停用以政策為
第 1 章 位址轉譯 位址轉譯簡介
5
、將一個 IP 位址範圍轉譯為單為另一 IP 位址, 或一個 IP 位址t。連接埠對應是將原始目的地連的原始來源連接埠號碼轉譯為
目的地 IP 位址
負載
地 IP 與連接埠位址
44235 53 負載
負載
SRC連接
DST連接
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
以政策為基礎的 NAT-Dst:您可設定政策, 使其將一個目的地 IP 位址轉譯為另一位址一 IP 位址或將一個 IP 位址範圍轉譯為另一 IP 位址範圍。當單一目的地 IP 位址轉譯範圍轉譯為單一 IP 位址時, NetScreen 即可支援具有 / 不具有連接埠對應的 NAT-ds接埠號碼定態轉譯為另一特定號碼, 這與 PAT 不同;PAT 會將初始主機隨機指派NetScreen 裝置隨機指定的另一號碼。
SRCIP
1.1.1.5 2.2.2.2 負載IP 封包
原始目的地 IP 位址 已轉譯
DSTIP
SRCIP
1.1.1.5 10.3.1.6
DSTIP
不具有目的地連接埠對應的目的地 IP 位址轉譯
44235 6055 負載
SRCIP
1.1.1.5 2.2.2.2 負載
TCP 片段或
UDP 資料電報
IP 封包
原始目的地 IP 與連接埠位址 已轉譯目的
DSTIP
SRC連接
DST連接
SRCIP
1.1.1.5 10.3.1.6
DSTIP
具有目的地連接埠對應的目的地 IP 位址轉譯
第 1 章 位址轉譯 位址轉譯簡介
6
將使用者定義之原始目的地位址
地 IP 位址
負載
負載
IP 與連接埠位址
負載
4235 80 負載
SRC連接
DST連接
負載
8560 80 負載
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
當您設定政策執行 NAT-dst 以將一個位址範圍轉譯為單一位址時, NetScreen 裝置會範圍內的任何目的地 IP 位址轉譯為單一位址。您亦可啟用連接埠對應。
SRC IP
1.1.1.5 2.2.2.2 負載IP 封包
原始目的地 IP 位址 已轉譯目的
DST IP
1.1.1.5 10.3.1.6
將一個 IP 位址範圍內的目的地 IP 位址轉譯為單一 IP 位址
1.1.1.5 2.2.2.3 負載 1.1.1.5 10.3.1.6
SRC IP DST IP
44235 8000 負載
1.1.1.5 2.2.2.2 負載
TCP 片段 1
IP 封包 1
原始目的地 IP 與連接埠位址 已轉譯目的地
SRC連接
DST連接
1.1.1.5 10.3.1.6
將一個 IP 位址範圍內的目的地 IP 位址轉譯為具有目的地連接埠對應的單一 IP 位址
SRC IP DST IP SRC IP DST IP
4
28560 8000 負載
1.1.1.5 2.2.2.3 負載 1.1.1.5 10.3.1.6
2TCP 片段 2
IP 封包 2
第 1 章 位址轉譯 位址轉譯簡介
7
來將原始目的地位址範圍內的目
作。意即, 若您啟用從 zone1執行 NAT-src, 除非您特別進方向特質」。如需 NAT-dst 的
地 IP 位址
負載
負載
負載
與另一位址範圍內
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
當您針對一個位址範圍設定政策以執行 NAT-dst 時, NetScreen 裝置會利用位址轉移的地 IP 位址轉譯為另一位址範圍內的已知位址。
注意 : 您可以結合相同政策內的 NAT-src 與 NAT-dst。每個轉譯機制均獨立、單向運通往 zone2 之通訊流量的 NAT-dst, NetScreen 裝置將不會對源自 zone2 之通訊流量行設定來執行此作業。如需詳細資訊, 請參閱第 13 頁上的「NAT-Src 與 NAT-Dst 的詳細資訊, 請參閱第 33 頁上的「目的地網路位址轉譯」。
SRCIP
1.1.1.5 2.2.2.2 負載IP 封包
原始目的地 IP 位址 已轉譯目的
DSTIP
SRCIP
1.1.1.5 10.3.1.6
DSTIP
利用位址轉移轉譯目的地 IP 位址
1.1.1.5 2.2.2.3 負載
1.1.1.5 2.2.2.4 負載
1.1.1.5 10.3.1.7
1.1.1.5 10.3.1.8
針對一個 IP 位址範圍執行 NAT-dst 時, NetScreen 裝置會維護一個位址範圍內各個 IP 位址相應 IP 位址的對應。
第 1 章 位址轉譯 位址轉譯簡介
8
介面 IP 位址。另一個位址則屬將所有前往 MIP 之通訊流量中
P 位址轉譯為 MIP 位址。MIP 並
路內定義為介面的單一 IP 位址連接埠對應。不同於 MIP, VIP地 IP 位址轉譯成主機 IP 位址。結。) NetScreen 裝置不會將來
反地, 如果您已經設定了以介面置將不會對來自 VIP 主機的通訊」。
st 所提供的功能會分離向內與向服器使用 MIP, 那麼每當該伺服態, 從而使有心的攻擊者取得可通訊流量 ( 使用 NAT-src ) 時,藏伺服器的活動, 您就能夠更好中, 以政策為基礎的 NAT-src 及
該 IP 位址為動態指派時, 此功能可以
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
MIP:MIP 是一個 IP 位址與另一 IP 位址的對應。您可以將相同子網路中的位址定義為於您指定通訊流量通往的主機。MIP 的位址轉譯將雙向進行, 因此 NetScreen 裝置會的目的地 IP 位址轉譯為主機 IP 位址, 將所有發自主機 IP 位址之通訊流量中的來源 I不支援連接埠對應。如需 MIP 的詳細資訊, 請參閱第 90 頁上的「對應的 IP 位址」。
VIP:VIP 是一個 IP 位址與另一 IP 位址 ( 依據目的地連接埠號碼 ) 的對應。相同子網可代管多個服務與任意多個主機的對應, 由多個目的地連接埠號碼識別5。VIP 亦支援的位址轉譯是單向進行。NetScreen 裝置會將所有傳送至 VIP 的通訊流量中的目的(NetScreen 裝置只檢查目的地 IP 位址是否與抵達與 Untrust 區域連結之封包的 VIP 連自 VIP 主機的向外通訊流量中的原始來源 IP 位址轉譯成 VIP 位址的來源 IP 位址。相為基礎或以政策為基礎的 NAT-src, NetScreen 裝置會套用它。否則, NetScreen 裝流量執行任何 NAT-src。如需 VIP 的詳細資訊, 請參閱第 115 頁上的「虛擬 IP 位址
由於 MIP 與 VIP 的位址轉譯機制是雙向的, 因此以政策為基礎的 NAT-src 與 NAT-d外通訊流量的位址轉譯, 以提供更好的控制與安全性。例如, 若您針對某個 Web 伺器初始化向外通訊流量以取得更新資料或修補程式時, 伺服器的活動便處於暴露的狀利用的資訊。當 Web 伺服器所接收到的通訊流量 ( 使用 NAT-dst ) 多於其所初始化的您就可以利用以政策為基礎的位址轉譯方法來定義不同的位址對應。由於這樣可以隱地防護伺服器, 避免任何人為了準備實施攻擊而試圖取得資訊。在本 ScreenOS 版本NAT-dst 提供單一方法, 此方法可等同及超越以介面為基礎的 MIP 與 VIP 的功能。
5. 您可以在某些 NetScreen 裝置上將 VIP 定義為與介面 IP 位址相同。當 NetScreen 裝置僅具有一個指派的 IP 位址, 且帶來方便。
第 1 章 位址轉譯 以政策為基礎的轉譯選項
9
請注意, 您永遠可以結合相同
取自動態 IP (DIP) 集區的位址。上的「來自 DIP 集區 ( 已啟用
轉譯為取自 DIP 集區的位址。區 ( 已停用 PAT) 的 NAT-Src」。
不屬於某個實際裝置 )。
2.2.2.2:8041834
ntrust 區域
目的地
)
2.2.2.2:805030
ntrust 區域
源 目的地
)
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
以政策為基礎的轉譯選項NetScreen 提供下列方法來套用來源與目的地網路位址轉譯 (NAT-src) 與 (NAT-dst)。政策內的 NAT-src 與 NAT-dst。
來自具有 PAT 的 DIP 集區的 NAT-Src – NetScreen 裝置會將原始來源 IP 位址轉譯為NetScreen 裝置亦會套用來源連接埠位址轉譯 (PAT)。如需詳細資訊, 請參閱第 17 頁PAT ) 的 NAT-Src」。
來自不具有 PAT 的 DIP 集區的 NAT-Src – NetScreen 裝置會將原始來源 IP 位址NetScreen 裝置不會套用來源 PAT。如需詳細資訊, 請參閱第 21 頁上的「來自 DIP 集
注意 : 在本圖與後續各圖中, 「虛擬裝置」代表已轉譯來源或目的地位址 ( 若該位址
10.1.1.5:25611
Trust 區域
DIP 集區 ID 51.1.1.10 – 1.1.1.40
ethernet110.1.1.1/24
ethernet31.1.1.1/24
1.1.1.20:
U1.1.1.20
原始來源 已轉譯來源
( 虛擬裝置
10.1.1.6:35030
Trust 區域
DIP 集區 ID 51.1.1.10 – 1.1.1.40
ethernet110.1.1.1/24
ethernet31.1.1.1/24
1.1.1.25:3
1.1.1.25U
原始來源 已轉譯來
( 虛擬裝置
第 1 章 位址轉譯 以政策為基礎的轉譯選項
10
譯為取自動態 IP (Dynamic IP,套用來源連接埠位址轉譯 (Port具有位址轉移 ) 的 NAT-Src」。
介面位址。NetScreen 裝置亦會-Src」。
2.2.2.2:80611
Untrust 區域
.1.21:35030
.1.1.21
來源 目的地
2.2.2.2:80
Untrust 區域
1834
來源 目的地
( 虛擬裝置 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
來自具有位址轉移的 DIP 集區的 NAT-Src – NetScreen 裝置會將原始來源 IP 位址轉DIP) 集區的位址, 持續將每一個原始位址與特定已轉譯位址對應。NetScreen 裝置不會Address Translation, PAT)。如需詳細資訊, 請參閱第 24 頁上的「來自 DIP 集區 (
來自出口介面 IP 位址的 NAT-Src – NetScreen 裝置會將原始來源 IP 位址轉譯為出口套用來源 PAT。如需詳細資訊, 請參閱第 30 頁上的「來自出口介面 IP 位址的 NAT
10.1.1.20:25611
Trust 區域
DIP 集區 ID 51.1.1.10 – 1.1.1.40
ethernet110.1.1.1/24
1.1.1.20:25
1.1.1.20
10.1.1.21:35030 1.1
1ethernet31.1.1.1/24
10.1.1.20 一律轉譯為 1.1.1.20。10.1.1.21 一律轉譯為 1.1.1.21。
原始來源 已轉譯
( 虛擬裝置 )
10.1.1.5:25611
Trust 區域 ethernet110.1.1.1/24
1.1.1.1
ethernet31.1.1.1/24
1.1.1.1:4
原始來源 已轉譯
第 1 章 位址轉譯 以政策為基礎的轉譯選項
11
路位址轉譯 (NAT-dst) 與目的地
st, 但不會變更原始目的地連接
2.8:80
rust 區域
已轉譯目的地
.2.8:80
rust 區域
已轉譯目的地
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
轉譯為具有連接埠對應的單一 IP 位址的 NAT-Dst – NetScreen 裝置會執行目的地網連接埠對應。如需詳細資訊, 請參閱第 63 頁上的「具連接埠對應的 NAT-Dst」。
轉譯為不具有連接埠對應的單一 IP 位址的 NAT-Dst – NetScreen 裝置會執行 NAT-d埠號碼。如需詳細資訊, 請參閱第 33 頁上的「目的地網路位址轉譯」。
2.2.2.8:7777
10.2.1.1.1.5
Untrust 區域 Tethernet31.1.1.1/24
ethernet110.2.2.1/24
來源 原始目的地
( 虛擬裝置 )
2.2.2.8:80
10.21.1.1.5
Untrust 區域 Tethernet31.1.1.1/24
ethernet110.2.2.1/24
來源原始目的地
( 虛擬裝置 )
第 1 章 位址轉譯 以政策為基礎的轉譯選項
12
一個 IP 位址範圍轉譯為單一 IP另一個號碼。如需詳細資訊, 請
n 裝置會使用名為位址轉移的技移不支援連接埠對應。如需詳細
DMZ 區域
10.2.2.8:8010.2.2.8:80
已轉譯目的地
10.2.2.8:80
Trust 區域
10.2.2.9:80
已轉譯目的地
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
一個 IP 位址範圍向單一 IP 位址的 NAT-Dst – NetScreen 裝置會執行 NAT-dst, 以將位址。若您亦啟用連接埠對應, 則 NetScreen 裝置會將原始目的地連接埠號碼轉譯為參閱第 53 頁上的「NAT-Dst:多對一對應」。
IP 位址範圍之間的 NAT-Dst – 當您針對一個 IP 位址範圍套用 NAT-dst 時, NetScree術來維持指定範圍內原始目的地位址至已轉譯位址之間的常態對應。請注意, 位址轉資訊, 請參閱第 58 頁上的「NAT-Dst:多對多對應」。
Untrust 區域
1.1.1.6:40365
ethernet31.1.1.1/24
ethernet210.2.2.1/24
2.2.2.8:80
2.2.2.9:80
1.1.1.5:25611
2.2.2.8 與 2.2.2.9 一律轉譯為 10.2.2.8。
( 虛擬裝置 )來源
原始目的地
2.2.2.8:80
1.1.1.5
Untrust 區域 ethernet31.1.1.1/24
ethernet110.2.2.1/24
2.2.2.9:80
1.1.1.62.2.2.8 一律轉譯為 10.2.2.8, 2.2.2.9 一律轉譯為 10.2.2.9。
來源 原始目的地
( 虛擬裝置 )
第 1 章 位址轉譯 NAT-Src 與 NAT-Dst 的方向特質
13
流量上的應用方式。例如, 若 則 NetScreen 置會將原始目的.3.3 轉譯為 2.2.2.2。)
行路由查詢, 以決定目的地區」。
主機 B: 3.3.3.3
負載
負載
B
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
NAT-SRC 與 NAT-DST 的方向特質NAT-src 的應用方式與 NAT-dst 的不同。您依據政策中所指定的方向來決定其在通訊NetScreen 裝置套用需利用 NAT-dst 將通訊流量從主機 A 傳送至虛擬主機 B 的政策,地 IP 位址從 2.2.2.2 轉譯為 3.3.3.3。( 它亦會將相應通訊流量中的來源 IP 位址從 3.3
注意 : 您必須將路由設定為 2.2.2.2/32 ( 虛擬主機 B ), 如此 NetScreen 裝置才能進域。如需 NAT-dst 路由問題的詳細資訊, 請參閱第 40 頁上的「NAT-Dst 的路由設定
主機 A : 1.1.1.1
虛擬主機 B 2.2.2.2
SRC1.1.1.1 負載
DST2.2.2.2
SRC1.1.1.1
DST3.3.3.3
SRC3.3.3.3
DST1.1.1.1
SRC2.2.2.2 負載
DST1.1.1.1
set policy from “zone A” to “zone B” “host A” “virtual host B” any nat dst ip 3.3.3.3 permitset vrouter trust-vr route 2.2.2.2/32 interface ethernet1
區域 A 區域
ethernet31.1.1.10/24
ethernet13.3.3.10/24
NetScreen 裝置會將目的地 IP 位址從 2.2.2.2 轉譯為 3.3.3.3。並將 IP 與連接埠位址資訊儲存在其會話表中。
NetScreen 裝置會將封包中的 IP 與連接埠
資訊與其會話表中所儲存的資訊配對。然後再將來源 IP 位址從 3.3.3.3 轉譯為 2.2.2.2。
第 1 章 位址轉譯 NAT-Src 與 NAT-Dst 的方向特質
14
化通往主機 A 的通訊流量, 而不址。若要讓 NetScreen 裝置在主政策: 從主機 B 至指定 NAT-src」。)
定連接埠號碼, 則每一次只有一個主機 PAT。
主機 B: 3.3.3.3
負載
負載
B
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
然而, 若您僅建立上述政策 ( 指定從主機 A 至主機 B 的 NAT-dst ), 則若主機 B 初始對來自主機 A 的通訊流量做出回應, 那麼 NetScreen 裝置將不會轉譯原始來源 IP 位機 B 初始化前往主機 A 的通訊流量時轉譯主機 B 的來源 IP 位址, 您必須設定第二個的主機 A6。( 此做法與 MIP 上的做法有所不同。請參閱第 90 頁上的「對應的 IP 位址
6. 為了將注意力放在 IP 位址轉譯機制上, 將不顯示連接埠位址轉譯 (PAT)。若您針對含有單一 IP 位址的 DIP 集區指定固能夠使用該集區。上述政策僅將「主機 B」指定為來源位址。若「主機 B」是使用 DIP 集區 7 的唯一主機, 則無需啟用
主機 A: 1.1.1.1
DIP 集區 71.1.1.3 – 1.1.1.3
SRC1.1.1.3 負載
DST1.1.1.1
SRC3.3.3.3
DST 1.1.1.1
SRC1.1.1.1
DST3.3.3.3
SRC1.1.1.1 負載
DST1.1.1.3
set interface ethernet1 dip-id 7 1.1.1.3 1.1.1.3set policy from “zone B” to “zone A” “host B” “host A” any nat src dip-id 7 permit
區域 A 區域
ethernet31.1.1.10/24
ethernet13.3.3.10/24
NetScreen 裝置會將來源 IP 位址從 3.3.3.3 轉譯為 1.1.1.3。並將 IP 與連接埠位址資訊儲存在其會話表中。
NetScreen 裝置會將封包中的 IP 與連接埠資
訊與其會話表中所儲存的資訊配對。隨後會將目的地 IP 位址從 1.1.1.3 轉譯為 3.3.3.3。
2
15
ðƒ 2 Š¼
的方式。本章說明可用的多種位
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
來源網路位址轉譯NetScreen 提供許多執行來源網路位址轉譯 ( NAT-src) 及來源連接埠位址轉譯 (PAT)址轉譯方法, 依據下列章節編排:
• 第 7 -16 頁上的「NAT-Src 簡介」
• 第 7 -17 頁上的「來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src」
• 第 7 -21 頁上的「來自 DIP 集區 ( 已停用 PAT) 的 NAT-Src」
• 第 7 -24 頁上的「來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src」
• 第 7 -30 頁上的「來自出口介面 IP 位址的 NAT-Src」
第 2 章 來源網路位址轉譯 NAT-Src 簡介
16
如, 當具有私人 IP 位址的主機譯為公開位址1。此外, 若經由
en 裝置必須將來源與目的地 IP
譯 (NAT-src) 時從中提取位址。集區提取位址。
同時支援約 64,500 個主機2。雖埠號碼各不相同。藉由維持會話即可追蹤各封包的所屬會話, 及
譯為目的地區域中出口介面的來
的 IP 位址範圍 (範圍必須夠大,creen 裝置會針對所有同時執行creen 裝置就必須針對不同的同上的「相黏 DIP 位址」 )。
介面。若您想要使用具有目的細資訊, 請參閱第 2 -274 頁
以連接埠最大數 (65,535) 減去保留給
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
NAT-SRC 簡介有時候 NetScreen 裝置必須將 IP 封包標頭中的原始來源 IP 位址轉譯為另一位址。例初始化通往公開位址空間的通訊流量時, NetScreen 裝置就必須將私人來源 IP 位址轉VPN 將通訊流量從私人位址空間傳送至使用相同位址的站台, 則通道兩端的 NetScre位址轉譯為互為中性的位址。
動態 IP (DIP) 位址集區為 NetScreen 裝置提供位址資源, 供其在執行來源網路位址轉若政策需使用 NAT-src 並參考特定 DIP 集區, 則 NetScreen 裝置會在執行轉譯時從該
DIP 集區的大小可如同單一 IP 位址, 若您啟用連接埠位址轉譯 (PAT) 的話, 最多可然所有從該集區接收新來源 IP 位址的封包均會取得相同位址, 但它們所取得的連接表項目 ( 將來源位址及連接埠號碼與已轉譯位址及連接埠號碼配對 ), NetScreen 裝置各封包的所屬主機。
若您使用 NAT-src, 但未在政策中指定 DIP 集區, 則 NetScreen 裝置會將來源位址轉源位址。在這種情況下即需使用 PAT, 且 PAT 將會自動啟用。
若應用程式必須讓特定來源連接埠號碼保持固定, 則您必須停用 PAT 並定義 DIP 集區足以讓同時活動中的每個主機接收不同的已轉譯位址 )。若是固定連接埠 DIP, NetS的會話將已轉譯來源位址指派至相同主機。反之, 若 DIP 集區已啟用 PAT, 則 NetS時執行會話指派單一主機不同位址 — 除非您將 DIP 定義為相黏 ( 請參閱第 2 -273 頁
1. 如需公開和私人 IP 位址的資訊, 請參閱第 2 -64 頁上的 「公開 IP 位址」和第 2 -65 頁上的 「私人 IP 位址」。
注意 : DIP 集區必須使用相同子網路內的位址作為政策中參考的目的地區域中的預設地區域介面子網路外位址的 DIP 集區, 您就必須在擴展介面上定義 DIP 集區。如需詳上的「擴展介面和 DIP」。
2. 啟用 PAT 時, NetScreen 裝置亦會維持空閒連接埠號碼集區, 以與來自 DIP 集區的位址一同指派。64,500 這個約數是知名連接埠的數 (1023) 所得出的結果。
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src
17
轉譯 IP 位址與連接埠號碼, 並 相關的元素 ):
遠端 Web 伺服器2.2.2.2:80
T PT PROTO80 HTTP
T PT PROTO834 HTTP
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-SRC套用具有連接埠位址轉譯 (PAT) 的來源網路位址轉譯 (NAT-src) 時, NetScreen 裝置會執行狀態檢查, 如下圖所示 ( 請注意, 只會顯示 IP 封包與 TCP 片段標頭中與 NAT-src
DIP 集區 ID 51.1.1.30 – 1.1.1.30
