| 设备接口 |
IP地址 |
MIP地址 |
VIP地址 |
| ethernet1/1 |
10.10.10.10/24 |
10.10.10.100 |
10.10.10.80 web
10.10.10.90 22
10.10.10.95
ftp |
| ethernet1/2 |
202.106.0.20/25 |
202.106.0.100 |
202.106.0.80 |
| |
|
|
|
下面使用实际的例子来说明如何配置Juniper防火墙的NAT和路由模式
本文主要使用命令行的方式进行配置,具体的图形界面参考《Juniper防火墙图形配置手册》
其中用户的需求是:
(1)内部用户能通过防火墙访问Internet,防火墙做NAT
(2)Internet用户能访问内部的web,ftp等应用
(3) Internet用户通过不同的端口访问内部的webservergroup
简单的图形如下:
Internet-----路由器----Netscreen----内网
具体的IP地址分配如下:参考上表
netscreen->set hostname netscreenisg2000
netscreenisg2000->set interface mgt ip 192.168.1.1/24
netscreenisg2000->set interface ethernet1/1 zone trust
netscreenisg2000->set interface ethernet1/2 zone untrust
netscreenisg2000->set interface ethernet1/1 ip 10.10.10.10/24
netscreenisg2000->set interface ethernet1/2 ip 202.106.0.20/25
netscreenisg2000->set interface ethernet1/1 nat
netscreenisg2000->set interface ethernet1/2 route
netscreenisg2000->set interface "ethernet1/2" mip 202.106.0.100 host 10.10.10.100 netmask 255.255.255.255 vrouter "trust-vr".
netscreenisg2000->set interface ethernet1/2 vip 202.106.0.80 80 "HTTP"10.10.10.80
netscreenisg2000->set interface ethernet1/2 vip 202.106.0.80 +8080 "HTTP"10.10.10.90
netscreenisg2000->set interface ethernet1/2 vip 202.106.0.80 +8900 "HTTP"10.10.10.85
具体的policy 就不在详细的说明了,后面的文章中专门介绍如何配置policy。
阅读(7808) | 评论(0) | 转发(0) |
