netscreen的MIP功能实践

人生的悲剧就是个性的悲剧？ 

Home

netscreen的MIP功能实践（本人公司网络环境）

Netscreen 5gt做公司网关，对应内部IP地址 192.168.3.1。 一．临时MIP的实现：

设置临时MIP 58.211.184.43，为方便说明，这里对应内网IP 192.168.5.150为例。

先说个基本概念MIP，就是公司有多个公网IP的情况下，将空闲的IP映射到内网某台电脑（1公网IP对1内网IP）；VIP，指的是公司只有1个IP的情况下，将公网IP

的某个端口映射到内网某台电脑（可以1个端口到内网电脑A，另一个端口到内网电脑B） 1．MIP的效果：

192.168.5.150的用户上网效果和直接使用IP 58.211.184.43 上网一样（包括游戏/MSN/Netmeeting/下载），公网上的用户和58.211.184.43 这个IP通信就是和

192.168.5.150这个用户通信；不同的是，5.150的用户可以继续使用局域网的资源。 2．MIP的具体实现： 要点：

2.1)保证内网192.168.5.150可以正常上网，建address 192.168.5.150的object ，然后建 policy允许它到untrust外网的访问。

2.2)建立MIP地址，并映射到192.168.5.150这个内网IP。 2.3)保证外网用户能访问MIP(58.211.184.43)这个地址。

左边objects—addresses—list界面，右上选trust，list最好选100，如下图：

点击new按钮，新增加 192.168.5.150/32

然后选左边的policies，右上部分From 选turst，To选untrust，点Go 按钮，然后点new新增一条记录。

Source address选刚才建好的address 名称yanghua，denstination address选any，service选any，action选permit，如下图：

这时候这条策略排在最后，我们需要调整策略的顺序使之生效，点后面的向右箭头

好了，现在这个ip可以上网了，下面做MIP Network－interfaces，点untrust后面的edit

选上面的MIP，新增

Mapped ip和host ip address填入，确认。

建立策略，允许访问。左边选policy，右上边，form选untrust，to选trust，点go按钮，然后new新增

策略添加完成，注意顺序的调整。

现在变成in use了。Ok，MIP实例设置完毕。

二．邮件服务器在公网注册IP 58.211.184.45对应于内部IP地址 192.168.3.91(垃圾邮件过滤器) ，在192.168.3.91过滤器上设置转发于192.168.3.5(外部邮件服务器)，完成邮件接收过程；发送邮件用192.168.3.5直接发送。 设置要点：

2.1)保证内网192.168.3.5和192.168.3.91可以正常上网，建address

192.168.3.5和192.168.3.91的object ，然后建 policy允许它们到untrust外网的访问。

2.2)建立MIP(58.211.184.45)地址，并映射到192.168.33.91这个内网IP。 2.3)保证外网用户能访问MIP(58.211.184.43)这个地址。 2.4) 保证内网用户能访问MIP(58.211.184.43)这个地址。

具体操作和前面的MIP类似，就不详细说明了，这里只说第四个要点，如何使内网用户访问这个MIP地址。

又讲基本概念了（不好意思，我本人没有接受过系统培训，全部概念的理解全靠自己总结和google，如有错误，请以官方的解释为准），juniper有3个区域trust/untrust/global，trust接内网，untrust接外网，这些好理解，那么global指什么呢，我的理解是MIP地址的集合。参见下图：

所以，建一个Trust to Global策略就可以了，好了，终于写完了。

PS: Netscreen使用非常广泛，功能也很强大，今天的所知所得，不过冰山一角。

归类于： 原创 — 萝卜 @ 6:06 pm 评论(2)

2条评论

1. 请问这种配置情况下目标地址，就是untrust中（公网）的主机看见访问源

（hanghua）的地址是什么呢？会是58.211.184.43吗？还是开始做的向外访问的那个netscreen的公网端口地址？

假使我公网的服务器要根据访问源做数据处理，然后要主动再根据这个源地址发起反向连接，这种应用情况，是不是也可以这样配置？ freefly12 —— 2009年11月25日 @5:15 pm 2. [网络]netscreen的MIP功能实践 – 猪海渔男 匿名 —— 2009年12月02日 @12:19 pm 发表评论 评论也有版权！

名称 (必填) 电子邮箱 (必填,不公开) 网址 提交评论 验证码 

news

o

 导航 o o o o

登录

日志 RSS 评论 RSS

WordPress.org

 o o o  o o o o o o o o o o  o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o  o o o o o

分类 原创 未分类 转载 最新日志

让windows2000上网速度快起来 更改NETBIOS名称

everest收集公司电脑软硬件信息的实战 你知道根号4在电脑里面该怎么打出来吗 投影仪播放视频时黑屏的处理 OE客户端3个错误提示框

近期公司病毒&网络&服务器&其他 DOS批处理应用的简单学习笔记 关于邮件服务器维护的体会 网吧机器狗完全解决方案之实践 存档

2010年06月 (1) 2010年05月 (1) 2010年03月 (3) 2010年01月 (1) 2009年10月 (1) 2009年09月 (1) 2009年05月 (1) 2009年02月 (1) 2008年11月 (3) 2008年10月 (2) 2008年09月 (2) 2008年08月 (2) 2008年07月 (1) 2008年06月 (3) 2008年05月 (1) 2008年04月 (7) 2008年03月 (2) 2008年02月 (1) 2008年01月 (1) 2007年12月 (4) 2007年11月 (2) 2007年10月 (1) 2007年07月 (2) 2007年06月 (9) 2007年05月 (1) 2007年04月 (1) 2007年03月 (1) 2007年02月 (4) 2007年01月 (2) 2006年12月 (6) 2006年06月 (2) 2006年04月 (1) 2006年03月 (1) 2005年12月 (42) 最新评论

啊宝宝 发表于《解决office各软件的图标丢失》

wenqizgq 发表于《U盘管控,GFI EndPointSecurity功能试用小记》 ccc 发表于《用一根网线同时走网络信号和电话信号的几点注意》 匿名 发表于《netscreen的MIP功能实践（本人公司网络环境）》

freefly12 发表于《netscreen的MIP功能实践（本人公司网络环境）》

CTO VS CEO is Powered by WordPress. Keso theme by dupola