( 已啟用 PAT )本機主機
10.1.1.5:25611
NetScreenethernet1 10.1.1.1/24ethernet3 1.1.1.1/24
SRC IP DST IP SRC PT DST PT PROTO10.1.1.5 2.2.2.2 25611 80 HTTP
NetScreen 裝置會將來源 IP 位址從 10.1.1.5 轉譯為 1.1.1.30, 將來源連接埠從 25611 轉譯為 41834, 並將 IP 與連接埠位址資訊儲存在其會話表中。
SRC IP DST IP SRC PT DS1.1.1.30 2.2.2.2 41834
SRC IP DST IP SRC PT DS2.2.2.2 1.1.1.30 80 41
NetScreen 裝置會將封包中的 IP 與連接埠資訊與其會話表中所儲存的資訊配對。然後將目的地 IP 位址從 1.1.1.30 轉譯為 10.1.1.5, 將目的地連接埠從 41834 轉譯為 25611。
SRC IP DST IP SRC PT DST PT PROTO2.2.2.2 10.1.1.5 80 25611 HTTP
Trust 區域 Untrust 區域
set policy from trust to untrust any any http nat src dip-id 5 permit
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src
18
DIP 集區包括單一 IP 位址 —列工作:
獨有號碼
至 Untrust 區域
LI 指令末端, 或清除 WebUI 中 DIP 組 Interfaces > Edit ( 針對 ethernet3 ) >
2.2.2.2:80
P SRC PT DST PT PROTO2 41834 80 HTTP
0:41834
0ntrust 區域
源 目的地
)
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
範例:已啟用 PAT 的 NAT-Src在本範例中, 定義 ethernet3 上的 DIP 集區 5, 即連結到 Untrust 區域的介面。1.1.1.30— 且已啟用 PAT ( 預設值 )3。而後您設定政策, 指示 NetScreen 裝置執行下
• 允許來自 Trust 區域任何位址至 Untrust 區域任何位址的 HTTP 通訊流量
• 將 IP 封包標頭中的來源 IP 位址轉譯為 1.1.1.30 ( DIP 集區 5 中的唯一項目 )
• 將 TCP 片段標頭或 UDP 資料電報標頭中的原始來源連接埠號碼轉譯為新的、
• 將具有已轉譯來源 IP 位址和連接埠號碼的 HTTP 通訊流量從 ethernet3 傳出
3. 定義 DIP 連接埠集區時, NetScreen 裝置即會依預設啟用 PAT。若要停用 PAT, 您必須將關鍵字固定連接埠新增至 C態頁面上的 Port Translation 選項。例如, set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 fix-port, 或是 Network >DIP: ID:5; Start: 1.1.1.30; End: 1.1.1.30; Port Translation: ( 清除 )。
10.1.1.5:25611
Trust 區域
DIP 集區 ID 51.1.1.30 – 1.1.1.30
ethernet110.1.1.1/24
ethernet31.1.1.1/24
SRC IP DST IP SRC PT DST PT PROTO10.1.1.5 2.2.2.2 25611 80 HTTP
SRC IP DST I1.1.1.30 2.2.2.
來源網路位址轉譯 (Network Address Translation, NAT-src)( 將來源 IP 位址轉譯為僅具有一個位址的 DIP 集區 —1.1.1.30。PAT 已啟用。)
1.1.1.3
1.1.1.3U
1.1.1.30
原始來源 已轉譯來
( 虛擬裝置
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src
19
Apply:
OK:
, 然後按一下 OK:
0
econdary IPs: ( 選擇 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容, 然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
選擇下面的內容, 然後按一下 OK:Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. DIP
Network > Interfaces > Edit ( 對於 ethernet3 ) > DIP > New: 輸入下面的內容
ID: 5
IP Address Range: ( 選擇 ), 1.1.1.30 ~ 1.1.1.3
Port Translation: ( 選擇 )
In the same subnet as the interface IP or its s
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src
20
:
eturn 以設定進階選項並返回基
.1.30)/X-late
p-id 5 permit
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
3. 政策
Policies > (From: Trust, To: Untrust) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), AnyDestination Address:
Address Book Entry: ( 選擇 ), AnyService: HTTP
Action: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Source Translation: ( 選擇 )(DIP on): 5 (1.1.1.30 - 1.1
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.30
3. 政策
set policy from trust to untrust any any http nat src disave
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 已停用 PAT) 的 NAT-Src
21
行連接埠位址轉譯 (PAT) 時, 即碼 )。可能目標主機需要來源 IP策, 指示 NetScreen 裝置執行
集區包括一個 IP 位址範圍, 自列工作:
至 Untrust 區域中的任何位址4 )
傳出至 Untrust 區域
Apply :
因此您必須停用 DIP 集區 6 的 PAT。
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
來自 DIP 集區 ( 已停用 PAT) 的 NAT-SRC
當您想要針對 IP 位址執行來源網路位址轉譯 (NAT-src), 而不針對來源連接埠號碼進需使用此功能。可能自訂應用程式需要某項特定值 ( 來源連接埠位址必須為某特定號位址與連接埠位址為某些特定號碼, 專門用來識別主機。在這種情況下, 您可以定義政不進行 PAT 的 NAT-src。
範例:已啟用 PAT 的 NAT-Src在本範例中, 定義 ethernet3 上的 DIP 集區 6, 即連結到 Untrust 區域的介面。DIP1.1.1.50 至 1.1.1.150。您停用 PAT。而後您設定政策, 指示 NetScreen 裝置執行下
• 允許名為「e-stock」的使用者定義服務通訊流量 ( 自 Trust 區域中的任何位址
• 將 IP 封包標頭內的來源 IP 位址轉譯為 DIP 集區 6 內任何可用的位址
• 保持 TCP 片段標頭或 UDP 資料電報標頭內的原始來源連接埠號碼
• 將具有已轉譯來源 IP 位址和原始連接埠號碼的 e-stock 通訊流量從 ethernet3
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容, 然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )IP Address/Netmask: 10.1.1.1/24
選擇下面的內容, 然後按一下 OK:Interface Mode: NAT
4. 假設您先前已定義了使用者定義的服務「e-stock」。此虛構服務要求所有 e-stock 異動均需發自特定來源連接埠號碼。
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 已停用 PAT) 的 NAT-Src
22
OK:
, 然後按一下 OK:
50
econdary IPs: ( 選擇 )
:
eturn 以設定進階選項並返回基
0 - 1.1.1.150)
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. DIP
Network > Interfaces > Edit ( 對於 ethernet3 ) > DIP > New: 輸入下面的內容
ID: 6
IP Address Range: ( 選擇 ), 1.1.1.50 ~ 1.1.1.1
Port Translation: ( 清除 )
In the same subnet as the interface IP or its s
3. 政策
Policies > (From: Trust, To: Untrust) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), Any
Service: e-stock
Action: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Source Translation: ( 選擇 )
DIP on: ( 選擇 ), 6 (1.1.1.5
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 已停用 PAT) 的 NAT-Src
23
t
dip-id 6 permit
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. DIPset interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-por
3. 政策
set policy from trust to untrust any any e-stock nat srcsave
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src
24
源 IP 位址。這樣的對應可確保位址。該範圍內的位址數不定。譯位址的一致一對一對應 )。
een 裝置之通訊流量的另一個政策如下: 經由站台對站台 VPN所套用的 NAT-src 使用來自 DIP A 之通訊流量有關的一般政策。
en-A DIP 集區之來源位址範圍設移之故 ), 那麼 NetScreen-B 管
性的處置。
所指定之範圍外的來源位址 )。流量通過, 將具有位址轉移的望 NetScreen 裝置將 NAT-src
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-SRC
您可以定義一個一對一的對應, 自原始來源 IP 位址至某一 IP 位址範圍的已轉譯來NetScreen 裝置一律將該範圍內的特定來源 IP 位址轉譯為 DIP 集區內的相同已轉譯您甚至可以將子網路對應至另一子網路 ( 子網路內各個原始位址至另一子網路內已轉
執行具有位址轉移之 NAT-src 的另一個可能用途是: 讓接收來自第一個 NetScrNetScreen 裝置具有更好的政策精細度。例如, 站台 A 的 NetScreen-A 管理員定義的通道與站台 B 的 NetScreen-B 進行通訊時, 轉譯其主機的來源位址。若 NetScreen-A 集區 ( 不具有位址轉移 ) 的位址, 則 NetScreen-B 管理員可以只設定與所允許來自站台除非 NetScreen-B 管理員知道特定的已轉譯 IP 位址, 否則他只能針對提取自 NetScre定向內政策。另一方面, 若 NetScreen-B 管理員知道已轉譯來源位址是什麼 ( 因位址轉理員就能夠針對其所設定之來自站台 A 的向內通訊流量政策, 做出更具選擇性及限制
請注意, 您可以在政策中使用已啟用位址轉移的 DIP 集區 ( 此政策套用於超出集區中在這樣的情況下, NetScreen 裝置會讓來自政策中所允許之所有來源位址的通訊NAT-src 套用至 DIP 集區範圍內的位址, 但讓 DIP 集區範圍外的位址保持不變。若您希套用至所有來源位址, 請確保來源位址範圍大小小於或等於 DIP 集區範圍。
注意 : NetScreen 裝置不支援具有位址轉移的來源連接埠位址轉譯 (PAT)。
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src
25
望將 10.1.1.11 與 10.1.1.15 之轉譯位址之間的關係保持不變:
。這些主機的位址是 10.1.1.11、設定如下: 參考您套用 NAT-src員初始化通往 Untrust 區域之位 位址 ( 如 10.1.1.13 ) 至相同已
至 Untrust 區域
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
範例:具有位址轉移的 NAT-Src
在本範例中, 定義 ethernet3 上的 DIP 集區 10, 即連結到 Untrust 區域的介面。您希間的五個位址轉譯為 1.1.1.101 與 1.1.1.105 之間的五個位址, 且您希望各個原始與已
您定義 Trust 區域內五個主機的位址, 並將它們新增至名為「group1」的位址群組中10.1.1.12、10.1.1.13、10.1.1.14 及 10.1.1.15。您對自 Trust 區域至 Untrust 區域的政策( 具有 DIP 集區 10 ) 之政策的位址群組。此政策指示 NetScreen 裝置在 group1 的成址的 HTTP 通訊流量時, 執行 NAT-src。此外, NetScreen 裝置一律執行來自特定 IP轉譯 IP 位址 (1.1.1.103) 的 NAT-src。
而後您設定政策, 指示 NetScreen 裝置執行下列工作:
• 允許來自 Trust 區域 group1 至 Untrust 區域任何位址的 HTTP 通訊流量
• 將 IP 封包標頭內的來源 IP 位址轉譯為 DIP 集區 10 內的相應位址
• 將具有已轉譯來源 IP 位址和連接埠號碼的 HTTP 通訊流量從 ethernet3 傳出
原始來源 IP 位址 已轉譯來源 IP 位址
10.1.1.11 1.1.1.101
10.1.1.12 1.1.1.102
10.1.1.13 1.1.1.103
10.1.1.14 1.1.1.104
10.1.1.15 1.1.1.105
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src
26
Apply :
OK:
, 然後按一下 OK:
擇 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容, 然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
選擇下面的內容, 然後按一下 OK:Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. DIP
Network > Interfaces > Edit ( 對於 ethernet3 ) > DIP > New: 輸入下面的內容
ID: 10
IP Shift: ( 選擇 )
From: 10.1.1.11
To: 1.1.1.101 ~ 1.1.1.105
與介面 IP 或其次要 IP 在相同的子網路中 : ( 選
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src
27
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯3. 位址
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: host1
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.1.1.11/32
Zone: Trust
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: host2
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.1.1.12/32
Zone: Trust
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: host3
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.1.1.13/32
Zone: Trust
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: host4
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.1.1.14/32
Zone: Trust
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src
28
稱, 移動下列位址, 然後按一
lable Members 欄中移動到
lable Members 欄中移動到
lable Members 欄中移動到
lable Members 欄中移動到
lable Members 欄中移動到
:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: host5
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.1.1.15/32
Zone: Trust
Objects > Addresses > Groups > ( 對於 Zone: Trust ) New: 輸入下面的群組名下 OK:
Group Name: group1
選擇 host1, 然後使用 << 按鈕將位址從 AvaiGroup Members 欄中。
選擇 host2, 然後使用 << 按鈕將位址從 AvaiGroup Members 欄中。
選擇 host3, 然後使用 << 按鈕將位址從 AvaiGroup Members 欄中。
選擇 host4, 然後使用 << 按鈕將位址從 AvaiGroup Members 欄中。
選擇 host5, 然後使用 << 按鈕將位址從 AvaiGroup Members 欄中。
4. 政策
Policies > (From: Trust, To: Untrust) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), group1
Destination Address:
Address Book Entry: ( 選擇 ), Any
Service: HTTP
Action: Permit
第 2 章 來源網路位址轉譯 來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src
29
eturn 以設定進階選項並返回基
.1.1.105)
.1.1.101 1.1.1.105
dip-id 10 permit
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Source Translation: ( 選擇 )(DIP on): 10 (1.1.1.101 - 1
CLI
1. 介面set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. DIPset interface ethernet3 dip 10 shift-from 10.1.1.11 to 1
3. 位址set address trust host1 10.1.1.11/32set address trust host2 10.1.1.12/32set address trust host3 10.1.1.13/32set address trust host4 10.1.1.14/32set address trust host5 10.1.1.15/32
set group address trust group1 add host1set group address trust group1 add host2set group address trust group1 add host3set group address trust group1 add host4set group address trust group1 add host5
4. 政策set policy from trust to untrust group1 any http nat srcsave
第 2 章 來源網路位址轉譯 來自出口介面 IP 位址的 NAT-Src
30
位址轉譯為出口介面的位址。在
結至 Untrust 區域的介面 ), 為
獨有號碼
ust 區域
2.2.2.2:80
Untrust 區域
P SRC PT DST PT PROTO2 41834 80 HTTP
1:41834
來源目的地
( 虛擬裝置 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
來自出口介面 IP 位址的 NAT-SRC
若您將 NAT-src 套用至政策, 但卻未指定 DIP 集區, 則 NetScreen 裝置會將來源 IP這種情況下, NetScreen 裝置一律會套用 PAT。
範例:不具有 DIP 的 NAT-Src
在本範例中, 您可定義政策, 指示 NetScreen 裝置執行下列工作:
• 允許來自 Trust 區域任何位址至 Untrust 區域任何位址的 HTTP 通訊流量
• 將 IP 封包標頭中的來源 IP 位址轉譯為 1.1.1.1 ( 即 ethernet3 的 IP 位址, 連傳送至 Untrust 區域任何位址的出口介面
• 將 TCP 片段標頭或 UDP 資料電報標頭中的原始來源連接埠號碼轉譯為新的、
• 將具有已轉譯來源 IP 位址和連接埠號碼的通訊流量從 ethernet3 傳出至 Untr
10.1.1.5:25611
Trust 區域 ethernet110.1.1.1/24
1.1.1.1
SRC IP DST IP SRC PT DST PT PROTO10.1.1.5 2.2.2.2 25611 80 HTTP
SRC IP DST I1.1.1.1 2.2.2.
