NetScreen 概念與範例：第 7 卷，位址轉譯 · NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, ... ( 內含一個單一 IP 位址，且已啟用 PAT )

例

ScreenOS 5.1.0

編號 093-1372-000-TC

修訂本 B

NetScreen 概念與範

ScreenOS 參考指南

第 7 卷 : 位址轉譯

compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation.

interference to radio or television y turning the equipment off and on, the e interference by one or more of the

ing antenna.

en the equipment and receiver.

ienced radio/TV technician for help.

utlet on a circuit different from that to d.

o this product could void the user's device.

ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE

WARRANTY, CONTACT YOUR OR A COPY.

Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.

Juniper Networks, the Juniper Network logo, NetScreen, NetScreen Technologies, GigaScreen and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.

Information in this document is subject to change without notice.

No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from:

Juniper Networks, Inc.

ATTN: General Counsel

1194 N. Mathilda Ave.

Sunnyvale, CA 94089-1206

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a pa

If this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:

• Reorient or relocate the receiv

• Increase the separation betwe

• Consult the dealer or an exper

• Connect the equipment to an owhich the receiver is connecte

Caution: Changes or modifications twarranty and authority to operate this

DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F

http://www.netscreen.com

目錄

i

........................................33

..............................................34................................................... 36

................................................... 40位址.......................................... 41以路由器分離的位址 ................. 42................................................. 43

..............................................44地轉譯 ...................................... 45

位址 ......................................... 49地轉譯 ...................................... 49

..............................................53地轉譯 ...................................... 53

..............................................58地轉譯 ...................................... 59

st ............................................63對應的 NAT-Dst ......................... 63

與 NAT-Dst ..............................68rc 與 NAT-Dst ............................. 68

..........................................89

..............................................90................................................... 91介面上的 MIP ........................... 92到達 MIP ................................... 95到通道介面............................. 100

................................................. 101

上的 MIP ................................ 102

Juniper Networks NetScreen 概念與範例 – 第 7 卷 : 位址轉譯

目錄前言............................................................................... iii

慣例 ........................................................................... iv

CLI 慣例........................................................................ iv

WebUI 慣例 ................................................................... v

插圖慣例 ......................................................................vii

命名慣例和字元類型 ....................................................viii

Juniper Networks NetScreen 文件 .............................. ix

第 1 章位址轉譯............................................................1

位址轉譯簡介 ..............................................................2

來源網路位址轉譯 .........................................................2

目的地網路位址轉譯 ......................................................4

以政策為基礎的轉譯選項.............................................9

NAT-Src 與 NAT-Dst 的方向特質..................................13

第 2 章來源網路位址轉譯............................................15

NAT-Src 簡介 .............................................................16

來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src .....................17

範例：已啟用 PAT 的 NAT-Src.................................18

來自 DIP 集區 ( 已停用 PAT) 的 NAT-Src ......................21

範例：已啟用 PAT 的 NAT-Src.................................21

來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src .................24

範例：具有位址轉移的 NAT-Src .............................25

來自出口介面 IP 位址的 NAT-Src ................................30

範例：不具有 DIP 的 NAT-Src .................................30

第 3 章目的地網路位址轉譯

NAT-Dst 簡介 ...............NAT-Dst 的封包流動..

NAT-Dst 的路由設定..連結至一個介面的

連結至一個介面但

以介面分離的位址

NAT-Dst：一對一對應 ..範例：一對一目的

從一個位址轉譯為多個

範例：一對多目的

NAT-Dst：多對一對應 ..範例：多對一目的

NAT-Dst：多對多對應 ..範例：多對多目的

具連接埠對應的 NAT-D範例：具有連接埠

相同政策中的 NAT-Src 範例：結合 NAT-S

第 4 章對應和虛擬 IP 位址

對應的 IP 位址 .............MIP 和 Global 區域 ..

範例：Untrust 區域

範例：從不同區域

範例：將 MIP 新增

MIP-Same-as-Untrust

範例：Untrust 介面

目錄

ii

態............................................ 121

態............................................ 121

連接埠服務的 VIP .................... 122

......................................... IX-I


MIP 與回傳介面 .........................................................105範例：兩個通道介面的 MIP..................................106

虛擬 IP 位址.............................................................115VIP 和 Global 區域.....................................................118

範例：設定虛擬 IP 伺服器....................................118

範例：編輯 VIP 組

範例：移除 VIP 組

範例：有自訂和多

索引 ...................................

iii

包含下列各章節，說明如何設定

及不附帶連接埠位址轉譯 (Port

，附帶及不附帶目的地連接埠位動的相關資訊。

至另一個目的地 IP 位址的對應 ( 虛擬 IP )。

2 -122 頁上的「NAT 模式」。


前言

第 7 卷，「位址轉譯」重點介紹 ScreenOS 中用來執行位址轉譯的各種方法。本卷NetScreen 裝置，使其執行下列各種轉譯：

• 第 1 章，位址轉譯，各種轉譯選項的綜述，詳細資訊請見後續章節。

• 第 2 章，來源網路位址轉譯，(NAT-src) 封包標頭中來源 IP 位址的轉譯，附帶Address Translation，PAT)。

• 第 3 章，目的地網路位址轉譯，(NAT-dst) 封包標頭中目的地 IP 位址的轉譯址對應。本節也包括有關執行 NAT-src、路由設定考量以及位址轉移時封包流

• 第 4 章，對應和虛擬 IP 位址，只依據 IP 位址的情況下，一個目的地 IP 位址( 對應 IP )，或是依據目的地 IP 位址和目的地連接埠號碼情況下的位址對應

注意 : 如需有關以介面為基礎的網路來源位址轉譯 ( 簡稱為 NAT ) 的說明，請參閱第

前言慣例

iv

manage

)。例如：「使用 get system 指

令令時可以使用此捷徑，但是本


慣例本文件包含幾種類型的慣例，分別在以下幾節中進行介紹：

• CLI 慣例

• 第 v 頁上的「WebUI 慣例」

• 第 vii 頁上的「插圖慣例」

• 第 viii 頁上的「命名慣例和字元類型」

CLI 慣例

出現指令行介面 (CLI) 指令的語法時使用以下慣例：

• 中括弧 [ ] 中的任何內容都是可選的。

• 大括弧 { } 中的任何內容都是必需的。

• 如果選項不止一個，則使用導線 ( | ) 分隔每個選項。例如，

set interface { ethernet1 | ethernet2 | ethernet3 }

意味著「設定 ethernet1、ethernet2 或 ethernet3 介面的管理選項」。

• 變數以斜體方式出現。例如：

set admin user name password

當 CLI 指令在句子的上下文中出現時，以粗體方式出現 ( 除了始終為斜體的變數之外令顯示 NetScreen 裝置的序號」。

注意 : 鍵入關鍵字時，只需鍵入足夠的字母就可以專屬地識別單詞。例如，要輸入指set admin user joe j12fmt54，鍵入 set adm u joe j12fmt54 就足夠了。儘管輸入指文所述的所有指令都以完整的方式提供。

前言慣例

v

下功能表選項和連結。例如，位所示。

出現。

4


WebUI 慣例

貫穿本書的全部篇章，用一個 V 形符號 ( > ) 來指示在 WebUI 中瀏覽，其方法是按一址組態對話方塊的路徑顯示為 Objects > Addresses > List > New。此瀏覽序列如下

1. 在功能表欄中，按一下 Objects。會展開 Objects 功能表選項，顯示 Objects 選項的子集。

2. ( Applet 功能表 ) 將滑鼠游標暫留在 Addresses 上。

( DHTML 功能表 ) 按一下 Addresses。

會展開 Addresses 選項，顯示出 Addresses 選項的子集。

3. 按一下 List。會出現通訊錄表格。

4. 按一下 New 連結。

新位址組態對話方塊

1

2

3

前言慣例

vi

物件和設定參數。每個任務的說方塊的路徑和要組態的設定：

注意 : 由於沒有 Comment 欄位的說明，請保持其原內容不變。


如要用 WebUI 執行任務，必須先瀏覽到相應的對話方塊，然後在該對話方塊中定義明集分為兩個部分：瀏覽路徑和組態詳細資訊。例如，下列說明集包含位址組態對話

Objects > Addresses > List > New: 輸入下面的內容，然後按一下 OK:

Address Name: addr_1IP Address/Domain Name:

IP/Netmask: ( 選擇 ), 10.2.2.5/32Zone: Untrust

Zone: Untrust

按一下 OK。

Address Name: addr_1

IP Address Name/Domain Name:

IP/Netmask: ( 選擇 ), 10.2.2.5/32

前言慣例

vii

含單一子網路的區域路 (LAN)

例如：10.1.1.0/24 )

際網路

上型電腦

服器

用網路裝置

例如： NAT 伺服器，存集中器 )

上型電腦

態 IP (DIP) 集區


插圖慣例

下列圖形構成了貫穿本書的插圖所用的基本影像集：

通用 NetScreen 裝置

安全區

安全區介面

白色 = 受保護區域介面( 例如：Trust 區段 )

黑色 = 區域外介面( 例如：Untrust 區域 )

路由器圖示

交換機圖示

虛擬路由設定網域

VPN 通道

包網

(

網

桌

伺

通

(取

通道介面

膝

動

前言慣例

viii

、虛擬系統、VPN 通道和區域 )

) 括起，例如 set address trust

LAN ” 將變為 “local LAN”。

local LAN”不同於“local

II、歐洲語和希伯萊語。 MBCS

元有特殊的意義，可作為包含空

Web 瀏覽器所支援的字元集。


命名慣例和字元類型

關於 ScreenOS 組態中定義的物件 ( 如位址、admin 使用者、auth 伺服器、IKE 閘道的名稱，ScreenOS 採用下列慣例。

• 如果名稱字串包含一個或多個空格，則整個名稱字串的兩邊必須用雙引號 ( “ “local LAN” 10.1.1.0/24。

• NetScreen 會刪除一組雙引號內文字的任何前導或結尾空格，例如，“ local

• NetScreen 將多個連續的空格處理為單個空格。

• 儘管許多 CLI 關鍵字並不區分大小寫，但名稱字串是區分大小寫的。例如，“lan”。

ScreenOS 支援以下字元類型：

• 單位元組字元集 (SBCS) 和多位元組字元集 (MBCS)。 SBCS 的範例是 ASC( 也稱為雙位元組字元集，DBCS ) 的範例是中文、韓文和日文。

• ASCII 字元為 32 ( 十六進位 0x20 ) 到 255 (0xff)，雙引號 ( “ ) 除外，這些字格的名稱字串的開始或結尾指示符。

注意 : 主控台連接只支援 SBCS。WebUI 對 SBCS 和 MBCS 都支援，取決於

前言 Juniper Networks NetScreen 文件

ix

techpubs/。

一個支援案例，或電洽


JUNIPER NETWORKS NETSCREEN 文件

要獲得任何 Juniper Networks NetScreen 產品的技術文件，請造訪 www.juniper.net/

如需技術支援，請使用 http://www.juniper.net/support/ 的 Case Manager 連結來開啟1-888-314-JTAC ( 美國境內 ) 或 1-408-745-9500 ( 美國境外 )。

如果在下面的內容中發現任何錯誤或遺漏，請用下面的電子郵件地址與我們連絡：

[email protected]

http://www.juniper.net/techpubs/

http://www.juniper.net/support/

mailto:[email protected]

前言 Juniper Networks NetScreen 文件

x

1

1

ðƒ 1 Š¼

。本章說明可用的多種位址轉譯


位址轉譯

NetScreen 提供許多執行來源與目的地 IP 位址及來源與目的地連接埠位址轉譯的方式方法，依據下列章節編排：

• 第 2 頁上的「位址轉譯簡介」

– 第 2 頁上的「來源網路位址轉譯」

– 第 4 頁上的「目的地網路位址轉譯」

• 第 9 頁上的「以政策為基礎的轉譯選項」

• 第 13 頁上的「NAT-Src 與 NAT-Dst 的方向特質」

第 1 章位址轉譯位址轉譯簡介

2

中的 IP 位址轉譯，還可以包括包括來源連接埠號碼 )、目的地

同的位址。已轉譯的位址可以來IP 集區取得已轉譯的位址，則其或是持續擷取與原始來源 IP 位中的來源 IP 位址轉譯為該介面您將政策設定為套用 NAT-src， NAT2。( 本章著重以政策為基礎

22 頁上的「NAT 模式」。( 如需

頁上的「來自 DIP 集區 ( 具有位址轉st」。

T-src 參數將取代介面層級 NAT 參數。

負載

來源 IP 位址


位址轉譯簡介NetScreen 提供多種套用網路位址轉譯 (NAT) 的機制。NAT 的概念包括 IP 封包標頭TCP 片段或 UDP 資料電報標頭中的連接埠號碼轉譯。轉譯內容包括來源位址 ( 還可以位址 ( 還可以包括目的地連接埠號碼 ) 或已轉譯元素的組合。

來源網路位址轉譯執行來源網路位址轉譯 (NAT-src) 時， NetScreen 裝置會將原始來源 IP 位址轉譯為不自於動態 IP (DIP) 集區，或來自 NetScreen 裝置的出口介面。若 NetScreen 裝置從 D可進行隨機或定態擷取，也就是說 NetScreen 裝置可以隨機從 DIP 集區擷取任何位址，址相關的特定位址

1。若已轉譯的位址來自出口介面，則 NetScreen 裝置會將所有封包的 IP 位址。您可以設定 NetScreen 裝置，以在介面層級或政策層級套用 NAT-src。若且入口介面處於 NAT 模式，則以政策為基礎的 NAT-src 設定將會覆寫以介面為基礎的的 NAT-src。如需以介面為基礎之 NAT-src 或是「NAT」的詳細資訊，請參閱第 2 -1DIP 集區的詳細資訊，請參閱第 2 -270 頁上的「DIP 集區」。)

1. 定態位址轉譯使用稱為位址轉移的技術，稍後本章將予以說明。如需套用於 NAT-src 的位址轉移的資訊，請參閱第 24移 ) 的 NAT-Src」。如需套用於 NAT-dst 的位址轉移的資訊，請參閱第 68 頁上的「相同政策中的 NAT-Src 與 NAT-D

2. 當入口介面處於「路由」或 NAT 模式時，您即可使用以政策為基礎的 NAT-src。若其處於 NAT 模式，則政策層級 NA

SRCIP

10.1.1.5 2.2.2.2 負載

DSTIP

SRCIP

1.1.1.5 2.2.2.2

DSTIP

IP 封包

原始來源 IP 位址已轉譯

來源 IP 位址轉譯


3

埠號碼上執行連接埠位址轉譯最多具有約 64,500 個不同連接單一 IP 位址的通訊流量的會話由於 NetScreen 裝置會將所有

creen 裝置會使用已轉譯的連接您又希望 NetScreen 裝置能將

以連接埠最大數 (65,535) 減去保留給AT ) 的 NAT-src 時， NetScreen 裝置

IP 與連接埠位址

44235 53 負載

負載

SRC連接

DST連接


利用以政策為基礎的 NAT-src，您即可選擇是否讓 NetScreen 裝置在原始來源連接(PAT)。啟用 PAT 時， NetScreen 裝置即可將最多約 64,500 個不同的 IP 位址轉譯為埠號碼的單一 IP 位址3。NetScreen 裝置使用獨有的已轉譯連接埠號碼來維護進出相同狀態資訊。若是以介面為基礎的 NAT-src 或「NAT」，連接埠位址轉譯將自動啟用。的原始 IP 位址轉譯為相同的已轉譯 IP 位址 ( 出口介面的已轉譯 IP 位址 )，因此 NetS埠號碼來識別封包所屬的每一個會話。同樣地，若 DIP 集區只包含一個 IP 位址，而且NAT-src 套用至多個使用該位址的主機，就需要 PAT 以達到相同目的。

3. 啟用 PAT 時， NetScreen 裝置會維持空閒連接埠號碼集區，以與來自該 DIP 集區的位址一同指派。64,500 這個數值是知名連接埠的數 (1023) 所得出的結果。因此， NetScreen 裝置執行具有 DIP 集區 ( 內含一個單一 IP 位址，且已啟用 P即可將最多約 64,500 個主機的原始 IP 位址轉譯為單一 IP 位址，並將每一個原始連接埠號碼轉譯為專有連接埠號碼。

30777 53 負載

SRCIP

10.1.1.5 2.2.2.2

TCP 片段或 UDP 資料電報

IP 封包

原始來源 IP 與連接埠位址已轉譯來源

DSTIP

SRC連接

DST連接

SRCIP

1.1.1.5 2.2.2.2

DSTIP

來源 IP 位址轉譯與來源連接埠位址轉譯

負載


4

故障。為避免發生上述狀況，您

策為基礎的 NAT-dst 與 VIP，您

設定 MIP 或 VIP， NetScreen量。換句話說，若不小心將基礎的 NAT-dst。


若是需特定來源連接埠號碼才能正常運作的自訂應用程式，執行 PAT 會造成應用程式可以停用 PAT。

目的地網路位址轉譯NetScreen 提供下列三種執行目的地網路位址轉譯 (NAT-dst) 的機制：

• 基於政策的 NAT-dst

• 對應的 IP (MIP)

• 虛擬 IP (VIP)

這三個選項都會將 IP 封包標頭中的原始目的地 IP 位址轉譯為不同的位址。利用以政還可啟用連接埠對應4。

注意 : 如需 NAT-src 的詳細資訊，請參閱第 15 頁上的「來源網路位址轉譯」。

4. 如需有關連接埠對應的資訊，請參閱下一頁的「以政策為基礎的 NAT-Dst」及第 33 頁上的「目的地網路位址轉譯」。

注意 : NetScreen 並不支援使用結合 MIP 與 VIP 的以政策為基礎的 NAT-dst。若您已裝置會將 MIP 或 VIP 套用至任何亦套用以政策為基礎的 NAT-dst 組態的通訊流NetScreen 裝置設定為將兩者套用至相同通訊流量，則 MIP 與 VIP 即會停用以政策為


