-
Netscreen
配置
VIP
writer: demonalex[at]dark2s[dot]org
NS
设备
默认有三种
NA
T
方式:
DIP
、
MIP
、
VIP
。其中:
DIP
用于针对
NAT-scr
方式的地址映射(连接发起端的
NA
T
方式)
;
MIP
用于针对主机地址的映射;
VIP
用于针对服务的映射。
本文的主要内容是针对
VIP
的映射方式进行
下面的叙述的。
实验设备:
端口配置:
ns204-> get int all
box is
not in pure_l2_mode
A - Active, I -
Inactive, U - Up, D - Down, R - Ready
Total interface: 13
Name
IP Address
Zone
MAC
VLAN State VSD
eth1
0.0.0.0/0
Trust
0012.1ea0.0ae0
-
D
-
eth2
192.168.2.1/24
Untrust
0012.1ea0.0ae5
-
U
-
eth3
0.0.0.0/0
Untrust
0012.1ea0.0ae6
-
D
-
eth4
192.168.1.1/24
Trust
0012.1ea0.0ae7
-
U
-
vlan1
0.0.0.0/0
VLAN
0012.1ea0.0aef
1
D
-
具体操作步骤:
1
)首先登陆
WEB UI
,进入
Network->Interfaces
界面:
2
)选定
Untrust
区域的网络接口
—
本例是
eth2
,进入其
Basic
页面:
<
/p>
3
)切换至
VIP
分页,在
Virtual IP
Address
栏输入
VIP NA
T
后的地址(注意:这个地址一定
要与你的
NAT
出口同一网段,
但系统默认不支持使用与
NAT
出口同一地址,
具体内容请参
照本文最后的“小技巧”部分)
,本例使用的是
192
.168.2.3
,按
Add
按钮添加
:
4
)添
加完成后可以在主页面偏下方看到我们添加的
VIP
记录,设置
VIP---
在主页面右上角
有一个<
/p>
New VIP
Service
的按钮,点击它
…
5
)在
Virtual
IP
中选定我们刚新建好的、
VIP
NAT
后的地址;
Virtual
Port
中输入
VIP
NA
T
后的传输层端口;
M
ap to Service
是我们需要映射的传输层端口
(这
个可以在
NetScreen
设备
的<
/p>
Objects->Services->Custom
中自行定
义)
;
Map
to
IP
中输入我们要映射的主机
IP
地址;
Server Auto Detection
用于
防火墙以
PING
的方式检测该
Map
to IP
的主机是否‘存在’的功
能(作用不大
…
)
;按
OK
按钮进入下一步操作
…
6
)现在我们回到
VIP
的主界面后就可以观赏到一条完整的
VIP
记录了:
7
)
建立了
VIP
后需要定义一条策略使其生效
,
进入
Policies
页面,
建立一条
Untrust
到
< br>Global
的
策
略
:
Source
Address=Any
;
Destination
Address
=VIP(192.168.2.3)
;
Service=An
y
;
Application=None
;
Action=Permit
;
(
忽略其它通用的选项)
…
8
)建立后我们可以在
Policies
主界面看到该策略:
-
-
-
-
-
-
-
-
-
上一篇:霍尼韦尔主机说明书
下一篇:PreSonus AudioBox中文使用说明