MIP 是“一對一”的雙向位址翻譯(轉換)過程。通常的情況是:當你有若幹個公網 IP 位址,又存在若幹的對外提供網絡服務的伺服器(伺服器使用私有 IP 位址),為了實作網際網路使用者通路這些伺服器,可在 Internet 出口的防火牆上建立公網 IP 位址與伺服器私有 IP 位址之間的一對一映射(MIP),并通過政策實作對伺服器所提供服務進行通路控制。
web下配置MIP:
1)登陸防火牆,将防火牆部署為三層模式(NAT或路由模式)
2)定義MIP::Network=>Interface=>ethernet2=>MIP,配置實作 MIP 的位址映射。Mapped IP:公網 IP 位址,Host IP:内網伺服器 IP 位址
3)定義政策:在 POLICY 中,配置由外到内的通路控制政策,以此允許來自外部網絡對内部網絡伺服器應用的通路。
指令行方式配置MIP:
1) 配置接口參數
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2)定義MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter
trust-vr
3)定義政策
set policy from untrust to trust any mip(1.1.1.5) http permit
save
MIP 是一個公網 IP 位址對應一個私有 IP 位址,是一對一的映射關系;而 VIP 是一個公網IP 位址的不同端口(協定端口如:21、25、110 等)與内部多個私有 IP 位址的不同服務端口的映射關系。通常應用在隻有很少的公網 IP 位址,卻擁有多個私有 IP 位址的伺服器,并且,這些伺服器是需要對外提供各種服務的。
使用web浏覽器方式配置VIP:
1)登入防火牆,配置防火牆為三層部署模式
2)添加VIP:Network=>Interface=>ethernet2=>VIP
如有多個公網位址可以點選Virtual IP Address 192.168.1.1 Add添加VIP公網位址;然後點選New VIP Service配置映射關系
Virtual IP:指定公網IP位址
Virtual Port :指定的是公網通路端口,如果指定的是自定義端口如6899,則在政策中需要允許該端口通路
Map to Service:指定的是内網端口,可以選擇自己定義的,政策中也需要放行
Map to IP:指定内網位址
Server Auto Detection: 為伺服器自動檢查,一般不需要開啟
3)添加與該VIP公網位址相關的通路控制政策。
Action選擇permit點選OK完成配置。
使用指令行方式配置VIP:
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2)定義VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
set policy from untrust to trust any vip(1.1.1.10) http permit
主要是今天内網一台伺服器需要映射到公網進行測試,在映射完80和8080兩個端口後,發現internet網中的用戶端都可以通路頁面,後來發現手機端在4G網絡中,不能通路,經過一段時間排查,發現是電信營運商将4G網絡中的80和8080端口給封了,需要進行備案才能開發該端口,後來沒辦法了,想想先隻是測試而已,就改端口吧。計劃将80端口映射到外網88端口,8080内網端口映射到外網8099端口,配置好政策後,telnet端口不通呢?排查了老半天,發現還是配置有問題,經過多方折騰終于找到問題原因:如果需要将内網的80端口映射到外網88端口,首先需要在Policy > Policy Elements > Services > Custom下建立端口88,然後在VIP配置中外網端口改為88(Virtual Port:88),内網端口選擇http(80)即可,最後一步很重要,在policy政策中修改服務(Service)點選Multiple,将創自己建立好的88好端口加進來,點選确定,大功告成!8080端口添加原理一樣,隻是8080端口juniper防火牆沒有預設配置,需要自己建立8080内網端口号和外網指定端口号,然後将兩個端口都添加到政策服務中即可,算是個小坑吧,希望對後方同志遇到同樣的問題有所幫助!
本文轉自 80後小菜鳥 51CTO部落格,原文連結:http://blog.51cto.com/zhangxinqi/2052880