5

、將一個 IP 位址範圍轉譯為單為另一 IP 位址，或一個 IP 位址t。連接埠對應是將原始目的地連的原始來源連接埠號碼轉譯為

目的地 IP 位址

負載

地 IP 與連接埠位址

44235 53 負載

負載

SRC連接

DST連接


以政策為基礎的 NAT-Dst：您可設定政策，使其將一個目的地 IP 位址轉譯為另一位址一 IP 位址或將一個 IP 位址範圍轉譯為另一 IP 位址範圍。當單一目的地 IP 位址轉譯範圍轉譯為單一 IP 位址時， NetScreen 即可支援具有 / 不具有連接埠對應的 NAT-ds接埠號碼定態轉譯為另一特定號碼，這與 PAT 不同；PAT 會將初始主機隨機指派NetScreen 裝置隨機指定的另一號碼。

SRCIP

1.1.1.5 2.2.2.2 負載IP 封包

原始目的地 IP 位址已轉譯

DSTIP

SRCIP

1.1.1.5 10.3.1.6

DSTIP

不具有目的地連接埠對應的目的地 IP 位址轉譯

44235 6055 負載

SRCIP

1.1.1.5 2.2.2.2 負載

TCP 片段或

UDP 資料電報

IP 封包

原始目的地 IP 與連接埠位址已轉譯目的

DSTIP

SRC連接

DST連接

SRCIP

1.1.1.5 10.3.1.6

DSTIP

具有目的地連接埠對應的目的地 IP 位址轉譯


6

將使用者定義之原始目的地位址

地 IP 位址

負載

負載

IP 與連接埠位址

負載

4235 80 負載

SRC連接

DST連接

負載

8560 80 負載


當您設定政策執行 NAT-dst 以將一個位址範圍轉譯為單一位址時， NetScreen 裝置會範圍內的任何目的地 IP 位址轉譯為單一位址。您亦可啟用連接埠對應。

SRC IP

1.1.1.5 2.2.2.2 負載IP 封包

原始目的地 IP 位址已轉譯目的

DST IP

1.1.1.5 10.3.1.6

將一個 IP 位址範圍內的目的地 IP 位址轉譯為單一 IP 位址

1.1.1.5 2.2.2.3 負載 1.1.1.5 10.3.1.6

SRC IP DST IP

44235 8000 負載

1.1.1.5 2.2.2.2 負載

TCP 片段 1

IP 封包 1

原始目的地 IP 與連接埠位址已轉譯目的地

SRC連接

DST連接

1.1.1.5 10.3.1.6

將一個 IP 位址範圍內的目的地 IP 位址轉譯為具有目的地連接埠對應的單一 IP 位址

SRC IP DST IP SRC IP DST IP

4

28560 8000 負載

1.1.1.5 2.2.2.3 負載 1.1.1.5 10.3.1.6

2TCP 片段 2

IP 封包 2


7

來將原始目的地位址範圍內的目

作。意即，若您啟用從 zone1執行 NAT-src，除非您特別進方向特質」。如需 NAT-dst 的

地 IP 位址

負載

負載

負載

與另一位址範圍內


當您針對一個位址範圍設定政策以執行 NAT-dst 時， NetScreen 裝置會利用位址轉移的地 IP 位址轉譯為另一位址範圍內的已知位址。

注意 : 您可以結合相同政策內的 NAT-src 與 NAT-dst。每個轉譯機制均獨立、單向運通往 zone2 之通訊流量的 NAT-dst， NetScreen 裝置將不會對源自 zone2 之通訊流量行設定來執行此作業。如需詳細資訊，請參閱第 13 頁上的「NAT-Src 與 NAT-Dst 的詳細資訊，請參閱第 33 頁上的「目的地網路位址轉譯」。

SRCIP

1.1.1.5 2.2.2.2 負載IP 封包

原始目的地 IP 位址已轉譯目的

DSTIP

SRCIP

1.1.1.5 10.3.1.6

DSTIP

利用位址轉移轉譯目的地 IP 位址

1.1.1.5 2.2.2.3 負載

1.1.1.5 2.2.2.4 負載

1.1.1.5 10.3.1.7

1.1.1.5 10.3.1.8

針對一個 IP 位址範圍執行 NAT-dst 時， NetScreen 裝置會維護一個位址範圍內各個 IP 位址相應 IP 位址的對應。


8

介面 IP 位址。另一個位址則屬將所有前往 MIP 之通訊流量中

P 位址轉譯為 MIP 位址。MIP 並

路內定義為介面的單一 IP 位址連接埠對應。不同於 MIP， VIP地 IP 位址轉譯成主機 IP 位址。結。) NetScreen 裝置不會將來

反地，如果您已經設定了以介面置將不會對來自 VIP 主機的通訊」。

st 所提供的功能會分離向內與向服器使用 MIP，那麼每當該伺服態，從而使有心的攻擊者取得可通訊流量 ( 使用 NAT-src ) 時，藏伺服器的活動，您就能夠更好中，以政策為基礎的 NAT-src 及

該 IP 位址為動態指派時，此功能可以


MIP：MIP 是一個 IP 位址與另一 IP 位址的對應。您可以將相同子網路中的位址定義為於您指定通訊流量通往的主機。MIP 的位址轉譯將雙向進行，因此 NetScreen 裝置會的目的地 IP 位址轉譯為主機 IP 位址，將所有發自主機 IP 位址之通訊流量中的來源 I不支援連接埠對應。如需 MIP 的詳細資訊，請參閱第 90 頁上的「對應的 IP 位址」。

VIP：VIP 是一個 IP 位址與另一 IP 位址 ( 依據目的地連接埠號碼 ) 的對應。相同子網可代管多個服務與任意多個主機的對應，由多個目的地連接埠號碼識別5。VIP 亦支援的位址轉譯是單向進行。NetScreen 裝置會將所有傳送至 VIP 的通訊流量中的目的(NetScreen 裝置只檢查目的地 IP 位址是否與抵達與 Untrust 區域連結之封包的 VIP 連自 VIP 主機的向外通訊流量中的原始來源 IP 位址轉譯成 VIP 位址的來源 IP 位址。相為基礎或以政策為基礎的 NAT-src， NetScreen 裝置會套用它。否則， NetScreen 裝流量執行任何 NAT-src。如需 VIP 的詳細資訊，請參閱第 115 頁上的「虛擬 IP 位址

由於 MIP 與 VIP 的位址轉譯機制是雙向的，因此以政策為基礎的 NAT-src 與 NAT-d外通訊流量的位址轉譯，以提供更好的控制與安全性。例如，若您針對某個 Web 伺器初始化向外通訊流量以取得更新資料或修補程式時，伺服器的活動便處於暴露的狀利用的資訊。當 Web 伺服器所接收到的通訊流量 ( 使用 NAT-dst ) 多於其所初始化的您就可以利用以政策為基礎的位址轉譯方法來定義不同的位址對應。由於這樣可以隱地防護伺服器，避免任何人為了準備實施攻擊而試圖取得資訊。在本 ScreenOS 版本NAT-dst 提供單一方法，此方法可等同及超越以介面為基礎的 MIP 與 VIP 的功能。

5. 您可以在某些 NetScreen 裝置上將 VIP 定義為與介面 IP 位址相同。當 NetScreen 裝置僅具有一個指派的 IP 位址，且帶來方便。

第 1 章位址轉譯以政策為基礎的轉譯選項

9

請注意，您永遠可以結合相同

取自動態 IP (DIP) 集區的位址。上的「來自 DIP 集區 ( 已啟用

轉譯為取自 DIP 集區的位址。區 ( 已停用 PAT) 的 NAT-Src」。

不屬於某個實際裝置 )。

2.2.2.2:8041834

ntrust 區域

目的地

)

2.2.2.2:805030

ntrust 區域

源目的地

)


以政策為基礎的轉譯選項NetScreen 提供下列方法來套用來源與目的地網路位址轉譯 (NAT-src) 與 (NAT-dst)。政策內的 NAT-src 與 NAT-dst。

來自具有 PAT 的 DIP 集區的 NAT-Src – NetScreen 裝置會將原始來源 IP 位址轉譯為NetScreen 裝置亦會套用來源連接埠位址轉譯 (PAT)。如需詳細資訊，請參閱第 17 頁PAT ) 的 NAT-Src」。

來自不具有 PAT 的 DIP 集區的 NAT-Src – NetScreen 裝置會將原始來源 IP 位址NetScreen 裝置不會套用來源 PAT。如需詳細資訊，請參閱第 21 頁上的「來自 DIP 集

注意 : 在本圖與後續各圖中，「虛擬裝置」代表已轉譯來源或目的地位址 ( 若該位址

10.1.1.5:25611

Trust 區域

DIP 集區 ID 51.1.1.10 – 1.1.1.40

ethernet110.1.1.1/24

ethernet31.1.1.1/24

1.1.1.20:

U1.1.1.20

原始來源已轉譯來源

( 虛擬裝置

10.1.1.6:35030

Trust 區域

DIP 集區 ID 51.1.1.10 – 1.1.1.40


ethernet31.1.1.1/24

1.1.1.25:3

1.1.1.25U

原始來源已轉譯來

( 虛擬裝置


10

譯為取自動態 IP (Dynamic IP，套用來源連接埠位址轉譯 (Port具有位址轉移 ) 的 NAT-Src」。

介面位址。NetScreen 裝置亦會-Src」。

2.2.2.2:80611

Untrust 區域

.1.21:35030

.1.1.21

來源目的地

2.2.2.2:80

Untrust 區域

1834

來源目的地

( 虛擬裝置 )


來自具有位址轉移的 DIP 集區的 NAT-Src – NetScreen 裝置會將原始來源 IP 位址轉DIP) 集區的位址，持續將每一個原始位址與特定已轉譯位址對應。NetScreen 裝置不會Address Translation， PAT)。如需詳細資訊，請參閱第 24 頁上的「來自 DIP 集區 (

來自出口介面 IP 位址的 NAT-Src – NetScreen 裝置會將原始來源 IP 位址轉譯為出口套用來源 PAT。如需詳細資訊，請參閱第 30 頁上的「來自出口介面 IP 位址的 NAT

10.1.1.20:25611

Trust 區域

DIP 集區 ID 51.1.1.10 – 1.1.1.40


1.1.1.20:25

1.1.1.20

10.1.1.21:35030 1.1

1ethernet31.1.1.1/24

10.1.1.20 一律轉譯為 1.1.1.20。10.1.1.21 一律轉譯為 1.1.1.21。

原始來源已轉譯

( 虛擬裝置 )

10.1.1.5:25611

Trust 區域 ethernet110.1.1.1/24

1.1.1.1

ethernet31.1.1.1/24

1.1.1.1:4



11

路位址轉譯 (NAT-dst) 與目的地

st，但不會變更原始目的地連接

2.8:80

rust 區域

已轉譯目的地

.2.8:80

rust 區域

已轉譯目的地


轉譯為具有連接埠對應的單一 IP 位址的 NAT-Dst – NetScreen 裝置會執行目的地網連接埠對應。如需詳細資訊，請參閱第 63 頁上的「具連接埠對應的 NAT-Dst」。

轉譯為不具有連接埠對應的單一 IP 位址的 NAT-Dst – NetScreen 裝置會執行 NAT-d埠號碼。如需詳細資訊，請參閱第 33 頁上的「目的地網路位址轉譯」。

2.2.2.8:7777

10.2.1.1.1.5

Untrust 區域 Tethernet31.1.1.1/24


來源原始目的地

( 虛擬裝置 )

2.2.2.8:80

10.21.1.1.5

Untrust 區域 Tethernet31.1.1.1/24



( 虛擬裝置 )


12

一個 IP 位址範圍轉譯為單一 IP另一個號碼。如需詳細資訊，請

n 裝置會使用名為位址轉移的技移不支援連接埠對應。如需詳細

DMZ 區域

10.2.2.8:8010.2.2.8:80

已轉譯目的地

10.2.2.8:80

Trust 區域

10.2.2.9:80

已轉譯目的地


一個 IP 位址範圍向單一 IP 位址的 NAT-Dst – NetScreen 裝置會執行 NAT-dst，以將位址。若您亦啟用連接埠對應，則 NetScreen 裝置會將原始目的地連接埠號碼轉譯為參閱第 53 頁上的「NAT-Dst：多對一對應」。

IP 位址範圍之間的 NAT-Dst – 當您針對一個 IP 位址範圍套用 NAT-dst 時， NetScree術來維持指定範圍內原始目的地位址至已轉譯位址之間的常態對應。請注意，位址轉資訊，請參閱第 58 頁上的「NAT-Dst：多對多對應」。

Untrust 區域

1.1.1.6:40365

ethernet31.1.1.1/24


2.2.2.8:80

2.2.2.9:80

1.1.1.5:25611

2.2.2.8 與 2.2.2.9 一律轉譯為 10.2.2.8。

( 虛擬裝置 )來源

原始目的地

2.2.2.8:80

1.1.1.5

Untrust 區域 ethernet31.1.1.1/24


2.2.2.9:80

1.1.1.62.2.2.8 一律轉譯為 10.2.2.8， 2.2.2.9 一律轉譯為 10.2.2.9。


( 虛擬裝置 )

第 1 章位址轉譯 NAT-Src 與 NAT-Dst 的方向特質

13

流量上的應用方式。例如，若則 NetScreen 置會將原始目的.3.3 轉譯為 2.2.2.2。)

行路由查詢，以決定目的地區」。

主機 B: 3.3.3.3

負載

負載

B


NAT-SRC 與 NAT-DST 的方向特質NAT-src 的應用方式與 NAT-dst 的不同。您依據政策中所指定的方向來決定其在通訊NetScreen 裝置套用需利用 NAT-dst 將通訊流量從主機 A 傳送至虛擬主機 B 的政策，地 IP 位址從 2.2.2.2 轉譯為 3.3.3.3。( 它亦會將相應通訊流量中的來源 IP 位址從 3.3

注意 : 您必須將路由設定為 2.2.2.2/32 ( 虛擬主機 B )，如此 NetScreen 裝置才能進域。如需 NAT-dst 路由問題的詳細資訊，請參閱第 40 頁上的「NAT-Dst 的路由設定

主機 A : 1.1.1.1

虛擬主機 B 2.2.2.2

SRC1.1.1.1 負載

DST2.2.2.2

SRC1.1.1.1

DST3.3.3.3

SRC3.3.3.3

DST1.1.1.1

SRC2.2.2.2 負載

DST1.1.1.1

set policy from “zone A” to “zone B” “host A” “virtual host B” any nat dst ip 3.3.3.3 permitset vrouter trust-vr route 2.2.2.2/32 interface ethernet1

區域 A 區域



NetScreen 裝置會將目的地 IP 位址從 2.2.2.2 轉譯為 3.3.3.3。並將 IP 與連接埠位址資訊儲存在其會話表中。

NetScreen 裝置會將封包中的 IP 與連接埠

資訊與其會話表中所儲存的資訊配對。然後再將來源 IP 位址從 3.3.3.3 轉譯為 2.2.2.2。

第 1 章位址轉譯 NAT-Src 與 NAT-Dst 的方向特質

14

化通往主機 A 的通訊流量，而不址。若要讓 NetScreen 裝置在主政策：從主機 B 至指定 NAT-src」。)

定連接埠號碼，則每一次只有一個主機 PAT。

主機 B: 3.3.3.3

負載

負載

B


然而，若您僅建立上述政策 ( 指定從主機 A 至主機 B 的 NAT-dst )，則若主機 B 初始對來自主機 A 的通訊流量做出回應，那麼 NetScreen 裝置將不會轉譯原始來源 IP 位機 B 初始化前往主機 A 的通訊流量時轉譯主機 B 的來源 IP 位址，您必須設定第二個的主機 A6。( 此做法與 MIP 上的做法有所不同。請參閱第 90 頁上的「對應的 IP 位址

6. 為了將注意力放在 IP 位址轉譯機制上，將不顯示連接埠位址轉譯 (PAT)。若您針對含有單一 IP 位址的 DIP 集區指定固能夠使用該集區。上述政策僅將「主機 B」指定為來源位址。若「主機 B」是使用 DIP 集區 7 的唯一主機，則無需啟用

主機 A: 1.1.1.1

DIP 集區 71.1.1.3 – 1.1.1.3

SRC1.1.1.3 負載

DST1.1.1.1

SRC3.3.3.3

DST 1.1.1.1

SRC1.1.1.1

DST3.3.3.3

SRC1.1.1.1 負載

DST1.1.1.3

set interface ethernet1 dip-id 7 1.1.1.3 1.1.1.3set policy from “zone B” to “zone A” “host B” “host A” any nat src dip-id 7 permit

區域 A 區域



NetScreen 裝置會將來源 IP 位址從 3.3.3.3 轉譯為 1.1.1.3。並將 IP 與連接埠位址資訊儲存在其會話表中。

NetScreen 裝置會將封包中的 IP 與連接埠資

訊與其會話表中所儲存的資訊配對。隨後會將目的地 IP 位址從 1.1.1.3 轉譯為 3.3.3.3。

2

15

ðƒ 2 Š¼

的方式。本章說明可用的多種位


來源網路位址轉譯NetScreen 提供許多執行來源網路位址轉譯 ( NAT-src) 及來源連接埠位址轉譯 (PAT)址轉譯方法，依據下列章節編排：

• 第 7 -16 頁上的「NAT-Src 簡介」

• 第 7 -17 頁上的「來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src」

• 第 7 -21 頁上的「來自 DIP 集區 ( 已停用 PAT) 的 NAT-Src」

• 第 7 -24 頁上的「來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src」

• 第 7 -30 頁上的「來自出口介面 IP 位址的 NAT-Src」

第 2 章來源網路位址轉譯 NAT-Src 簡介

16

如，當具有私人 IP 位址的主機譯為公開位址1。此外，若經由

en 裝置必須將來源與目的地 IP

譯 (NAT-src) 時從中提取位址。集區提取位址。

同時支援約 64,500 個主機2。雖埠號碼各不相同。藉由維持會話即可追蹤各封包的所屬會話，及

譯為目的地區域中出口介面的來

的 IP 位址範圍 (範圍必須夠大，creen 裝置會針對所有同時執行creen 裝置就必須針對不同的同上的「相黏 DIP 位址」 )。

介面。若您想要使用具有目的細資訊，請參閱第 2 -274 頁

以連接埠最大數 (65,535) 減去保留給


NAT-SRC 簡介有時候 NetScreen 裝置必須將 IP 封包標頭中的原始來源 IP 位址轉譯為另一位址。例初始化通往公開位址空間的通訊流量時， NetScreen 裝置就必須將私人來源 IP 位址轉VPN 將通訊流量從私人位址空間傳送至使用相同位址的站台，則通道兩端的 NetScre位址轉譯為互為中性的位址。

