3.8.2 配置含有DIP的策略
DIP是NetScreen 设备将向外的 IP 封包包头中的初始源 IP 地址转换成另一个地址,也叫源IP地址转换。采用DIP方式的源IP地址转换,可以把数据包源IP地址转换成防火墙外出接口的接口IP,或另外定义一个或一组DIP地址池。
在本例中,DMZ中的FEP/OIA双机(IP地址为139.107.64.80/81/82/90)访问BOSS主机时,在离开防火墙时,把这些IP地址都转换成一个DIP(IP地址为:10.161.7.47)。也即是在BOSS侧主机上看到FEP/OIA的地址为10.161.7.47。
配置访问策略:
a) 创建DIP 命令方式:
SN-NS500-FW1(M)->set interface ethernet3/1 dip 4 10.161.7.47 10.161.7.47 DIP号为4,是因为系统可配置的DIP号是从4开始的,两个10.161.7.47表示此DIP地址是从10.161.7.41开始,到10.161.7.41结束,也即DIP地址池中只有此一个DIP地址。
WebUI方式,选择菜单:Network->interface,
第 25 页 共 49 页
选择ethernet3/1,并按Edit进入:
选择 DIP:
选择New,创建一个DIP,其IP地址从10.161.7.41到10.161.7.41,并选择port translation:
第 26 页 共 49 页
b) 配置策略源地址
策略的源地址为FEP的物理地址和活动地址(139.107.64.80/81/82/90),创建四个地址列表:UC2-FEP1(139.107.64.81)、UC2-FEP2(139.107.64.82)、UC2-FEP-FLOAT(139.107.64.80)、UC2-FEP-OIA(139.107.64.90)。 命令行方式:
SN-NS500-FW1(M)-> set address DMZ UC2-FEP1 139.107.64.81 255.255.255.255
SN-NS500-FW1(M)-> set address DMZ UC2-FEP2 139.107.64.82 255.255.255.255
SN-NS500-FW1(M)-> set address DMZ UC2-FEP-FLOAT 139.107.64.80 255.255.255.255
SN-NS500-FW1(M)-> set address DMZ UC2-FEP-OIA 139.107.64.90 255.255.255.255
再把这四个地址加入到一个地址组UC2-FEP-ADDRESS-GROUP中:
SN-NS500-FW1(M)->set group address DMZ UC2-FEP-ADDRESS-GROUP SN-NS500-FW1(M)->set group address DMZ UC2-FEP-ADDRESS-GROUP add UC2-FEP-FLOAT
SN-NS500-FW1(M)->set group address DMZ UC2-FEP-ADDRESS-GROUP add UC2-FEP-OIA
SN-NS500-FW1(M)->set group address DMZ UC2-FEP-ADDRESS-GROUP add UC2-FEP1
第 27 页 共 49 页
SN-NS500-FW1(M)->set group address DMZ UC2-FEP-ADDRESS-GROUP add UC2-FEP2
WebUI方式,选择菜单Objects->addresses->list,再选择DMZ区,按New键:
创建UC2-FEP1地址表:
按同时方法创建:UC2-FEP2(139.107.64.82)、
UC2-FEP-FLOAT(139.107.64.80)、UC2-FEP-OIA(139.107.64.90)地址表。 再把此四个地址表组合成一个地址组:UC2-FEP-ADDRESS-GROUP,选择菜单Objects->addresses->group:
第 28 页 共 49 页
