Juniper VIP

  今天在客戶那邊處理防火牆故障，之前都是以路由交換機爲主，基本上在項目中沒有接觸來防火牆，就是平時本身學一下，看一下文檔，好歹瞭解一下，真的是書到用時方恨少呀；在這裏只貼出VIP的部分，方便須要參考的攻城師看一上，對於不一樣的GUI界面來講，有多是平同樣的，只供簡單參考；

根據 TCP 或 UDP 片斷包頭的目標端口號，虛擬 IP (VIP) 地址將在一個 IP 地址處接

收到的信息流映射到另外一個地址。例如，

目標地址爲 1.1.1.3:80 ( 也就是 IP 地址爲 1.1.1.3，端口號爲 80) 的 HTTP 封包

可能映射到地址爲 10.1.1.10 的 Web 服務器。

目標地址爲 1.1.1.3:21 的 FTP 封包可能映射到地址爲 10.1.1.20 的 FTP 服務器。

目標地址爲 1.1.1.3:25 的 SMTP 封包可能映射到地址爲 10.1.1.30 的郵件服務器。

目標 IP 地址相同。目標端口號肯定安全設備將信息流轉發到的主機。

Untrust 區段中的接口 IP Global 區段中的 VIP 端口轉發至Trust 區段中的主機 IP

1.1.1.1/24           1.1.1.3 80 (HTTP)                  10.1.1.10

1.1.1.1/24           1.1.1.3 21 (FTP)                   10.1.1.20

1.1.1.1/24           1.1.1.3 25 (SMTP)                  10.1.1.30

安全設備將去往 VIP 的內向信息流轉發到 VIP 指向地址上的主機。可是，當 VIP 主

機發起出站信息流時，若是先前在入口接口或應用到來自該主機信息流的策略中的

NAT-src 上配置了 NAT，則安全設備會僅將初始源 IP 地址轉換爲其它地址。不然，

安全設備不會對來自 VIP 主機的信息流進行源 IP 地址轉換。

須要如下信息來定義「虛擬 IP」:

VIP 的 IP 地址必須與 Untrust 區段中的接口 ( 或某些安全設備上的接口) 在同一

子網中，甚至能夠是該接口使用的地址

在某些安全設備上，Untrust 區段中的接口能夠經過 DHCP 或 PPPoE 動態接收

IP 地址。若是但願在上述狀況中使用 VIP，請使用 WebUI (Network >

Interfaces > Edit ( 對於 Untrust 區段中的接口) > VIP) 執行如下操做之一:

若是配置 VIP，將同一 IP 地址用做支持多個 VIP 的設備的 Untrust 區段接

口，其它「常規」VIP 將不可用。

若是配置了常規 VIP，除非先刪除常規 VIP，不然沒法使用 Untrust 區段接

口建立 VIP。

處理請求的服務器的 IP 地址

但願安全設備從 VIP 轉發到主機 IP 地址的服務類型

在本例中，將接口 ethernet1 綁定到 Trust 區段，併爲其分配 IP 地址 10.1.1.1/24。

將接口 ethernet3 綁定到 Untrust 區段，併爲其分配 IP 地址 1.1.1.1/24。

而後，在 1.1.1.10 配置 VIP，以便將入站 HTTP 信息流轉發到地址爲 10.1.1.10 的

Web 服務器，並建立一個策略，容許 Untrust 區段的信息流到達 Trust 區段中的

VIP ( 始終到達 VIP 指向地址上的主機)。

因爲 VIP 與 Untrust 區段接口 (1.1.1.0/24) 在同一子網中，所以無需定義路由，以

便 Untrust 區段的信息流到達 VIP。此外，VIP 將信息流轉發到的主機不須要通信

簿條目。全部安全區域都在 trust-vr 路由域中。

若是但願安全區段 ( 而非 Untrust 區段) 的 HTTP 信息流到達 VIP，則必須在安全

區段的路由器上設置到達 1.1.1.10 的路由，從而指向綁定到該區段的接口。例

如，假設 ethernet2 被綁定到用戶定義區段上，且配置了該區段的路由器，將目

標地址爲 1.1.1.10 的信息流發送到 ethernet2。路由器將信息流發送到 ethernet2

後，安全設備中的轉發機制將 VIP 定位在 ethernet3，它將信息流映射到

10.1.1.10 併發送出 ethernet1，到達 Trust 區段。此過程與第 61 頁上的「範例:

從不一樣區段到達 MIP」中描述的相似。此外，還必須設置一個策略，容許 HTTP

信息流從源區段流向 Trust 區段中的 VIP。

1. 接口

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 nat

set interface ethernet3 zone untrust

set interface ethernet2 ip 1.1.1.1/24

2. VIP

set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

3. 策略

set policy from untrust to trust any vip(1.1.1.10) http permit

save