動態 IP (DIP) 位址集區為 NetScreen 裝置提供位址資源，供其在執行來源網路位址轉若政策需使用 NAT-src 並參考特定 DIP 集區，則 NetScreen 裝置會在執行轉譯時從該

DIP 集區的大小可如同單一 IP 位址，若您啟用連接埠位址轉譯 (PAT) 的話，最多可然所有從該集區接收新來源 IP 位址的封包均會取得相同位址，但它們所取得的連接表項目 ( 將來源位址及連接埠號碼與已轉譯位址及連接埠號碼配對 )， NetScreen 裝置各封包的所屬主機。

若您使用 NAT-src，但未在政策中指定 DIP 集區，則 NetScreen 裝置會將來源位址轉源位址。在這種情況下即需使用 PAT，且 PAT 將會自動啟用。

若應用程式必須讓特定來源連接埠號碼保持固定，則您必須停用 PAT 並定義 DIP 集區足以讓同時活動中的每個主機接收不同的已轉譯位址 )。若是固定連接埠 DIP， NetS的會話將已轉譯來源位址指派至相同主機。反之，若 DIP 集區已啟用 PAT，則 NetS時執行會話指派單一主機不同位址 — 除非您將 DIP 定義為相黏 ( 請參閱第 2 -273 頁

1. 如需公開和私人 IP 位址的資訊，請參閱第 2 -64 頁上的「公開 IP 位址」和第 2 -65 頁上的「私人 IP 位址」。

注意 : DIP 集區必須使用相同子網路內的位址作為政策中參考的目的地區域中的預設地區域介面子網路外位址的 DIP 集區，您就必須在擴展介面上定義 DIP 集區。如需詳上的「擴展介面和 DIP」。

2. 啟用 PAT 時， NetScreen 裝置亦會維持空閒連接埠號碼集區，以與來自 DIP 集區的位址一同指派。64,500 這個約數是知名連接埠的數 (1023) 所得出的結果。

第 2 章來源網路位址轉譯來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-Src

17

轉譯 IP 位址與連接埠號碼，並相關的元素 )：

遠端 Web 伺服器2.2.2.2:80

T PT PROTO80 HTTP

T PT PROTO834 HTTP


來自 DIP 集區 ( 已啟用 PAT ) 的 NAT-SRC套用具有連接埠位址轉譯 (PAT) 的來源網路位址轉譯 (NAT-src) 時， NetScreen 裝置會執行狀態檢查，如下圖所示 ( 請注意，只會顯示 IP 封包與 TCP 片段標頭中與 NAT-src

DIP 集區 ID 51.1.1.30 – 1.1.1.30

( 已啟用 PAT )本機主機

10.1.1.5:25611

NetScreenethernet1 10.1.1.1/24ethernet3 1.1.1.1/24

SRC IP DST IP SRC PT DST PT PROTO10.1.1.5 2.2.2.2 25611 80 HTTP

NetScreen 裝置會將來源 IP 位址從 10.1.1.5 轉譯為 1.1.1.30，將來源連接埠從 25611 轉譯為 41834，並將 IP 與連接埠位址資訊儲存在其會話表中。

SRC IP DST IP SRC PT DS1.1.1.30 2.2.2.2 41834

SRC IP DST IP SRC PT DS2.2.2.2 1.1.1.30 80 41

NetScreen 裝置會將封包中的 IP 與連接埠資訊與其會話表中所儲存的資訊配對。然後將目的地 IP 位址從 1.1.1.30 轉譯為 10.1.1.5，將目的地連接埠從 41834 轉譯為 25611。


Trust 區域 Untrust 區域

set policy from trust to untrust any any http nat src dip-id 5 permit


18

DIP 集區包括單一 IP 位址 —列工作：

獨有號碼

至 Untrust 區域

LI 指令末端，或清除 WebUI 中 DIP 組 Interfaces > Edit ( 針對 ethernet3 ) >

2.2.2.2:80

P SRC PT DST PT PROTO2 41834 80 HTTP

0:41834

0ntrust 區域

源目的地

)


範例：已啟用 PAT 的 NAT-Src在本範例中，定義 ethernet3 上的 DIP 集區 5，即連結到 Untrust 區域的介面。1.1.1.30— 且已啟用 PAT ( 預設值 )3。而後您設定政策，指示 NetScreen 裝置執行下

• 允許來自 Trust 區域任何位址至 Untrust 區域任何位址的 HTTP 通訊流量

• 將 IP 封包標頭中的來源 IP 位址轉譯為 1.1.1.30 ( DIP 集區 5 中的唯一項目 )

• 將 TCP 片段標頭或 UDP 資料電報標頭中的原始來源連接埠號碼轉譯為新的、

• 將具有已轉譯來源 IP 位址和連接埠號碼的 HTTP 通訊流量從 ethernet3 傳出

3. 定義 DIP 連接埠集區時， NetScreen 裝置即會依預設啟用 PAT。若要停用 PAT，您必須將關鍵字固定連接埠新增至 C態頁面上的 Port Translation 選項。例如， set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 fix-port，或是 Network >DIP: ID:5; Start: 1.1.1.30; End: 1.1.1.30; Port Translation: ( 清除 )。

10.1.1.5:25611

Trust 區域

DIP 集區 ID 51.1.1.30 – 1.1.1.30


ethernet31.1.1.1/24


SRC IP DST I1.1.1.30 2.2.2.

來源網路位址轉譯 (Network Address Translation， NAT-src)( 將來源 IP 位址轉譯為僅具有一個位址的 DIP 集區 —1.1.1.30。PAT 已啟用。)

1.1.1.3

1.1.1.3U

1.1.1.30

原始來源已轉譯來

( 虛擬裝置


19

Apply:

OK:

，然後按一下 OK:

0

econdary IPs: ( 選擇 )


WebUI

1. 介面

Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容，然後按一下

Zone Name: Trust

Static IP: ( 出現時選擇此選項 )

IP Address/Netmask: 10.1.1.1/24

選擇下面的內容，然後按一下 OK:Interface Mode: NAT


Zone Name: Untrust



2. DIP

Network > Interfaces > Edit ( 對於 ethernet3 ) > DIP > New: 輸入下面的內容

ID: 5

IP Address Range: ( 選擇 ), 1.1.1.30 ~ 1.1.1.3

Port Translation: ( 選擇 )

In the same subnet as the interface IP or its s


20

:

eturn 以設定進階選項並返回基

.1.30)/X-late

p-id 5 permit


3. 政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容，然後按一下 OK

Source Address:

Address Book Entry: ( 選擇 ), AnyDestination Address:

Address Book Entry: ( 選擇 ), AnyService: HTTP

Action: Permit

> Advanced: 輸入下面的內容，然後按一下 R本組態頁面 :

NAT:

Source Translation: ( 選擇 )(DIP on): 5 (1.1.1.30 - 1.1

CLI

1. 介面

set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.30

3. 政策

set policy from trust to untrust any any http nat src disave

第 2 章來源網路位址轉譯來自 DIP 集區 ( 已停用 PAT) 的 NAT-Src

21

行連接埠位址轉譯 (PAT) 時，即碼 )。可能目標主機需要來源 IP策，指示 NetScreen 裝置執行

集區包括一個 IP 位址範圍，自列工作：

至 Untrust 區域中的任何位址4 )

傳出至 Untrust 區域

Apply :

因此您必須停用 DIP 集區 6 的 PAT。


來自 DIP 集區 ( 已停用 PAT) 的 NAT-SRC

當您想要針對 IP 位址執行來源網路位址轉譯 (NAT-src)，而不針對來源連接埠號碼進需使用此功能。可能自訂應用程式需要某項特定值 ( 來源連接埠位址必須為某特定號位址與連接埠位址為某些特定號碼，專門用來識別主機。在這種情況下，您可以定義政不進行 PAT 的 NAT-src。

範例：已啟用 PAT 的 NAT-Src在本範例中，定義 ethernet3 上的 DIP 集區 6，即連結到 Untrust 區域的介面。DIP1.1.1.50 至 1.1.1.150。您停用 PAT。而後您設定政策，指示 NetScreen 裝置執行下

• 允許名為「e-stock」的使用者定義服務通訊流量 ( 自 Trust 區域中的任何位址

• 將 IP 封包標頭內的來源 IP 位址轉譯為 DIP 集區 6 內任何可用的位址

• 保持 TCP 片段標頭或 UDP 資料電報標頭內的原始來源連接埠號碼

• 將具有已轉譯來源 IP 位址和原始連接埠號碼的 e-stock 通訊流量從 ethernet3

WebUI

1. 介面


Zone Name: Trust

Static IP: ( 出現時選擇此選項 )IP Address/Netmask: 10.1.1.1/24


4. 假設您先前已定義了使用者定義的服務「e-stock」。此虛構服務要求所有 e-stock 異動均需發自特定來源連接埠號碼。


22

OK:


50


:


0 - 1.1.1.150)



Zone Name: Untrust



2. DIP


ID: 6

IP Address Range: ( 選擇 ), 1.1.1.50 ~ 1.1.1.1

Port Translation: ( 清除 )


3. 政策


Source Address:

Address Book Entry: ( 選擇 ), Any

Destination Address:


Service: e-stock

Action: Permit


NAT:

Source Translation: ( 選擇 )

DIP on: ( 選擇 ), 6 (1.1.1.5


23

t

dip-id 6 permit


CLI

1. 介面



2. DIPset interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-por

3. 政策

set policy from trust to untrust any any e-stock nat srcsave

第 2 章來源網路位址轉譯來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-Src

24

源 IP 位址。這樣的對應可確保位址。該範圍內的位址數不定。譯位址的一致一對一對應 )。

een 裝置之通訊流量的另一個政策如下：經由站台對站台 VPN所套用的 NAT-src 使用來自 DIP A 之通訊流量有關的一般政策。

en-A DIP 集區之來源位址範圍設移之故 )，那麼 NetScreen-B 管

性的處置。

所指定之範圍外的來源位址 )。流量通過，將具有位址轉移的望 NetScreen 裝置將 NAT-src


來自 DIP 集區 ( 具有位址轉移 ) 的 NAT-SRC

您可以定義一個一對一的對應，自原始來源 IP 位址至某一 IP 位址範圍的已轉譯來NetScreen 裝置一律將該範圍內的特定來源 IP 位址轉譯為 DIP 集區內的相同已轉譯您甚至可以將子網路對應至另一子網路 ( 子網路內各個原始位址至另一子網路內已轉

執行具有位址轉移之 NAT-src 的另一個可能用途是：讓接收來自第一個 NetScrNetScreen 裝置具有更好的政策精細度。例如，站台 A 的 NetScreen-A 管理員定義的通道與站台 B 的 NetScreen-B 進行通訊時，轉譯其主機的來源位址。若 NetScreen-A 集區 ( 不具有位址轉移 ) 的位址，則 NetScreen-B 管理員可以只設定與所允許來自站台除非 NetScreen-B 管理員知道特定的已轉譯 IP 位址，否則他只能針對提取自 NetScre定向內政策。另一方面，若 NetScreen-B 管理員知道已轉譯來源位址是什麼 ( 因位址轉理員就能夠針對其所設定之來自站台 A 的向內通訊流量政策，做出更具選擇性及限制

請注意，您可以在政策中使用已啟用位址轉移的 DIP 集區 ( 此政策套用於超出集區中在這樣的情況下， NetScreen 裝置會讓來自政策中所允許之所有來源位址的通訊NAT-src 套用至 DIP 集區範圍內的位址，但讓 DIP 集區範圍外的位址保持不變。若您希套用至所有來源位址，請確保來源位址範圍大小小於或等於 DIP 集區範圍。

注意 : NetScreen 裝置不支援具有位址轉移的來源連接埠位址轉譯 (PAT)。


25

望將 10.1.1.11 與 10.1.1.15 之轉譯位址之間的關係保持不變：

。這些主機的位址是 10.1.1.11、設定如下：參考您套用 NAT-src員初始化通往 Untrust 區域之位位址 ( 如 10.1.1.13 ) 至相同已

至 Untrust 區域


範例：具有位址轉移的 NAT-Src

在本範例中，定義 ethernet3 上的 DIP 集區 10，即連結到 Untrust 區域的介面。您希間的五個位址轉譯為 1.1.1.101 與 1.1.1.105 之間的五個位址，且您希望各個原始與已

您定義 Trust 區域內五個主機的位址，並將它們新增至名為「group1」的位址群組中10.1.1.12、10.1.1.13、10.1.1.14 及 10.1.1.15。您對自 Trust 區域至 Untrust 區域的政策( 具有 DIP 集區 10 ) 之政策的位址群組。此政策指示 NetScreen 裝置在 group1 的成址的 HTTP 通訊流量時，執行 NAT-src。此外， NetScreen 裝置一律執行來自特定 IP轉譯 IP 位址 (1.1.1.103) 的 NAT-src。

而後您設定政策，指示 NetScreen 裝置執行下列工作：

• 允許來自 Trust 區域 group1 至 Untrust 區域任何位址的 HTTP 通訊流量

• 將 IP 封包標頭內的來源 IP 位址轉譯為 DIP 集區 10 內的相應位址

• 將具有已轉譯來源 IP 位址和連接埠號碼的 HTTP 通訊流量從 ethernet3 傳出

原始來源 IP 位址已轉譯來源 IP 位址

10.1.1.11 1.1.1.101

10.1.1.12 1.1.1.102

10.1.1.13 1.1.1.103

10.1.1.14 1.1.1.104

10.1.1.15 1.1.1.105


26

Apply :

OK:


擇 )


WebUI

1. 介面


Zone Name: Trust





Zone Name: Untrust



2. DIP


ID: 10

IP Shift: ( 選擇 )

From: 10.1.1.11

To: 1.1.1.101 ~ 1.1.1.105

與介面 IP 或其次要 IP 在相同的子網路中 : ( 選


27
3. 位址

Objects > Addresses > List > New: 輸入下面的資訊，然後按一下 OK:

Address Name: host1

IP Address/Domain Name:

IP/Netmask: ( 選擇 ), 10.1.1.11/32

Zone: Trust


Address Name: host2


IP/Netmask: ( 選擇 ), 10.1.1.12/32

Zone: Trust


Address Name: host3


IP/Netmask: ( 選擇 ), 10.1.1.13/32

Zone: Trust


Address Name: host4


IP/Netmask: ( 選擇 ), 10.1.1.14/32

Zone: Trust


28

稱，移動下列位址，然後按一

lable Members 欄中移動到





:



Address Name: host5


IP/Netmask: ( 選擇 ), 10.1.1.15/32

Zone: Trust

Objects > Addresses > Groups > ( 對於 Zone: Trust ) New: 輸入下面的群組名下 OK:

Group Name: group1

選擇 host1，然後使用 << 按鈕將位址從 AvaiGroup Members 欄中。





4. 政策


Source Address:

Address Book Entry: ( 選擇 ), group1



Service: HTTP

Action: Permit


29


.1.1.105)

.1.1.101 1.1.1.105

dip-id 10 permit



NAT:

Source Translation: ( 選擇 )(DIP on): 10 (1.1.1.101 - 1

CLI

1. 介面set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat


2. DIPset interface ethernet3 dip 10 shift-from 10.1.1.11 to 1

3. 位址set address trust host1 10.1.1.11/32set address trust host2 10.1.1.12/32set address trust host3 10.1.1.13/32set address trust host4 10.1.1.14/32set address trust host5 10.1.1.15/32

set group address trust group1 add host1set group address trust group1 add host2set group address trust group1 add host3set group address trust group1 add host4set group address trust group1 add host5

4. 政策set policy from trust to untrust group1 any http nat srcsave

第 2 章來源網路位址轉譯來自出口介面 IP 位址的 NAT-Src

30

位址轉譯為出口介面的位址。在

結至 Untrust 區域的介面 )，為

獨有號碼

ust 區域

2.2.2.2:80

Untrust 區域

P SRC PT DST PT PROTO2 41834 80 HTTP

1:41834

來源目的地

( 虛擬裝置 )


來自出口介面 IP 位址的 NAT-SRC

若您將 NAT-src 套用至政策，但卻未指定 DIP 集區，則 NetScreen 裝置會將來源 IP這種情況下， NetScreen 裝置一律會套用 PAT。

範例：不具有 DIP 的 NAT-Src

在本範例中，您可定義政策，指示 NetScreen 裝置執行下列工作：

• 允許來自 Trust 區域任何位址至 Untrust 區域任何位址的 HTTP 通訊流量

• 將 IP 封包標頭中的來源 IP 位址轉譯為 1.1.1.1 ( 即 ethernet3 的 IP 位址，連傳送至 Untrust 區域任何位址的出口介面

• 將 TCP 片段標頭或 UDP 資料電報標頭中的原始來源連接埠號碼轉譯為新的、

• 將具有已轉譯來源 IP 位址和連接埠號碼的通訊流量從 ethernet3 傳出至 Untr

10.1.1.5:25611

Trust 區域 ethernet110.1.1.1/24

1.1.1.1


SRC IP DST I1.1.1.1 2.2.2.

來源網路位址轉譯 ( NAT-src) ( 將來源 IP 位址轉譯為目的地區域的出口介面 IP 位址 —1.1.1.1。PAT 已啟用。)

ethernet31.1.1.1/24

1.1.1.



