　（５）VIP、DIP、MIP:NetScreen/SSGの設定

2006年07月20日

VIPとは

公開サーバを用意し、グローバルIPアドレスひとつで複数のサーバに割り当てる設定に利用する。

たとえば、グローバルIPは1つしかないが、WebサーバとMailサーバが分かれている場合に利用する。
更に具体的には、200.1.1.100:80へのアクセスはWebサーバ(192.168.1.10）へ接続し、200.1.1.100:25へのアクセスはMailサーバ(192.168.1.20）へ接続する。

00:03│コメント(0)

2006年07月19日

VIP（VirtualIP）の設定方法

例として、200.1.1.100:80へのアクセスはWebサーバ(192.168.1.10）へ接続する設定を記載します。
①Network>Interface>該当のInterface　を選択
②上部にある「VIP」ボタンを押す
③情報を入力する。
Virtual IP 200.1.1.100
Virtual Port 　80
Map to Service HTTP
Map to IP 192.168.1.10

vip

※Juniper Networks, Inc.　NetScreen-5XP　ScreenOS4.0より
※NetScreen-5XP,ScreenOSはJuniper Networks, Inc.の米国およびその他の国の商標登録です。

23:59│コメント(0)

2006年07月18日

VIPの場合のPolicy設定

UntrustからTrustにむけて、VIPを許可するポリシーを作りましょう。

vip

ポイントは、Destination Addressを「Gloval：VIP」にすることです。

00:26│コメント(0)

vipの留意点

■留意点１
インターフェースは「Untrust」側を選択する。

■留意点２
VIPにHTTPの80番を割り当てる場合、WebUIのポート番号と重複し、エラーとなる。
【エラーメッセージ】Service(port=80) not supported for this vip

set admin port　XXとし、WebUIのポート番号を変更しましょう。

00:09│コメント(0)

2006年06月20日

DIP（DynamicIP）の設定

筆者は、Netscreenリモートの際によく利用した。
リモートでアクセスさせる場合、リモートのIPは当然グローバルIPである。それを社内のIPにDynamicに変換させることが必要である。
リモートユーザに固定でIPを割り当てるとIPが枯渇するので、Rangeを区切ってDynamicに割り当てる。

①Network>Interface>該当のInterface　を選択
②上部にある「DIP」ボタンを押す

dip

③情報を入力する。
ID　4～255で入力（この番号がPolicyとリンクする）
IP Address Range 　
start 192.168.1.100
end 192.168.1.110
④OKで完了

※その後は、Policiesで割り当てる必要がある。

22:36│コメント(1)

DIPについて・・・MIP、VIPとの違い

博士　ズームイン DIPとMIP,VIPの違いについて説明する。

違いは、「送信元」のIPを変換するのか「宛先」のIPを変換するかである。整理すると以下になる。
[違い]
・DIP：”送信元”IPアドレスの変換
・MIPとVIP：”宛先”IPアドレスの変換

[DIPの利用シーン]
①シーン
Netscreen-Remoteで社外から社内にアクセス。
②具体例
社外PC（200.1.1.1）→Netscreen→サーバ（192.168.1.1)
③DIPが必要な理由
Netscreen-Remoteは、外部いながらあたかも内部のPCのように見せかけて通信する。だから、社外PCからサーバのパケットは「送信元IP：200.1.1.1」「宛先IP：192.168.1.1」となるが、内部のパケットにするためにNetscreenが送信元IPを変換し「送信元IP：192.168.1.200」「宛先IP：192.168.1.1」とする。この変換がDIPである。

22:34│コメント(1)

MIPの設定

MappedIPのこと。

固定でNATする。
例えば、社内にWebサーバ192.168.1.100があり、それを外部からは200.1.1.100でアクセスさせる。

　
①Network>Interface>該当のInterface　を選択
②上部にある「MIP」ボタンを押す

以下の設定は、前提条件を次とする。
ⅰ）社内WebサーバのIPアドレスは192.168.1.100
ⅱ）外部からは200.1.1.100/29でアクセスさせたい。

③情報を入力する。
Mapped IP 200.1.1.100
Netmask 　255.255.255.248
Host IP Address 192.168.1.100
Host Virtual Router Name trust-vr

【留意点】
エラーがたくさんでるようなので、補足します。
MappedIPはUntrustと同一セグメントである必要があります。

22:27│コメント(8)

2006年05月20日

MIPの場合のPolicy設定

１．Name　管理用の名前です。わかりやすい名前にしましょう
２．Source Address　外部からなので、ANY
３．Destination Address　MIPで設定したWebサーバを指定
４．Service　HTTPに限定
５．Action　Permit（通信を許可する）
それ以外は特別な設定は不要です。
強いて付け加えるのであればLoggingぐらいでしょうか。
（このOSの場合はAdvancedにチェック欄あり）

23:49│コメント(0)