來源網路位址轉譯 ( NAT-src) ( 將來源 IP 位址轉譯為目的地區域的出口介面 IP 位址 —1.1.1.1。PAT 已啟用。)
ethernet31.1.1.1/24
1.1.1.
原始來源已轉譯
第 2 章 來源網路位址轉譯 來自出口介面 IP 位址的 NAT-Src
31
Apply :
OK:
:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容, 然後按一下
Zone Name:Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
選擇下面的內容, 然後按一下 OK:
Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. 政策
Policies > (From: Trust, To: Untrust) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), Any
Service: HTTP
Action: Permit
第 2 章 來源網路位址轉譯 來自出口介面 IP 位址的 NAT-Src
32
eturn 以設定進階選項並返回基
ss Interface IP)
rmit
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Source Translation: ( 選擇 )
(DIP on): None (Use Egre
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. 政策
set policy from trust to untrust any any http nat src pesave
3
33
ðƒ 3 Š¼
方式。本章說明可用的多種位址
請參閱第 89 頁上的「對應和
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
目的地網路位址轉譯
NetScreen 提供許多執行目的地網路位址轉譯 (NAT-dst) 及目的地連接埠位址對應的轉譯方法, 依據下列章節編排:
• 第 34 頁上的「NAT-Dst 簡介」
– 第 36 頁上的「NAT-Dst 的封包流動」
– 第 40 頁上的「NAT-Dst 的路由設定」
• 第 44 頁上的「NAT-Dst:一對一對應」
– 第 49 頁上的「從一個位址轉譯為多個位址」
• 第 53 頁上的「NAT-Dst:多對一對應」
• 第 58 頁上的「NAT-Dst:多對多對應」
• 第 63 頁上的「具連接埠對應的 NAT-Dst」
• 第 68 頁上的「相同政策中的 NAT-Src 與 NAT-Dst」
注意 : 如需有關使用對應 IP (MIP) 或虛擬 IP (VIP) 位址進行目的地位址轉譯的資訊,虛擬 IP 位址」。
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
34
tScreen 裝置將一個或多個公開可以是一對一、多對一或多對多
定態轉譯為另一特定號碼。連接利用連接埠對應將預定的原始連始來源連接埠號碼轉譯為另一個
注意 : 原始目的地 IP 位址及已轉譯的目的地 IP 位址必須在相同的安全區內。
地
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
NAT-DST 簡介您可定義政策以將目的地位址從一個 IP 位址轉譯為另一個 IP 位址。您可能需要讓 NeIP 位址轉譯為一個或多個私人位址。原始目的地位址與已轉譯目的地位址之間的關係關係。下圖說明一對一及多對一 NAT-dst 關係的概念。
以上兩項組態均支援目的地連接埠對應。連接埠對應是將一個原始目的地連接埠號碼埠對應中原始與已轉譯號碼的關係與連接埠位址轉譯 (PAT) 不同。NetScreen 裝置會接埠號碼轉譯為另一個預定連接埠號碼。NetScreen 裝置會利用 PAT 將隨機指派的原隨機指派的號碼。
NetScreen 裝置將此處的通訊流量對應到 另一處。……
第 44 頁上的 「NAT-Dst:一對一對應」
原始目的地已轉譯目的
第 53 頁上的 「NAT-Dst:多對一對應」
( 虛擬裝置 )
( 虛擬裝置 )
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
35
可持續地將各個原始目的地位址應。下圖說明多對多 NAT-dst 關
會使用原始目的地 IP 位址來執次路由查詢, 以決定傳送封包的須位在相同的安全區內。( 如需封包流動」。)
已轉譯目的地
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
您可以利用位址轉移將一個目的地位址範圍轉譯為另一範圍, 如此 NetScreen 裝置便對應至特定已轉譯目的地位址。請注意, NetScreen 不支援具有位址轉移的連接埠對係的概念。
原始目的地 IP 位址與已轉譯目的地 IP 位址的路由表中均需存在項目。NetScreen 裝置行路由查詢, 以決定後續政策查詢的目的地區域。然後再使用已轉譯的位址執行第二目的地。為確保路由設定決定與政策相符, 原始目的地 IP 位址及已轉譯的 IP 位址必目的地 IP 位址、路由查詢及政策查詢的詳細資訊, 請參閱 第 36 頁上的「NAT-Dst 的
第 58 頁上的 「NAT-Dst:多對多對應」
原始目的地
( 虛擬裝置 )
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
36
行的各項操作。
5.5.5.5:80 的 HTTP 封包抵達連
CREEN 模組。SCREEN 檢查會
置會將幫包卸除, 並在事件記錄
NetScreen 裝置會將事件記錄
下一步。
Z 區域
st 區域
m1 區域
4.4.4.5已轉譯目的地
三個問號
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
NAT-Dst 的封包流動
下列步驟說明套用目的地網路位址轉譯時, 透過 NetScreen 裝置的封包路徑及其所執
1. 來源 IP 位址與連接埠號碼為 1.1.1.5:32455, 目的地 IP 位址與連接埠號碼為結到 Untrust 區域的 ethernet1。
2. 若您已啟用 Untrust 區域的 SCREEN 選項, NetScreen 裝置此時即會啟動 S產生下列三個結果中的一種:
– 若 SCREEN 機制偵測到異常行為 ( 設定為阻斷封包 ), 則 NetScreen 裝中產生一個項目。
– 若 SCREEN 機制偵測到異常行為 ( 設定為記錄事件, 但不阻斷封包 ), 則在入口介面的 SCREEN 計數器清單中, 然後繼續進行下一步。
– 若 SCREEN 機制未偵測到任何異常行為, NetScreen 裝置即會繼續進行
ethernet22.2.2.2/24
ethernet33.3.3.3/24
ethernet44.4.4.4/24
ethernet11.1.1.1/24
DM
Tru
Custo
Untrust 區域
?
?
?1.1.1.5來源
5.5.5.5原始目的地
SRC1.1.1.5
DST5.5.5.5
SRC32455
DST80 負載
NetScreen 裝置尚未執行得知須使用哪一個介面來轉寄封包的所需步驟。在圖中將以指出這個情況。
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
37
續進行下一個步驟。
這個程序包括剩下的步驟。
會話項目中的可用資訊來處理封一個封包處理期間取得了繞過的
位址 5.5.5.5。
IP 位址, 然後依據該位址進行流量的政策配對, 則 NetScreen
。
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
若您尚未啟用 Untrust 區域的任何 SCREEN 選項, NetScreen 裝置會立即繼
3. 會話模組會執行會話查詢, 嘗試將封包和現有的會話配對。
如果封包與現有會話無法配對, NetScreen 裝置會執行 「第一個封包處理」,
如果封包和現有會話配對, NetScreen 裝置會執行「快速處理」, 使用現有包。「快速處理」會繞過除最後一個步驟外的所有步驟, 因為已經在會話的第步驟產生的資訊。
4. 位址對應模組會檢查對應的 IP (MIP) 或虛擬 IP (VIP)1 組態是否使用目的地 IP
若存在這樣的組態, NetScreen 裝置會將 MIP 或 VIP 解析為已轉譯的目的地路由查詢。然後在 Untrust 與 Global 區域之間進行政策查詢。若找到允許通訊裝置會從路由查詢中確定的出口介面將封包轉寄出去。
若 MIP 或 VIP 組態中未使用 5.5.5.5, NetScreen 裝置會繼續進行下一個步驟
1. NetScreen 裝置會檢查是否只有在封包抵達與 Untrust 區域連結的介面時, 目的地 IP 位址才會用於 VIP 組態中。
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
38
顯示在封包 ( 抵達 ethernet1 的虛擬路由器進行路由查詢。) 路
面所決定 )。來源與目的地 IP
.4.4.5 permit
區域中。)
進行任何來源網路位址轉譯與目
2 是經由 ethernet4 存取的。
道 :50
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
5. 為確定目的地區域, 路由模組會進行原始目的地 IP 位址的路由查詢, 即其使用封包 ) 標頭中的目的地 IP 位址。( 路由模組會使用入口介面來決定使用哪一個由模組發現 5.5.5.5/32 是透過連結至 Custom1 區域的 ethernet4 存取的。
6. 政策引擎會在 Untrust 與 Custom1 區域之間進行政策查詢 ( 由相應的出入口介位址及服務符合將 HTTP 通訊流量從 5.5.5.5 重新定向至 4.4.4.5 的政策。
set policy from untrust to custom1 any v-server1 http nat dst ip 4
( 您先前已定義 IP 位址為 5.5.5.5/32 的位址「v-server1」, 它位於 Custom1
NetScreen 裝置會將目的地 IP 位址從 5.5.5.5 轉譯為 4.4.4.5。政策指出不需的地連接埠位址轉譯。
7. NetScreen 裝置使用已轉譯的 IP 位址進行第二次路由查詢, 並發現 4.4.4.5/3
trust-vr 路由表
到達 : 使用介面 : 所在區域 : 使用閘
0.0.0.0/0 ethernet1 Untrust 1.1.1.2
1.1.1.0/24 ethernet1 Untrust 0.0.0.0
2.2.2.0/24 ethernet2 DMZ 0.0.0.0
3.3.3.0/24 ethernet3 Trust 0.0.0.0
4.4.4.0/24 ethernet4 Custom1 0.0.0.0
5.5.5.5/32 ethernet4 Custom1 0.0.0.0
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
39
置隨後將封包從 ethernet4 轉目已存在 )。
n 0 , t u n 0 , v s d 0
負載
tom1 區域
4.4.4.5目的地
通道ID
VSDID
無關,
N
30 個單位0 = 300 秒 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
8. 位址對應模組會將封包標頭中的目的地 IP 位址轉譯為 4.4.4.5。NetScreen 裝出, 並在其會話表中建立一個項目 ( 除非此封包是現在會話的一部份, 並且項
i d 4 8 2 / s * * , v s y s 0 , f l a g 0 4 0 0 0 0 0 0 / 0 0 / 0 0 , p o l i c y 2 1 , t i m e 3 06 ( 2 1 ) : 1 . 1 . 1 . 5 / 3 2 4 5 5 - > 4 . 4 . 4 . 5 / 8 0 , 6 , 0 0 b 0 d 0 a 8 a a 2 b , v l a
SRC1.1.1.5
DST4.4.4.5
SRC32455
DST80
ethernet44.4.4.4/24
ethernet11.1.1.1/24
Cus
Untrust 區域
1.1.1.5來源
來源IP 位址 / 連接埠
目的地IP 位址 / 連接埠
傳輸通訊協定6 = TCP
NSP 旗標( 僅供內部使用 )
注意 : 由於此會話與虛擬系統、VLAN、VPN 通道或虛擬安全性裝置 (VSD) 因此所有這些 ID 號碼的設定均為零。
介面 ID
VLAID
會話逾時( 30 x 1會話 ID 會話狀態旗標
( 僅供內部使用 )
此會話所屬的虛擬系統
第一個框架中的來源 MAC 位址
套用至此會話的政策 ID
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
40
中的原始目的地位址及已轉譯的的「NAT-Dst 的封包流動」中
介面。出口介面會提供決定區域政策配對時, 政策會定義原始目決定經由哪一個介面轉寄封包,已轉譯目的地位址的路由則指定
樸而定:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
NAT-Dst 的路由設定
當您針對 NAT-dst 設定位址時, NetScreen 裝置的路由表中必須具有出現在封包標頭目的地位址 ( 也就是 NetScreen 裝置將封包重新定向到的位址 ) 的路由。如第 36 頁上所說明的, NetScreen 裝置會使用原始目的地位址來進行路由查詢, 並進而確定出口( 介面所連結的區域 ), 如此 NetScreen 裝置即可進行政策查詢。NetScreen 裝置找到的地位址至已轉譯目的地位址的對應。NetScreen 裝置隨後會執行第二次路由查詢, 以到達新的目的地位址。簡言之, 原始目的地位址的路由提供執行政策查詢的方法, 而NetScreen 裝置用來轉寄封包的出口介面。
在下列三個方案中, 是否需要輸入靜態路由視此政策所參考的目的地位址週邊網路拓
set policy from untrust to trust any oda1 http nat dst ip 10.1.1.5 permit
其中「oda1」是原始目的地位址 10.2.1.5, 而已轉譯目的地位址則是 10.1.1.5。
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
41
訊流量。若您將 ethernet3 介面 10.1.1.0/24。為完成路由設定
按一下 OK:
t3
圖中顯示 10.2.1.5 似乎與
轉譯目的地10.1.1.5 Trust 區域
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
連結至一個介面的位址在本方案中, 原始與已轉譯目的地位址的路由均會經由相同的介面 (ethernet3) 定向通的 IP 位址設定為 10.1.1.0/24, NetScreen 裝置即會自動經由 ethernet3 將路由新增至需求, 您必須經由 ethernet3 將另一個路由新增至 10.2.1.5/32。
WebUI
Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容, 然後
Network Address / Netmask: 10.2.1.5/32
Gateway: ( 選擇 )Interface: ethernet3Gateway IP Address: 0.0.0.0
CLI
set vrouter trust-vr route 10.2.1.5/32 interface ethernesave
注意 : 雖然 10.2.1.5 並不在 10.1.1.0/24 子網路中, 但因為其路由未指定閘道, 因此10.1.1.0/24 位址空間位於相同的已連結子網路中。
原始目的地「oda1」10.2.1.5
ethernet3 10.1.1.1/24
已
10.1.1.0/24
注意 : Untrust 區域未顯示。
( 虛擬裝置 )
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
42
將 ethernet3 介面的 IP 位址設。為完成路由設定需求, 您必須
.1.0/24。
按一下 OK:
t3 gateway 10.1.1.250
成了對它的設定。如果是這
原始目的地「oda1」10.2.1.5
0.2.1.0/24
Trust 區域
( 虛擬裝置 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
連結至一個介面但以路由器分離的位址在本方案中, 原始與已轉譯目的地位址的路由均會經由 ethernet3 定向通訊流量。若您定為 10.1.1.1/24, NetScreen 裝置即會自動經由 ethernet3 將路由新增至 10.1.1.0/24經由 ethernet3、連接 10.1.1.0/24 的閘道及 10.2.1.0/24 子網路, 將路由新增至 10.2
WebUI
Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容, 然後
Network Address / Netmask: 10.2.1.0/24
Gateway: ( 選擇 )Interface: ethernet3Gateway IP Address: 10.1.1.250
CLI
set vrouter trust-vr route 10.2.1.0/24 interface ethernesave
注意 : 由於需要此路由才能到達 10.2.1.0/24 子網路中的任何位址, 因此您可能已經完樣, 則無需為了讓政策將 NAT-dst 套用至 10.2.1.5 而再新增另一個路由。
10.1.1.250/24
10.2.1.250/24
已轉譯目的地10.1.1.5
ethernet3 10.1.1.1/24
10.1.1.0/24 1
注意 : Untrust 區域未顯示。
第 3 章 目的地網路位址轉譯 NAT-Dst 簡介
43
t3 及 IP 位址為 10.2.1.1/24 的路由新增至 10.1.1.0/24 及經由 及將已轉譯的目的地位址置於
NAT-dst 而新增任何其他的路由。
Trust 區域
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
以介面分離的位址
在本方案中, 有兩個連結到 Trust 區域的介面 : IP 位址為 10.1.1.1/24 的 etherneethernet4。當您設定這些介面的 IP 位址時, NetScreen 裝置會自動經由 ethernet3 將ethernet4 將路由新增至 10.2.1.0/24。將原始目的地位址置於 10.2.1.0/24 子網路中,10.1.1.0/24 子網路中, 您即無需為了讓 NetScreen 裝置套用從 10.1.1.5 至 10.2.1.5 的
原始目的地「oda1」10.2.1.5
ethernet4 10.2.1.1/24
10.1.1.0/24
10.2.1.0/24
已轉譯目的地10.1.1.5ethernet3
10.1.1.1/24注意 : Untrust 區域未顯示。
( 虛擬裝置 )
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
44
譯目的地 IP 位址, 並執行狀素才得以顯示 ):
已轉譯目的地10.1.1.5:80
PT PROTO0 HTTP
PT PROTO04 HTTP
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
NAT-DST:一對一對應套用不進行連接埠位址轉譯的目的地網路位址轉譯 (NAT-dsc) 時, NetScreen 裝置會轉態檢查, 如下圖所示 ( 請注意, 只有與 NAT-dst 相關的 IP 封包與 TCP 片段標頭中的元
原始目的地1.2.1.5:80
來源2.2.2.5:36104
NetScreenethernet3 1.1.1.1/24, Untrustethernet2 10.1.1.1/24, DMZ
SRC IP DST IP SRC PT DST PT PROTO2.2.2.5 1.2.1.5 36104 80 HTTP
NetScreen 裝置會將目的地 IP 位址從1.2.1.5 轉譯為 10.1.1.5。並將 IP 與連接埠位址資訊 (連接埠號碼維持不變 ) 儲存在其會話表中。
SRC IP DST IP SRC PT DST2.2.2.5 10.1.1.5 36104 8
SRC IP DST IP SRC PT DST10.1.1.5 2.2.2.5 80 361
NetScreen 裝置會將封包中的 IP 與連接埠資訊與其會話表中所儲存的資訊配對。然後將來源 IP 位址從 10.1.1.5 轉譯為 1.2.1.5。
SRC IP DST IP SRC PT DST PT PROTO1.2.1.5 2.2.2.5 80 36104 HTTP
Untrust 區域 DMZ 區域
( 虛擬裝置 )
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
45
的地連接埠位址。政策會指示
的地位址 ( 位址為 1.2.1.8 ) 的
為 21)
結至 DMZ, 並為其指派 IP 位址 DMZ 區域都在 trust-vr 路由設
區域
已轉譯目的地10.2.1.8
DST IP SRC PT DST PT PROTO10.2.1.8 25611 80 HTTP
DST IP SRC PT DST PT PROTO10.2.1.8 40365 21 FTP
oda2」
( 虛擬裝置 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
範例:一對一目的地轉譯
在本範例中, 您設定政策以提供一對一目的地網路位址轉譯 (NAT-dst), 而不變更目NetScreen 裝置執行下列工作:
• 允許來自 Untrust 區域中的任何位址, 往 DMZ 區域中名為「oda2」之原始目FTP 與 HTTP 通訊流量 ( 定義為服務群組「http-ftp」 )
• 將 IP 封包標頭中的目的地 IP 位址從 1.2.1.8 轉譯為 10.2.1.8
• 不對 TCP 片段標頭中的原始目的地連接埠號碼進行變更 ( HTTP 為 80, FTP
• 將 HTTP 與 FTP 通訊流量轉寄至 DMZ 區域中的 10.2.1.8
將 ethernet3 連結至 Untrust 區域, 並為其指派 IP 位址 1.1.1.1/24。將 ethernet2 連10.2.1.1/24。您亦定義經由 ethernet2 的原始目的地位址 1.2.1.8 路由。Untrust 區域和定網域中。
Untrust 區域
DMZ 來源
2.2.2.5
SRC IP DST IP SRC PT DST PT PROTO2.2.2.5 1.2.1.8 25611 80 HTTP
SRC IP DST IP SRC PT DST PT PROTO2.2.2.5 1.2.1.8 40365 21 FTP
SRC IP2.2.2.5
SRC IP2.2.2.5
ethernet31.1.1.1/24
ethernet210.2.1.1/24
原始目的地 「1.2.1.8
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
46
OK:
OK:
下 OK :
able Members 欄中移動到
le Members 欄中移動到 Group
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit ( 對於 ethernet2 ): 輸入下面的內容, 然後按一下
Zone Name: DMZ
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.2.1.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: oda2
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 1.2.1.8/32
Zone: DMZ
3. 服務群組
Objects > Services > Groups: 輸入下面的群組名稱, 移動下列服務, 然後按一
Group Name: HTTP-FTP
選擇 HTTP, 然後使用 << 按鈕將服務從 AvailGroup Members 欄中。
選擇 FTP, 然後使用 << 按鈕將服務從 AvailabMembers 欄中。
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
47
按一下 OK:
:
eturn 以設定進階選項並返回基
)
0.2.1.8
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
4. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 1.2.1.8/32
Gateway: ( 選擇 )
Interface: ethernet2
Gateway IP Address: 0.0.0.0
5. 政策
Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), oda2
Service: HTTP-FTP
Action: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP: ( 選擇 ), 1
Map to Port: ( 清除 )
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
48
2
ip 10.2.1.8 permit
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
CLI
1. 介面
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmzset interface ethernet2 ip 10.2.1.1/24
2. 位址
set address dmz oda2 1.2.1.8/32
3. 服務群組
set group service http-ftpset group service http-ftp add httpset group service http-ftp add ftp
4. 路由
set vrouter trust-vr route 1.2.1.8/32 interface ethernet
5. 政策
set policy from untrust to dmz any oda2 http-ftp nat dstsave
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
49
目的地位址, 視服務類型或各政新定向到 10.2.1.8, 將 FTP 通置將從 host1 傳送至 1.2.1.8 的流量重新定向到 10.2.1.37。不
新定向至不同的已轉譯位址。
的通訊流量定向至兩個不同的已
址的 FTP 與 HTTP 通訊流量
0.2.1.8
為 21) DMZ 區域中的 10.2.1.9
DMZ 區域
已轉譯目的地10.2.1.8:80
ST IP SRC PT DST PT PROTO.2.1.8 25611 80 HTTP
ST IP SRC PT DST PT PROTO.2.1.9 40365 21 FTP
目的地.1.9:21
始目的地 「oda3」1.2.1.8:801.2.1.8:21
)
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
從一個位址轉譯為多個位址NetScreen 裝置可以將同一個原始目的地位址轉譯為在不同政策中指定的不同已轉譯策中指定的來源位址而定。您可能希望 NetScreen 裝置將 HTTP 通訊流量從 1.2.1.8 重訊流量從 1.2.1.8 重新定向為 10.2.1.9 ( 請參閱下列範例 )。您可能希望 NetScreen 裝HTTP 通訊流量重新定向到 10.2.1.8, 但希望將從 host2 傳送至 1.2.1.8 的 HTTP 通訊論是上列哪一種情況, NetScreen 裝置都會將發至相同原始目的地位址的通訊流量重
範例:一對多目的地轉譯在本範例中, 您建立兩個使用相同原始目的地位址 (1.2.1.8) 的政策, 但它們將已傳送轉譯目的地位址 ( 依據服務類型 )。這些政策會指示 NetScreen 裝置執行下列工作:
• 允許自 Untrust 區域中任何位址至 DMZ 區域中名為 「oda3」之使用者定義位
• 針對 HTTP 通訊流量, 將 IP 封包標頭中的目的地 IP 位址從 1.2.1.8 轉譯為 1• 針對 FTP 通訊流量, 將目的地 IP 位址從 1.2.1.8 轉譯為 10.2.1.9• 不對 TCP 片段標頭中的原始目的地連接埠號碼進行變更 (HTTP 為 80, FTP• 將 HTTP 通訊流量轉寄至 DMZ 區域中的 10.2.1.8, 將 FTP 通訊流量轉寄至
Untrust 區域
2.2.2.5:256112.2.2.5:40365
SRC IP DST IP SRC PT DST PT PROTO2.2.2.5 1.2.1.8 25611 80 HTTP
SRC IP DST IP SRC PT DST PT PROTO2.2.2.5 1.2.1.8 40365 21 FTP
SRC IP D2.2.2.5 10
SRC IP D2.2.2.5 10
已轉譯10.2
ethernet31.1.1.1/24
ethernet210.2.1.1/24
原
來源
( 虛擬裝置
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
50
結至 DMZ, 並為其指派 IP 位址 DMZ 區域都在 trust-vr 路由設
OK:
OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
將 ethernet3 連結至 Untrust 區域, 並為其指派 IP 位址 1.1.1.1/24。將 ethernet2 連10.2.1.1/24。您亦定義經由 ethernet2 的原始目的地位址 1.2.1.8 路由。Untrust 區域和定網域中。
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit ( 對於 ethernet2 ): 輸入下面的內容, 然後按一下
Zone Name: DMZ
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.2.1.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: oda3
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 1.2.1.8/32
Zone: DMZ
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
51
按一下 OK:
:
eturn 以設定進階選項並返回基
)
0.2.1.8
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
3. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 1.2.1.8/32
Gateway: ( 選擇 )
Interface: ethernet2
Gateway IP Address: 0.0.0.0
4. 政策
Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), oda3
Service: HTTP
Action: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP: ( 選擇 ), 1
Map to Port: ( 清除 )
第 3 章 目的地網路位址轉譯 NAT-Dst:一對一對應
52
:
eturn 以設定進階選項並返回基
)0.2.1.9
2
10.2.1.8 permit0.2.1.9 permit
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容, 然後按一下 OKSource Address:
Address Book Entry: ( 選擇 ), AnyDestination Address:
Address Book Entry: ( 選擇 ), oda3Service: FTPAction: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP: ( 選擇 ), 1Map to Port: ( 清除 )
CLI
1. 介面set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmzset interface ethernet2 ip 10.2.1.1/24
2. 位址set address dmz oda3 1.2.1.8/32
3. 路由set vrouter trust-vr route 1.2.1.8/32 interface ethernet
4. 政策set policy from untrust to dmz any oda3 http nat dst ip set policy from untrust to dmz any oda3 ftp nat dst ip 1save
第 3 章 目的地網路位址轉譯 NAT-Dst:多對一對應
53
下, NetScreen 裝置會將傳送至目的地連接埠對應。
的通訊流量重新定向至同一個已
4」 (1.2.1.10) 與「oda5」
Z 區域
T IP SRC PT DST PT PROTO2.1.15 25611 80 HTTP
T IP SRC PT DST PT PROTO2.1.15 40365 80 HTTP
已轉譯目的地
10.2.1.15:8010.2.1.15:80
原始目的地 「oda4」1.2.1.10:80
原始目的地 「oda5」1.2.1.20:80
置 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
NAT-DST:多對一對應原始目的地位址與已轉譯目的地位址之間的關係也可以是多對一關係。在這樣的情況多個原始目的地位址的通訊流量轉寄至單一已轉譯目的地位址。您亦可選擇是否指定
範例:多對一目的地轉譯在本範例中, 您建立一個政策, 將傳送至不同原始目的地位址 (1.2.1.10 與 1.2.1.20) 轉譯目的地位址。此政策會指示 NetScreen 裝置執行下列工作:
• 允許自 Untrust 區域中任何位址至 DMZ 區域中名為 「oda45」位址為「oda(1.2.1.20) 的使用者定義位址群組的 HTTP 通訊流量
• 將 IP 封包標頭中的目的地 IP 位址從 1.2.1.10 和 1.2.1.20 轉譯為 10.2.1.15• 不對 TCP 片段標頭中的原始目的地連接埠號碼進行變更 (HTTP 為 80)• 將 HTTP 通訊流量轉寄至 DMZ 區域中的 10.2.1.15
Untrust 區域
DM
來源1.1.1.5:256111.1.1.6:40365
SRC IP DST IP SRC PT DST PT PROTO1.1.1.5 1.2.1.10 25611 80 HTTP
SRC IP DST IP SRC PT DST PT PROTO1.1.1.6 1.2.1.20 40365 80 HTTP
SRC IP DS1.1.1.5 10.
SRC IP DS1.1.1.6 10.
ethernet31.1.1.1/24
ethernet210.2.1.1/24
( 虛擬裝
第 3 章 目的地網路位址轉譯 NAT-Dst:多對一對應
54
結至 DMZ, 並為其指派 IP 位址Untrust 區域和 DMZ 區域都在
OK:
OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
將 ethernet3 連結至 Untrust 區域, 並為其指派 IP 位址 1.1.1.1/24。將 ethernet2 連10.2.1.1/24。您亦定義經由 ethernet2 的原始目的地位址 1.2.1.10 與 1.2.1.20 路由。trust-vr 路由設定網域中。
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit ( 對於 ethernet2 ): 輸入下面的內容, 然後按一下
Zone Name: DMZ
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.2.1.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: oda4
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 1.2.1.10/32
Zone: DMZ
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: oda5
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 1.2.1.20/32
Zone: DMZ
第 3 章 目的地網路位址轉譯 NAT-Dst:多對一對應
55
稱, 移動下列位址, 然後按一
able Members 欄中移動到
able Members 欄中移動到
按一下 OK:
按一下 OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Objects > Addresses > Groups > ( 對於 Zone: DMZ ) New: 輸入下面的群組名下 OK:
Group Name: oda45
選擇 oda4, 然後使用 << 按鈕將位址從 AvailGroup Members 欄中。
選擇 oda5, 然後使用 << 按鈕將位址從 AvailGroup Members 欄中。
3. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 1.2.1.10/32
Gateway: ( 選擇 )
Interface: ethernet2
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 1.2.1.20/32
Gateway: ( 選擇 )
Interface: ethernet2
Gateway IP Address: 0.0.0.0
第 3 章 目的地網路位址轉譯 NAT-Dst:多對一對應
56
:
eturn 以設定進階選項並返回基
)
0.2.1.15
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
4. 政策
Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), oda45
Service: HTTP
Action: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP: ( 選擇 ), 1
Map to Port: ( 清除 )
第 3 章 目的地網路位址轉譯 NAT-Dst:多對一對應
57
t2t2
10.2.1.15 permit
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
CLI
1. 介面
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmzset interface ethernet2 ip 10.2.1.1/24
2. 位址
set address dmz oda4 1.2.1.10/32set address dmz oda5 1.2.1.20/32set group address dmz oda45 add oda4set group address dmz oda45 add oda5
3. 路由
set vrouter trust-vr route 1.2.1.10/32 interface etherneset vrouter trust-vr route 1.2.1.20/32 interface etherne
4. 政策
set policy from untrust to dmz any oda45 http nat dst ipsave
第 3 章 目的地網路位址轉譯 NAT-Dst:多對多對應
58
圍可以是一個子網路, 或子網路新的位址範圍後, 保持原始目的已轉譯位址範圍的開始位址是
dr1-50」的位址群組 ( 包含
t dst ip 10.100.3.101
), 如 10.1.1.37, 則 NetScreen
, 則 NetScreen 裝置僅會執行B 任何主機的通訊流量, 並將之
t dst ip 10.100.3.101
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
NAT-DST:多對多對應您可使用目的地網路位址轉譯 (NAT-dst) 將一個 IP 位址範圍轉譯為另一範圍。位址範內較小的位址集。NetScreen 採用位址轉移機制, 以在將原始目的地位址範圍轉譯為地位址範圍之間的關係不變。例如, 若原始位址範圍是 10.1.1.1 – 10.1.1.50, 而且10.100.3.101, 則 NetScreen 裝置即會轉譯下列位址:
• 10.1.1.1 – 10.100.3.101
• 10.1.1.2 – 10.100.3.102
• 10.1.1.3 – 10.100.3.103
…
• 10.1.1.48 – 10.100.3.148
• 10.1.1.49 – 10.100.3.149
• 10.1.1.50 – 10.100.3.150
例如, 若您希望建立一個將上列轉譯套用至 zoneA 中任何地址到 zoneB 中名為「ad10.1.1.1 至 10.1.1.50 的所有位址 ) 的 HTTP 通訊流量, 則您可以輸入下列 CLI 指令:
set policy id 1 from zoneA to zoneB any addr1-50 http na10.100.3.150 permit
若 zoneA 中的任何主機初始化 HTTP 通訊流量 ( 通往 zoneB 內已定義範圍中的位址裝置便會套用此政策, 並將目的地位址轉譯為 10.100.3.137。
若來源與目的地區域、來源與目的地位址及政策中指定的服務皆符合封包中的這些元件NAT-dst。例如, 您可能會建立另一個政策, 此政策允許自 zoneA 任何主機至 zone置於政策清單中的政策 1 之後:
set policy id 1 from zoneA to zoneB any addr1-50 http na10.100.3.150 permit
set policy id 2 from zoneA to zoneB any any any permit
第 3 章 目的地網路位址轉譯 NAT-Dst:多對多對應
59
將會繞過 NAT-dst 機制:
NetScreen 裝置會套用政策 2,
etScreen 裝置亦會套用政策 2,的地位址。
主機時, 指示 NetScreen 裝置
網路中的相應位址
結至 DMZ, 並為其指派 IP 位址Untrust 區域和 DMZ 區域都在
1 – 10.2.1.12 – 10.2.1.23 – 10.2.1.33 – 10.2.1.2534 – 10.2.1.254
Z 區域
已轉譯目的地10.2.1.0/24
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
若您完成了這兩項政策的設定, 則下列發自 zoneA 主機傳送至 zoneB 主機的通訊流量
• ZoneA 中的一個主機初始化傳送至 zoneB 10.1.1.37 的非 HTTP 通訊流量。因為服務並非 HTTP, 會讓通訊流量通過, 而不會轉譯目的地位址。
• ZoneA 中的一個主機初始化傳送至 zoneB 10.1.1.51 的 HTTP 通訊流量。N因為目的地位址並不在 addr1-50 位址群組內, 會讓通訊流量通過而不轉譯目
範例:多對多目的地轉譯
在本範例中, 您設定一項政策, 此政策會在任何種類的通訊流量被傳送至子網路的任何執行下列工作:
• 允許所有自 Untrust 區域任何位址至 DMZ 區域任何位址的所有通訊流量
• 將名為「oda6」的原始目的地位址從 1.2.1.0/24 子網路轉譯為 10.2.1.0/24 子
• 不對 TCP 片段標頭中的原始目的地連接埠號碼進行變更
• 將 HTTP 通訊流量轉寄至 DMZ 區域中的已轉譯位址
將 ethernet3 連結至 Untrust 區域, 並為其指派 IP 位址 1.1.1.1/24。將 ethernet2 連10.2.1.1/24。您亦定義經由 ethernet2 的原始目的地位址子網路 (1.2.1.0/24) 的路由。trust-vr 路由設定網域中。
1.2.1.1.2.1.1.2.1.