31

Apply :

OK:

:


WebUI

1. 介面


Zone Name:Trust



選擇下面的內容，然後按一下 OK:

Interface Mode: NAT


Zone Name: Untrust



2. 政策


Source Address:




Service: HTTP

Action: Permit


32


ss Interface IP)

rmit



NAT:


(DIP on): None (Use Egre

CLI

1. 介面



2. 政策

set policy from trust to untrust any any http nat src pesave

3

33

ðƒ 3 Š¼

方式。本章說明可用的多種位址

請參閱第 89 頁上的「對應和


目的地網路位址轉譯

NetScreen 提供許多執行目的地網路位址轉譯 (NAT-dst) 及目的地連接埠位址對應的轉譯方法，依據下列章節編排：

• 第 34 頁上的「NAT-Dst 簡介」

– 第 36 頁上的「NAT-Dst 的封包流動」

– 第 40 頁上的「NAT-Dst 的路由設定」

• 第 44 頁上的「NAT-Dst：一對一對應」

– 第 49 頁上的「從一個位址轉譯為多個位址」

• 第 53 頁上的「NAT-Dst：多對一對應」

• 第 58 頁上的「NAT-Dst：多對多對應」

• 第 63 頁上的「具連接埠對應的 NAT-Dst」

• 第 68 頁上的「相同政策中的 NAT-Src 與 NAT-Dst」

注意 : 如需有關使用對應 IP (MIP) 或虛擬 IP (VIP) 位址進行目的地位址轉譯的資訊，虛擬 IP 位址」。

第 3 章目的地網路位址轉譯 NAT-Dst 簡介

34

tScreen 裝置將一個或多個公開可以是一對一、多對一或多對多

定態轉譯為另一特定號碼。連接利用連接埠對應將預定的原始連始來源連接埠號碼轉譯為另一個

注意 : 原始目的地 IP 位址及已轉譯的目的地 IP 位址必須在相同的安全區內。

地


NAT-DST 簡介您可定義政策以將目的地位址從一個 IP 位址轉譯為另一個 IP 位址。您可能需要讓 NeIP 位址轉譯為一個或多個私人位址。原始目的地位址與已轉譯目的地位址之間的關係關係。下圖說明一對一及多對一 NAT-dst 關係的概念。

以上兩項組態均支援目的地連接埠對應。連接埠對應是將一個原始目的地連接埠號碼埠對應中原始與已轉譯號碼的關係與連接埠位址轉譯 (PAT) 不同。NetScreen 裝置會接埠號碼轉譯為另一個預定連接埠號碼。NetScreen 裝置會利用 PAT 將隨機指派的原隨機指派的號碼。

NetScreen 裝置將此處的通訊流量對應到另一處。……

第 44 頁上的「NAT-Dst：一對一對應」

原始目的地已轉譯目的

第 53 頁上的「NAT-Dst：多對一對應」

( 虛擬裝置 )

( 虛擬裝置 )


35

可持續地將各個原始目的地位址應。下圖說明多對多 NAT-dst 關

會使用原始目的地 IP 位址來執次路由查詢，以決定傳送封包的須位在相同的安全區內。( 如需封包流動」。)

已轉譯目的地


您可以利用位址轉移將一個目的地位址範圍轉譯為另一範圍，如此 NetScreen 裝置便對應至特定已轉譯目的地位址。請注意， NetScreen 不支援具有位址轉移的連接埠對係的概念。

原始目的地 IP 位址與已轉譯目的地 IP 位址的路由表中均需存在項目。NetScreen 裝置行路由查詢，以決定後續政策查詢的目的地區域。然後再使用已轉譯的位址執行第二目的地。為確保路由設定決定與政策相符，原始目的地 IP 位址及已轉譯的 IP 位址必目的地 IP 位址、路由查詢及政策查詢的詳細資訊，請參閱第 36 頁上的「NAT-Dst 的

第 58 頁上的「NAT-Dst：多對多對應」

原始目的地

( 虛擬裝置 )


36

行的各項操作。

5.5.5.5:80 的 HTTP 封包抵達連

CREEN 模組。SCREEN 檢查會

置會將幫包卸除，並在事件記錄

NetScreen 裝置會將事件記錄

下一步。

Z 區域

st 區域

m1 區域

4.4.4.5已轉譯目的地

三個問號


NAT-Dst 的封包流動

下列步驟說明套用目的地網路位址轉譯時，透過 NetScreen 裝置的封包路徑及其所執

1. 來源 IP 位址與連接埠號碼為 1.1.1.5:32455，目的地 IP 位址與連接埠號碼為結到 Untrust 區域的 ethernet1。

2. 若您已啟用 Untrust 區域的 SCREEN 選項， NetScreen 裝置此時即會啟動 S產生下列三個結果中的一種：

– 若 SCREEN 機制偵測到異常行為 ( 設定為阻斷封包 )，則 NetScreen 裝中產生一個項目。

– 若 SCREEN 機制偵測到異常行為 ( 設定為記錄事件，但不阻斷封包 )，則在入口介面的 SCREEN 計數器清單中，然後繼續進行下一步。

– 若 SCREEN 機制未偵測到任何異常行為， NetScreen 裝置即會繼續進行

ethernet22.2.2.2/24

ethernet33.3.3.3/24

ethernet44.4.4.4/24

ethernet11.1.1.1/24

DM

Tru

Custo

Untrust 區域

?

?

?1.1.1.5來源

5.5.5.5原始目的地

SRC1.1.1.5

DST5.5.5.5

SRC32455

DST80 負載

NetScreen 裝置尚未執行得知須使用哪一個介面來轉寄封包的所需步驟。在圖中將以指出這個情況。


37

續進行下一個步驟。

這個程序包括剩下的步驟。

會話項目中的可用資訊來處理封一個封包處理期間取得了繞過的

位址 5.5.5.5。

IP 位址，然後依據該位址進行流量的政策配對，則 NetScreen

。


若您尚未啟用 Untrust 區域的任何 SCREEN 選項， NetScreen 裝置會立即繼

3. 會話模組會執行會話查詢，嘗試將封包和現有的會話配對。

如果封包與現有會話無法配對， NetScreen 裝置會執行「第一個封包處理」，

如果封包和現有會話配對， NetScreen 裝置會執行「快速處理」，使用現有包。「快速處理」會繞過除最後一個步驟外的所有步驟，因為已經在會話的第步驟產生的資訊。

4. 位址對應模組會檢查對應的 IP (MIP) 或虛擬 IP (VIP)1 組態是否使用目的地 IP

若存在這樣的組態， NetScreen 裝置會將 MIP 或 VIP 解析為已轉譯的目的地路由查詢。然後在 Untrust 與 Global 區域之間進行政策查詢。若找到允許通訊裝置會從路由查詢中確定的出口介面將封包轉寄出去。

若 MIP 或 VIP 組態中未使用 5.5.5.5， NetScreen 裝置會繼續進行下一個步驟

1. NetScreen 裝置會檢查是否只有在封包抵達與 Untrust 區域連結的介面時，目的地 IP 位址才會用於 VIP 組態中。


38

顯示在封包 ( 抵達 ethernet1 的虛擬路由器進行路由查詢。) 路

面所決定 )。來源與目的地 IP

.4.4.5 permit

區域中。)

進行任何來源網路位址轉譯與目

2 是經由 ethernet4 存取的。

道 :50


5. 為確定目的地區域，路由模組會進行原始目的地 IP 位址的路由查詢，即其使用封包 ) 標頭中的目的地 IP 位址。( 路由模組會使用入口介面來決定使用哪一個由模組發現 5.5.5.5/32 是透過連結至 Custom1 區域的 ethernet4 存取的。

6. 政策引擎會在 Untrust 與 Custom1 區域之間進行政策查詢 ( 由相應的出入口介位址及服務符合將 HTTP 通訊流量從 5.5.5.5 重新定向至 4.4.4.5 的政策。

set policy from untrust to custom1 any v-server1 http nat dst ip 4

( 您先前已定義 IP 位址為 5.5.5.5/32 的位址「v-server1」，它位於 Custom1

NetScreen 裝置會將目的地 IP 位址從 5.5.5.5 轉譯為 4.4.4.5。政策指出不需的地連接埠位址轉譯。

7. NetScreen 裝置使用已轉譯的 IP 位址進行第二次路由查詢，並發現 4.4.4.5/3

trust-vr 路由表

到達 : 使用介面 : 所在區域 : 使用閘

0.0.0.0/0 ethernet1 Untrust 1.1.1.2

1.1.1.0/24 ethernet1 Untrust 0.0.0.0

2.2.2.0/24 ethernet2 DMZ 0.0.0.0

3.3.3.0/24 ethernet3 Trust 0.0.0.0

4.4.4.0/24 ethernet4 Custom1 0.0.0.0

5.5.5.5/32 ethernet4 Custom1 0.0.0.0


39

置隨後將封包從 ethernet4 轉目已存在 )。

n 0 , t u n 0 , v s d 0

負載

tom1 區域

4.4.4.5目的地

通道ID

VSDID

無關，

N

30 個單位0 = 300 秒 )


8. 位址對應模組會將封包標頭中的目的地 IP 位址轉譯為 4.4.4.5。NetScreen 裝出，並在其會話表中建立一個項目 ( 除非此封包是現在會話的一部份，並且項

i d 4 8 2 / s * * , v s y s 0 , f l a g 0 4 0 0 0 0 0 0 / 0 0 / 0 0 , p o l i c y 2 1 , t i m e 3 06 ( 2 1 ) : 1 . 1 . 1 . 5 / 3 2 4 5 5 - > 4 . 4 . 4 . 5 / 8 0 , 6 , 0 0 b 0 d 0 a 8 a a 2 b , v l a

SRC1.1.1.5

DST4.4.4.5

SRC32455

DST80

ethernet44.4.4.4/24

ethernet11.1.1.1/24

Cus

Untrust 區域

1.1.1.5來源

來源IP 位址 / 連接埠

目的地IP 位址 / 連接埠

傳輸通訊協定6 = TCP

NSP 旗標( 僅供內部使用 )

注意 : 由於此會話與虛擬系統、VLAN、VPN 通道或虛擬安全性裝置 (VSD) 因此所有這些 ID 號碼的設定均為零。

介面 ID

VLAID

會話逾時( 30 x 1會話 ID 會話狀態旗標

( 僅供內部使用 )

此會話所屬的虛擬系統

第一個框架中的來源 MAC 位址

套用至此會話的政策 ID


40

中的原始目的地位址及已轉譯的的「NAT-Dst 的封包流動」中

介面。出口介面會提供決定區域政策配對時，政策會定義原始目決定經由哪一個介面轉寄封包，已轉譯目的地位址的路由則指定

樸而定：


NAT-Dst 的路由設定

當您針對 NAT-dst 設定位址時， NetScreen 裝置的路由表中必須具有出現在封包標頭目的地位址 ( 也就是 NetScreen 裝置將封包重新定向到的位址 ) 的路由。如第 36 頁上所說明的， NetScreen 裝置會使用原始目的地位址來進行路由查詢，並進而確定出口( 介面所連結的區域 )，如此 NetScreen 裝置即可進行政策查詢。NetScreen 裝置找到的地位址至已轉譯目的地位址的對應。NetScreen 裝置隨後會執行第二次路由查詢，以到達新的目的地位址。簡言之，原始目的地位址的路由提供執行政策查詢的方法，而NetScreen 裝置用來轉寄封包的出口介面。

在下列三個方案中，是否需要輸入靜態路由視此政策所參考的目的地位址週邊網路拓

set policy from untrust to trust any oda1 http nat dst ip 10.1.1.5 permit

其中「oda1」是原始目的地位址 10.2.1.5，而已轉譯目的地位址則是 10.1.1.5。


41

訊流量。若您將 ethernet3 介面 10.1.1.0/24。為完成路由設定

按一下 OK:

t3

圖中顯示 10.2.1.5 似乎與

轉譯目的地10.1.1.5 Trust 區域


連結至一個介面的位址在本方案中，原始與已轉譯目的地位址的路由均會經由相同的介面 (ethernet3) 定向通的 IP 位址設定為 10.1.1.0/24， NetScreen 裝置即會自動經由 ethernet3 將路由新增至需求，您必須經由 ethernet3 將另一個路由新增至 10.2.1.5/32。

WebUI

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容，然後

Network Address / Netmask: 10.2.1.5/32

Gateway: ( 選擇 )Interface: ethernet3Gateway IP Address: 0.0.0.0

CLI

set vrouter trust-vr route 10.2.1.5/32 interface ethernesave

注意 : 雖然 10.2.1.5 並不在 10.1.1.0/24 子網路中，但因為其路由未指定閘道，因此10.1.1.0/24 位址空間位於相同的已連結子網路中。

原始目的地「oda1」10.2.1.5

ethernet3 10.1.1.1/24

已

10.1.1.0/24

注意 : Untrust 區域未顯示。

( 虛擬裝置 )


42

將 ethernet3 介面的 IP 位址設。為完成路由設定需求，您必須

.1.0/24。

按一下 OK:

t3 gateway 10.1.1.250

成了對它的設定。如果是這


0.2.1.0/24

Trust 區域

( 虛擬裝置 )


連結至一個介面但以路由器分離的位址在本方案中，原始與已轉譯目的地位址的路由均會經由 ethernet3 定向通訊流量。若您定為 10.1.1.1/24， NetScreen 裝置即會自動經由 ethernet3 將路由新增至 10.1.1.0/24經由 ethernet3、連接 10.1.1.0/24 的閘道及 10.2.1.0/24 子網路，將路由新增至 10.2

WebUI

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容，然後


Gateway: ( 選擇 )Interface: ethernet3Gateway IP Address: 10.1.1.250

CLI

set vrouter trust-vr route 10.2.1.0/24 interface ethernesave

注意 : 由於需要此路由才能到達 10.2.1.0/24 子網路中的任何位址，因此您可能已經完樣，則無需為了讓政策將 NAT-dst 套用至 10.2.1.5 而再新增另一個路由。

10.1.1.250/24

10.2.1.250/24

已轉譯目的地10.1.1.5

ethernet3 10.1.1.1/24

10.1.1.0/24 1

注意 : Untrust 區域未顯示。


43

t3 及 IP 位址為 10.2.1.1/24 的路由新增至 10.1.1.0/24 及經由及將已轉譯的目的地位址置於

NAT-dst 而新增任何其他的路由。

Trust 區域


以介面分離的位址

在本方案中，有兩個連結到 Trust 區域的介面 : IP 位址為 10.1.1.1/24 的 etherneethernet4。當您設定這些介面的 IP 位址時， NetScreen 裝置會自動經由 ethernet3 將ethernet4 將路由新增至 10.2.1.0/24。將原始目的地位址置於 10.2.1.0/24 子網路中，10.1.1.0/24 子網路中，您即無需為了讓 NetScreen 裝置套用從 10.1.1.5 至 10.2.1.5 的


ethernet4 10.2.1.1/24

10.1.1.0/24

10.2.1.0/24

已轉譯目的地10.1.1.5ethernet3

10.1.1.1/24注意 : Untrust 區域未顯示。

( 虛擬裝置 )

第 3 章目的地網路位址轉譯 NAT-Dst：一對一對應

44

譯目的地 IP 位址，並執行狀素才得以顯示 )：

已轉譯目的地10.1.1.5:80

PT PROTO0 HTTP

PT PROTO04 HTTP


NAT-DST：一對一對應套用不進行連接埠位址轉譯的目的地網路位址轉譯 (NAT-dsc) 時， NetScreen 裝置會轉態檢查，如下圖所示 ( 請注意，只有與 NAT-dst 相關的 IP 封包與 TCP 片段標頭中的元

原始目的地1.2.1.5:80

來源2.2.2.5:36104

NetScreenethernet3 1.1.1.1/24, Untrustethernet2 10.1.1.1/24, DMZ


NetScreen 裝置會將目的地 IP 位址從1.2.1.5 轉譯為 10.1.1.5。並將 IP 與連接埠位址資訊 (連接埠號碼維持不變 ) 儲存在其會話表中。

SRC IP DST IP SRC PT DST2.2.2.5 10.1.1.5 36104 8

SRC IP DST IP SRC PT DST10.1.1.5 2.2.2.5 80 361

NetScreen 裝置會將封包中的 IP 與連接埠資訊與其會話表中所儲存的資訊配對。然後將來源 IP 位址從 10.1.1.5 轉譯為 1.2.1.5。


Untrust 區域 DMZ 區域

( 虛擬裝置 )


45

的地連接埠位址。政策會指示

的地位址 ( 位址為 1.2.1.8 ) 的

為 21)

結至 DMZ，並為其指派 IP 位址 DMZ 區域都在 trust-vr 路由設

區域

已轉譯目的地10.2.1.8

DST IP SRC PT DST PT PROTO10.2.1.8 25611 80 HTTP

DST IP SRC PT DST PT PROTO10.2.1.8 40365 21 FTP

oda2」

( 虛擬裝置 )


範例：一對一目的地轉譯

在本範例中，您設定政策以提供一對一目的地網路位址轉譯 (NAT-dst)，而不變更目NetScreen 裝置執行下列工作：

• 允許來自 Untrust 區域中的任何位址，往 DMZ 區域中名為「oda2」之原始目FTP 與 HTTP 通訊流量 ( 定義為服務群組「http-ftp」 )

• 將 IP 封包標頭中的目的地 IP 位址從 1.2.1.8 轉譯為 10.2.1.8

• 不對 TCP 片段標頭中的原始目的地連接埠號碼進行變更 ( HTTP 為 80， FTP

• 將 HTTP 與 FTP 通訊流量轉寄至 DMZ 區域中的 10.2.1.8

將 ethernet3 連結至 Untrust 區域，並為其指派 IP 位址 1.1.1.1/24。將 ethernet2 連10.2.1.1/24。您亦定義經由 ethernet2 的原始目的地位址 1.2.1.8 路由。Untrust 區域和定網域中。

Untrust 區域

DMZ 來源

2.2.2.5


SRC IP DST IP SRC PT DST PT PROTO2.2.2.5 1.2.1.8 40365 21 FTP

SRC IP2.2.2.5

SRC IP2.2.2.5

ethernet31.1.1.1/24


原始目的地「1.2.1.8


46

OK:

OK:

