Juniper-ScreenOS-基于策略的目的地址转换实验案例

更多更多更多更多JuniperScreenOS原创文档请访问原创文档请访问原创文档请访问原创文档请访问：：：：转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处：：：：的的的的目的目的目的目的地址转换地址转换地址转换地址转换（（（（DSTDSTDSTDST----NATNATNATNAT））））配置示例配置示例配置示例配置示例由由由由wzknet@hotmail.comwzknet@hotmail.comwzknet@hotmail.comwzknet@hotmail.com原创原创原创原创JuniperIDJuniperIDJuniperIDJuniperID：：：：JPR29525JPR29525JPR29525JPR29525JNCISJNCISJNCISJNCIS----FWVFWVFWVFWV/JNCIS/JNCIS/JNCIS/JNCIS----ERERERER/JNSS/JNSS/JNSS/JNSS----SSSS设备设备设备设备型号及型号及型号及型号及ScreenOSScreenOSScreenOSScreenOS版本版本版本版本JuniperSSGJuniperSSGJuniperSSGJuniperSSG----550M550M550M550M：：：：HardwareVersion:0000(0)HardwareVersion:0000(0)HardwareVersion:0000(0)HardwareVersion:0000(0)----(00),FPGAchecksum:00000000,VLAN1(00),FPGAchecksum:00000000,VLAN1(00),FPGAchecksum:00000000,VLAN1(00),FPGAchecksum:00000000,VLAN1IP(0.0.0.0)IP(0.0.0.0)IP(0.0.0.0)IP(0.0.0.0)SoftwareVersion:SoftwareVersion:SoftwareVersion:SoftwareVersion:6.0.0r4.06.0.0r4.06.0.0r4.06.0.0r4.0,,,,Type:Type:Type:Type:Firewall+VPNFirewall+VPNFirewall+VPNFirewall+VPN分以下几种情况分以下几种情况分以下几种情况分以下几种情况详细介绍详细介绍详细介绍详细介绍：：：：一一一一、、、、个人个人个人个人PC(1.1.1.2)需要访问测试需要访问测试需要访问测试需要访问测试服务器服务器服务器服务器(180.200.3.97)，，，，访问的映射地址是访问的映射地址是访问的映射地址是访问的映射地址是(2.2.2.2)，，，，同时同时同时同时源地址源地址源地址源地址(1.1.1.2)在在在在Trust区域可以路由区域可以路由区域可以路由区域可以路由，，，，不需要做源地址转换不需要做源地址转换不需要做源地址转换不需要做源地址转换。。。。网络拓朴如下：更多更多更多更多JuniperScreenOS原创文档请访问原创文档请访问原创文档请访问原创文档请访问：：：：转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处：：：：各个设备各个设备各个设备各个设备配置过程如下配置过程如下配置过程如下配置过程如下（（（（只列出与本案例相关的配置只列出与本案例相关的配置只列出与本案例相关的配置只列出与本案例相关的配置））））：：：：一、JuniperSSG550M：1、配置接口setinterfaceethernet0/0zoneUntrustsetinterfaceethernet0/0ip1.1.1.1/24setinterfaceethernet0/0routesetinterfaceethernet0/0managepingsetinterfaceethernet0/0managesshsetinterfaceethernet0/0managetelnetsetinterfaceethernet0/0managewebsetinterfaceethernet0/2zoneTrustsetinterfaceethernet0/2ip10.200.51.202/8setinterfaceethernet0/2nat2、配置地址本setaddressTrust2.2.2.2/322.2.2.2255.255.255.255setaddressUntrust1.1.1.2/321.1.1.2255.255.255.2553、配置策略setpolicytopfromUntrusttoTrust1.1.1.2/322.2.2.2/32ANYnatdstip180.200.3.97permitlog4、配置路由setroute0.0.0.0/0interfaceethernet0/2gateway10.200.49.254二、华为路由器QuidwayR2631E1、配置接口interfaceEthernet0ipaddress10.200.49.254255.0.0.0!interfaceEthernet1ipaddress180.200.3.98255.255.252.0更多更多更多更多JuniperScreenOS原创文档请访