设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 1586|回复: 4
收起左侧

Juniper 防火墙做NAT时的几个基本概念

[复制链接]
发表于 2011-8-16 15:38:18 | 显示全部楼层 |阅读模式
Juniper 防火墙做NAT时的几个基本概念
NAT,即Network address translation;是为了解决IPv4地址匮乏而产生的技术,不过后来又衍生出很多变种,包括为实现服务器负载均衡而出现的destination nat等等;
Juiniper防火墙的配置中给这些不同的NAT实现取了很多不同的名字,新手不仔细阅读文档的话,往往容易被折腾得一头雾水;为避免新手像我一样走弯路,特把我的一些心得总结如下,希望各位高手斧正:
DIP:主要用于源地址(Source)翻译,会话必须由内部(非Untrust zone)发起;这是最常见的nat实现,常见于内网使用私用ip但上Internet时通过防火墙翻译成公网ip时使用;DIP Pool可以是一段地址,也可以只是一个地址;DIP具体配置时又分为"Fix-port"和“None Fix-port”两种;很明显,"fix-port"就是不做源端口的翻译,即不能实现地址的复用,而“None Fix-port”则相当于Cisco的PAT概念(overload),通过翻译源端口并记录翻译前的地址和翻译后的源端口对应表来实现地址的复用;理论上,一个ip地址可以被复用65535-1024=64511次;即DIP Pool里的每一个ip可以支持超过60000个会话;
VIP:主要用于对目标地址(Destination)的翻译,会话必须由外部(Untrust zone)发起;当外部对一个VIP发起连接的时候,防火墙将该地址翻译成一台内部主机的地址;由于VIP还可实现目标端口的翻译,因此可以利用VIP实现同一个公网IP的不同端口映射到内网不同服务器的不同服务上(HTTP/FTP/MAIL等),以实现对公网IP的复用;比如你只有一个公网ip,但是你有三台服务器:HTTP/FTP/MAIL要对外提供服务...
MIP:用于一对一的地址翻译,会话即可以由内部(非Untrust zone)发起,也可以会话由外部(Untrust zone)发起;会话由内部发起时防火墙将内部地址转换为MIP地址出去,会话由外部发起时防火墙将MIP地址转换为内部地址进来;常用于将内网或DMZ区域对外提供服务的服务器做NAT;




                               
登录/注册后可看大图
该贴已经同步到 COCO999的微博
发表于 2011-8-16 17:11:01 | 显示全部楼层
支持一下看看内容怎么样
沙发 2011-8-16 17:11:01 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2018-10-16 16:26:34 | 显示全部楼层
谢谢楼主分享!
板凳 2018-10-16 16:26:34 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2019-8-13 13:15:34 | 显示全部楼层
DDDDDDDDDDDDDDDDDDD
地板 2019-8-13 13:15:34 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2019-10-11 21:47:56 | 显示全部楼层
Thanks for sharing !!
5# 2019-10-11 21:47:56 回复 收起回复
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-3-28 20:32 , Processed in 0.052816 second(s), 9 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表