下 OK :

able Members 欄中移動到

le Members 欄中移動到 Group


WebUI

1. 介面


Zone Name: Untrust




Zone Name: DMZ



2. 位址


Address Name: oda2


IP/Netmask: ( 選擇 ), 1.2.1.8/32

Zone: DMZ

3. 服務群組

Objects > Services > Groups: 輸入下面的群組名稱，移動下列服務，然後按一

Group Name: HTTP-FTP

選擇 HTTP，然後使用 << 按鈕將服務從 AvailGroup Members 欄中。

選擇 FTP，然後使用 << 按鈕將服務從 AvailabMembers 欄中。


47

按一下 OK:

:


)

0.2.1.8


4. 路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容，然後


Gateway: ( 選擇 )

Interface: ethernet2

Gateway IP Address: 0.0.0.0

5. 政策

Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容，然後按一下 OK

Source Address:



Address Book Entry: ( 選擇 ), oda2

Service: HTTP-FTP

Action: Permit


NAT:

Destination Translation: ( 選擇

Translate to IP: ( 選擇 ), 1

Map to Port: ( 清除 )


48

2

ip 10.2.1.8 permit


CLI

1. 介面


set interface ethernet2 zone dmzset interface ethernet2 ip 10.2.1.1/24

2. 位址

set address dmz oda2 1.2.1.8/32

3. 服務群組

set group service http-ftpset group service http-ftp add httpset group service http-ftp add ftp

4. 路由

set vrouter trust-vr route 1.2.1.8/32 interface ethernet

5. 政策

set policy from untrust to dmz any oda2 http-ftp nat dstsave


49

目的地位址，視服務類型或各政新定向到 10.2.1.8，將 FTP 通置將從 host1 傳送至 1.2.1.8 的流量重新定向到 10.2.1.37。不

新定向至不同的已轉譯位址。

的通訊流量定向至兩個不同的已

址的 FTP 與 HTTP 通訊流量

0.2.1.8

為 21) DMZ 區域中的 10.2.1.9

DMZ 區域

已轉譯目的地10.2.1.8:80

ST IP SRC PT DST PT PROTO.2.1.8 25611 80 HTTP

ST IP SRC PT DST PT PROTO.2.1.9 40365 21 FTP

目的地.1.9:21

始目的地「oda3」1.2.1.8:801.2.1.8:21

)


從一個位址轉譯為多個位址NetScreen 裝置可以將同一個原始目的地位址轉譯為在不同政策中指定的不同已轉譯策中指定的來源位址而定。您可能希望 NetScreen 裝置將 HTTP 通訊流量從 1.2.1.8 重訊流量從 1.2.1.8 重新定向為 10.2.1.9 ( 請參閱下列範例 )。您可能希望 NetScreen 裝HTTP 通訊流量重新定向到 10.2.1.8，但希望將從 host2 傳送至 1.2.1.8 的 HTTP 通訊論是上列哪一種情況， NetScreen 裝置都會將發至相同原始目的地位址的通訊流量重

範例：一對多目的地轉譯在本範例中，您建立兩個使用相同原始目的地位址 (1.2.1.8) 的政策，但它們將已傳送轉譯目的地位址 ( 依據服務類型 )。這些政策會指示 NetScreen 裝置執行下列工作：

• 允許自 Untrust 區域中任何位址至 DMZ 區域中名為「oda3」之使用者定義位

• 針對 HTTP 通訊流量，將 IP 封包標頭中的目的地 IP 位址從 1.2.1.8 轉譯為 1• 針對 FTP 通訊流量，將目的地 IP 位址從 1.2.1.8 轉譯為 10.2.1.9• 不對 TCP 片段標頭中的原始目的地連接埠號碼進行變更 (HTTP 為 80， FTP• 將 HTTP 通訊流量轉寄至 DMZ 區域中的 10.2.1.8，將 FTP 通訊流量轉寄至

Untrust 區域

2.2.2.5:256112.2.2.5:40365


SRC IP DST IP SRC PT DST PT PROTO2.2.2.5 1.2.1.8 40365 21 FTP

SRC IP D2.2.2.5 10

SRC IP D2.2.2.5 10

已轉譯10.2

ethernet31.1.1.1/24


原

來源

( 虛擬裝置


50

結至 DMZ，並為其指派 IP 位址 DMZ 區域都在 trust-vr 路由設

OK:

OK:


將 ethernet3 連結至 Untrust 區域，並為其指派 IP 位址 1.1.1.1/24。將 ethernet2 連10.2.1.1/24。您亦定義經由 ethernet2 的原始目的地位址 1.2.1.8 路由。Untrust 區域和定網域中。

WebUI

1. 介面


Zone Name: Untrust




Zone Name: DMZ



2. 位址


Address Name: oda3


IP/Netmask: ( 選擇 ), 1.2.1.8/32

Zone: DMZ


51

按一下 OK:

:


)

0.2.1.8


3. 路由



Gateway: ( 選擇 )



4. 政策


Source Address:




Service: HTTP

Action: Permit


NAT:





52

:


)0.2.1.9

2

10.2.1.8 permit0.2.1.9 permit


Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容，然後按一下 OKSource Address:

Address Book Entry: ( 選擇 ), AnyDestination Address:

Address Book Entry: ( 選擇 ), oda3Service: FTPAction: Permit


NAT:


Translate to IP: ( 選擇 ), 1Map to Port: ( 清除 )

CLI

1. 介面set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24


2. 位址set address dmz oda3 1.2.1.8/32

3. 路由set vrouter trust-vr route 1.2.1.8/32 interface ethernet

4. 政策set policy from untrust to dmz any oda3 http nat dst ip set policy from untrust to dmz any oda3 ftp nat dst ip 1save

第 3 章目的地網路位址轉譯 NAT-Dst：多對一對應

53

下， NetScreen 裝置會將傳送至目的地連接埠對應。

的通訊流量重新定向至同一個已

4」 (1.2.1.10) 與「oda5」

Z 區域

T IP SRC PT DST PT PROTO2.1.15 25611 80 HTTP

T IP SRC PT DST PT PROTO2.1.15 40365 80 HTTP

已轉譯目的地

10.2.1.15:8010.2.1.15:80

原始目的地「oda4」1.2.1.10:80

原始目的地「oda5」1.2.1.20:80

置 )


NAT-DST：多對一對應原始目的地位址與已轉譯目的地位址之間的關係也可以是多對一關係。在這樣的情況多個原始目的地位址的通訊流量轉寄至單一已轉譯目的地位址。您亦可選擇是否指定

範例：多對一目的地轉譯在本範例中，您建立一個政策，將傳送至不同原始目的地位址 (1.2.1.10 與 1.2.1.20) 轉譯目的地位址。此政策會指示 NetScreen 裝置執行下列工作：

• 允許自 Untrust 區域中任何位址至 DMZ 區域中名為「oda45」位址為「oda(1.2.1.20) 的使用者定義位址群組的 HTTP 通訊流量

• 將 IP 封包標頭中的目的地 IP 位址從 1.2.1.10 和 1.2.1.20 轉譯為 10.2.1.15• 不對 TCP 片段標頭中的原始目的地連接埠號碼進行變更 (HTTP 為 80)• 將 HTTP 通訊流量轉寄至 DMZ 區域中的 10.2.1.15

Untrust 區域

DM

來源1.1.1.5:256111.1.1.6:40365



SRC IP DS1.1.1.5 10.

SRC IP DS1.1.1.6 10.

ethernet31.1.1.1/24


( 虛擬裝


54

結至 DMZ，並為其指派 IP 位址Untrust 區域和 DMZ 區域都在

OK:

OK:


將 ethernet3 連結至 Untrust 區域，並為其指派 IP 位址 1.1.1.1/24。將 ethernet2 連10.2.1.1/24。您亦定義經由 ethernet2 的原始目的地位址 1.2.1.10 與 1.2.1.20 路由。trust-vr 路由設定網域中。

WebUI

1. 介面


Zone Name: Untrust




Zone Name: DMZ



2. 位址


Address Name: oda4


IP/Netmask: ( 選擇 ), 1.2.1.10/32

Zone: DMZ


Address Name: oda5


IP/Netmask: ( 選擇 ), 1.2.1.20/32

Zone: DMZ


55

稱，移動下列位址，然後按一



按一下 OK:

按一下 OK:


Objects > Addresses > Groups > ( 對於 Zone: DMZ ) New: 輸入下面的群組名下 OK:

Group Name: oda45

選擇 oda4，然後使用 << 按鈕將位址從 AvailGroup Members 欄中。

選擇 oda5，然後使用 << 按鈕將位址從 AvailGroup Members 欄中。

3. 路由



Gateway: ( 選擇 )





Gateway: ( 選擇 )




56

:


)

0.2.1.15


4. 政策


Source Address:




Service: HTTP

Action: Permit


NAT:





57

t2t2

10.2.1.15 permit


CLI

1. 介面



2. 位址

set address dmz oda4 1.2.1.10/32set address dmz oda5 1.2.1.20/32set group address dmz oda45 add oda4set group address dmz oda45 add oda5

3. 路由

set vrouter trust-vr route 1.2.1.10/32 interface etherneset vrouter trust-vr route 1.2.1.20/32 interface etherne

4. 政策

set policy from untrust to dmz any oda45 http nat dst ipsave

第 3 章目的地網路位址轉譯 NAT-Dst：多對多對應

58

圍可以是一個子網路，或子網路新的位址範圍後，保持原始目的已轉譯位址範圍的開始位址是

dr1-50」的位址群組 ( 包含

t dst ip 10.100.3.101

)，如 10.1.1.37，則 NetScreen

，則 NetScreen 裝置僅會執行B 任何主機的通訊流量，並將之

t dst ip 10.100.3.101


NAT-DST：多對多對應您可使用目的地網路位址轉譯 (NAT-dst) 將一個 IP 位址範圍轉譯為另一範圍。位址範內較小的位址集。NetScreen 採用位址轉移機制，以在將原始目的地位址範圍轉譯為地位址範圍之間的關係不變。例如，若原始位址範圍是 10.1.1.1 – 10.1.1.50，而且10.100.3.101，則 NetScreen 裝置即會轉譯下列位址：

• 10.1.1.1 – 10.100.3.101

• 10.1.1.2 – 10.100.3.102

• 10.1.1.3 – 10.100.3.103

…

• 10.1.1.48 – 10.100.3.148

• 10.1.1.49 – 10.100.3.149

• 10.1.1.50 – 10.100.3.150

例如，若您希望建立一個將上列轉譯套用至 zoneA 中任何地址到 zoneB 中名為「ad10.1.1.1 至 10.1.1.50 的所有位址 ) 的 HTTP 通訊流量，則您可以輸入下列 CLI 指令：

set policy id 1 from zoneA to zoneB any addr1-50 http na10.100.3.150 permit

若 zoneA 中的任何主機初始化 HTTP 通訊流量 ( 通往 zoneB 內已定義範圍中的位址裝置便會套用此政策，並將目的地位址轉譯為 10.100.3.137。

若來源與目的地區域、來源與目的地位址及政策中指定的服務皆符合封包中的這些元件NAT-dst。例如，您可能會建立另一個政策，此政策允許自 zoneA 任何主機至 zone置於政策清單中的政策 1 之後：

set policy id 1 from zoneA to zoneB any addr1-50 http na10.100.3.150 permit

set policy id 2 from zoneA to zoneB any any any permit


59

將會繞過 NAT-dst 機制：

NetScreen 裝置會套用政策 2，

etScreen 裝置亦會套用政策 2，的地位址。

主機時，指示 NetScreen 裝置

網路中的相應位址

結至 DMZ，並為其指派 IP 位址Untrust 區域和 DMZ 區域都在

1 – 10.2.1.12 – 10.2.1.23 – 10.2.1.33 – 10.2.1.2534 – 10.2.1.254

Z 區域

已轉譯目的地10.2.1.0/24


若您完成了這兩項政策的設定，則下列發自 zoneA 主機傳送至 zoneB 主機的通訊流量

• ZoneA 中的一個主機初始化傳送至 zoneB 10.1.1.37 的非 HTTP 通訊流量。因為服務並非 HTTP，會讓通訊流量通過，而不會轉譯目的地位址。

• ZoneA 中的一個主機初始化傳送至 zoneB 10.1.1.51 的 HTTP 通訊流量。N因為目的地位址並不在 addr1-50 位址群組內，會讓通訊流量通過而不轉譯目

範例：多對多目的地轉譯

在本範例中，您設定一項政策，此政策會在任何種類的通訊流量被傳送至子網路的任何執行下列工作：

• 允許所有自 Untrust 區域任何位址至 DMZ 區域任何位址的所有通訊流量

• 將名為「oda6」的原始目的地位址從 1.2.1.0/24 子網路轉譯為 10.2.1.0/24 子

• 不對 TCP 片段標頭中的原始目的地連接埠號碼進行變更

• 將 HTTP 通訊流量轉寄至 DMZ 區域中的已轉譯位址

將 ethernet3 連結至 Untrust 區域，並為其指派 IP 位址 1.1.1.1/24。將 ethernet2 連10.2.1.1/24。您亦定義經由 ethernet2 的原始目的地位址子網路 (1.2.1.0/24) 的路由。trust-vr 路由設定網域中。

1.2.1.1.2.1.1.2.1.

1.2.1.251.2.1.25

網際網路

Untrust 區域 DMethernet31.1.1.1/24


原始目的地「oda6」1.2.1.0/24


60

OK:

OK:

按一下 OK:


WebUI

1. 介面


Zone Name: Untrust




Zone Name: DMZ



2. 位址


Address Name: oda6


IP/Netmask: ( 選擇 ), 1.2.1.0/24

Zone: DMZ

3. 路由



Gateway: ( 選擇 )




61

:


)

擇 ), 10.2.1.0 – 10.2.1.254


4. 政策


Source Address:




Service: Any

Action: Permit


NAT:


Translate to IP Range: ( 選


62

2

0.2.1.1 10.2.1.254


CLI

1. 介面



2. 位址


3. 路由

set vrouter trust-vr route 1.2.1.0/24 interface ethernet

4. 政策

set policy from untrust to dmz any oda6 any nat dst ip 1permit

save

第 3 章目的地網路位址轉譯具連接埠對應的 NAT-Dst

63

要啟用連接埠對應。啟用連接埠機可執行兩個 Web 伺服器 — 一行 NAT-dst，而不需進行連接埠址上執行 NAT-dst，並進行連接往兩個 Web 伺服器的 HTTP 通

DMZ 區域的 Telnet 伺服器 ) 執

rnet2 的原始目的地位址

「NAT-Dst：多對多對應」。


具連接埠對應的 NAT-DST

當您設定 NetScreen 裝置，以執行目的地網路位址轉譯 (NAT-dst) 時，您可選擇是否對應的其中一個原因是：支援單一主機上單一服務的多個伺服器程序。例如，一個主個位於連接埠 80，另一個位於連接埠 8081。NetScreen 裝置可針對 HTTP 服務 1 執對應 (dst 連接埠 80 -> 80)。NetScreen 裝置可針對 HTTP 服務 2 在相同目的地 IP 位埠對應 (dst 連接埠 80 -> 8081)。主機可以利用兩個不同的目的地連接埠號碼來排序通訊流量。

範例：具有連接埠對應的 NAT-Dst在本範例中，您建立兩項政策，它們對 Telnet 通訊流量 ( 自 Trust 與 Untrust 區域至行 NAT-dst 與連接埠對應。這些政策會指示 NetScreen 裝置執行下列工作：

• 允許自 Untrust 與 Trust 區域中任何位址至 DMZ 區域之 1.2.1.15 的 Telnet

• 將名為「oda7」的原始目的地 IP 位址從 1.2.1.15 轉譯為 10.2.1.15

• 將 TCP 片段標頭中的原始目的地連接埠號碼從 23 轉譯為 2200

• 將 Telnet 通訊流量轉寄至 DMZ 區域中的已轉譯位址

您設定下列介面至區域的連結與位址指派：

• ethernet1: Trust 區域， 10.1.1.1/24

• ethernet2: DMZ 區域， 10.2.1.1/24。

• ethernet3: Untrust 區域， 1.1.1.1/24。

您定義 DMZ 區域中 IP 位址為 1.2.1.15/32 的位址項目「oda7」。您亦定義經由 ethe1.2.1.15 路由。Trust、Untrust 與 DMZ 區域都在 trust-vr 路由設定網域中。

注意 : NetScreen 不支援具有位址轉移的 NAT-dst 連接埠對應。請參閱第 58 頁上的


64

Apply :

OK:

OK:


WebUI

1. 介面


Zone Name: Trust




Interface Mode: NAT


Zone Name: DMZ




Zone Name: Untrust



2. 位址


Address Name: oda7


IP/Netmask: ( 選擇 ), 1.2.1.15/32

Zone: DMZ


65

按一下 OK:


)

0.2.1.15

200


3. 路由



Gateway: ( 選擇 )



4. 政策

Policies > (From: Trust, To: DMZ) New: 輸入下面的內容，然後按一下 OK:

Source Address:




Service: Telnet

Action: Permit


NAT:



Map to Port: ( 選擇 ), 2


66

:


)

0.2.1.15

200



Source Address:




Service: Telnet

Action: Permit


NAT:



Map to Port: ( 選擇 ), 2


67

t2

10.2.1.15 port 2200

p 10.2.1.15 port 2200


CLI

1. 介面




2. 位址


3. 路由

set vrouter trust-vr route 1.2.1.15/32 interface etherne

4. 政策

set policy from trust to dmz any oda7 telnet nat dst ip permit

set policy from untrust to dmz any oda7 telnet nat dst ipermit

save

第 3 章目的地網路位址轉譯相同政策中的 NAT-Src 與 NAT-Dst

68

利用這樣的結合來變更資料路徑

een-1)。客戶經由 ethernet1 ( IP由兩個以路由為基礎的 VPN 通t 區域。Trust 區域和 Untrust 區

源與目的地位址轉譯 (NAT-srcen-B) 的 NetScreen 裝置會執行10.173.10.7、10.173.20.0/24、

址3 :


