2

Netscreen 5GT 內對外IP對應設置

gorugoru
個人積分：2分
文章編號：59936945

2分

11樓

2016-04-21 14:52

VIP的確無法做到內部多ip指定傳出外部ip的功能，DIP才能做到。
HOPE000網友的說法是正確的，我剛好有找到一個範例，貼給你試試看。

範例中163.21.166.32是外部IP，內部IP是172.16.12.0/24，

小強的個人空間 http://blog.spps.tp.edu.tw/xsp/?3

Juniper NS-25 如何設定內部1個C_CLASS對外部一個IP
例如：172.16.12.0 → 163.21.166.32

1. Network → Interdface → Enternet3 → Dip → New
→ ID 32
→ IP Address Range 163.21.166.32 ~ 163.21.166.32
→ Port Translation 啟用
→ ok

2. Policies
→ Form. Trust To Untrust
→ New
→ Source Address ‧New Address 172.16.12.0/24
→ Destination Address ANY
→ Service ANY
→ Action Permit
→ Logging 啟用
→ Advanced
→ NAT Source Translation 啟用
(DIP on) 32(163.21.166.32~163.21.166.32)/port-xlate
→ ok
→ ok

fz500s

fz500s
個人積分：41分
文章編號：59940831

41分

樓主

2016-04-21 21:01

感謝gorugoru回覆

終於測試出需要的功能，但還是無法做到我說的3個IP都被 MIP or VIP 使用後在指定其中一個IP上網

測試最終重點就是這個DIP指定的IP是要空的才行，難怪先前我一直無法設置起來~

gorugoru wrote:
VIP的確無法做到...(恕刪)

HOPE000

HOPE000
個人積分：174分
文章編號：59940946

174分

13樓

2016-04-21 21:13

fz500s wrote:
感謝gorugoru...(恕刪)

那是 5GT 真的太舊了 ... 不然我記得 SSG-5-SB 可以用FW的 IP 來做 VIP

System Engineer

gorugoru

gorugoru
個人積分：2分
文章編號：59953856

2分

14樓

2016-04-22 20:30

HOPE000 wrote:
那是 5GT 真的太...(恕刪)

老兵不死啦...我們的5GT有這功能，不確定是不是升級新韌體後才有的。不過傳統企業級設備的優點就在這，為了要賺維護合約費用，真的想盡辦法延長產品壽命。

只要選擇［Same as the untrusted interface IP adress］，就是用Firewall的ip，當作VIP的外部IP，這樣傳出、傳入都會使用同一個IP。

可是fz500s網兄就很堅決不要用Firewall ip，所以只能這樣了。

edson0227

edson0227
個人積分：16分
文章編號：59962344

16分

15樓

2016-04-23 17:31

簡單的觀念分享

MIP (static NAT)
雙向,一個public ip 換一個private ip(一對一)

VIP(Destination NAT )
單向(外到內), 將public ip &port 對應到內部ip &port

DIP(Source NAT)
可以使用interface ip (或是與interface ip 同一段的ip)

你把其中一個IP指定為MIP後他就被限制給特定IP使用了,其他人是無法使用

一般實務上我們常用 VIP & DIP
因為這樣比較有彈性

你可以試想一個狀況
PC1~PC10 要用8.8.8.8 當outgoing ip
PC11~PC15 要用8.8.8.9 當outgoing ip

且8.8.8.8:80 mapping 給 PC12的80port

這樣就可以明瞭箇中的差異了

2