防火墙配置vip教案.pdfVIP

Netscreen 配置VIP writer: demonalex[at]dark2s[dot]org NS 设备默认有三种NAT 方式：DIP 、MIP 、VIP 。其中： DIP 用于针对NAT-scr 方式的地址映射（连接发起端的NAT 方式）； MIP 用于针对主机地址的映射； VIP 用于针对服务的映射。 本文的主要内容是针对VIP 的映射方式进行下面的叙述的。 实验设备： 端口配置： ns204- get int all box is not in pure_l2_mode A - Active, I - Inactive, U - Up, D - Down, R - Ready Total interface: 13 Name IP Address Zone MAC VLAN State VSD eth1 /0 Trust 0012.1ea0.0ae0 - D - eth2 /24 Untrust 0012.1ea0.0ae5 - U - eth3 /0 Untrust 0012.1ea0.0ae6 - D - eth4 /24 Trust 0012.1ea0.0ae7 - U - vlan1 /0 VLAN 0012.1ea0.0aef 1 D - 具体操作步骤： 1）首先登陆WEB UI ，进入Network-Interfaces 界面： 2 ）选定Untrust 区域的网络接口—本例是eth2，进入其Basic 页面： 3 ）切换至VIP 分页，在Virtual IP Address 栏输入VIP NAT 后的地址（注意：这个地址一定 要与你的NAT 出口同一网段，但系统默认不支持使用与NAT 出口同一地址，具体内容请参 照本文最后的“小技巧”部分），本例使用的是，按Add 按钮添加： 4 ）添加完成后可以在主页面偏下方看到我们添加的VIP 记录，设置VIP在主页面右上角 有一个New VIP Service 的按钮，点击它… 5 ）在Virtual IP 中选定我们刚新建好的、VIP NAT 后的地址；Virtual Port 中输入VIP NAT 后的传输层端口；Map to Service 是我们需要映射的传输层端口（这个可以在NetScreen 设备 的Objects-Services-Custom 中自行定义）；Map to IP 中输入我们要映射的主机IP 地址； Server Auto Detection 用于防火墙以PING 的方式检测该Map to IP 的主机是否‘存在’的功 能（作用不大…）；按OK 按钮进入下一步操作… 6 ）现在我们回到VIP 的主界面后就可以观赏到一条完整的VIP 记录了： 7 ）建立了VIP 后需要定义一条策略使其生效，进入Policies 页面，建立一条Untrust 到Global 的策略：Source Address=Any ；Destination Address=VIP() ；Service=Any ； Application=None ；Action=Permit ；（忽略其它通用的选项）… 8 ）建立后我们可以在Policies 主界面看到该策略： 9 ）现在我们重新回到eth2 的VIP 界面，可以看到我们原来新建的那条VIP 记录的Status 了 吧？☺ 下面提供一个我在项目实施中的具体案例： 拓扑： cfg 配置： set clock timezone 0 set vrouter trust-vr sharable unset vrouter trust-vr auto-route-export set service 20 protocol tcp src-port 0-65535 dst-port 20-20 set service 21 protocol tcp src-port 0-65535 dst-port 21-21 set service 8023 protocol tcp src-port 0-65535 dst-port 8023-8023 set s