相同政策中的 NAT-SRC 與 NAT-DST

您可以結合相同政策中的來源與目的地網路位址轉譯 (NAT-src 與 NAT-dst)。您可以中單一點的來源與目的地 IP 位址。

範例：結合 NAT-Src 與 NAT-Dst在本範例中，您設定位於服務供應商客戶與伺服器群之間的 NetScreen 裝置 (NetScr位址為 10.1.1.1/24，且連結至 Trust 區域 ) 連接至 NetScreen-1。NetScreen-1 隨後經道之一轉寄其通訊流量，以到達目標伺服器2。連結至這些通道的通道介面位於 Untrus域都在 trust-vr 路由設定網域中。

由於客戶的位址可能與其想要連線的伺服器位址相同，因此 NetScreen-1 必須執行來與 NAT-dst)。為了維持定址的獨立與彈性，保護伺服器群 (NetScreen-A 與 NetScreNAT-dst。服務供應商會指示客戶與伺服器群為此目的保留以下位址：10.173.10.1–10.173.30.0/24、10.173.40.0/24 與 10.173.50.0/24。這些位址的用途如下：

• 兩個通道介面具有下列位址指派 :– tunnel.1, 10.173.10.1/30– tunnel.2, 10.173.10.5/30

• 各通道介面支援下列已啟用 PAT 的 DIP 集區 :– tunnel.1, DIP ID 5: 10.173.10.2–10.173.10.2 – tunnel.2, DIP ID 6: 10.173.10.6–10.173.10.6

• NetScreen-1 執行 NAT-dst 時，會按如下方式利用位址轉移轉譯原始目的地位

– 10.173.20.0/24 至 10.173.30.0/24– 10.173.40.0/24 至 10.173.50.0/24

2. 以政策為基礎的 VPN 不支援 NAT-dst。您必須使用以路由為基礎的 VPN 組態 ( 具有 NAT-dst )。

3. 如需執行 NAT-dst 時的位址轉移的資訊，請參閱第 58 頁上的「NAT-Dst：多對多對應」。


69

screen1」適用 vpn1， ompatible」的安全性層級。( 如xyID 是 0.0.0.0/0 - 0.0.0.0/0 —

提供，並包含在內以求完整。

ntrust 區域

creen-Bst 3.3.3.3/24, Trust 10.100.2.1/24l.1, 10.3.3.1/24dst始目的地 10.173.50.0/24轉譯目的地 10.100.2.0/24

NetScreen-A

NetScreen-B10.100.1.0/24

10.100.2.0/24

creen-Ast 2.2.2.2/24, Trust 10.100.1.1/24l.1, 10.2.2.1/24dst始目的地 10.173.30.0/24轉譯目的地 10.100.1.0/24


vpn1 與 vpn2 這兩個通道的組態使用下列參數：AutoKey IKE、預先共享金鑰 ( 「net「netscreen2」適用 vpn2 )，及針對「階段 1」與「階段 2」方案而預先定義為「C需這些提議的詳細資訊，請參閱第 5 -11 頁上的「通道交涉」。) vpn1 與 vpn2 的 Pro任意值。

注意 : 會先提供 NetScreen-1 的組態。NetScreen-A 與 NetScreen-B 的 VPN 組態隨後

Trust 區域 U


ethernet31.1.1.1/24

客戶位址

10.100.1.0/24

10.100.2.0/24

10.100.3.0/24

NetScreen-1tunnel.1, 10.173.10.1/30NAT-src

• DIP 集區 10.173.10.2 – 10.173.10.2NAT-dst

• 原始目的地 10.173.20.0/24• 已轉譯目的地 10.173.20.0/24

NetScreen-1tunnel.2, 10.173.10.5/30NAT-src

• DIP 集區 10.173.10.6 – 10.173.10.6NAT-dst

• 原始目的地 10.173.40.0/24• 已轉譯目的地 10.173.50.0/24

NetSUntrutunneNAT-

• 原• 已

vpn1

vpn2

NetSUntrutunneNAT-

• 原• 已

NetScreen-1

內部路由器

具有不同來源 IP 位址的客戶會經由 VPN 通道連線至服務供應商的伺服器。

NetScreen 裝置會執行 NAT-src 與 NAT-dst，因為您身為 NetScreen-1 管理員，並無對來源與目的地位址的控制權。只要有互為中立的位址空間可以進行雙向位址轉譯， NetScreen-1 即可處理客戶的服務要求。

保護伺服器群的兩個 NetScreen 裝置亦會執行 NAT-dst，以維持定址的獨立與彈性。


70

Apply :

OK:


WebUI (NetScreen-1)

1. 介面


Zone Name: Trust



Interface Mode: NAT


Zone Name: Untrust



Network > Interfaces > New Tunnel IF: 輸入下面的內容，然後按一下 OK :

Tunnel Interface Name: tunnel.1

Zone (VR): Untrust (trust-vr)

Fixed IP: ( 選擇 )

IP Address / Netmask: 10.173.10.1/30







71

然後按一下 OK:

.173.10.2


然後按一下 OK:

.173.10.6



2. DIP 集區

Network > Interfaces > Edit ( 對於 tunnel.1 ) > DIP > New: 輸入下面的內容，

ID: 5

IP Address Range: ( 選擇 ), 10.173.10.2 ~ 10



Network > Interfaces > Edit ( 針對 tunnel.2 ) > DIP > New: 輸入下面的內容，

ID: 6

IP Address Range: ( 選擇 ), 10.173.10.6 ~ 10



3. 位址


Address Name: serverfarm-A


IP/Netmask: ( 選擇 ), 10.173.20.0/24

Zone: Untrust


Address Name: serverfarm-B


IP/Netmask: ( 選擇 ), 10.173.40.0/24

Zone: Untrust


72

( 選擇 )

: 2.2.2.2

下 Return 返回基本 AutoKey

), tunnel.1

/0


4. VPN

VPNs > AutoKey IKE > New: 輸入下面的內容，然後按一下 OK:

VPN Name: vpn1

Security Level: Compatible

Remote Gateway: Create a Simple Gateway:

Gateway Name: gw-A

Type:Static IP: ( 選擇 ), Address/Hostname

Preshared Key: netscreen1


Outgoing Interface: ethernet34

> Advanced: 輸入下面的進階設定，然後按一IKE 組態頁面 :

Bind to Tunnel Interface: ( 選擇

Proxy-ID: ( 選擇 )

Local IP / Netmask: 0.0.0.0/0

Remote IP / Netmask: 0.0.0.0

Service: ANY

4. 雖然在這個案例中向外介面與所連結的通道介面位於相同區域內，但它們不需要位於相同區域內。


73

( 選擇 )

: 3.3.3.3


), tunnel.2

/0

按一下 OK:



VPN Name: vpn2



Gateway Name: gw-B










Service: ANY

5. 路由



Gateway: ( 選擇 )




74

按一下 OK:

按一下 OK:

按一下 OK:

按一下 OK:




Gateway: ( 選擇 )

Interface: tunnel.1




Gateway: ( 選擇 )

Interface: tunnel.1




Gateway: ( 選擇 )

Interface: tunnel.2




Gateway: ( 選擇 )

Interface: tunnel.2



75

:

下 Return 返回基本 Policy 組態

73.10.2)/X-late

), 10.173.30.0 – 10.173.30.255


6. 政策


Source Address:



Address Book Entry: ( 選擇 ), serverfarm-A

Service: ANY

Action: Permit

Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定，然後按一頁面 :

NAT:


(DIP on): 5 (10.173.10.2–10.1

Destination Translation: ( 選擇 )

Translate to IP Range: ( 選擇


76

:


73.10.6)/X-late

), 10.173.50.0 – 10.173.50.255



Source Address:



Address Book Entry: ( 選擇 ), serverfarm-B

Service: ANY

Action: Permit



NAT:


(DIP on): 6 (10.173.10.6–10.1

Destination Translation: ( 選擇 )

Translate to IP Range: ( 選擇


77

ethernet3 preshare

.0/0 any


CLI (NetScreen-1)

1. 介面



set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.173.10.1/30


2. DIP 集區

set interface tunnel.1 dip-id 5 10.173.10.2 10.173.10.2set interface tunnel.2 dip-id 6 10.173.10.6 10.173.10.6

3. 位址

set address untrust serverfarm-A 10.173.20.0/24set address untrust serverfarm-B 10.173.40.0/24

4. VPNset ike gateway gw-A ip 2.2.2.2 main outgoing-interface

netscreen1 sec-level compatibleset vpn vpn1 gateway gw-A sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0


78

ethernet3 preshare

.0/0 any

gateway 1.1.1.250el.1el.1el.2el.2

y nat src dip-id 5 dst

y nat src dip-id 6 dst


set ike gateway gw-B ip 3.3.3.3 main outgoing-interface netscreen2 sec-level compatible

set vpn vpn2 gateway gw-B sec-level compatibleset vpn vpn2 bind interface tunnel.2set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

5. 路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.173.20.0/24 interface tunnset vrouter trust-vr route 10.173.30.0/24 interface tunnset vrouter trust-vr route 10.173.40.0/24 interface tunnset vrouter trust-vr route 10.173.50.0/24 interface tunn

6. 政策

set policy top from trust to untrust any serverfarm-A anip 10.173.30.0 10.173.30.255 permit

set policy top from trust to untrust any serverfarm-B anip 10.173.50.0 10.173.50.255 permit

save


79

Apply :

OK:


WebUI (NetScreen-A)

1. 介面


Zone Name: Trust





Zone Name: Untrust








2. 位址


Address Name: serverfarm-A


IP/Netmask: ( 選擇 ), 10.173.30.0/24

Zone: Trust


80

( 選擇 )

: 1.1.1.1


), tunnel.1

/0



Address Name: customer1


IP/Netmask: ( 選擇 ), 10.173.10.2/32

Zone: Untrust

3. VPN


VPN Name: vpn1



Gateway Name: gw-1










Service: ANY


81

按一下 OK:

按一下 OK:

按一下 OK:


4. 路由



Gateway: ( 選擇 )





Gateway: ( 選擇 )

Interface: tunnel.1




Gateway: ( 選擇 )




82

:


)

擇 ), 10.100.1.0 – 10.100.1.255


5. 政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容，然後按一下 OK

Source Address:

Address Book Entry:( 選擇 ), customer1


Address Book Entry: ( 選擇 ), serverfarm-A

Service: ANY

Action: Permit



NAT:




83

ethernet3 preshare

.0/0 any

gateway 2.2.2.250el.1rnet1

m-A any nat dst ip


CLI (NetScreen-A)

1. 介面




2. 位址

set address trust serverfarm-A 10.173.30.0/24set address untrust customer1 10.173.10.2/32

3. VPNset ike gateway gw-1 ip 1.1.1.1 main outgoing-interface

netscreen1 sec-level compatibleset vpn vpn1 gateway gw-1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

4. 路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.173.10.2/32 interface tunnset vrouter trust-vr route 10.173.30.0/24 interface ethe

5. 政策

set policy top from untrust to trust customer1 serverfar10.100.1.0 10.100.1.255 permit

save


84

Apply :

OK:


WebUI (NetScreen-B)

1. 介面


Zone Name: Trust




Zone Name: Untrust








2. 位址


Address Name: serverfarm-B


IP/Netmask: ( 選擇 ), 10.173.50.0/24

Zone: Trust


85

( 選擇 )

: 1.1.1.1


), tunnel.1

/0



Address Name: customer1


IP/Netmask: ( 選擇 ), 10.173.10.6/32

Zone: Untrust

3. VPN


VPN Name: vpn1



Gateway Name: gw-1










Service: ANY


86

按一下 OK:

按一下 OK:

按一下 OK:


4. 路由



Gateway: ( 選擇 )





Gateway: ( 選擇 )

Interface: tunnel.1




Gateway: ( 選擇 )




87

:


)

擇 ), 10.100.2.0 – 10.100.2.255


5. 政策


Source Address:

Address Book Entry: ( 選擇 ), customer1


Address Book Entry: ( 選擇 ), serverfarm-B

Service: ANY

Action: Permit



NAT:




88

ethernet3 preshare

.0/0 any

gateway 3.3.3.250el.1rnet1

m-B any nat dst ip


CLI (NetScreen-B)

1. 介面




2. 位址

set address trust serverfarm-B 10.173.50.0/24set address untrust customer1 10.173.10.6/32

3. VPNset ike gateway gw-1 ip 1.1.1.1 main outgoing-interface

netscreen2 sec-level compatibleset vpn vpn2 gateway gw-1 sec-level compatibleset vpn vpn2 bind interface tunnel.1set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

4. 路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.173.10.6/32 interface tunnset vrouter trust-vr route 10.173.50.0/24 interface ethe

5. 政策

set policy top from untrust to trust customer1 serverfar10.100.2.0 10.100.2.255 permit

save

4

89

ðƒ 4 Š¼

何使用對應 IP (MIP) 和虛擬 IP

Networks NetScreen 概念與範例 – 第 7 卷：位址轉譯

對應和虛擬 IP 位址

NetScreen 提供許多執行目的地 IP 位址及目的地連接埠位址轉譯的方式。本章說明如(VIP) 位址，依據下列章節編排：

• 第 90 頁上的「對應的 IP 位址」

– 第 91 頁上的「MIP 和 Global 區域」

– 第 101 頁上的「MIP-Same-as-Untrust」– 第 105 頁上的「MIP 與回傳介面」

• 第 115 頁上的「虛擬 IP 位址」

– 第 118 頁上的「VIP 和 Global 區域」

第 4 章對應和虛擬 IP 位址對應的 IP 位址

90

將目的地為 MIP 的向內通訊流將 IP 封包標頭中之目的地 IP 位機的來源 IP 位址轉譯為 MIP 位上的「NAT-Src 與 NAT-Dst 的

決了透過 VPN 通道連接的兩個「具有重疊位址的 VPN 站台」。)

的子網路中建立 MIP 作為連結和安全區的介面，但是您定義的

果情況如此，就必須在外部路由器上NetScreen 裝置上定義靜態路由。

MIP 1.1.1.5 -> 10.1.1.5

Global區域

注意 : MIP (1.1.1.5) 在和 Untrust 區域介面 (1.1.1.1/24) 相同的子網路中，但是在不同的區域中。


對應的 IP 位址對應的 IP (MIP) 是一個 IP 位址到另一個 IP 位址的直接一對一對應。NetScreen 裝置量轉寄至位址為 MIP 指向位址的主機。就本質而言，MIP 是靜態目的地位址轉譯，它址與另一靜態 IP 位址對應。MIP 主機初始化向外通訊流量時，NetScreen 裝置會將主址的 IP 位址。此雙向轉譯對稱不同於來源與目的地位址轉譯的行為 ( 請參閱第 13 頁方向特質」 )。

MIP 讓向內通訊流量可以到達介面處於 NAT 模式的區域中的私人位址。MIP 也部份解站台之間位址空間重疊的1問題。( 如需此問題完整的解決方案，請參閱第 5 -201 頁上的

您可以在相同的子網路中建立 MIP (作為具有 IP 位址/網路遮罩的通道介面)，或在相同至第 3 層 (L3) 安全區的 IP 位址/網路遮罩2。雖然您設定 MIP 以用於連結到通道區域MIP 儲存在 Global 區域中。

1. 當兩個網路的 IP 位址範圍部分或全部相同時產生重疊位址空間。

2. 例外狀況是為 Untrust 區域中的介面定義的 MIP。該 MIP 可以在不同於 Untrust 區域介面 IP 位址的子網路中。但是，如新增路由，指向 Untrust 區域介面，以便向內通訊流量能到達 MIP。此外，您必須在將 MIP 與代管它的介面相關聯的

網際網路

私人位址空間

公開位址空間

Untrust區域

Trust區域

10.1.1.5

Untrust 區域介面ethernet3, 1.1.1.1/24

Trust 區域介面ethernet1, 10.1.1.1/24

NAT 模式

對應的 IP: 來自 Untrust 區域的向內通訊流量從 210.1.1.5 對應到 Trust 區域中的 10.1.1.5。


91

。Global 區域通訊錄會儲存所有的目的地位址，及作為定義全域策」。) 雖然 NetScreen 裝置會作為參考 MIP 的政策中的目的

能在 DIP 集區中。

對應的 IP 組態後，網路遮罩會


MIP 和 Global 區域

為任何區域中的介面設定 MIP 都會在 Global 區域通訊錄中產生對應於該 MIP 的項目MIP，不論其介面所屬區域為何。您可以將這些 MIP 位址作為任意兩個區域間政策中政策時的目的地位址。( 如需關於全域政策的資訊，請參閱第 2 -301 頁上的「全域政將 MIP 儲存在 Global 區域中，但您仍可使用 Global 區域或具有 MIP 指向位址的區域地區域。

注意 : 在一些 NetScreen 裝置上，MIP 可以使用與介面相同的位址，但是 MIP 位址不

您可以對應「位址到位址」或「子網路到子網路」關係。定義「子網路到子網路」同時套用到對應的 IP 子網路和原始 IP 子網路。


92

ernet2 連結到 Untrust 區域並為內 HTTP 通訊流量引導至 Trust位址至 MIP 的 HTTP 通訊流量，r 路由設定網域中。

Global 區域

.1.5定 )

流量到達 ethernet2。

rnet2 上為 MIP 查詢路由並將。

往 10.1.1.5 的路由並將通訊流


範例：Untrust 區域介面上的 MIP

在本範例中，將 ethernet1 連結到 Trust 區域並為其指派 IP 位址 10.1.1.1/24。將 eth其指派 IP 位址 1.1.1.1/24。然後設定 MIP，將目的地為 Untrust 區域中 1.1.1.5 的向區域中位址為 10.1.1.5 的 Web 伺服器。最後，您建立一個允許自 Untrust 區域中任何此通訊流量最終通往 Trust 區域中具有 MIP 指向位址的主機。所有安全區都在 trust-v

注意 : 「對應的 IP」或其所指向的主機不需使用任何通訊錄項目。

Untrust 區域

Trust 區域



MIP 1.1.1.5 -> 10.1( 在 ethernet2 上設

Web 伺服器10.1.1.5

網際網路

目的地為 1.1.1.5 的通訊

NetScreen 裝置在 ethe1.1.1.5 解析為 10.1.1.5

NetScreen 裝置查詢通量轉寄出 ethernet1。

1

2

3

1

2

3


93

Apply:

OK:



