項目需求:
公司有juniper防火牆一臺,分別配置了兩個zone, trust用於內網,untrust用於公網,5個同一網段公網IP地址----(IP1,IP2,IP3,IP4,IP5), 其中IP1用於全公司NAT上網,並且在IP1上做了端口映射用於Internet側訪問內部服務器,目前有一需求,希望用一個專門的地址IP2來做端口映射,並且郵件服務器出口也希望是IP2, 因爲Juniper上可以增加虛擬IP2來做端口映射,外部訪問內部沒有問題的,但是郵件服務器發送郵件會使用默認出口IP1的地址。
分析:
因爲客戶的5個外網地址是同一網段的,無法在三層接口上設置地址,juniper也不能通過策略來實現指定出口IP。
經過測試,可以使用juniper的虛擬路由器功能V-router來實現, 單獨建立一個zone-newmail,並與新的VR關連,這樣可以在newmail這個zone上設置IP2地址,相當於在另外一個路由器接口上設置IP2,因此與IP1不在同一個路由器上,只要在IP1的虛擬路由器上做一條源地址路由直接丟給新建的路由器就可以了。
步驟:
一.在virtual router中新建一個虛擬路由器,系統默認有兩個(trust-vr和Untrust-vr),也可以使用其中一個,本文中就用沒有使用的默認untrust-vr
二、新建一個zone---NEWMAIL, 並與untrust-vr關連。
三、設置相關的接口與zone 關連,並設置IP和端口映射
四、設置一個源地址路由
五、設置放行策略
六、監控一下出入流量是否都從MEWMAIL這個接口走
驗證映射:OK
驗證出口:OK 都是從173出的