返回
netscreen 网络地址翻译 nat 方法总结和实验

netscreen 网络地址翻译 nat 方法总结和实验

ID:47487243

大小:2.62 MB

页数:46页

时间:2020-01-12

netscreen 网络地址翻译 nat 方法总结和实验_第1页
netscreen 网络地址翻译 nat 方法总结和实验_第2页
netscreen 网络地址翻译 nat 方法总结和实验_第3页
netscreen 网络地址翻译 nat 方法总结和实验_第4页
netscreen 网络地址翻译 nat 方法总结和实验_第5页
资源描述:

《netscreen 网络地址翻译 nat 方法总结和实验》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络地址翻译方法总结和实验目录一、前言1二、源网络地址转换(NAT-Src)2一.不带DIP2二.带DIP4一).1对1映射4二).1对多映射7三).多对1映射9四).多对多映射10三、Netscreen防火墙各种地址翻译方法的特点总结14四、地址翻译方法实验181.Netscreen防火墙的地址翻译实验环境182.Netscreen防火墙的策略地址翻译实验183.1由外向内的地址翻译183.2由内向外的地址翻译283.Netscreen防火墙的接口地址翻译实验334.1MIP地址翻译334.2VIP地址翻译364.将MIP和VIP用策略地址翻译替代实验395.1MIP地址翻译的替

2、代395.2VIP地址翻译的替代43正文一、前言Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。MIPMIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。VIPMIP是一个公网IP地址对应一个私有IP地址,是

3、一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。46DIPDIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。特别是在当你的网络

4、出现双链路的时候,DIP的配置更是出色。一、源网络地址转换(NAT-Src)Writer:wwiinngd为了保护内网或IP地址紧缺和另一些原因,需要把源IP地址转换为别一个地址,这就是源网络地址转换.目的:学习NETSCREEN204的NAT-Src配置NAT-Src有带DIP的和不带DIP的DIP(动态IP)池提供了可用的地址,使通过NETSCREEN执行的NAT-Src策略后,从池中提取地址使用一.不带DIP图1WEBUI:1.Network>Interfaces(List)>ethernet1>EditZoneName:TrustIPAddress/Netmask:192.

5、168.1.1/24InterfaceMode:NATNetwork>Interfaces(List)>ethernet2>EditZoneName:UnTrustIPAddress/Netmask:192.168.2.1/24InterfaceMode:Route462.设置策略Policies>(From:Trust,To:Untrust)New::SourceAddress:AddressBookEntry:AnyDestinationAddress:AddressBookEntry:AnyService:ANYAction:PermitLogging:(选择)在CLI下面:

6、setinterfaceethernet1zonetrustsetinterfaceethernet1ip192.168.1.1/24setinterfaceethernet1natsetinterfaceethernet2zoneuntrustsetinterfaceethernet2ip192.168.2.1/24setinterfaceethernet2routesetpolicyfromtrusttountrustAnyAnyANYpermitlog设置二个区段再加一条策略就行,默认二个区是不通的(5GT除外),从UnTrust区来看,所有信息也是从NETSCREENE2口

7、出来的.我们可以从防火墙的日志中看到。图246图3二.带DIP1对1映射:地址池只有一个IP,所以一台机映射一个IP1对多映射:地址池只有多个IP,所以一台机从池中每次取一个IP映射多对1(一定要开PAT)映射:地址池只有一个IP,但通过PAT,最多可以支持64,500(65535-1023)台机,每台机用不同的端口多对多映射:地址池有多个IP,也有多台机,可以从池中取IP映射,也可以指定那台机映射为那个IP一).1对1映射46图4只有一台机在Trust区连到UnTt

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。