WebUI

1. 介面


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust



2. MIP

Network > Interfaces > Edit ( 對於 ethernet2 ) > MIP > New: 輸入下面的內容

Mapped IP: 1.1.1.5

Netmask: 255.255.255.255

Host IP Address: 10.1.1.5

Host Virtual Router Name: trust-vr


94

:

k 255.255.255.2553

ermit

。例如，若要透過 CLI 將 1.1.1.5 定義.1.10.128 netmask 255.255.255.128。

以提供與 WebUI 組態的對稱。


3. 政策


Source Address:



Address Book Entry: ( 選擇 ), MIP(1.1.1.5)

Service: HTTP

Action: Permit

CLI

1. 介面



2. MIPset interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmas

vrouter trust-vr4

3. 政策

set policy from untrust to trust any mip(1.1.1.5) http psave

3. 依預設，MIP 的網路遮罩為 32 位元 (255.255.255.255)，將位址對應到單一主機。您也可以為某個範圍的位址定義 MIP為 C 類子網路中位址 10.1.10.129–10.1.10.254 的 MIP，請使用下面的語法 : set interface interface mip 1.1.1.5 host 10小心不要使用包括介面或路由器位址的位址範圍。

4. 預設的虛擬路由器為 trust-vr。您不必指定虛擬路由器為 trust-vr 或 MIP 有 32 位元網路遮罩。此指令中包含這些引數，


95

IP。為了完成上述作業，您必須達 MIP5。

5)，以對應到 Trust 區域 thernet1。

1.3.3.1/24。為 1.1.1.5 定義在政區域中的 MIP。您還要設定政策由設定網域中。

到 NetScreen 裝置的路由。但是，如一條靜態路由新增至 NetScreen 路由

_str 是指定的介面所屬的虛擬路由器，

流量流向 1.3.3.1 ( ethernet3


範例：從不同區域到達 MIP

來自不同區域的通訊流量仍可透過其他介面 ( 而非您在其上設定 MIP 的介面 ) 到達 M在其他每個區域中的路由器上設定路由，將向內通訊流量指向各自介面的 IP 位址以到

在本範例中，您在 Untrust 區域 (ethernet2，1.1.1.1/24) 中的介面上設定 MIP (1.1.1.(10.1.1.5) 中的 Web 伺服器。連結到 Trust 區域的介面是 IP 位址為 10.1.1.1/24 的 e

您建立名為 X-Net 的安全區，將 ethernet3 連結到該區域，然後為介面指派 IP 位址策中使用的位址，以讓 HTTP 通訊流量可以從 X-Net 區域中的任何位址流向 Untrust 以讓 HTTP 通訊流量可以從 Untrust 區域流到 Trust 區域。所有安全區都在 trust-vr 路

5. 如果 MIP 與在其上設定了 MIP 的介面在相同的子網路中，您就不必為了讓通訊流量透過不同的介面到達 MIP 而新增果 MIP 與其介面的 IP 位址在不同的子網路中 ( 僅對於 Untrust 區段中介面上的 MIP 才可能出現這種情況 )，您必須將設定表。使用 set vrouter name_str route ip_addr interface interface 指令 ( 或 WebUI 中的等效指令 )，其中 nameinterface 是在其上設定 MIP 的介面。

注意 : 您必須在 X-Net 區域的路由器上輸入路由，導引目的地為 1.1.1.5 (MIP) 的通訊的 IP 位址 )。


96

OK:

Global 區域

MIP 1.1.1.5 -> 10.1.1.5( 在 ethernet2 上設定 )

量到達 eth2 和 eth3。

eth2 上為 MIP 查詢路由並將

行的路由查詢找不到結果。，在 eth2 上找到 MIP，然後將封被解析為 10.1.1.5。

10.1.1.5 的路由並將通訊流量轉

若要到達 1.1.1.5，必須為此路由指向 1.3.3.1 的路由。


WebUI

1. 介面和區域


Zone Name: Trust




Interface Mode: NAT

Untrust 區域

Trust 區域



Web 伺服器10.1.1.5

網際網路

目的地為 1.1.1.5 的通訊流

eth2: NetScreen 裝置在 1.1.1.5 解析為 10.1.1.5。

eth3: 在 eth3 上為 MIP 進NetScreen 檢查其他介面包轉寄至 eth2，MIP 在此

NetScreen 裝置查詢通往寄出 eth1。

1

2

31

2

3

X-Net 區域

X-Net 區域介面ethernet3, 1.3.3.1/24

注意 :器新增


97

OK:

OK:




Zone Name: Untrust



Network > Zones > New: 輸入下面的內容，然後按一下 OK:

Zone Name: X-Net

Virtual Router Name: untrust-vr

Zone Type: Layer 3


Zone Name: X-Net


2. 位址


Address Name: 1.1.1.5


IP/Netmask: ( 選擇 ), 1.1.1.5/32

Zone: Untrust

3. MIP

Network > Interfaces > Edit ( 對於 ethernet2 ) > MIP > New: 輸入下面的內容

Mapped IP: 1.1.1.5

Netmask: 255.255.255.255




98

:

:


4. 政策

Policies > (From: X-Net, To: Untrust) New: 輸入下面的內容，然後按一下 OK

Source Address:



Address Book Entry: ( 選擇 ), 1.1.1.5

Service: HTTP

Action: Permit


Source Address:




Service: HTTP

Action: Permit


99

k 255.255.255.255

itermit

含這些引數，以提供與 WebUI 組態的


CLI

1. 介面和區域



set zone name X-Netset interface ethernet3 zone X-Netset interface ethernet3 ip 1.3.3.1/24

2. 位址

set address untrust “1.1.1.5” 1.1.1.5/323. MIP

set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmasvrouter trust-vr6

4. 政策

set policy from X-Net to untrust any “1.1.1.5” http permset policy from untrust to trust any mip(1.1.1.5) http psave

6. 依預設，MIP 的網路遮罩為 32 位元 (255.255.255.255)，預設虛擬路由器為 trust-vr。不必在指令中指定它們。此處包對稱。


100

的 IP 位址為 10.20.3.1。Trust站台可以使用重疊位址空間，以P 位址為 10.20.3.25/32。( 如需站台」。)

然後按一下 OK:

mask 255.255.255.255


.3.25)，而不是伺服器的實體 IP

( 使用 DIP )，以便本機管理員源位址看起來會像是在 Trust 區


範例：將 MIP 新增到通道介面

在本範例中，Trust 區域中網路的 IP 位址空間為 10.1.1.0/24，通道介面「tunnel.8」區域中網路上伺服器的實體 IP 位址為 10.1.1.25。為了讓網路在 Trust 區域中的遠端透過 VPN 通道存取本機伺服器，您要在 tunnel.8 介面所在的子網路中建立 MIP。MI有通道介面的 MIP 的更完整的範例，請參閱第 5 -201 頁上的「具有重疊位址的 VPN

WebUI

Network > Interfaces > Edit ( 對於 tunnel.8 ) > MIP > New: 輸入下面的內容，

Mapped IP: 10.20.3.25

Netmask: 255.255.255.255



CLI

set interface tunnel.8 mip 10.20.3.25 host 10.1.1.25 netvrouter trust-vr7

save


注意 : 遠端管理員將伺服器位址新增到 Untrust 區域通訊錄時，必須輸入 MIP (10.20位址 (10.1.1.25)。

遠端管理員還需要對透過 VPN 發往伺服器的向外封包套用以政策為基礎的 NAT-src可以新增與本機 Trust 區域位址不衝突的 Untrust 區域位址。否則，向內政策中的來域中。


101

果對於連結到 Untrust 區域 ( 連使用 Untrust 區域介面 IP 位址存取。

IP 位址作為 MIP，NetScreen Untrust 介面上未設定 VPN 或動將所接收到的 IKE 或 L2TP 封

定 HTTP 作為政策中的服務，您向內 HTTP 通訊流量都被對應

透過 Untrust 區域介面來管理裝

35 )。然後按一下 Apply。

位址，


MIP-Same-as-Untrust由於 IPv4 位址越來越少，ISP 越來越不願意為顧客提供一個或兩個以上的 IP 位址。如結到 Trust 區域的介面模式為網路位址轉譯 (NAT)) 的介面，您只有一個 IP 位址，可以作為對應的 IP (MIP)，以提供到內部伺服器或主機或到 VPN 或 L2TP 通道端點的向內

MIP 將到達一個位址的通訊流量對應到另一個位址，因此，透過使用 Untrust 區域介面裝置將使用 Untrust 區域介面的所有向內通訊流量都對應到指定的內部位址。只要L2TP 通道，則若 Untrust 介面上的 MIP 對應至 VPN 或 L2TP 通道端點，裝置即會自包轉寄至通道端點。

如果建立政策，而且其中目的地位址是使用 Untrust 區域介面 IP 位址的 MIP，您也指就會失去經由該介面對 NetScreen 裝置進行 Web 管理的能力 ( 因為流向該位址的所有到內部伺服器或主機 )。透過變更 Web 管理的連接埠號碼，您仍然可以使用 WebUI置。若要變更 Web 管理連接埠號碼，請執行下面的操作：

1. Admin > Web: 在 HTTP Port 欄位中輸入登錄的連接埠號碼 ( 從 1024 到 65,5

2. 當您下一次連線至 Untrust 區域介面以管理裝置時，將連接埠號碼附加至 IP 如 http://209.157.66.170:5000。


102

器的 MIP，其實際 IP 位址為此需要將 Web 管理連接埠號碼P 預設連接埠號碼 80 ) 的政策，

Apply:

OK:

後按一下 Apply。


範例：Untrust 介面上的 MIP

在本範例中，選擇 Untrust 區域介面 (ethernet3，1.1.1.1/24) 的 IP 位址作為 Web 伺服Trust 區域中的 10.1.1.5。由於您希望保留對 ethernet3 介面的 Web 管理存取權，因變更為 8080。然後您建立一個允許自 Untrust 區域至 MIP 的 HTTP 服務 ( 透過 HTT此服務最終通往 Trust 區中 MIP 所指向位址的主機。

WebUI

1. 介面


Zone Name: Trust



輸入下面的內容，然後按一下 OK:

NAT: 8 ( 選擇 )


Zone Name: Untrust



2. HTTP 連接埠

Configuration > Admin > Management: 在 HTTP Port 欄位中鍵入 8080，然

( 遺失 HTTP 連接。)

8. 依預設，連結到 Trust 區域的任何介面都處於 NAT 模式。因此，對於連結到 Trust 區域的介面，已啟用此選項。


103

IP 位址。( 如果您目前正透過

然後按一下 OK:

按一下 OK:

:


3. 重新連線

重新連接到 NetScreen 裝置，將 8080 附加到 Web 瀏覽器 URL 位址欄位中的Untrust 介面管理裝置，請鍵入 http://1.1.1.1:8080。)

4. MIP

Network > Interface > Edit ( 對於 ethernet3 ) > MIP > New: 輸入下面的內容，

Mapped IP: 1.1.1.1

Netmask: 255.255.255.2559



5. 路由



Gateway: ( 選擇 )



6. 政策


Source Address:




Service: HTTP

Action: Permit

9. 使用 Untrust 區域介面 IP 位址的 MIP 的網路遮罩必須為 32 位元。


104

k 255.255.255.255

gateway 1.1.1.250

ermit



CLI

1. 介面



2. HTTP 連接埠

set admin port 8080

3. MIPset interface ethernet3 mip 1.1.1.1 host 10.1.1.5 netmas

vrouter trust-vr10

4. 路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3

5. 政策

set policy from untrust to trust any mip(1.1.1.1) http psave



105

允許使用單一 MIP 位址經由數流量。

傳介面 ( 其中 id_num 是用於唯介面」 )。然後，為允許其他介

，那麼任何介面類型均可作為介面組態。回傳介面不得為另一回

MIP 位址 ( 在回傳介面上定義，但儲存在 Global 區域中 )

N 的通訊流量介面上的 MIP

址的通訊流量會域介面退出至


MIP 與回傳介面

在回傳介面上定義 MIP 可讓介面群組得以存取 MIP。執行此作業的主要應用方式是：個 VPN 通道之一存取主機。MIP 主機亦可經由適當的通道初始化通往遠端站台的通訊

您可以將回傳介面視為包含 MIP 位址的資源容器。您以 loopback.id_num 名稱設定回一識別裝置中介面的索引名稱，並為介面指派 IP 位址 ( 請參閱第 2 -74 頁上的「回傳面使用回傳介面上的 MIP，您將介面新增為回傳介面的成員。

回傳介面及其成員介面必須位在相同區域的不同 IP 子網路中。只要介面具有 IP 位址面群組的成員。若您在回傳介面及它的一個成員介面上設定 MIP，則優先採用回傳介傳群組的成員。

MIP 主機

通道介面 :回傳介面群組的成員

Untrust 區域

Trust 區域

回傳介面( 在 Untrust 區域中 )

Trust 區域介面

來自兩個 VP皆可到達回傳位址。

Untrust 區域介面

VPN 通道

VPN 對等

來自 MIP 位經由 Trust 區MIP 主機。

VPN 對等


106

00.1.5，它對應至 Trust 區域中

)

MIP 位址 : 10.100.1.5 -> 10.1.1.5

私人:


範例：兩個通道介面的 MIP

在本範例中，設定下列介面：

• ethernet1，Trust 區域，10.1.1.1/24

• ethernet1，Untrust 區域，1.1.1.1/24

• tunnel.1，Untrust 區域，10.10.1.1/24，連結至 vpn1

• tunnel.2，Untrust 區域，10.20.1.1/24，連結至 vpn2

• loopback.3，Untrust 區域，10.100.1.1/24

這些通道介面均是 loopback.3 介面群組的成員。loopback.3 介面包括 MIP 位址 10.1位於 10.1.1.5 的主機。

通道介面 : 回傳介面群組的成員

Untrust 區域

Trust 區域


ethernet31.1.1.1/24

vpn1

gw1

loopback.3 10.100.1.1/24

( 在 Untrust 區域中

MIP 主機 10.1.1.5

tunnel.1, 10.10.1.1/24 tunnel.2, 10.20.1.1/24

vpn2

gw2

在 gw1 之後的私人位址空間 : 10.2.1.0/24

在 gw2 之後的位址空間10.3.1.0/24


107

置會在回傳介面 loopback.3 上位址 (10.100.1.5) 轉譯為主機 IP訊流量也可經由連結至 tunnel.2的地 IP 位址 10.100.1.5 轉譯為

由設定網域中。

Apply:

OK:

:


當目的地為 10.100.1.5 的封包經由連結至 tunnel.1 的 VPN 通道抵達時，NetScreen 裝搜尋 MIP。若裝置在 loopback.3 找到配對項，則 NetScreen 裝置會將原始目的地 IP 位址 (10.1.1.5)，並經由 ethernet1 將封包轉寄至 MIP 主機。目的地為 10.100.1.5 的通的 VPN 通道抵達。NetScreen 裝置同樣會在 loopback.3 上搜尋配對項，將原始目10.1.1.5，並將封包轉寄至 MIP 主機。

您亦定義完成組態所需的位址、VPN 通道、路由與政策。所有安全區都在 trust-vr 路

WebUI

1. 介面


Zone Name: Trust



輸入下面的內容，然後按一下 OK:

NAT:11 ( 選擇 )


Zone Name: Untrust



Network > Interfaces > New Loopback IF: 輸入下面的內容，然後按一下 OK

Interface Name: loopback.3

Zone: Untrust (trust-vr)


11. 依預設，連結到 Trust 區域的任何介面都處於 NAT 模式。因此，對於連結到 Trust 區域的介面，已啟用此選項。


108

:

選擇 loopback.3，

:

選擇 loopback.3，



Network > Interfaces > New Tunnel IF: 輸入下面的內容，然後按一下 Apply





在 Member of Loopback Group 下拉式清單中然後按一下 OK。

Network > Interfaces > New Tunnel IF: 輸入下面的內容，然後按一下 Apply





在 Member of Loopback Group 下拉式清單中然後按一下 OK。

2. MIP

Network > Interfaces > Edit ( 針對 loopback.3) > MIP > New: 輸入下面的內容

Mapped IP: 10.100.1.5

Netmask: 255.255.255.255




109
3. 位址


Address Name: local_lan


IP/Netmask: ( 選擇 ), 10.1.1.0/24

Zone: Trust


Address Name: peer-1


IP/Netmask: ( 選擇 ), 10.2.1.0/24

Zone: Untrust


Address Name: peer-2


IP/Netmask: ( 選擇 ), 10.3.1.0/24

Zone: Untrust


110

( 選擇 )

: 2.2.2.2


), tunnel.1

/0

( 選擇 )

: 3.3.3.3


4. VPN


VPN Name: vpn1



Gateway Name: gw1

Type: Static IP: ( 選擇 ), Address/Hostname









Service: ANY


VPN Name: vpn2



Gateway Name: gw2

Type: Static IP: ( 選擇 ), Address/Hostname



111


), tunnel.2

/0

按一下 OK:

按一下 OK:

按一下 OK:









Service: ANY

5. 路由



Gateway: ( 選擇 )

Interface: tunnel.1




Gateway: ( 選擇 )

Interface: tunnel.2




Gateway: ( 選擇 )




112

:

.5)

:

.5)

:


6. 政策


Source Address:

Address Book Entry: ( 選擇 ), peer-1


Address Book Entry: ( 選擇 ), MIP(10.100.1

Service: ANY

Action: Permit


Source Address:

Address Book Entry: ( 選擇 ), peer-2


Address Book Entry: ( 選擇 ), MIP(10.100.1

Service: ANY

Action: Permit


Source Address:

Address Book Entry: ( 選擇 ), local_lan



Service: ANY

Action: Permit


113

tmask 255.255.255.255



CLI

1. 介面



set interface loopback.3 zone trustset interface loopback.3 ip 10.100.1.1/24

set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.10.1.1/24set interface tunnel.1 loopback-group loopback.3

set interface tunnel.2 zone untrustset interface tunnel.2 ip 10.20.1.1/24set interface tunnel.2 loopback-group loopback.3

