請問一下如果NS-5GT內部上網要指定一組外部的ip上網的話要如何設置呢?
需求如下:(比如我有3個外部ip 10.1.1.1,10.1.1.2,10.1.1.3)
1. firewall :10.1.1.1
2. 10.1.1.2 mip 192.168.1.100 (SERVER 1 LAN IP:192.168.1.100, 外部IP 10.1.1.2)
3. 10.1.1.3 mip 192.168.1.200 (SERVER 2 LAN IP:192.168.1.200, 外部IP 10.1.1.3)
4. SERVER 3 192.168.1.250 要指定走 10.1.1.3 出去
前3項沒什麼問題,但第4項就是設不起來是要設DIP嗎?
所以如果3部server都要有對應的外部網路ip,你有兩種方法解套。
1. MIP新增10.1.1.1對應SERVER 3 192.168.1.250(當然如果你要對應到其他server也可以),缺點是從網際網路就無法連線到5GT的管理介面了。
2. 挑兩部SERVER出來,在VIP設定新增這兩部SERVER,使用同一個外部IP(此外部IP不能在MIP出現),但是在TCP/UDP連接埠做好指定對應到兩部不同的SERVER。
以上是ROUTER的基本觀念,如果需要更詳細的說明,建議搜尋VIP的設定。
DIP是比較特別的用法,一般來說很少用。
幫你找了一個說明網站
JUNIPER 防火牆做IP轉換時三概念:VIP、MIP、DIP
另外,你的第四項當然設不起來,因為10.1.1.3已經被第三項設定佔用了,不要忘了,MIP是一對一模式,所以外部IP當然是屬於獨佔資源,並不是MIP可以使用同一個外部IP設定多筆對應,或是可以在MIP、VIP及DIP分別使用同一個外部IP設定;只要把自己想像成是封包,從外部進來時要如何找到內部IP,你就會發現這邏輯很容易理解。
前一次提供的兩個方法,都可以解決你的問題,或許你可以實做驗證看看。
5GT已經是很舊型的設備了,當初銷售量也很龐大,中文的英文的設定範例、文件真的超級多,多找找或許能找到比我提出的方法更好的也說不定。
fz500s wrote:
1. 沒有要做外對內...(恕刪)
很抱歉,您想要做的功能,就是routing階段的load balance,只是您在後端(伺服器端)沒有把load balance後續功能實做出來而已。
正如phl0722所述,5GT沒有load balance功能。
不過,如果不考慮load balance所需要各項機制,單純只談傳出階段的IP,5GT的VIP及DIP都可以指定一個網際網路IP對應內部多IP。
VIP:請在VIP設定頁面最上方指定[Virtual IP Address]的ip位址。
DIP:IP address range指定從10.1.1.3 ~ 10.1.1.3,內部server的IP在[In the same subnet as the extended IP]欄位,想辦法用子網路+遮罩的方式限制。
但是你要把email傳入的連線處理好,這個方法很多,例如指定DNS MX記錄,指定tcp 25傳入對向等等。
內文搜尋
從 APP 打開
X