juniper防火牆端口映射(MVP、VIP)

一、juniper防火牆MVP

MIP 是「一對一」的雙向地址翻譯（轉換）過程。一般的狀況是：當你有若干個公網 IP 地址，又存在若干的對外提供網絡服務的服務器（服務器使用私有 IP 地址），爲了實現互聯網用戶訪問這些服務器，可在 Internet 出口的防火牆上創建公網 IP 地址與服務器私有 IP 地址之間的一對一映射（MIP），並經過策略實現對服務器所提供服務進行訪問控制。
web下配置MIP：
1）登錄防火牆，將防火牆部署爲三層模式（NAT或路由模式）
2）定義MIP：：Network=>Interface=>ethernet2=>MIP，配置實現 MIP 的地址映射。Mapped IP：公網 IP 地址，Host IP：內網服務器 IP 地址
3）定義策略：在 POLICY 中，配置由外到內的訪問控制策略，以此容許來自外部網絡對內部網絡服務器應用的訪問。
命令行方式配置MIP：
1） 配置接口參數
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2）定義MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter
trust-vr
3）定義策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save

二、juniper防火牆VIP配置

MIP 是一個公網 IP 地址對應一個私有 IP 地址，是一對一的映射關係；而 VIP 是一個公網IP 地址的不一樣端口（協議端口如：2一、2五、110 等）與內部多個私有 IP 地址的不一樣服務端口的映射關係。一般應用在只有不多的公網 IP 地址，卻擁有多個私有 IP 地址的服務器，而且，這些服務器是須要對外提供各類服務的。

使用web瀏覽器方式配置VIP：
1）登陸防火牆，配置防火牆爲三層部署模式
2）添加VIP：Network=>Interface=>ethernet2=>VIP
若有多個公網地址能夠點擊Virtual IP Address 192.168.1.1 Add添加VIP公網地址；而後點擊New VIP Service配置映射關係

Virtual IP:指定公網IP地址
Virtual Port :指定的是公網訪問端口，若是指定的是自定義端口如6899，則在策略中須要容許該端口訪問
Map to Service:指定的是內網端口，能夠選擇本身定義的，策略中也須要放行
Map to IP:指定內網地址
Server Auto Detection: 爲服務器自動檢查，通常不須要開啓
3）添加與該VIP公網地址相關的訪問控制策略。

Action選擇permit點擊OK完成配置。

使用命令行方式配置VIP：
1） 配置接口參數
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2）定義VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
3）定義策略
set policy from untrust to trust any vip(1.1.1.10) http permit
save

三、至於爲何要寫這篇博客

主要是今天內網一臺服務器須要映射到公網進行測試，在映射完80和8080兩個端口後，發現internet網中的客戶端均可以訪問頁面，後來發現手機端在4G網絡中，不能訪問，通過一段時間排查，發現是電信運營商將4G網絡中的80和8080端口給封了，須要進行備案才能開發該端口，後來沒辦法了，想一想先只是測試而已，就改端口吧。計劃將80端口映射到外網88端口，8080內網端口映射到外網8099端口，配置好策略後，telnet端口不通呢？排查了老半天，發現仍是配置有問題，通過多方折騰終於找到問題緣由：若是須要將內網的80端口映射到外網88端口，首先須要在Policy > Policy Elements > Services > Custom下新建端口88，而後在VIP配置中外網端口改成88(Virtual Port:88)，內網端口選擇http(80)便可，最後一步很重要，在policy策略中修改服務（Service）點擊Multiple，將創本身建立好的88好端口加進來，點擊肯定，大功告成！8080端口添加原理同樣，只是8080端口juniper防火牆沒有默認配置，須要本身建立8080內網端口號和外網指定端口號，而後將兩個端口都添加到策略服務中便可，算是個小坑吧，但願對後方同志遇到一樣的問題有所幫助！