juniper防火墻端口映射(MVP、VIP)-創(chuàng)新互聯(lián)

1、juniper防火墻MVP

MIP 是“一對一”的雙向地址翻譯（轉(zhuǎn)換）過程。通常的情況是：當(dāng)你有若干個公網(wǎng) IP 地址，又存在若干的對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器（服務(wù)器使用私有 IP 地址），為了實現(xiàn)互聯(lián)網(wǎng)用戶訪問這些服務(wù)器，可在 Internet 出口的防火墻上建立公網(wǎng) IP 地址與服務(wù)器私有 IP 地址之間的一對一映射（MIP），并通過策略實現(xiàn)對服務(wù)器所提供服務(wù)進行訪問控制。
web下配置MIP：
1）登陸防火墻，將防火墻部署為三層模式（NAT或路由模式）
2）定義MIP：：Network=>Interface=>ethernet2=>MIP，配置實現(xiàn) MIP 的地址映射。Mapped IP：公網(wǎng) IP 地址，Host IP：內(nèi)網(wǎng)服務(wù)器 IP 地址
3）定義策略：在 POLICY 中，配置由外到內(nèi)的訪問控制策略，以此允許來自外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)服務(wù)器應(yīng)用的訪問。
命令行方式配置MIP：
1） 配置接口參數(shù)
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2）定義MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter
trust-vr
3）定義策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save

10年積累的網(wǎng)站建設(shè)、網(wǎng)站制作經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站設(shè)計后付款的網(wǎng)站建設(shè)流程，更有安遠免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

2、juniper防火墻VIP配置

MIP 是一個公網(wǎng) IP 地址對應(yīng)一個私有 IP 地址，是一對一的映射關(guān)系；而 VIP 是一個公網(wǎng)IP 地址的不同端口（協(xié)議端口如：21、25、110 等）與內(nèi)部多個私有 IP 地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng) IP 地址，卻擁有多個私有 IP 地址的服務(wù)器，并且，這些服務(wù)器是需要對外提供各種服務(wù)的。

使用web瀏覽器方式配置VIP：
1）登錄防火墻，配置防火墻為三層部署模式
2）添加VIP：Network=>Interface=>ethernet2=>VIP
如有多個公網(wǎng)地址可以點擊Virtual IP Address 192.168.1.1 Add添加VIP公網(wǎng)地址；然后點擊New VIP Service配置映射關(guān)系

Virtual IP:指定公網(wǎng)IP地址
Virtual Port :指定的是公網(wǎng)訪問端口，如果指定的是自定義端口如6899，則在策略中需要允許該端口訪問
Map to Service:指定的是內(nèi)網(wǎng)端口，可以選擇自己定義的，策略中也需要放行
Map to IP:指定內(nèi)網(wǎng)地址
Server Auto Detection: 為服務(wù)器自動檢查，一般不需要開啟
3）添加與該VIP公網(wǎng)地址相關(guān)的訪問控制策略。

Action選擇permit點擊OK完成配置。

使用命令行方式配置VIP：
1） 配置接口參數(shù)
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2）定義VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
3）定義策略
set policy from untrust to trust any vip(1.1.1.10) http permit
save

3、至于為什么要寫這篇博客

主要是今天內(nèi)網(wǎng)一臺服務(wù)器需要映射到公網(wǎng)進行測試，在映射完80和8080兩個端口后，發(fā)現(xiàn)internet網(wǎng)中的客戶端都可以訪問頁面，后來發(fā)現(xiàn)手機端在4G網(wǎng)絡(luò)中，不能訪問，經(jīng)過一段時間排查，發(fā)現(xiàn)是電信運營商將4G網(wǎng)絡(luò)中的80和8080端口給封了，需要進行備案才能開發(fā)該端口，后來沒辦法了，想想先只是測試而已，就改端口吧。計劃將80端口映射到外網(wǎng)88端口，8080內(nèi)網(wǎng)端口映射到外網(wǎng)8099端口，配置好策略后，telnet端口不通呢？排查了老半天，發(fā)現(xiàn)還是配置有問題，經(jīng)過多方折騰終于找到問題原因：如果需要將內(nèi)網(wǎng)的80端口映射到外網(wǎng)88端口，首先需要在Policy > Policy Elements > Services > Custom下新建端口88，然后在VIP配置中外網(wǎng)端口改為88(Virtual Port:88)，內(nèi)網(wǎng)端口選擇http(80)即可，最后一步很重要，在policy策略中修改服務(wù)（Service）點擊Multiple，將創(chuàng)自己創(chuàng)建好的88好端口加進來，點擊確定，大功告成！8080端口添加原理一樣，只是8080端口juniper防火墻沒有默認(rèn)配置，需要自己創(chuàng)建8080內(nèi)網(wǎng)端口號和外網(wǎng)指定端口號，然后將兩個端口都添加到策略服務(wù)中即可，算是個小坑吧，希望對后方同志遇到同樣的問題有所幫助！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前題目：juniper防火墻端口映射(MVP、VIP)-創(chuàng)新互聯(lián)
當(dāng)前鏈接：http://bm7419.com/article42/dgcdec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、網(wǎng)站改版、移動網(wǎng)站建設(shè)、云服務(wù)器、網(wǎng)站營銷、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)