问原创文档请访问原创文档请访问原创文档请访问：：：：转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处：：：：、配置路由iproute-static1.1.1.2255.255.255.25510.200.51.202preference60三、测试服务器1、网卡IP配置Test_Server:/root#ifconfigeth0eth0Linkencap:EthernetHWaddr00:10:5A:5C:CC:49inetaddr:180.200.3.97Bcast:180.200.3.255Mask:255.255.252.0inet6addr:fe80::210:5aff:fe5c:cc49/64Scope:LinkUPBROADCASTNOTRAILERSRUNNINGMULTICASTMTU:1500Metric:1RXpackets:395961errors:0dropped:0overruns:0frame:0TXpackets:299082errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:60363124(57.5Mb)TXbytes:213413907(203.5Mb)Interrupt:18Baseaddress:0x70802、路由配置Test_Server:/root#routeadd–net0.0.0.0netmask0.0.0.0gw180.200.3.98四、个人PC1、网卡IP与缺省路由配置测试过程如下测试过程如下测试过程如下测试过程如下：：：：在个人PC（1.1.1.2）上ping初始目标地址（2.2.2.2）：更多更多更多更多JuniperScreenOS原创文档请访问原创文档请访问原创文档请访问原创文档请访问：：：：转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处：：：：，发现已进行Dst-NAT，如下所示：二二二二、、、、个人个人个人个人PC(1.1.1.2)需要访问测试需要访问测试需要访问测试需要访问测试服务器服务器服务器服务器(180.200.3.97)，，，，访问的映射地址是访问的映射地址是访问的映射地址是访问的映射地址是(2.2.2.2)，，，，同时同时同时同时源地址源地址源地址源地址(1.1.1.2)在在在在Trust区域区域区域区域不可以路由不可以路由不可以路由不可以路由，，，，需要做源地址转换需要做源地址转换需要做源地址转换需要做源地址转换，，，，将其转换为内部可路由的将其转换为内部可路由的将其转换为内部可路由的将其转换为内部可路由的IP地址地址地址地址（（（（10.200.26.82））））网络拓朴如下：更多更多更多更多JuniperScreenOS原创文档请访问原创文档请访问原创文档请访问原创文档请访问：：：：转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处：：：：各个设备配置过程如下各个设备配置过程如下各个设备配置过程如下各个设备配置过程如下（（（（只列出与本案例相关的配置只列出与本案例相关的配置只列出与本案例相关的配置只列出与本案例相关的配置）：）：）：）：一、JuniperSSG550M：1、配置接口setinterfaceethernet0/0zoneUntrustsetinterfaceethernet0/0ip1.1.1.1/24setinterfaceethernet0/0routesetinterfaceethernet0/0managepingsetinterfaceethernet0/0managesshsetinterfaceethernet0/0managetelnetsetinterfaceethernet0/0managewebsetinterfaceethernet0/2zoneTrustsetinterfaceethernet0/2ip10.200.51.202/8setinterfaceethernet0/2nat2、配置地址本setaddressTrust2.2.2.2/322.2.2.2255.255.255.255setaddressUntrust1.1.1.2/321.1.1.2255.255.255.255更多更多更多更多JuniperScreenOS原创文档请访问原创文档请访问原创文档请访问原创文档请访问：：：：转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处：：：：、配置DIPsetinterfaceethernet0/2dip410.200.26.8210.200.26.824、配置策略setpolicytopfromUntrusttoTrust1.1.1.2/322.2.2.2/32ANYnatsrcdip-id4dstip180.200.3.97permitlog5、配置路由setroute0.0.0.0/0interfaceethernet0/2gateway10.200.49.254二、华为路由器QuidwayR2631E配置接口interfaceEthernet0ipaddress10.200.49.254255.0.0.0!interfaceEthernet1三、测试服务器1、网卡IP配置Test_Server: