JUNIPER防火墙快速安装手册
③ 添加与该VIP公网地址相关的访问控制策略。
3.2.2、使用命令行方式配置VIP
① 配置接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 ② 定义VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10 ③ 定义策略
set policy from untrust to trust any vip(1.1.1.10) http permit save
注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。
第 25 页 共 69 页
JUNIPER防火墙快速安装手册
3.3、DIP的配置
DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。
DIP应用的网络拓扑图:
3.3.1、使用Web浏览器方式配置DIP
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口
定义IP地址池;
第 26 页 共 69 页
JUNIPER防火墙快速安装手册
③ 定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,
启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;
策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。
第 27 页 共 69 页
JUNIPER防火墙快速安装手册
3.3.2、使用命令行方式配置DIP
① 配置接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 ② 定义DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 ③ 定义策略
set policy from trust to untrust any any http nat src dip-id 5 permit save
4、Juniper防火墙IPSec VPN的配置
Juniper所有系列防火墙(除部分早期型号外)都支持IPSec VPN,其配置方式有多种,包括:基于策略的VPN、基于路由的VPN、集中星形VPN和背靠背VPN等。在这里,我们主要介绍最常用的VPN模式:基于策略的VPN。
站点间(Site-to-Site)的VPN是IPSec VPN的典型应用,这里我们介绍两种站点间基于策略VPN的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址,另一端动态公网IP地址。
4.1、站点间IPSec VPN配置:staic ip-to-staic ip
当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPN gateway部分的VPN网关指向IP不同,其它部分相同。 VPN组网拓扑图:staic ip-to-staic ip
第 28 页 共 69 页
