服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用Juniper SRX100分配多个外部ips
Intereting Posts
大(1TB).VMDKs是否安全,是否可以被破坏? 当受监视的Debian系统具有IPv6使用权时,Zabbix 1.8.2代理不起作用 为什么我的服务器不能正确呈现我的网站? 使用Powershell将多个用户从一个组添加到一个Active Directory组 从非pipe理员用户重新启动服务 rhel中/etc/udev/rules.d/70-persistent-net.rules文件的用法是什么? RAM热添加HP Proliant – Esxi 我怎样才能自动禁止IP请求相同的文件太频繁? JBoss twiddle – 调用很多操作 Apache:https没有www 启用redirect时,本地文件会发生什么变化? Mac计算机名称与Windows计算机名称冲突 无法在https中打开网站,即使ssl已启用 DNSlogging – example.com和www指向不同的IP地址 使用NFS与Apache的优点和缺点

使用Juniper SRX100分配多个外部ips

我在几台服务器和一台WAN之间安装了一台Juniper SRX100。

是否有可能给所有服务器的外部IP地址,仍然使用SRX100作为防火墙?

(我的ISP已经提供了额外的地址,我只是不知道如何configuration交换机)

我不同意上面的答案。

NetScreen设备等SRX设备处理区域。 你将需要把一个端口放在“不信任”区域,其余的放在“信任”区域。 SRX应该被设置为开箱即用。 非信任区域中的端口现在可能设置为DHCP,您需要覆盖该端口并执行如下操作: 

set interfaces ge-0/0/0 unit 0 description ISP Link set interfaces ge-0/0/0 unit 0 family inet address 99.10.15.173/29

现在…对于其他IP地址在相同的接口上可用,需要在NATconfiguration下使用代理arp语句。 

 set security nat proxy-arp interface ge-0/0/0.0 address 99.10.15.170/32 set security nat proxy-arp interface ge-0/0/0.0 address 99.10.15.171/32

然后,您需要静态NAT将这些IP地址映射到内部主机: 

 set security nat static rule-set emailservers from zone untrust set security nat static rule-set emailservers rule exchange-direct match destination-address 99.10.15.170/32 set security nat static rule-set emailservers rule exchange-direct then static-nat prefix 192.168.1.70/32 set security nat static rule-set emailservers rule proofpoint match destination-address 99.10.15.171/32 set security nat static rule-set emailservers rule proofpoint then static-nat prefix 192.168.1.74/32

然后,你必须有一个政策,许可证说交通! 

 set security policies from-zone untrust to-zone trust policy mailservers match source-address any set security policies from-zone untrust to-zone trust policy mailservers match destination-address mailservers set security policies from-zone untrust to-zone trust policy mailservers match application junos-smtp set security policies from-zone untrust to-zone trust policy mailservers match application junos-https set security policies from-zone untrust to-zone trust policy mailservers match application junos-http set security policies from-zone untrust to-zone trust policy mailservers match application junos-icmp-all set security policies from-zone untrust to-zone trust policy mailservers match application junos-imap set security policies from-zone untrust to-zone trust policy mailservers match application junos-imaps set security policies from-zone untrust to-zone trust policy mailservers match application junos-pop3 set security policies from-zone untrust to-zone trust policy mailservers then permit

我遗漏了一些东西:为区域设置地址簿条目等等,但总结起来:

1)设置外部接口2)设置代理ARP 3)设置静态NAT(或任何您需要的)4)configuration安全策略以允许通信。

是的。 只要让服务器处于dmz状态,并在其接口上使用网关地址,并且必须创build允许策略等等。

恩。 服务器1具有ip 1.1.1.2/24与网关1.1.1.1服务器2具有ip 1.1.1.3/24与网关1.1.1.1

SRX接口的IP为1.1.1.1。

祝你好运。

这听起来像你想透明模式。 目前仅支持高端SRX1400-SRX5800。

有传闻说,它可能会很快到达低端的SRX。