2. MIPset interface loopback.3 mip 10.100.1.5 host 10.1.1.5 ne

vrouter trust-vr12

3. 位址

set address trust local_lan 10.1.1.0/24set address untrust peer-1 10.2.1.0/24set address untrust peer-2 10.3.1.0/24



114

thernet3 preshare

.0/0 any

thernet3 preshare

.0/0 any

12t3 gateway 1.1.1.250

.5) any permit

.5) any permitt


4. VPNset ike gateway gw1 address 2.2.2.2 outgoing-interface e

netscreen1 sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

set ike gateway gw2 address 3.3.3.3 outgoing-interface enetscreen2 sec-level compatible

set vpn vpn2 gateway gw2 sec-level compatibleset vpn vpn2 bind interface tunnel.2set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

5. 路由

set vrouter trust-vr route 10.2.1.0/24 interface tunnel.set vrouter trust-vr route 10.3.1.0/24 interface tunnel.set vrouter untrust-vr route 0.0.0.0/0 interface etherne

6. 政策

set policy top from untrust to trust peer-1 mip(10.100.1set policy top from untrust to trust peer-2 mip(10.100.1set policy from trust to untrust local_lan any any permisave

第 4 章對應和虛擬 IP 位址虛擬 IP 位址

115

位址上收到的通訊流量對應到另

可能對應到位址為 10.1.1.10 的

。

。

機。

Trust 區域中的

主機 IP10.1.1.10

10.1.1.20

10.1.1.30

FTP (21)

伺服器.1.10

服器.1.30

FTP 伺服器10.1.1.20


虛擬 IP 位址虛擬 VIP (VIP) 位址依據 TCP 或 UDP 片段標頭中的目的地連接埠號碼，將在一個 IP 一位址。例如，

• 目的地為 1.1.1.3:80 ( 即，IP 位址為 1.1.1.3，連接埠為 80 ) 的 HTTP 封包Web 伺服器。

• 目的地為 1.1.1.3:21 的 FTP 封包可能對應到位址為 10.1.1.20 的 FTP 伺服器

• 目的地為 1.1.1.3:25 的 SMTP 封包可能對應到位址為 10.1.1.30 的郵件伺服器

目的地 IP 位址都相同。目的地連接埠號碼確定 NetScreen 裝置將通訊流量轉寄到的主

虛擬 IP 轉寄表

Untrust 區域中的

介面 IPGlobal 區域中的

VIP連接埠轉寄至

1.1.1.1/24 1.1.1.3 80 (HTTP)

1.1.1.1/24 1.1.1.3 21 (FTP)

1.1.1.1/24 1.1.1.3 25 (SMTP)

網際網路

VIP1.1.1.3

Untrust 區域介面eth3, 1.1.1.1/24

HTTP (80)

SMTP (25)

Web 10.1

郵件伺10.1

Untrust 區域 Trust 區域Global 區域

Trust 區域介面eth1, 1.2.2.1/24


116

不過，如果您已在套用於來自該IP 主機初始化向外通訊流量時，不會轉譯來自 VIP 主機之通訊

tScreen 裝置上可以與該介面位

埠號碼。例如，若您在相同的機連接埠 2121 上執行另一個伺服可存取第二個 FTP 伺服器。

服務。

65,535 的號碼範圍。

情況下使用 VIP，請執行下列操作之tScreen 裝置上 Untrust 區域 ( 支援多刪除，否則您就無法建立使用 Untrust


NetScreen 裝置將目的地為 VIP 的向內通訊流量轉寄至位址為 IP 指向位址的主機。主機之通訊流量的政策中設定了在入口介面上執行 NAT 或 NAT-src 的做法，則當 VNetScreen 裝置只會將原始來源 IP 位址轉譯為另一個位址。否則，NetScreen 裝置將流量中的來源 IP 位址。

您需要下面的資訊來定義「虛擬 IP」：

• VIP 的 IP 位址必須與 Untrust 區域中的介面位在同一子網路，甚或在某些 Ne在相同位址13

• 處理要求的伺服器的 IP 位址

• 您要 NetScreen 裝置從 VIP 轉寄至主機 IP 位址的服務類型

一些有關 NetScreen VIP 的註釋：

• 在單一機器上執行多個伺服器處理程序時，您可以使用知名服務的虛擬連接器上具有兩個 FTP 伺服器，您即可在連接埠 21 上執行其中一個伺服器，在器。只有事先知道虛擬連接埠號碼，並將之附加至封包標頭中的 IP 位址者才

• 您可以對應預先定義的服務和使用者定義的服務。

• 單一 VIP 可以分辨具有相同來源及目的地連接埠號碼、但傳輸方式不同的自訂

• 自訂服務可使用任何目的地連接埠號碼或從 1 到 65,535 而不僅是從 1024 到

13. 在某些 NetScreen 裝置上，Untrust 區域中的介面可以經由 DHCP 或 PPPoE 動態接收到其 IP 位址。若您想要在這種一 : 在 WebUI 中 ( Network > Interfaces > Edit ( 對於 Untrust 區域中的介面 ) > VIP: 選擇若您設定 VIP 以使用與 Ne重 VIP) 相同的 IP 位址，那麼其他「一般的」 VIP 將無法使用。若已設定一般的 VIP，那麼除非您先將一般的 VIP 區域介面的 VIP。

注意 : 只能在 Untrust 區域中的介面上設定 VIP。


117

的自訂服務 ( 服務中的每個連接接埠服務。若要在 VIP 中使用n 裝置。( 請參閱第 122 頁上的

機不在 trust-vr 的路由設定網域


• 透過在單一 VIP 下建立多個服務項目，單一 VIP 可支援具有多個連接埠項目埠項目在 VIP 中都有一個對應的服務項目 )。依預設，可在 VIP 中使用單一連多連接埠服務，必須先發出 CLI 指令 set vip multi-port，然後重設 NetScree「範例：有自訂和多連接埠服務的 VIP」。)

• NetScreen 裝置將 VIP 通訊流量對應到的主機必須可從 trust-vr 到達。如果主中，您必須定義到達它的路由。


118

通訊錄會保留所有介面的全部目的地位址及全域政策中的目的

介面 ethernet3 連結到 Untrust

eb 伺服器，並且建立政策允許

rust 區域到達它的通訊流量定義st-vr 路由設定網域中。

，指向連結到該區域的介面。例如，假t2。路由器將通訊流量傳送到 ethernet2送到 Trust 區域。此過程和第 95 頁上 Trust 區域中的 VIP。

Web 伺服器10.1.1.10

Trust 區域


VIP 和 Global 區域

為 Untrust 區域中的介面設定 VIP 將在 Global 區域通訊錄中產生項目。Global 區域VIP，不論介面屬於哪個區域。您可以將這些 VIP 位址作為任意兩個區域間政策中的地位址。

範例：設定虛擬 IP 伺服器

在本範例中，將介面 ethernet1 連結到 Trust 區域並為其指派 IP 位址 10.1.1.1/24。將區域並為其指派 IP 位址 1.1.1.1/24。

然後，在 1.1.1.10 設定 VIP，以將向內 HTTP 通訊流量轉寄至位址為 10.1.1.10 的 W通訊流量從 Untrust 區域到達 VIP，且最終到達 Trust 區域中 VIP 指向位址的主機。

由於 VIP 與 Untrust 區域介面 (1.1.1.0/24) 在相同的子網路中，因此您不需要為從 Unt路由14。此外，VIP 將通訊流量轉寄到的主機不需要通訊錄項目。所有安全區都在 tru

14. 如果要 HTTP 通訊流量從安全區 ( 而非 Untrust 區域 ) 到達 VIP，則必須在另一區域中的路由器上為 1.1.1.10 設定路由設 ethernet2 連結到使用者定義的區域，並且您已經設定該區域中的路由器，將流向 1.1.1.10 的通訊流量傳送到 etherne後，NetScreen 裝置中的轉寄機制在 ethernet3 上找到 VIP，它將通訊流量對應到 10.1.1.10，並將之透過 ethernet1 傳的「範例：從不同區域到達 MIP」中說明的過程類似。您還必須設定一個政策，允許 HTTP 通訊流量從來源區域流向

網際網路VIP

1.1.1.10

Untrust 區域



Global 區域

HTTP (80)


119

Apply:

OK:

按一下 Add :

下面的內容，然後按一下 OK:


WebUI

1. 介面


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust



2. VIP

Network > Interfaces > Edit ( 對於 ethernet3 ) > VIP: 輸入下面的位址，然後

Virtual IP Address: 1.1.1.10

Network > Interfaces > Edit ( 對於 ethernet3 ) > VIP > New VIP Service: 輸入

Virtual IP: 1.1.1.10

Virtual Port: 80

Map to Service: HTTP (80)

Map to IP: 10.1.1.10


120

:

permit


3. 政策


Source Address:

Address Book Entry: ( 選擇 ), ANY


Address Book Entry: ( 選擇 ), VIP(1.1.1.10)

Service: HTTP

Action: Permit

CLI

1. 介面



2. VIPset interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

3. 政策

set policy from untrust to trust any vip(1.1.1.10) http save


121

b 伺服器的存取，將 HTTP 通訊器時知道使用連接埠號碼 2211

IP Service Congure 部份中 ): 輸

的任何現有政策。在第 118 頁

ve。

Congure 部份中的 Remove。


範例：編輯 VIP 組態

在本範例中，您修改在前一個範例中建立的「虛擬 IP」伺服器組態。為了限制對 We流量的虛擬連接埠號碼從 80 ( 預設值 ) 變更為 2211。現在，只有那些連接 Web 伺服的人員才能存取。

WebUI

Network > Interfaces > Edit ( 針對 ethernet3 ) > VIP > Edit ( 在 1.1.1.10 的 V入下面的內容，然後按一下 OK:

Virtual Port: 2211

CLI

unset interface ethernet3 vip 1.1.1.10 port 80set interface ethernet3 vip 1.1.1.10 2211 http 10.1.1.10save

範例：移除 VIP 組態

在本範例中，您刪除之前建立和修改的 VIP 組態。移除 VIP 前，必須先移除與其有關上的「範例：設定虛擬 IP 伺服器」中建立的政策的 ID 編號為 5。

WebUI

Policies > (From: Untrust, To: Trust) > Go: 按一下對應於政策 ID 5 的 Remo

Network > Interfaces > Edit ( 對於 ethernet3 ) > VIP: 按一下 1.1.1.10 的 VIP

CLI

unset policy id 5unset interface ethernet3 vip 1.1.1.10save


122

器 (10.1.1.4)，並將驗證檢查傳連接埠號碼與實際連接埠號碼保證通訊流量。

here 是一項多連接埠服務，傳送

主機 IP 位址

10.1.1.3

10.1.1.4

10.1.1.4

10.1.1.5

: 10.1.1.3 -> 53

DNS 伺服器 : 10.1.1.4HTTP 80 -> 80PCAnywhere5631, 5632 ->

5631, 5632

器 : 10.1.1.583 -> 389


範例：有自訂和多連接埠服務的 VIP

在下面的範例中，您在 1.1.1.3 設定 VIP，將下列服務路由到下列內部位址：

VIP 將 DNS 查詢傳送到 DNS 伺服器 (10.1.1.3)，將 HTTP 通訊流量傳送到 Web 伺服送到 LDAP 伺服器 (10.1.1.5) 上的資料庫。對於 HTTP、DNS 和 PCAnywhere，虛擬持相同。對於 LDAP，虛擬連接埠號碼 (5983) 用於將額外的安全層級新增到 LDAP 驗

為了遠端管理 HTTP 伺服器，您定義自訂服務並且命名它為 PCAnywhere。PCAnyw並監聽 TCP 連接埠 5631 上的資料以及 UDP 連接埠 5632 上的狀態檢查。

服務傳輸虛擬連接埠號碼實際連接埠號碼

DNS TCP，UDP 53 53

HTTP TCP 80 80

PCAnywhere TCP，UDP 5631, 5632 5631, 5632

LDAP TCP，UDP 5983 389

Remote Admin3.3.3.3

Global 區域

Web 伺服器DNS 53



LDAP 伺服LDAP 59

Untrust 區域 Trust 區域

VIP1.1.1.3


123

VIP 的通訊流量設定從 Untrust

Apply:

OK:


您還要在 Untrust 區域通訊錄中輸入「遠端管理」(3.3.3.3) 的位址，並且為所有要使用區域到 Trust 區域的政策。所有安全區都在 trust-vr 路由設定網域中。

WebUI

1. 介面


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust



2. 位址


Address Name: Remote Admin


IP/Netmask: ( 選擇 ), 3.3.3.3/32

Zone: Untrust


124

Virtual IP Address 欄位中鍵入

一下 OK:


3. 自訂服務

Object > Services > Custom > New: 輸入下面的內容，然後按一下 OK:

Service Name: PCAnywhere

No 1:

Transport protocol: TCP

Source Port Low: 0

Source Port High: 65535

Destination Port Low: 5631

Destination Port High: 5631

No 2:

Transport protocol: UDP

Source Port Low: 0

Source Port High: 65535

Destination Port Low: 5632

Destination Port High: 5632

4. VIP 位址和服務15

Network > Interfaces > Edit (對於 ethernet3 ) > VIP: 按一下此處進行設定 : 在1.1.1.3，然後按一下 Add。

> New VIP Service: 輸入下面的內容，然後按

Virtual IP: 1.1.1.3

Virtual Port: 53

Map to Service: DNS

Map to IP: 10.1.1.3

15. 若要啟用 VIP 以支援多連接埠服務，必須輸入 CLI 指令 set vip multi-port，儲存組態，然後將裝置重新開機。


125

一下 OK:

一下 OK:

一下 OK:



Virtual IP: 1.1.1.3

Virtual Port: 80

Map to Service: HTTP

Map to IP: 10.1.1.4


Virtual IP: 1.1.1.3

Virtual Port: 563116

Map to Service: PCAnywhere

Map to IP: 10.1.1.4


Virtual IP: 1.1.1.3

Virtual Port: 598317

Map to Service: LDAP

Map to IP: 10.1.1.5

16. 對於多連接埠服務，輸入服務的最低連接埠號碼作為虛擬連接埠號碼。

17. 使用非標準連接埠號碼可新增另一個安全層級，阻擋檢查位於標準連接埠號碼服務的常見攻擊。


126

:

:

:


5. 政策


Source Address:




Service: DNS

Action: Permit


Source Address:




Service: HTTP

Action: Permit


Source Address:




Service: LDAP

Action: Permit


127

:

in

-port 5631-5631632-5632



Source Address:

Address Book Entry: ( 選擇 ), Remote Adm



Service: PCAnywhere

Action: Permit

CLI

1. 介面



2. 位址

set address untrust “Remote Admin” 3.3.3.3/323. 自訂服務

set service pcanywhere protocol udp src-port 0-65535 dstset service pcanywhere + tcp src-port 0-65535 dst-port 5

4. VIP 位址和服務

set vip multi-portsaveresetSystem reset, are you sure? y/[n] y


128

.1.1.418

rmitermitermit3) pcanywhere permit


set interface ethernet3 vip 1.1.1.3 53 dns 10.1.1.3set interface ethernet3 vip 1.1.1.3 + 80 http 10.1.1.4set interface ethernet3 vip 1.1.1.3 + 5631 pcanywhere 10set interface ethernet3 vip 1.1.1.3 + 5983 ldap 10.1.1.5

5. 政策

set policy from untrust to trust any vip(1.1.1.3) dns peset policy from untrust to trust any vip(1.1.1.3) http pset policy from untrust to trust any vip(1.1.1.3) ldap pset policy from untrust to trust “Remote Admin” vip(1.1.1.save

18. 對於多連接埠服務，輸入服務的最低連接埠號碼作為虛擬連接埠號碼。

索引

IX-I

v

90115

118

viii，ScreenOS 支援的 viii

閱 NAT、NAT-dst 和 NAT-src

-dst 36–39

位址 92

118的 NAT閱 NAT-dst 與 NAT-src

埠號碼 125應 5, 34


索引CCLI

set vip multi-port 117慣例 iv

DDIP 集區

NAT-src 2大小 16位址考量 16

IIP 位址

虛擬 115

MMIP 90

same-as-untrust 介面 101–104可從其他區域到達 95全域區域 91在區域介面上建立 92在通道介面上建立 100位址範圍 94定義 8建立位址 92預設虛擬路由器 94預設網路遮罩 94雙向轉譯 8

NNAT

具有 NAT-dst 的 NAT-src 68–88定義 2

NAT-dst 34–88一對一轉譯 44一對多轉譯 49

位址範圍 6位址範圍至位址範圍 12, 58位址範圍至單一 IP 12, 53位址轉移 7, 35, 58具有 MIP 或 VIP 4具連接埠對應的單一 IP 11封包流動 36–39連接埠對應 5, 34, 63單一 IP，不具有連接埠對應 11單向轉譯 8, 13路由考量 35, 40–43

NAT-src 2, 16–32DIP 集區 2DIP 集區，固定連接埠 9以介面為基礎 3出口介面 10, 30–32位址轉移 24–29位址轉移，範圍考量 24具有 PAT 的 DIP 集區 9, 17–20具有位址轉移的 DIP 集區 10固定連接埠 16, 21–23連接埠位址轉譯 3單向轉譯 8, 13

PPAT 16

VVIP

Global 區域 118可從其他區域到達 118自訂和多連接埠服務 122–128自訂服務，低連接埠號碼 116定義 8移除 121設定 118需要的資訊 116編輯 121

WWebUI

慣例

四畫介面

MIPVIP

六畫全域區域

名稱

慣例

字元類型

七畫位址轉譯

請參

九畫封包流動

NAT

建立

MIP

十一畫區域

全域

基於政策

請參

連接埠

連接

連接埠對

索引

IX-II

UI vviiivii


十二畫插圖

慣例 vii虛擬 IP

請參閱 VIP

十四畫對應的 IP

請參閱 MIP慣例

CLI iv

Web名稱插圖

Documents

NetScreen 概念與範例：第 7 卷，位址轉譯 · NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, ... ( 內含一個單一 IP 位址， 且已啟用 PAT )

NetScreen 概念與範例：第 7 卷，位址轉譯 · NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, ... ( 內含一個單一 IP 位址，且已啟用 PAT )