juniper如何做位址映射

Juniper防火牆作為網絡的一道關卡，除了控制内網使用者通路外網之外還可以控制外網對内網的通路，如果使用者内網的伺服器需要對外網釋出服務的話就需要使用Juniper防火牆的網絡映射功能，這裡介紹兩個最常用的方式MIP和VIP。

Juniper 防火牆MIP的配置

MIP（Mapped IP）是“一對一”的雙向位址翻譯（轉換）過程。

通常的情況是：當你有若幹個公網IP位址，又存在若幹的對外提供網絡服務的伺服器（伺服器對外提供IP位址），為了實作網際網路使用者通路這些伺服器，可在Internet出口的防火牆上建立公網IP位址與伺服器私有IP位址之間的一對一映射（MIP），并通過政策實作對伺服器所提供服務進行通路控制。

在 Network=>Interface界面下選擇Untrust接口，點選edit，進入編輯界面後上方點選MIP

選擇右上角的“new”

Mapped IP：公網IP位址

Host IP：内網伺服器IP位址

在POLICY中，配置由外到内的通路控制政策，以此允許來自外部網絡對内部網絡伺服器應用的通路。

Untrust的源位址選擇any

trust的目的位址選擇剛才建立的MIP

action選擇permit

這樣一個簡單的MIP就建立好了，通過通路MIP的外網IP防火牆就會自動映射到MIP指定内網IP的伺服器上了。

Juniper 防火牆VIP的配置

MIP是一個公網IP位址對應一個私有IP位址，是一對一的映射關系；而VIP是一個公網IP位址的不同端口（協定端口如：23、80、110等）與内部多個私有IP位址的不同服務端口的映射關系。通常應用在隻有很少的公網IP位址，卻擁有多個私有IP位址的伺服器，并且，這些伺服器是需要對外提供各種服務的。

在 Network=>Interface 界面下選擇Untrust接口，點選edit，進入編輯界面後上方點選VIP

Same as the interface IP address 如果你隻有一個外網IP位址，那就隻能選這個了。需要注意的是該ip的80、23、443端口預設情況是給防火牆占用了，如果要将這幾個端口映射給内網伺服器則需要修改防火牆的管理端口，将這些端口讓出了。

另外再一些舊款的防火牆如，netscreen ns-204以上的型号是沒有這個選項的。

Virtual IP Address 如果你公司比較有錢，有多的ip，那就可以在這裡填一個ip了。

點選“new VIP services”建立一條VIP映射

Virtual Port 是外網通路的端口，這裡可以随便填，沒沖突就行了

Map to Service 是對于内網服務的端口号，可以自定義的

Server Auto Detection 建議不要打鈎，不然比較容易出錯。

最後建立一條政策允許外網對VIP對應的伺服器進行通路

Untrust端的源位址為any

trust的目的位址為建立的VIP位址

action為允許

這樣一個簡單的VIP就建立好了，通過通路VIP的外網IP+端口号防火牆就會自動映射到VIP指定内網IP的伺服器上了。

本文轉自 yhw85 51CTO部落格，原文連結：http://blog.51cto.com/yanghuawu/662452，如需轉載請自行聯系原作者