1.2.1.251.2.1.25
網際網路
Untrust 區域 DMethernet31.1.1.1/24
ethernet210.2.1.1/24
原始目的地「oda6」1.2.1.0/24
第 3 章 目的地網路位址轉譯 NAT-Dst:多對多對應
60
OK:
OK:
按一下 OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit ( 對於 ethernet2 ): 輸入下面的內容, 然後按一下
Zone Name: DMZ
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.2.1.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: oda6
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 1.2.1.0/24
Zone: DMZ
3. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 1.2.1.0/24
Gateway: ( 選擇 )
Interface: ethernet2
Gateway IP Address: 0.0.0.0
第 3 章 目的地網路位址轉譯 NAT-Dst:多對多對應
61
:
eturn 以設定進階選項並返回基
)
擇 ), 10.2.1.0 – 10.2.1.254
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
4. 政策
Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), oda6
Service: Any
Action: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP Range: ( 選
第 3 章 目的地網路位址轉譯 NAT-Dst:多對多對應
62
2
0.2.1.1 10.2.1.254
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
CLI
1. 介面
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmzset interface ethernet2 ip 10.2.1.1/24
2. 位址
set address dmz oda6 1.2.1.0/24
3. 路由
set vrouter trust-vr route 1.2.1.0/24 interface ethernet
4. 政策
set policy from untrust to dmz any oda6 any nat dst ip 1permit
save
第 3 章 目的地網路位址轉譯 具連接埠對應的 NAT-Dst
63
要啟用連接埠對應。啟用連接埠機可執行兩個 Web 伺服器 — 一行 NAT-dst, 而不需進行連接埠址上執行 NAT-dst, 並進行連接往兩個 Web 伺服器的 HTTP 通
DMZ 區域的 Telnet 伺服器 ) 執
rnet2 的原始目的地位址
「NAT-Dst:多對多對應」。
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
具連接埠對應的 NAT-DST
當您設定 NetScreen 裝置, 以執行目的地網路位址轉譯 (NAT-dst) 時, 您可選擇是否對應的其中一個原因是: 支援單一主機上單一服務的多個伺服器程序。例如, 一個主個位於連接埠 80, 另一個位於連接埠 8081。NetScreen 裝置可針對 HTTP 服務 1 執對應 (dst 連接埠 80 -> 80)。NetScreen 裝置可針對 HTTP 服務 2 在相同目的地 IP 位埠對應 (dst 連接埠 80 -> 8081)。主機可以利用兩個不同的目的地連接埠號碼來排序通訊流量。
範例:具有連接埠對應的 NAT-Dst在本範例中, 您建立兩項政策, 它們對 Telnet 通訊流量 ( 自 Trust 與 Untrust 區域至行 NAT-dst 與連接埠對應。這些政策會指示 NetScreen 裝置執行下列工作:
• 允許自 Untrust 與 Trust 區域中任何位址至 DMZ 區域之 1.2.1.15 的 Telnet
• 將名為「oda7」的原始目的地 IP 位址從 1.2.1.15 轉譯為 10.2.1.15
• 將 TCP 片段標頭中的原始目的地連接埠號碼從 23 轉譯為 2200
• 將 Telnet 通訊流量轉寄至 DMZ 區域中的已轉譯位址
您設定下列介面至區域的連結與位址指派:
• ethernet1: Trust 區域, 10.1.1.1/24
• ethernet2: DMZ 區域, 10.2.1.1/24。
• ethernet3: Untrust 區域, 1.1.1.1/24。
您定義 DMZ 區域中 IP 位址為 1.2.1.15/32 的位址項目「oda7」。您亦定義經由 ethe1.2.1.15 路由。Trust、Untrust 與 DMZ 區域都在 trust-vr 路由設定網域中。
注意 : NetScreen 不支援具有位址轉移的 NAT-dst 連接埠對應。請參閱第 58 頁上的
第 3 章 目的地網路位址轉譯 具連接埠對應的 NAT-Dst
64
Apply :
OK:
OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容, 然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
選擇下面的內容, 然後按一下 OK:
Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet2 ): 輸入下面的內容, 然後按一下
Zone Name: DMZ
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.2.1.1/24
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的資訊, 然後按一下 OK:
Address Name: oda7
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 1.2.1.15/32
Zone: DMZ
第 3 章 目的地網路位址轉譯 具連接埠對應的 NAT-Dst
65
按一下 OK:
eturn 以設定進階選項並返回基
)
0.2.1.15
200
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
3. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 1.2.1.15/32
Gateway: ( 選擇 )
Interface: ethernet2
Gateway IP Address: 0.0.0.0
4. 政策
Policies > (From: Trust, To: DMZ) New: 輸入下面的內容, 然後按一下 OK:
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), oda7
Service: Telnet
Action: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP: ( 選擇 ), 1
Map to Port: ( 選擇 ), 2
第 3 章 目的地網路位址轉譯 具連接埠對應的 NAT-Dst
66
:
eturn 以設定進階選項並返回基
)
0.2.1.15
200
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), oda7
Service: Telnet
Action: Permit
> Advanced: 輸入下面的內容, 然後按一下 R本組態頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP: ( 選擇 ), 1
Map to Port: ( 選擇 ), 2
第 3 章 目的地網路位址轉譯 具連接埠對應的 NAT-Dst
67
t2
10.2.1.15 port 2200
p 10.2.1.15 port 2200
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone dmzset interface ethernet2 ip 10.2.1.1/24
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. 位址
set address dmz oda7 1.2.1.15/32
3. 路由
set vrouter trust-vr route 1.2.1.15/32 interface etherne
4. 政策
set policy from trust to dmz any oda7 telnet nat dst ip permit
set policy from untrust to dmz any oda7 telnet nat dst ipermit
save
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
68
利用這樣的結合來變更資料路徑
een-1)。客戶經由 ethernet1 ( IP由兩個以路由為基礎的 VPN 通t 區域。Trust 區域和 Untrust 區
源與目的地位址轉譯 (NAT-srcen-B) 的 NetScreen 裝置會執行10.173.10.7、10.173.20.0/24、
址3 :
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
相同政策中的 NAT-SRC 與 NAT-DST
您可以結合相同政策中的來源與目的地網路位址轉譯 (NAT-src 與 NAT-dst)。您可以中單一點的來源與目的地 IP 位址。
範例:結合 NAT-Src 與 NAT-Dst在本範例中, 您設定位於服務供應商客戶與伺服器群之間的 NetScreen 裝置 (NetScr位址為 10.1.1.1/24, 且連結至 Trust 區域 ) 連接至 NetScreen-1。NetScreen-1 隨後經道之一轉寄其通訊流量, 以到達目標伺服器2。連結至這些通道的通道介面位於 Untrus域都在 trust-vr 路由設定網域中。
由於客戶的位址可能與其想要連線的伺服器位址相同, 因此 NetScreen-1 必須執行來與 NAT-dst)。為了維持定址的獨立與彈性, 保護伺服器群 (NetScreen-A 與 NetScreNAT-dst。服務供應商會指示客戶與伺服器群為此目的保留以下位址:10.173.10.1–10.173.30.0/24、10.173.40.0/24 與 10.173.50.0/24。這些位址的用途如下:
• 兩個通道介面具有下列位址指派 :– tunnel.1, 10.173.10.1/30– tunnel.2, 10.173.10.5/30
• 各通道介面支援下列已啟用 PAT 的 DIP 集區 :– tunnel.1, DIP ID 5: 10.173.10.2–10.173.10.2 – tunnel.2, DIP ID 6: 10.173.10.6–10.173.10.6
• NetScreen-1 執行 NAT-dst 時, 會按如下方式利用位址轉移轉譯原始目的地位
– 10.173.20.0/24 至 10.173.30.0/24– 10.173.40.0/24 至 10.173.50.0/24
2. 以政策為基礎的 VPN 不支援 NAT-dst。您必須使用以路由為基礎的 VPN 組態 ( 具有 NAT-dst )。
3. 如需執行 NAT-dst 時的位址轉移的資訊, 請參閱第 58 頁上的 「NAT-Dst:多對多對應」。
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
69
screen1」適用 vpn1, ompatible」的安全性層級。( 如xyID 是 0.0.0.0/0 - 0.0.0.0/0 —
提供, 並包含在內以求完整。
ntrust 區域
creen-Bst 3.3.3.3/24, Trust 10.100.2.1/24l.1, 10.3.3.1/24dst始目的地 10.173.50.0/24轉譯目的地 10.100.2.0/24
NetScreen-A
NetScreen-B10.100.1.0/24
10.100.2.0/24
creen-Ast 2.2.2.2/24, Trust 10.100.1.1/24l.1, 10.2.2.1/24dst始目的地 10.173.30.0/24轉譯目的地 10.100.1.0/24
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
vpn1 與 vpn2 這兩個通道的組態使用下列參數:AutoKey IKE、預先共享金鑰 ( 「net「netscreen2」適用 vpn2 ), 及針對「階段 1」與「階段 2」方案而預先定義為「C需這些提議的詳細資訊, 請參閱第 5 -11 頁上的「通道交涉」。) vpn1 與 vpn2 的 Pro任意值。
注意 : 會先提供 NetScreen-1 的組態。NetScreen-A 與 NetScreen-B 的 VPN 組態隨後
Trust 區域 U
ethernet110.1.1.1/24
ethernet31.1.1.1/24
客戶位址
10.100.1.0/24
10.100.2.0/24
10.100.3.0/24
NetScreen-1tunnel.1, 10.173.10.1/30NAT-src
• DIP 集區 10.173.10.2 – 10.173.10.2NAT-dst
• 原始目的地 10.173.20.0/24• 已轉譯目的地 10.173.20.0/24
NetScreen-1tunnel.2, 10.173.10.5/30NAT-src
• DIP 集區 10.173.10.6 – 10.173.10.6NAT-dst
• 原始目的地 10.173.40.0/24• 已轉譯目的地 10.173.50.0/24
NetSUntrutunneNAT-
• 原• 已
vpn1
vpn2
NetSUntrutunneNAT-
• 原• 已
NetScreen-1
內部路由器
具有不同來源 IP 位址的客戶會經由 VPN 通道連線至服務供應商的伺服器。
NetScreen 裝置會執行 NAT-src 與 NAT-dst, 因為您身為 NetScreen-1 管理員, 並無對來源與目的地位址的控制權。只要有互為中立的位址空間可以進行雙向位址轉譯, NetScreen-1 即可處理客戶的服務要求。
保護伺服器群的兩個 NetScreen 裝置亦會執行 NAT-dst, 以維持定址的獨立與彈性。
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
70
Apply :
OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI (NetScreen-1)
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容, 然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )IP Address/Netmask: 10.1.1.1/24
選擇下面的內容, 然後按一下 OK:
Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: 輸入下面的內容, 然後按一下 OK :
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: ( 選擇 )
IP Address / Netmask: 10.173.10.1/30
Network > Interfaces > New Tunnel IF: 輸入下面的內容, 然後按一下 OK :
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: ( 選擇 )
IP Address / Netmask: 10.173.10.5/30
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
71
然後按一下 OK:
.173.10.2
econdary IPs: ( 選擇 )
然後按一下 OK:
.173.10.6
econdary IPs: ( 選擇 )
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
2. DIP 集區
Network > Interfaces > Edit ( 對於 tunnel.1 ) > DIP > New: 輸入下面的內容,
ID: 5
IP Address Range: ( 選擇 ), 10.173.10.2 ~ 10
Port Translation: ( 選擇 )
In the same subnet as the interface IP or its s
Network > Interfaces > Edit ( 針對 tunnel.2 ) > DIP > New: 輸入下面的內容,
ID: 6
IP Address Range: ( 選擇 ), 10.173.10.6 ~ 10
Port Translation: ( 選擇 )
In the same subnet as the interface IP or its s
3. 位址
Objects > Addresses > List > New: 輸入下面的內容, 然後按一下 OK:
Address Name: serverfarm-A
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.173.20.0/24
Zone: Untrust
Objects > Addresses > List > New: 輸入下面的內容, 然後按一下 OK:
Address Name: serverfarm-B
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.173.40.0/24
Zone: Untrust
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
72
( 選擇 )
: 2.2.2.2
下 Return 返回基本 AutoKey
), tunnel.1
/0
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
4. VPN
VPNs > AutoKey IKE > New: 輸入下面的內容, 然後按一下 OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: gw-A
Type:Static IP: ( 選擇 ), Address/Hostname
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet34
> Advanced: 輸入下面的進階設定, 然後按一IKE 組態頁面 :
Bind to Tunnel Interface: ( 選擇
Proxy-ID: ( 選擇 )
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
4. 雖然在這個案例中向外介面與所連結的通道介面位於相同區域內, 但它們不需要位於相同區域內。
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
73
( 選擇 )
: 3.3.3.3
下 Return 返回基本 AutoKey
), tunnel.2
/0
按一下 OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
VPNs > AutoKey IKE > New: 輸入下面的內容, 然後按一下 OK:
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: gw-B
Type:Static IP: ( 選擇 ), Address/Hostname
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: 輸入下面的進階設定, 然後按一IKE 組態頁面 :
Bind to Tunnel Interface: ( 選擇
Proxy-ID: ( 選擇 )
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
5. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 0.0.0.0/0
Gateway: ( 選擇 )
Interface: ethernet3
Gateway IP Address: 1.1.1.250
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
74
按一下 OK:
按一下 OK:
按一下 OK:
按一下 OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 10.173.20.0/24
Gateway: ( 選擇 )
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 10.173.30.0/24
Gateway: ( 選擇 )
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 10.173.40.0/24
Gateway: ( 選擇 )
Interface: tunnel.2
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 10.173.50.0/24
Gateway: ( 選擇 )
Interface: tunnel.2
Gateway IP Address: 0.0.0.0
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
75
:
下 Return 返回基本 Policy 組態
73.10.2)/X-late
), 10.173.30.0 – 10.173.30.255
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
6. 政策
Policies > (From: Trust, To: Untrust) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), serverfarm-A
Service: ANY
Action: Permit
Position at Top: ( 選擇 )
> Advanced: 輸入下面的進階設定, 然後按一頁面 :
NAT:
Source Translation: ( 選擇 )
(DIP on): 5 (10.173.10.2–10.1
Destination Translation: ( 選擇 )
Translate to IP Range: ( 選擇
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
76
:
下 Return 返回基本 Policy 組態
73.10.6)/X-late
), 10.173.50.0 – 10.173.50.255
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Policies > (From: Trust, To: Untrust) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), serverfarm-B
Service: ANY
Action: Permit
Position at Top: ( 選擇 )
> Advanced: 輸入下面的進階設定, 然後按一頁面 :
NAT:
Source Translation: ( 選擇 )
(DIP on): 6 (10.173.10.6–10.1
Destination Translation: ( 選擇 )
Translate to IP Range: ( 選擇
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
77
ethernet3 preshare
.0/0 any
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
CLI (NetScreen-1)
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.173.10.1/30
set interface tunnel.2 zone untrustset interface tunnel.2 ip 10.173.10.5/30
2. DIP 集區
set interface tunnel.1 dip-id 5 10.173.10.2 10.173.10.2set interface tunnel.2 dip-id 6 10.173.10.6 10.173.10.6
3. 位址
set address untrust serverfarm-A 10.173.20.0/24set address untrust serverfarm-B 10.173.40.0/24
4. VPNset ike gateway gw-A ip 2.2.2.2 main outgoing-interface
netscreen1 sec-level compatibleset vpn vpn1 gateway gw-A sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
78
ethernet3 preshare
.0/0 any
gateway 1.1.1.250el.1el.1el.2el.2
y nat src dip-id 5 dst
y nat src dip-id 6 dst
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
set ike gateway gw-B ip 3.3.3.3 main outgoing-interface netscreen2 sec-level compatible
set vpn vpn2 gateway gw-B sec-level compatibleset vpn vpn2 bind interface tunnel.2set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
5. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.173.20.0/24 interface tunnset vrouter trust-vr route 10.173.30.0/24 interface tunnset vrouter trust-vr route 10.173.40.0/24 interface tunnset vrouter trust-vr route 10.173.50.0/24 interface tunn
6. 政策
set policy top from trust to untrust any serverfarm-A anip 10.173.30.0 10.173.30.255 permit
set policy top from trust to untrust any serverfarm-B anip 10.173.50.0 10.173.50.255 permit
save
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
79
Apply :
OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI (NetScreen-A)
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容, 然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.100.1.1/24
選擇下面的內容, 然後按一下 OK:Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: 輸入下面的內容, 然後按一下 OK :
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: ( 選擇 )
IP Address / Netmask: 10.2.2.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的內容, 然後按一下 OK:
Address Name: serverfarm-A
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.173.30.0/24
Zone: Trust
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
80
( 選擇 )
: 1.1.1.1
下 Return 返回基本 AutoKey
), tunnel.1
/0
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Objects > Addresses > List > New: 輸入下面的內容, 然後按一下 OK:
Address Name: customer1
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.173.10.2/32
Zone: Untrust
3. VPN
VPNs > AutoKey IKE > New: 輸入下面的內容, 然後按一下 OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: gw-1
Type:Static IP: ( 選擇 ), Address/Hostname
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: 輸入下面的進階設定, 然後按一IKE 組態頁面 :
Bind to Tunnel Interface: ( 選擇
Proxy-ID: ( 選擇 )
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
81
按一下 OK:
按一下 OK:
按一下 OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
4. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 0.0.0.0/0
Gateway: ( 選擇 )
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 10.173.10.2/32
Gateway: ( 選擇 )
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 10.173.30.0/24
Gateway: ( 選擇 )
Interface: ethernet1
Gateway IP Address: 0.0.0.0
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
82
:
下 Return 返回基本 Policy 組態
)
擇 ), 10.100.1.0 – 10.100.1.255
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
5. 政策
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry:( 選擇 ), customer1
Destination Address:
Address Book Entry: ( 選擇 ), serverfarm-A
Service: ANY
Action: Permit
Position at Top: ( 選擇 )
> Advanced: 輸入下面的進階設定, 然後按一頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP Range: ( 選
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
83
ethernet3 preshare
.0/0 any
gateway 2.2.2.250el.1rnet1
m-A any nat dst ip
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
CLI (NetScreen-A)
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.100.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.2.2.1/24
2. 位址
set address trust serverfarm-A 10.173.30.0/24set address untrust customer1 10.173.10.2/32
3. VPNset ike gateway gw-1 ip 1.1.1.1 main outgoing-interface
netscreen1 sec-level compatibleset vpn vpn1 gateway gw-1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.173.10.2/32 interface tunnset vrouter trust-vr route 10.173.30.0/24 interface ethe
5. 政策
set policy top from untrust to trust customer1 serverfar10.100.1.0 10.100.1.255 permit
save
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
84
Apply :
OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
WebUI (NetScreen-B)
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容, 然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )IP Address/Netmask: 10.100.2.1/24
選擇下面的內容, 然後按一下 OK:Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容, 然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 3.3.3.3/24
Network > Interfaces > New Tunnel IF: 輸入下面的內容, 然後按一下 OK :
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: ( 選擇 )
IP Address / Netmask: 10.3.3.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的內容, 然後按一下 OK:
Address Name: serverfarm-B
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.173.50.0/24
Zone: Trust
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
85
( 選擇 )
: 1.1.1.1
下 Return 返回基本 AutoKey
), tunnel.1
/0
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
Objects > Addresses > List > New: 輸入下面的內容, 然後按一下 OK:
Address Name: customer1
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.173.10.6/32
Zone: Untrust
3. VPN
VPNs > AutoKey IKE > New: 輸入下面的內容, 然後按一下 OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: gw-1
Type:Static IP: ( 選擇 ), Address/Hostname
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: 輸入下面的進階設定, 然後按一IKE 組態頁面 :
Bind to Tunnel Interface: ( 選擇
Proxy-ID: ( 選擇 )
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
86
按一下 OK:
按一下 OK:
按一下 OK:
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
4. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 0.0.0.0/0
Gateway: ( 選擇 )
Interface: ethernet3
Gateway IP Address: 3.3.3.250
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 10.173.10.6/32
Gateway: ( 選擇 )
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容, 然後
Network Address / Netmask: 10.173.50.0/24
Gateway: ( 選擇 )
Interface: ethernet1
Gateway IP Address: 0.0.0.0
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
87
:
下 Return 返回基本 Policy 組態
)
擇 ), 10.100.2.0 – 10.100.2.255
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
5. 政策
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容, 然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), customer1
Destination Address:
Address Book Entry: ( 選擇 ), serverfarm-B
Service: ANY
Action: Permit
Position at Top: ( 選擇 )
> Advanced: 輸入下面的進階設定, 然後按一頁面 :
NAT:
Destination Translation: ( 選擇
Translate to IP Range: ( 選
第 3 章 目的地網路位址轉譯 相同政策中的 NAT-Src 與 NAT-Dst
88
ethernet3 preshare
.0/0 any
gateway 3.3.3.250el.1rnet1
m-B any nat dst ip
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
CLI (NetScreen-B)
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.100.2.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 3.3.3.3/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.3.3.1/24
2. 位址
set address trust serverfarm-B 10.173.50.0/24set address untrust customer1 10.173.10.6/32
3. VPNset ike gateway gw-1 ip 1.1.1.1 main outgoing-interface
netscreen2 sec-level compatibleset vpn vpn2 gateway gw-1 sec-level compatibleset vpn vpn2 bind interface tunnel.1set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.173.10.6/32 interface tunnset vrouter trust-vr route 10.173.50.0/24 interface ethe
5. 政策
set policy top from untrust to trust customer1 serverfar10.100.2.0 10.100.2.255 permit
save
4
89
ðƒ 4 Š¼
何使用對應 IP (MIP) 和虛擬 IP
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
對應和虛擬 IP 位址
NetScreen 提供許多執行目的地 IP 位址及目的地連接埠位址轉譯的方式。本章說明如(VIP) 位址,依據下列章節編排:
• 第 90 頁上的「對應的 IP 位址」
– 第 91 頁上的「MIP 和 Global 區域」
– 第 101 頁上的「MIP-Same-as-Untrust」– 第 105 頁上的「MIP 與回傳介面」
• 第 115 頁上的「虛擬 IP 位址」
– 第 118 頁上的「VIP 和 Global 區域」
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
90
將目的地為 MIP 的向內通訊流將 IP 封包標頭中之目的地 IP 位機的來源 IP 位址轉譯為 MIP 位上的「NAT-Src 與 NAT-Dst 的
決了透過 VPN 通道連接的兩個「具有重疊位址的 VPN 站台」。)
的子網路中建立 MIP 作為連結和安全區的介面,但是您定義的
果情況如此,就必須在外部路由器上NetScreen 裝置上定義靜態路由。
MIP 1.1.1.5 -> 10.1.1.5
Global區域
注意 : MIP (1.1.1.5) 在和 Untrust 區域介面 (1.1.1.1/24) 相同的子網路中,但是在不同的區域中。
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
對應的 IP 位址對應的 IP (MIP) 是一個 IP 位址到另一個 IP 位址的直接一對一對應。NetScreen 裝置量轉寄至位址為 MIP 指向位址的主機。就本質而言,MIP 是靜態目的地位址轉譯,它址與另一靜態 IP 位址對應。MIP 主機初始化向外通訊流量時,NetScreen 裝置會將主址的 IP 位址。此雙向轉譯對稱不同於來源與目的地位址轉譯的行為 ( 請參閱第 13 頁方向特質」 )。
MIP 讓向內通訊流量可以到達介面處於 NAT 模式的區域中的私人位址。MIP 也部份解站台之間位址空間重疊的1問題。( 如需此問題完整的解決方案,請參閱第 5 -201 頁上的
您可以在相同的子網路中建立 MIP (作為具有 IP 位址/網路遮罩的通道介面),或在相同至第 3 層 (L3) 安全區的 IP 位址/網路遮罩2。雖然您設定 MIP 以用於連結到通道區域MIP 儲存在 Global 區域中。
1. 當兩個網路的 IP 位址範圍部分或全部相同時產生重疊位址空間。
2. 例外狀況是為 Untrust 區域中的介面定義的 MIP。該 MIP 可以在不同於 Untrust 區域介面 IP 位址的子網路中。但是,如新增路由,指向 Untrust 區域介面,以便向內通訊流量能到達 MIP。此外,您必須在將 MIP 與代管它的介面相關聯的
網際網路
私人位址空間
公開位址空間
Untrust區域
Trust區域
10.1.1.5
Untrust 區域介面ethernet3, 1.1.1.1/24
Trust 區域介面ethernet1, 10.1.1.1/24
NAT 模式
對應的 IP: 來自 Untrust 區域的向內通訊流量從 210.1.1.5 對應到 Trust 區域中的 10.1.1.5。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
91
。Global 區域通訊錄會儲存所有的目的地位址,及作為定義全域策」。) 雖然 NetScreen 裝置會作為參考 MIP 的政策中的目的
能在 DIP 集區中。
對應的 IP 組態後,網路遮罩會
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
MIP 和 Global 區域
為任何區域中的介面設定 MIP 都會在 Global 區域通訊錄中產生對應於該 MIP 的項目MIP,不論其介面所屬區域為何。您可以將這些 MIP 位址作為任意兩個區域間政策中政策時的目的地位址。( 如需關於全域政策的資訊,請參閱第 2 -301 頁上的「全域政將 MIP 儲存在 Global 區域中,但您仍可使用 Global 區域或具有 MIP 指向位址的區域地區域。
注意 : 在一些 NetScreen 裝置上,MIP 可以使用與介面相同的位址,但是 MIP 位址不
您可以對應「位址到位址」或「子網路到子網路」關係。定義「子網路到子網路」同時套用到對應的 IP 子網路和原始 IP 子網路。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
92
ernet2 連結到 Untrust 區域並為內 HTTP 通訊流量引導至 Trust位址至 MIP 的 HTTP 通訊流量,r 路由設定網域中。
Global 區域
.1.5定 )
流量到達 ethernet2。
rnet2 上為 MIP 查詢路由並將 。
往 10.1.1.5 的路由並將通訊流
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
範例:Untrust 區域介面上的 MIP
在本範例中,將 ethernet1 連結到 Trust 區域並為其指派 IP 位址 10.1.1.1/24。將 eth其指派 IP 位址 1.1.1.1/24。然後設定 MIP,將目的地為 Untrust 區域中 1.1.1.5 的向區域中位址為 10.1.1.5 的 Web 伺服器。最後,您建立一個允許自 Untrust 區域中任何此通訊流量最終通往 Trust 區域中具有 MIP 指向位址的主機。所有安全區都在 trust-v
注意 : 「對應的 IP」或其所指向的主機不需使用任何通訊錄項目。
Untrust 區域
Trust 區域
Untrust 區域介面ethernet2, 1.1.1.1/24
Trust 區域介面ethernet1, 10.1.1.1/24
MIP 1.1.1.5 -> 10.1( 在 ethernet2 上設
Web 伺服器10.1.1.5
網際網路
目的地為 1.1.1.5 的通訊
NetScreen 裝置在 ethe1.1.1.5 解析為 10.1.1.5
NetScreen 裝置查詢通量轉寄出 ethernet1。
1
2
3
1
2
3
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
93
Apply:
OK:
,然後按一下 OK:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容,然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
選擇下面的內容,然後按一下 OK:
Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet2 ): 輸入下面的內容,然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. MIP
Network > Interfaces > Edit ( 對於 ethernet2 ) > MIP > New: 輸入下面的內容
Mapped IP: 1.1.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
94
:
k 255.255.255.2553
ermit
。例如,若要透過 CLI 將 1.1.1.5 定義.1.10.128 netmask 255.255.255.128。
以提供與 WebUI 組態的對稱。
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
3. 政策
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), MIP(1.1.1.5)
Service: HTTP
Action: Permit
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24
2. MIPset interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmas
vrouter trust-vr4
3. 政策
set policy from untrust to trust any mip(1.1.1.5) http psave
3. 依預設,MIP 的網路遮罩為 32 位元 (255.255.255.255),將位址對應到單一主機。您也可以為某個範圍的位址定義 MIP為 C 類子網路中位址 10.1.10.129–10.1.10.254 的 MIP,請使用下面的語法 : set interface interface mip 1.1.1.5 host 10小心不要使用包括介面或路由器位址的位址範圍。
4. 預設的虛擬路由器為 trust-vr。您不必指定虛擬路由器為 trust-vr 或 MIP 有 32 位元網路遮罩。此指令中包含這些引數,
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
95
IP。為了完成上述作業,您必須達 MIP5。
5),以對應到 Trust 區域 thernet1。
1.3.3.1/24。為 1.1.1.5 定義在政區域中的 MIP。您還要設定政策由設定網域中。
到 NetScreen 裝置的路由。但是,如一條靜態路由新增至 NetScreen 路由
_str 是指定的介面所屬的虛擬路由器,
流量流向 1.3.3.1 ( ethernet3
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
範例:從不同區域到達 MIP
來自不同區域的通訊流量仍可透過其他介面 ( 而非您在其上設定 MIP 的介面 ) 到達 M在其他每個區域中的路由器上設定路由,將向內通訊流量指向各自介面的 IP 位址以到
在本範例中,您在 Untrust 區域 (ethernet2,1.1.1.1/24) 中的介面上設定 MIP (1.1.1.(10.1.1.5) 中的 Web 伺服器。連結到 Trust 區域的介面是 IP 位址為 10.1.1.1/24 的 e
您建立名為 X-Net 的安全區,將 ethernet3 連結到該區域,然後為介面指派 IP 位址 策中使用的位址,以讓 HTTP 通訊流量可以從 X-Net 區域中的任何位址流向 Untrust 以讓 HTTP 通訊流量可以從 Untrust 區域流到 Trust 區域。所有安全區都在 trust-vr 路
5. 如果 MIP 與在其上設定了 MIP 的介面在相同的子網路中,您就不必為了讓通訊流量透過不同的介面到達 MIP 而新增果 MIP 與其介面的 IP 位址在不同的子網路中 ( 僅對於 Untrust 區段中介面上的 MIP 才可能出現這種情況 ),您必須將設定表。使用 set vrouter name_str route ip_addr interface interface 指令 ( 或 WebUI 中的等效指令 ),其中 nameinterface 是在其上設定 MIP 的介面。
注意 : 您必須在 X-Net 區域的路由器上輸入路由,導引目的地為 1.1.1.5 (MIP) 的通訊的 IP 位址 )。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
96
OK:
Global 區域
MIP 1.1.1.5 -> 10.1.1.5( 在 ethernet2 上設定 )
量到達 eth2 和 eth3。
eth2 上為 MIP 查詢路由並將
行的路由查詢找不到結果。,在 eth2 上找到 MIP,然後將封被解析為 10.1.1.5。
10.1.1.5 的路由並將通訊流量轉
若要到達 1.1.1.5,必須為此路由指向 1.3.3.1 的路由。
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
WebUI
1. 介面和區域
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容,然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
選擇下面的內容,然後按一下 OK:
Interface Mode: NAT
Untrust 區域
Trust 區域
Untrust 區域介面ethernet2, 1.1.1.1/24
