VIP(VirtualIP)の設定方法
例として、200.1.1.100:80へのアクセスはWebサーバ(192.168.1.10)へ接続する設定を記載します。
Network>Interface>該当のInterface を選択
⊂緝瑤砲△襦VIP」ボタンを押す
情報を入力する。
Virtual IP 200.1.1.100
Virtual Port 80
Map to Service HTTP
Map to IP 192.168.1.10
※Juniper Networks, Inc. NetScreen-5XP ScreenOS4.0より
※NetScreen-5XP,ScreenOSはJuniper Networks, Inc.の米国およびその他の国の商標登録です。
vipの留意点
■留意点1
インターフェースは「Untrust」側を選択する。
■留意点2
VIPにHTTPの80番を割り当てる場合、WebUIのポート番号と重複し、エラーとなる。
【エラーメッセージ】Service(port=80) not supported for this vip
set admin port XXとし、WebUIのポート番号を変更しましょう。
また、管理画面のポートを変更する方法は、GUIからでもコマンドからでも行える。
同様に、VIPで443を公開する場合、管理画面の443ポートと重複するのでエラーになることがある。(443なので、SSL-VPN装置、WEBサーバを公開する場合など。)
DIP(DynamicIP)の設定
筆者は、Netscreenリモートの際によく利用した。
リモートでアクセスさせる場合、リモートのIPは当然グローバルIPである。それを社内のIPにDynamicに変換させることが必要である。
リモートユーザに固定でIPを割り当てるとIPが枯渇するので、Rangeを区切ってDynamicに割り当てる。
Network>Interface>該当のInterface を選択
⊂緝瑤砲△襦DIP」ボタンを押す
情報を入力する。
ID 4〜255で入力(この番号がPolicyとリンクする)
IP Address Range
start 192.168.1.100
end 192.168.1.110
OKで完了
※その後は、Policiesで割り当てる必要がある。
DIPについて・・・MIP、VIPとの違い
DIPとMIP,VIPの違いについて説明する。
違いは、「送信元」のIPを変換するのか「宛先」のIPを変換するかである。整理すると以下になる。
[違い]
・DIP:”送信元”IPアドレスの変換
・MIPとVIP:”宛先”IPアドレスの変換
[DIPの利用シーン]
.掘璽
Netscreen-Remoteで社外から社内にアクセス。
具体例
社外PC(200.1.1.1)→Netscreen→サーバ(192.168.1.1)
DIPが必要な理由
Netscreen-Remoteは、外部いながらあたかも内部のPCのように見せかけて通信する。だから、社外PCからサーバのパケットは「送信元IP:200.1.1.1」「宛先IP:192.168.1.1」となるが、内部のパケットにするためにNetscreenが送信元IPを変換し「送信元IP:192.168.1.200」「宛先IP:192.168.1.1」とする。この変換がDIPである。
MIPの設定
固定でNATする。StaticNATと考えればよい。
例えば、社内にWebサーバ192.168.1.100があり、それを外部からは200.1.1.100でアクセスさせる。
1)Network>Interface>該当のInterface を選択
2)上部にある「MIP」ボタンを押す
以下の設定は、前提条件を次とする。
鄯)社内WebサーバのIPアドレスは192.168.1.100
鄱)外部からは200.1.1.100/29でアクセスさせたい。
3)情報を入力する。
Mapped IP 200.1.1.100
Netmask 255.255.255.248
Host IP Address 192.168.1.100
Host Virtual Router Name trust-vr
【留意点】
エラーがたくさんでるようなので、補足します。
MappedIPはUntrustと同一セグメントである必要があります。
※逆MIPも使える。つまり、中から外へのMIPも可能
