本文详细介绍了如何在SGS5中设置端口映射VIP,包括选择外网口、配置虚拟IP地址、添加策略等步骤,确保外网访问时不会与内部网络冲突。
找到你设置的外网口(Untrust),比如SSG5中
点击Edit在Properties中找到VIP点击
如果你有多个外网IP地址,你可以选择填入你的Virtual
IP Address如果ISP只给你一个或者你通过PPPOE方式你可以选择Same as the untrusted interface IP address(与外网口相同的IP地址)点击ADD按钮
然后你找到
点击会出来设置菜单
你可以根据你的需要填入你虚拟的IP端口,需要的服务,内网的IP地址点击OK然后就是要增加一条策略了。在Policies中增加一条Untrust到Global的策略
按照图示修改
1、要用外网口IP做VIP来架设WEB服务的话,必须把默认的WEBUI管理端口80改成其它的。这样才不会冲突。
2、在untrust zone的接口上配好VIP后,需要设置相关的策略。
================================================
为Untrust 区段中的接口设置 VIP 将在 Global 区段通讯簿中生成一条条目。不管接口属于哪个区段,Global 区段通讯
簿保留所有接口的全部 VIP。可使用这些 VIP 地址充当任何两个区段之间策略的目的地地址。
范例:配置虚拟 IP 服务器
在本例中,将接口 ethernet1 绑定到 Trust区段并分配 IP 地址为 10.1.1.1/24。将接口 ethernet3 绑定到Untrust 区段并分配 IP 地址为 210.1.1.1/24。
然后,在 210.1.1.10 配置 VIP,以将入站 HTTP 信息流转发至地址为 10.1.1.10 的 Web 服务器,并且创建一个策略,允许信息流从Untrust 区段到达 Global 区段的 VIP。
由于 VIP 与Untrust区段接口 (210.1.1.0/24) 在相同的子网中,因此无需为从Untrust区段到达它的信息流定义路由15。此外,VIP 将信息流转发到的主机不需要通讯簿条目。所有安全区段都在 trust-vr 路由选择域中。
参考配置过程:
修改webui管理端口:
WebUI
1. Configuration > Admin > Management:在“HTTP Port”字段键入 8080,然后单击 Apply。
命令行CLI配置:(webui界面的配置过程就不详细写了 )
安全区段接口
1. set interface ethernet1 zone trust
2. set interface ethernet1 ip 10.1.1.1/24
3. set interface ethernet3 zone untrust
4. set interface ethernet2 ip 210.1.1.1/24
VIP
5. set interface ethernet3 vip 210.1.1.10 80 http 10.1.1.10
策略
6. set policy from untrust to trust any vip(210.1.1.10) http permit
7. save
点击Edit在Properties中找到VIP点击如果你有多个外网IP地址,你可以选择填入你的Virtual
IP Address如果ISP只给你一个或者你通过PPPOE方式你可以选择Same as the untrusted interface IP address(与外网口相同的IP地址)点击ADD按钮然后你找到点击会出来设置菜单 你可以根据你的需要填入你虚拟的IP端口,需要的服务,内网的IP地址点击OK然后就是要增加一条策略了。在Policies中增加一条Untrust到Global的策略 按照图示修改
源地址是ANY,目标地址为前面设置的VIP
其他根据自己的需要修改,可以选择为Permit 其他为None。至此端口映射(VIP)就做好了。 两个注意点1、要用外网口IP做VIP来架设WEB服务的话,必须把默认的WEBUI管理端口80改成其它的。这样才不会冲突。
2、在untrust zone的接口上配好VIP后,需要设置相关的策略。
================================================
为Untrust 区段中的接口设置 VIP 将在 Global 区段通讯簿中生成一条条目。不管接口属于哪个区段,Global 区段通讯
簿保留所有接口的全部 VIP。可使用这些 VIP 地址充当任何两个区段之间策略的目的地地址。
范例:配置虚拟 IP 服务器
在本例中,将接口 ethernet1 绑定到 Trust区段并分配 IP 地址为 10.1.1.1/24。将接口 ethernet3 绑定到Untrust 区段并分配 IP 地址为 210.1.1.1/24。
然后,在 210.1.1.10 配置 VIP,以将入站 HTTP 信息流转发至地址为 10.1.1.10 的 Web 服务器,并且创建一个策略,允许信息流从Untrust 区段到达 Global 区段的 VIP。
由于 VIP 与Untrust区段接口 (210.1.1.0/24) 在相同的子网中,因此无需为从Untrust区段到达它的信息流定义路由15。此外,VIP 将信息流转发到的主机不需要通讯簿条目。所有安全区段都在 trust-vr 路由选择域中。
参考配置过程:
修改webui管理端口:
WebUI
1. Configuration > Admin > Management:在“HTTP Port”字段键入 8080,然后单击 Apply。
命令行CLI配置:(webui界面的配置过程就不详细写了 )
安全区段接口
1. set interface ethernet1 zone trust
2. set interface ethernet1 ip 10.1.1.1/24
3. set interface ethernet3 zone untrust
4. set interface ethernet2 ip 210.1.1.1/24
VIP
5. set interface ethernet3 vip 210.1.1.10 80 http 10.1.1.10
策略
6. set policy from untrust to trust any vip(210.1.1.10) http permit
7. save
扫一扫
501
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