Trust 區域介面ethernet1, 10.1.1.1/24
Web 伺服器10.1.1.5
網際網路
目的地為 1.1.1.5 的通訊流
eth2: NetScreen 裝置在 1.1.1.5 解析為 10.1.1.5。
eth3: 在 eth3 上為 MIP 進NetScreen 檢查其他介面包轉寄至 eth2,MIP 在此
NetScreen 裝置查詢通往寄出 eth1。
1
2
31
2
3
X-Net 區域
X-Net 區域介面ethernet3, 1.3.3.1/24
注意 :器新增
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
97
OK:
OK:
,然後按一下 OK:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
Network > Interfaces > Edit ( 對於 ethernet2 ): 輸入下面的內容,然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
Network > Zones > New: 輸入下面的內容,然後按一下 OK:
Zone Name: X-Net
Virtual Router Name: untrust-vr
Zone Type: Layer 3
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容,然後按一下
Zone Name: X-Net
IP Address/Netmask: 1.3.3.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK:
Address Name: 1.1.1.5
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 1.1.1.5/32
Zone: Untrust
3. MIP
Network > Interfaces > Edit ( 對於 ethernet2 ) > MIP > New: 輸入下面的內容
Mapped IP: 1.1.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
98
:
:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
4. 政策
Policies > (From: X-Net, To: Untrust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), 1.1.1.5
Service: HTTP
Action: Permit
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), MIP(1.1.1.5)
Service: HTTP
Action: Permit
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
99
k 255.255.255.255
itermit
含這些引數,以提供與 WebUI 組態的
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
CLI
1. 介面和區域
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24
set zone name X-Netset interface ethernet3 zone X-Netset interface ethernet3 ip 1.3.3.1/24
2. 位址
set address untrust “1.1.1.5” 1.1.1.5/323. MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmasvrouter trust-vr6
4. 政策
set policy from X-Net to untrust any “1.1.1.5” http permset policy from untrust to trust any mip(1.1.1.5) http psave
6. 依預設,MIP 的網路遮罩為 32 位元 (255.255.255.255),預設虛擬路由器為 trust-vr。不必在指令中指定它們。此處包對稱。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
100
的 IP 位址為 10.20.3.1。Trust站台可以使用重疊位址空間,以P 位址為 10.20.3.25/32。( 如需 站台」。)
然後按一下 OK:
mask 255.255.255.255
含這些引數,以提供與 WebUI 組態的
.3.25),而不是伺服器的實體 IP
( 使用 DIP ),以便本機管理員源位址看起來會像是在 Trust 區
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
範例:將 MIP 新增到通道介面
在本範例中,Trust 區域中網路的 IP 位址空間為 10.1.1.0/24,通道介面「tunnel.8」區域中網路上伺服器的實體 IP 位址為 10.1.1.25。為了讓網路在 Trust 區域中的遠端透過 VPN 通道存取本機伺服器,您要在 tunnel.8 介面所在的子網路中建立 MIP。MI有通道介面的 MIP 的更完整的範例,請參閱第 5 -201 頁上的「具有重疊位址的 VPN
WebUI
Network > Interfaces > Edit ( 對於 tunnel.8 ) > MIP > New: 輸入下面的內容,
Mapped IP: 10.20.3.25
Netmask: 255.255.255.255
Host IP Address: 10.1.1.25
Host Virtual Router Name: trust-vr
CLI
set interface tunnel.8 mip 10.20.3.25 host 10.1.1.25 netvrouter trust-vr7
save
7. 依預設,MIP 的網路遮罩為 32 位元 (255.255.255.255),預設虛擬路由器為 trust-vr。不必在指令中指定它們。此處包對稱。
注意 : 遠端管理員將伺服器位址新增到 Untrust 區域通訊錄時,必須輸入 MIP (10.20位址 (10.1.1.25)。
遠端管理員還需要對透過 VPN 發往伺服器的向外封包套用以政策為基礎的 NAT-src可以新增與本機 Trust 區域位址不衝突的 Untrust 區域位址。否則,向內政策中的來域中。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
101
果對於連結到 Untrust 區域 ( 連使用 Untrust 區域介面 IP 位址存取。
IP 位址作為 MIP,NetScreen Untrust 介面上未設定 VPN 或動將所接收到的 IKE 或 L2TP 封
定 HTTP 作為政策中的服務,您向內 HTTP 通訊流量都被對應
透過 Untrust 區域介面來管理裝
35 )。然後按一下 Apply。
位址,
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
MIP-Same-as-Untrust由於 IPv4 位址越來越少,ISP 越來越不願意為顧客提供一個或兩個以上的 IP 位址。如結到 Trust 區域的介面模式為網路位址轉譯 (NAT)) 的介面,您只有一個 IP 位址,可以作為對應的 IP (MIP),以提供到內部伺服器或主機或到 VPN 或 L2TP 通道端點的向內
MIP 將到達一個位址的通訊流量對應到另一個位址,因此,透過使用 Untrust 區域介面裝置將使用 Untrust 區域介面的所有向內通訊流量都對應到指定的內部位址。只要L2TP 通道,則若 Untrust 介面上的 MIP 對應至 VPN 或 L2TP 通道端點,裝置即會自包轉寄至通道端點。
如果建立政策,而且其中目的地位址是使用 Untrust 區域介面 IP 位址的 MIP,您也指就會失去經由該介面對 NetScreen 裝置進行 Web 管理的能力 ( 因為流向該位址的所有到內部伺服器或主機 )。透過變更 Web 管理的連接埠號碼,您仍然可以使用 WebUI置。若要變更 Web 管理連接埠號碼,請執行下面的操作:
1. Admin > Web: 在 HTTP Port 欄位中輸入登錄的連接埠號碼 ( 從 1024 到 65,5
2. 當您下一次連線至 Untrust 區域介面以管理裝置時,將連接埠號碼附加至 IP 如 http://209.157.66.170:5000。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
102
器的 MIP,其實際 IP 位址為 此需要將 Web 管理連接埠號碼P 預設連接埠號碼 80 ) 的政策,
Apply:
OK:
後按一下 Apply。
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
範例:Untrust 介面上的 MIP
在本範例中,選擇 Untrust 區域介面 (ethernet3,1.1.1.1/24) 的 IP 位址作為 Web 伺服Trust 區域中的 10.1.1.5。由於您希望保留對 ethernet3 介面的 Web 管理存取權,因變更為 8080。然後您建立一個允許自 Untrust 區域至 MIP 的 HTTP 服務 ( 透過 HTT此服務最終通往 Trust 區中 MIP 所指向位址的主機。
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容,然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
輸入下面的內容,然後按一下 OK:
NAT: 8 ( 選擇 )
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容,然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. HTTP 連接埠
Configuration > Admin > Management: 在 HTTP Port 欄位中鍵入 8080,然
( 遺失 HTTP 連接。)
8. 依預設,連結到 Trust 區域的任何介面都處於 NAT 模式。因此,對於連結到 Trust 區域的介面,已啟用此選項。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
103
IP 位址。( 如果您目前正透過
然後按一下 OK:
按一下 OK:
:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
3. 重新連線
重新連接到 NetScreen 裝置,將 8080 附加到 Web 瀏覽器 URL 位址欄位中的Untrust 介面管理裝置,請鍵入 http://1.1.1.1:8080。)
4. MIP
Network > Interface > Edit ( 對於 ethernet3 ) > MIP > New: 輸入下面的內容,
Mapped IP: 1.1.1.1
Netmask: 255.255.255.2559
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
5. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後
Network Address / Netmask: 0.0.0.0/0
Gateway: ( 選擇 )
Interface: ethernet3
Gateway IP Address: 1.1.1.250
6. 政策
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), MIP(1.1.1.1)
Service: HTTP
Action: Permit
9. 使用 Untrust 區域介面 IP 位址的 MIP 的網路遮罩必須為 32 位元。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
104
k 255.255.255.255
gateway 1.1.1.250
ermit
含這些引數,以提供與 WebUI 組態的
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. HTTP 連接埠
set admin port 8080
3. MIPset interface ethernet3 mip 1.1.1.1 host 10.1.1.5 netmas
vrouter trust-vr10
4. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. 政策
set policy from untrust to trust any mip(1.1.1.1) http psave
10. 依預設,MIP 的網路遮罩為 32 位元 (255.255.255.255),預設虛擬路由器為 trust-vr。不必在指令中指定它們。此處包對稱。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
105
允許使用單一 MIP 位址經由數流量。
傳介面 ( 其中 id_num 是用於唯介面」 )。然後,為允許其他介
,那麼任何介面類型均可作為介面組態。回傳介面不得為另一回
MIP 位址 ( 在回傳介面上定義,但儲存在 Global 區域中 )
N 的通訊流量介面上的 MIP
址的通訊流量會域介面退出至
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
MIP 與回傳介面
在回傳介面上定義 MIP 可讓介面群組得以存取 MIP。執行此作業的主要應用方式是:個 VPN 通道之一存取主機。MIP 主機亦可經由適當的通道初始化通往遠端站台的通訊
您可以將回傳介面視為包含 MIP 位址的資源容器。您以 loopback.id_num 名稱設定回一識別裝置中介面的索引名稱,並為介面指派 IP 位址 ( 請參閱第 2 -74 頁上的「回傳面使用回傳介面上的 MIP,您將介面新增為回傳介面的成員。
回傳介面及其成員介面必須位在相同區域的不同 IP 子網路中。只要介面具有 IP 位址面群組的成員。若您在回傳介面及它的一個成員介面上設定 MIP,則優先採用回傳介傳群組的成員。
MIP 主機
通道介面 :回傳介面群組的成員
Untrust 區域
Trust 區域
回傳介面( 在 Untrust 區域中 )
Trust 區域介面
來自兩個 VP皆可到達回傳位址。
Untrust 區域介面
VPN 通道
VPN 對等
來自 MIP 位經由 Trust 區MIP 主機。
VPN 對等
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
106
00.1.5,它對應至 Trust 區域中
)
MIP 位址 : 10.100.1.5 -> 10.1.1.5
私人:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
範例:兩個通道介面的 MIP
在本範例中,設定下列介面:
• ethernet1,Trust 區域,10.1.1.1/24
• ethernet1,Untrust 區域,1.1.1.1/24
• tunnel.1,Untrust 區域,10.10.1.1/24,連結至 vpn1
• tunnel.2,Untrust 區域,10.20.1.1/24,連結至 vpn2
• loopback.3,Untrust 區域,10.100.1.1/24
這些通道介面均是 loopback.3 介面群組的成員。loopback.3 介面包括 MIP 位址 10.1位於 10.1.1.5 的主機。
通道介面 : 回傳介面群組的成員
Untrust 區域
Trust 區域
ethernet110.1.1.1/24
ethernet31.1.1.1/24
vpn1
gw1
loopback.3 10.100.1.1/24
( 在 Untrust 區域中
MIP 主機 10.1.1.5
tunnel.1, 10.10.1.1/24 tunnel.2, 10.20.1.1/24
vpn2
gw2
在 gw1 之後的私人位址空間 : 10.2.1.0/24
在 gw2 之後的位址空間10.3.1.0/24
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
107
置會在回傳介面 loopback.3 上位址 (10.100.1.5) 轉譯為主機 IP訊流量也可經由連結至 tunnel.2的地 IP 位址 10.100.1.5 轉譯為
由設定網域中。
Apply:
OK:
:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
當目的地為 10.100.1.5 的封包經由連結至 tunnel.1 的 VPN 通道抵達時,NetScreen 裝搜尋 MIP。若裝置在 loopback.3 找到配對項,則 NetScreen 裝置會將原始目的地 IP 位址 (10.1.1.5),並經由 ethernet1 將封包轉寄至 MIP 主機。目的地為 10.100.1.5 的通的 VPN 通道抵達。NetScreen 裝置同樣會在 loopback.3 上搜尋配對項,將原始目10.1.1.5,並將封包轉寄至 MIP 主機。
您亦定義完成組態所需的位址、VPN 通道、路由與政策。所有安全區都在 trust-vr 路
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容,然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
輸入下面的內容,然後按一下 OK:
NAT:11 ( 選擇 )
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容,然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Loopback IF: 輸入下面的內容,然後按一下 OK
Interface Name: loopback.3
Zone: Untrust (trust-vr)
IP Address / Netmask: 10.100.1.1/24
11. 依預設,連結到 Trust 區域的任何介面都處於 NAT 模式。因此,對於連結到 Trust 區域的介面,已啟用此選項。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
108
:
選擇 loopback.3,
:
選擇 loopback.3,
,然後按一下 OK:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 Apply
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: ( 選擇 )
IP Address / Netmask: 10.10.1.1/24
在 Member of Loopback Group 下拉式清單中然後按一下 OK。
Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 Apply
Tunnel Interface Name: tunnel.2
Zone (VR): Untrust (trust-vr)
Fixed IP: ( 選擇 )
IP Address / Netmask: 10.20.1.1/24
在 Member of Loopback Group 下拉式清單中然後按一下 OK。
2. MIP
Network > Interfaces > Edit ( 針對 loopback.3) > MIP > New: 輸入下面的內容
Mapped IP: 10.100.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
109
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯3. 位址
Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK:
Address Name: local_lan
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK:
Address Name: peer-1
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.2.1.0/24
Zone: Untrust
Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK:
Address Name: peer-2
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 10.3.1.0/24
Zone: Untrust
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
110
( 選擇 )
: 2.2.2.2
下 Return 返回基本 AutoKey
), tunnel.1
/0
( 選擇 )
: 3.3.3.3
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
4. VPN
VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: gw1
Type: Static IP: ( 選擇 ), Address/Hostname
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: 輸入下面的進階設定,然後按一IKE 組態頁面 :
Bind to Tunnel Interface: ( 選擇
Proxy-ID: ( 選擇 )
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK:
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: gw2
Type: Static IP: ( 選擇 ), Address/Hostname
Preshared Key: netscreen2
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
111
下 Return 返回基本 AutoKey
), tunnel.2
/0
按一下 OK:
按一下 OK:
按一下 OK:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: 輸入下面的進階設定,然後按一IKE 組態頁面 :
Bind to Tunnel Interface: ( 選擇
Proxy-ID: ( 選擇 )
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
5. 路由
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後
Network Address / Netmask: 10.2.1.0/24
Gateway: ( 選擇 )
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後
Network Address / Netmask: 10.3.1.0/24
Gateway: ( 選擇 )
Interface: tunnel.2
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後
Network Address / Netmask: 0.0.0.0/0
Gateway: ( 選擇 )
Interface: ethernet3
Gateway IP Address: 1.1.1.250
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
112
:
.5)
:
.5)
:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
6. 政策
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), peer-1
Destination Address:
Address Book Entry: ( 選擇 ), MIP(10.100.1
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), peer-2
Destination Address:
Address Book Entry: ( 選擇 ), MIP(10.100.1
Service: ANY
Action: Permit
Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), local_lan
Destination Address:
Address Book Entry: ( 選擇 ), Any
Service: ANY
Action: Permit
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
113
tmask 255.255.255.255
含這些引數,以提供與 WebUI 組態的
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface loopback.3 zone trustset interface loopback.3 ip 10.100.1.1/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.10.1.1/24set interface tunnel.1 loopback-group loopback.3
set interface tunnel.2 zone untrustset interface tunnel.2 ip 10.20.1.1/24set interface tunnel.2 loopback-group loopback.3
2. MIPset interface loopback.3 mip 10.100.1.5 host 10.1.1.5 ne
vrouter trust-vr12
3. 位址
set address trust local_lan 10.1.1.0/24set address untrust peer-1 10.2.1.0/24set address untrust peer-2 10.3.1.0/24
12. 依預設,MIP 的網路遮罩為 32 位元 (255.255.255.255),預設虛擬路由器為 trust-vr。不必在指令中指定它們。此處包對稱。
第 4 章 對應和虛擬 IP 位址 對應的 IP 位址
114
thernet3 preshare
.0/0 any
thernet3 preshare
.0/0 any
12t3 gateway 1.1.1.250
.5) any permit
.5) any permitt
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
4. VPNset ike gateway gw1 address 2.2.2.2 outgoing-interface e
netscreen1 sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
set ike gateway gw2 address 3.3.3.3 outgoing-interface enetscreen2 sec-level compatible
set vpn vpn2 gateway gw2 sec-level compatibleset vpn vpn2 bind interface tunnel.2set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
5. 路由
set vrouter trust-vr route 10.2.1.0/24 interface tunnel.set vrouter trust-vr route 10.3.1.0/24 interface tunnel.set vrouter untrust-vr route 0.0.0.0/0 interface etherne
6. 政策
set policy top from untrust to trust peer-1 mip(10.100.1set policy top from untrust to trust peer-2 mip(10.100.1set policy from trust to untrust local_lan any any permisave
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
115
位址上收到的通訊流量對應到另
可能對應到位址為 10.1.1.10 的
。
。
機。
Trust 區域中的
主機 IP10.1.1.10
10.1.1.20
10.1.1.30
FTP (21)
伺服器.1.10
服器.1.30
FTP 伺服器10.1.1.20
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
虛擬 IP 位址虛擬 VIP (VIP) 位址依據 TCP 或 UDP 片段標頭中的目的地連接埠號碼,將在一個 IP 一位址。例如,
• 目的地為 1.1.1.3:80 ( 即,IP 位址為 1.1.1.3,連接埠為 80 ) 的 HTTP 封包Web 伺服器。
• 目的地為 1.1.1.3:21 的 FTP 封包可能對應到位址為 10.1.1.20 的 FTP 伺服器
• 目的地為 1.1.1.3:25 的 SMTP 封包可能對應到位址為 10.1.1.30 的郵件伺服器
目的地 IP 位址都相同。目的地連接埠號碼確定 NetScreen 裝置將通訊流量轉寄到的主
虛擬 IP 轉寄表
Untrust 區域中的
介面 IPGlobal 區域中的
VIP連接埠 轉寄至
1.1.1.1/24 1.1.1.3 80 (HTTP)
1.1.1.1/24 1.1.1.3 21 (FTP)
1.1.1.1/24 1.1.1.3 25 (SMTP)
網際網路
VIP1.1.1.3
Untrust 區域介面eth3, 1.1.1.1/24
HTTP (80)
SMTP (25)
Web 10.1
郵件伺10.1
Untrust 區域 Trust 區域Global 區域
Trust 區域介面eth1, 1.2.2.1/24
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
116
不過,如果您已在套用於來自該IP 主機初始化向外通訊流量時,不會轉譯來自 VIP 主機之通訊
tScreen 裝置上可以與該介面位
埠號碼。例如,若您在相同的機連接埠 2121 上執行另一個伺服可存取第二個 FTP 伺服器。
服務。
65,535 的號碼範圍。
情況下使用 VIP,請執行下列操作之tScreen 裝置上 Untrust 區域 ( 支援多刪除,否則您就無法建立使用 Untrust
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
NetScreen 裝置將目的地為 VIP 的向內通訊流量轉寄至位址為 IP 指向位址的主機。主機之通訊流量的政策中設定了在入口介面上執行 NAT 或 NAT-src 的做法,則當 VNetScreen 裝置只會將原始來源 IP 位址轉譯為另一個位址。否則,NetScreen 裝置將流量中的來源 IP 位址。
您需要下面的資訊來定義「虛擬 IP」 :
• VIP 的 IP 位址必須與 Untrust 區域中的介面位在同一子網路,甚或在某些 Ne在相同位址13
• 處理要求的伺服器的 IP 位址
• 您要 NetScreen 裝置從 VIP 轉寄至主機 IP 位址的服務類型
一些有關 NetScreen VIP 的註釋:
• 在單一機器上執行多個伺服器處理程序時,您可以使用知名服務的虛擬連接器上具有兩個 FTP 伺服器,您即可在連接埠 21 上執行其中一個伺服器,在器。只有事先知道虛擬連接埠號碼,並將之附加至封包標頭中的 IP 位址者才
• 您可以對應預先定義的服務和使用者定義的服務。
• 單一 VIP 可以分辨具有相同來源及目的地連接埠號碼、但傳輸方式不同的自訂
• 自訂服務可使用任何目的地連接埠號碼或從 1 到 65,535 而不僅是從 1024 到
13. 在某些 NetScreen 裝置上,Untrust 區域中的介面可以經由 DHCP 或 PPPoE 動態接收到其 IP 位址。若您想要在這種一 : 在 WebUI 中 ( Network > Interfaces > Edit ( 對於 Untrust 區域中的介面 ) > VIP: 選擇若您設定 VIP 以使用與 Ne重 VIP) 相同的 IP 位址,那麼其他 「一般的」 VIP 將無法使用。若已設定一般的 VIP,那麼除非您先將一般的 VIP 區域介面的 VIP。
注意 : 只能在 Untrust 區域中的介面上設定 VIP。
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
117
的自訂服務 ( 服務中的每個連接接埠服務。若要在 VIP 中使用n 裝置。( 請參閱第 122 頁上的
機不在 trust-vr 的路由設定網域
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
• 透過在單一 VIP 下建立多個服務項目,單一 VIP 可支援具有多個連接埠項目埠項目在 VIP 中都有一個對應的服務項目 )。依預設,可在 VIP 中使用單一連多連接埠服務,必須先發出 CLI 指令 set vip multi-port,然後重設 NetScree「範例:有自訂和多連接埠服務的 VIP」。)
• NetScreen 裝置將 VIP 通訊流量對應到的主機必須可從 trust-vr 到達。如果主中,您必須定義到達它的路由。
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
118
通訊錄會保留所有介面的全部目的地位址及全域政策中的目的
介面 ethernet3 連結到 Untrust
eb 伺服器,並且建立政策允許
rust 區域到達它的通訊流量定義st-vr 路由設定網域中。
,指向連結到該區域的介面。例如,假t2。路由器將通訊流量傳送到 ethernet2送到 Trust 區域。此過程和第 95 頁上 Trust 區域中的 VIP。
Web 伺服器10.1.1.10
Trust 區域
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
VIP 和 Global 區域
為 Untrust 區域中的介面設定 VIP 將在 Global 區域通訊錄中產生項目。Global 區域VIP,不論介面屬於哪個區域。您可以將這些 VIP 位址作為任意兩個區域間政策中的地位址。
範例:設定虛擬 IP 伺服器
在本範例中,將介面 ethernet1 連結到 Trust 區域並為其指派 IP 位址 10.1.1.1/24。將區域並為其指派 IP 位址 1.1.1.1/24。
然後,在 1.1.1.10 設定 VIP,以將向內 HTTP 通訊流量轉寄至位址為 10.1.1.10 的 W通訊流量從 Untrust 區域到達 VIP,且最終到達 Trust 區域中 VIP 指向位址的主機。
由於 VIP 與 Untrust 區域介面 (1.1.1.0/24) 在相同的子網路中,因此您不需要為從 Unt路由14。此外,VIP 將通訊流量轉寄到的主機不需要通訊錄項目。所有安全區都在 tru
14. 如果要 HTTP 通訊流量從安全區 ( 而非 Untrust 區域 ) 到達 VIP,則必須在另一區域中的路由器上為 1.1.1.10 設定路由設 ethernet2 連結到使用者定義的區域,並且您已經設定該區域中的路由器,將流向 1.1.1.10 的通訊流量傳送到 etherne後,NetScreen 裝置中的轉寄機制在 ethernet3 上找到 VIP,它將通訊流量對應到 10.1.1.10,並將之透過 ethernet1 傳的「範例:從不同區域到達 MIP」中說明的過程類似。您還必須設定一個政策,允許 HTTP 通訊流量從來源區域流向
網際網路VIP
1.1.1.10
Untrust 區域
Untrust 區域介面eth3, 1.1.1.1/24
Trust 區域介面eth1, 10.1.1.1/24
Global 區域
HTTP (80)
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
119
Apply:
OK:
按一下 Add :
下面的內容,然後按一下 OK:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容,然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
選擇下面的內容,然後按一下 OK:
Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容,然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. VIP
Network > Interfaces > Edit ( 對於 ethernet3 ) > VIP: 輸入下面的位址,然後
Virtual IP Address: 1.1.1.10
Network > Interfaces > Edit ( 對於 ethernet3 ) > VIP > New VIP Service: 輸入
Virtual IP: 1.1.1.10
Virtual Port: 80
Map to Service: HTTP (80)
Map to IP: 10.1.1.10
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
120
:
permit
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
3. 政策
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), ANY
Destination Address:
Address Book Entry: ( 選擇 ), VIP(1.1.1.10)
Service: HTTP
Action: Permit
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet2 ip 1.1.1.1/24
2. VIPset interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
3. 政策
set policy from untrust to trust any vip(1.1.1.10) http save
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
121
b 伺服器的存取,將 HTTP 通訊器時知道使用連接埠號碼 2211
IP Service Congure 部份中 ): 輸
的任何現有政策。在第 118 頁
ve。
Congure 部份中的 Remove。
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
範例:編輯 VIP 組態
在本範例中,您修改在前一個範例中建立的「虛擬 IP」伺服器組態。為了限制對 We流量的虛擬連接埠號碼從 80 ( 預設值 ) 變更為 2211。現在,只有那些連接 Web 伺服的人員才能存取。
WebUI
Network > Interfaces > Edit ( 針對 ethernet3 ) > VIP > Edit ( 在 1.1.1.10 的 V入下面的內容,然後按一下 OK:
Virtual Port: 2211
CLI
unset interface ethernet3 vip 1.1.1.10 port 80set interface ethernet3 vip 1.1.1.10 2211 http 10.1.1.10save
範例:移除 VIP 組態
在本範例中,您刪除之前建立和修改的 VIP 組態。移除 VIP 前,必須先移除與其有關上的「範例:設定虛擬 IP 伺服器」中建立的政策的 ID 編號為 5。
WebUI
Policies > (From: Untrust, To: Trust) > Go: 按一下對應於政策 ID 5 的 Remo
Network > Interfaces > Edit ( 對於 ethernet3 ) > VIP: 按一下 1.1.1.10 的 VIP
CLI
unset policy id 5unset interface ethernet3 vip 1.1.1.10save
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
122
器 (10.1.1.4),並將驗證檢查傳連接埠號碼與實際連接埠號碼保證通訊流量。
here 是一項多連接埠服務,傳送
主機 IP 位址
10.1.1.3
10.1.1.4
10.1.1.4
10.1.1.5
: 10.1.1.3 -> 53
DNS 伺服器 : 10.1.1.4HTTP 80 -> 80PCAnywhere5631, 5632 ->
5631, 5632
器 : 10.1.1.583 -> 389
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
範例:有自訂和多連接埠服務的 VIP
在下面的範例中,您在 1.1.1.3 設定 VIP,將下列服務路由到下列內部位址:
VIP 將 DNS 查詢傳送到 DNS 伺服器 (10.1.1.3),將 HTTP 通訊流量傳送到 Web 伺服送到 LDAP 伺服器 (10.1.1.5) 上的資料庫。對於 HTTP、DNS 和 PCAnywhere,虛擬持相同。對於 LDAP,虛擬連接埠號碼 (5983) 用於將額外的安全層級新增到 LDAP 驗
為了遠端管理 HTTP 伺服器,您定義自訂服務並且命名它為 PCAnywhere。PCAnyw並監聽 TCP 連接埠 5631 上的資料以及 UDP 連接埠 5632 上的狀態檢查。
服務 傳輸 虛擬連接埠號碼 實際連接埠號碼
DNS TCP,UDP 53 53
HTTP TCP 80 80
PCAnywhere TCP,UDP 5631, 5632 5631, 5632
LDAP TCP,UDP 5983 389
Remote Admin3.3.3.3
Global 區域
Web 伺服器DNS 53
Untrust 區域介面eth3, 1.1.1.1/24
Trust 區域介面eth1, 10.1.1.1/24
LDAP 伺服LDAP 59
Untrust 區域 Trust 區域
VIP1.1.1.3
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
123
VIP 的通訊流量設定從 Untrust
Apply:
OK:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
您還要在 Untrust 區域通訊錄中輸入「遠端管理」(3.3.3.3) 的位址,並且為所有要使用區域到 Trust 區域的政策。所有安全區都在 trust-vr 路由設定網域中。
WebUI
1. 介面
Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容,然後按一下
Zone Name: Trust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 10.1.1.1/24
選擇下面的內容,然後按一下 OK:
Interface Mode: NAT
Network > Interfaces > Edit ( 對於 ethernet3 ): 輸入下面的內容,然後按一下
Zone Name: Untrust
Static IP: ( 出現時選擇此選項 )
IP Address/Netmask: 1.1.1.1/24
2. 位址
Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK:
Address Name: Remote Admin
IP Address/Domain Name:
IP/Netmask: ( 選擇 ), 3.3.3.3/32
Zone: Untrust
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
124
Virtual IP Address 欄位中鍵入
一下 OK:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
3. 自訂服務
Object > Services > Custom > New: 輸入下面的內容,然後按一下 OK:
Service Name: PCAnywhere
No 1:
Transport protocol: TCP
Source Port Low: 0
Source Port High: 65535
Destination Port Low: 5631
Destination Port High: 5631
No 2:
Transport protocol: UDP
Source Port Low: 0
Source Port High: 65535
Destination Port Low: 5632
Destination Port High: 5632
4. VIP 位址和服務15
Network > Interfaces > Edit (對於 ethernet3 ) > VIP: 按一下此處進行設定 : 在1.1.1.3,然後按一下 Add。
> New VIP Service: 輸入下面的內容,然後按
Virtual IP: 1.1.1.3
Virtual Port: 53
Map to Service: DNS
Map to IP: 10.1.1.3
15. 若要啟用 VIP 以支援多連接埠服務,必須輸入 CLI 指令 set vip multi-port,儲存組態,然後將裝置重新開機。
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
125
一下 OK:
一下 OK:
一下 OK:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
> New VIP Service: 輸入下面的內容,然後按
Virtual IP: 1.1.1.3
Virtual Port: 80
Map to Service: HTTP
Map to IP: 10.1.1.4
> New VIP Service: 輸入下面的內容,然後按
Virtual IP: 1.1.1.3
Virtual Port: 563116
Map to Service: PCAnywhere
Map to IP: 10.1.1.4
> New VIP Service: 輸入下面的內容,然後按
Virtual IP: 1.1.1.3
Virtual Port: 598317
Map to Service: LDAP
Map to IP: 10.1.1.5
16. 對於多連接埠服務,輸入服務的最低連接埠號碼作為虛擬連接埠號碼。
17. 使用非標準連接埠號碼可新增另一個安全層級,阻擋檢查位於標準連接埠號碼服務的常見攻擊。
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
126
:
:
:
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
5. 政策
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), VIP(1.1.1.3)
Service: DNS
Action: Permit
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), VIP(1.1.1.3)
Service: HTTP
Action: Permit
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Any
Destination Address:
Address Book Entry: ( 選擇 ), VIP(1.1.1.3)
Service: LDAP
Action: Permit
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
127
:
in
-port 5631-5631632-5632
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK
Source Address:
Address Book Entry: ( 選擇 ), Remote Adm
Destination Address:
Address Book Entry: ( 選擇 ), VIP(1.1.1.3)
Service: PCAnywhere
Action: Permit
CLI
1. 介面
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. 位址
set address untrust “Remote Admin” 3.3.3.3/323. 自訂服務
set service pcanywhere protocol udp src-port 0-65535 dstset service pcanywhere + tcp src-port 0-65535 dst-port 5
4. VIP 位址和服務
set vip multi-portsaveresetSystem reset, are you sure? y/[n] y
第 4 章 對應和虛擬 IP 位址 虛擬 IP 位址
128
.1.1.418
rmitermitermit3) pcanywhere permit
Networks NetScreen 概念與範例 – 第 7 卷: 位址轉譯
set interface ethernet3 vip 1.1.1.3 53 dns 10.1.1.3set interface ethernet3 vip 1.1.1.3 + 80 http 10.1.1.4set interface ethernet3 vip 1.1.1.3 + 5631 pcanywhere 10set interface ethernet3 vip 1.1.1.3 + 5983 ldap 10.1.1.5
5. 政策
set policy from untrust to trust any vip(1.1.1.3) dns peset policy from untrust to trust any vip(1.1.1.3) http pset policy from untrust to trust any vip(1.1.1.3) ldap pset policy from untrust to trust “Remote Admin” vip(1.1.1.save
18. 對於多連接埠服務,輸入服務的最低連接埠號碼作為虛擬連接埠號碼。
索引
IX-I
v
90115
118
viii,ScreenOS 支援的 viii
閱 NAT、NAT-dst 和 NAT-src
-dst 36–39
位址 92
118的 NAT閱 NAT-dst 與 NAT-src
埠號碼 125應 5, 34
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
索引CCLI
set vip multi-port 117慣例 iv
DDIP 集區
NAT-src 2大小 16位址考量 16
IIP 位址
虛擬 115
MMIP 90
same-as-untrust 介面 101–104可從其他區域到達 95全域區域 91在區域介面上建立 92在通道介面上建立 100位址範圍 94定義 8建立位址 92預設虛擬路由器 94預設網路遮罩 94雙向轉譯 8
NNAT
具有 NAT-dst 的 NAT-src 68–88定義 2
NAT-dst 34–88一對一轉譯 44一對多轉譯 49
位址範圍 6位址範圍至位址範圍 12, 58位址範圍至單一 IP 12, 53位址轉移 7, 35, 58具有 MIP 或 VIP 4具連接埠對應的單一 IP 11封包流動 36–39連接埠對應 5, 34, 63單一 IP,不具有連接埠對應 11單向轉譯 8, 13路由考量 35, 40–43
NAT-src 2, 16–32DIP 集區 2DIP 集區,固定連接埠 9以介面為基礎 3出口介面 10, 30–32位址轉移 24–29位址轉移,範圍考量 24具有 PAT 的 DIP 集區 9, 17–20具有位址轉移的 DIP 集區 10固定連接埠 16, 21–23連接埠位址轉譯 3單向轉譯 8, 13
PPAT 16
VVIP
Global 區域 118可從其他區域到達 118自訂和多連接埠服務 122–128自訂服務,低連接埠號碼 116定義 8移除 121設定 118需要的資訊 116編輯 121
WWebUI
慣例
四畫介面
MIPVIP
六畫全域區域
名稱
慣例
字元類型
七畫位址轉譯
請參
九畫封包流動
NAT
建立
MIP
十一畫區域
全域
基於政策
請參
連接埠
連接
連接埠對
索引
IX-II
UI vviiivii
Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯
十二畫插圖
慣例 vii虛擬 IP
請參閱 VIP
十四畫對應的 IP
請參閱 MIP慣例
CLI iv
Web名稱插圖