Sunday, February 5, 2012

Juniper SSG550 設定 MIP

最近一個月的工作任務是機櫃的驗收,然後還不小心跌入要規劃和設定機櫃的環境和安裝配置作業系統。除了規劃網路架構和軟硬體卡關非常久之外,Juniper 防火牆的設定也遲遲沒有進展,因此稍微記錄一下以便輔助我這小腦袋的記憶。

MIP 全名 Mapping Internet Protocol

One-to-One 的 NAT 對應,為何要 MIP?其實是因為 Transparent Mode 還試不出來...連 MIP 都是請同事幫我研究出來的,原廠怎麼不給操作手冊啊!(無言)

首先,說明各 Interface 的狀況

  • ethernet 0/0: trust for LAN (private ip)
  • ethernet 0/1
  • ethernet 0/2: untrust for WAN (public ip)
  • ethernet 0/3
接著到 ethernet 0/0 編輯詳細內容,其重點放在 Interface Mode 用 NAT,以及設定可管理的IP 網路位址。
  • Interface Mode: NAT

ethernet 0/3 因為是介接 ADSL 所以管理的功能最好是拿掉,也不要勾選任何管理的服務項目,並且注意 Interface Mode 亦為 NAT。
  • Interface Mode: NAT

新增 MIP

接著,上頭的 MIP 選項點選後進入新增修改畫面。新增一組對應的 IP,Mapped IP 為 untrust 的 ADSL 網路位址而 Host IP 是 trust 私有的網路位址。



新增 Policy

1. ethernet 0/0 (trust to untrust) 按照以下設定方式進行,以條列式陳列:
  • Source: ANY
  • Destination: ANY
  • Service: ANY
  • Action: Permit
注意要到進階設定開啟 Source Translation
  • Source Translation: 打勾
設定好的 Policy 資訊列表


2. ethernet 0/2 (untrust to trust) 



按照以下設定方式進行,以條列式陳列:
  • Source: ANY
  • Destination: 下拉式選單選取特定的 MIP 組合
  • Service: ANY
  • Action: Permit
Routing Destination 確認


確認有 0.0.0.0/0 當未知目的地的封包時,會將資訊傳送給上層的預設匝道介面接給下一個路由器或是機器做路由處理。

MIP 優點和缺點

在 PC 端則是在區域網路設定新增 Private IP,這裡假設的範例是 192.168.4.x/24,而非用戶自行申裝的 ADSL 網路位址,對於使用者來說有一點多了一層的障礙,但是如果是機櫃要整櫃輸出做買賣的話,爾後僅更新 Juniper 防火牆的 MIP 和 Policy 即可,減少一一去伺服器或是 PC 做修改網路設定的步驟。

以上是操作筆記和心得,如有錯誤煩請指正!

No comments:

Post a Comment