juniper screenos 基于policy的

更多更多更多更多 Juniper ScreenOS 原创文档请访问原创文档请访问原创文档请访问原创文档请访问：：：：http://k968888.blog.sohu.com

转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处转载本文档请注明原始出处：：：：http://k968888.blog.sohu.com

Juniper ScreenOS Juniper ScreenOS Juniper ScreenOS Juniper ScreenOS 基于基于基于基于 PolicyPolicyPolicyPolicy 的的的的

源地址转换源地址转换源地址转换源地址转换（（（（NATNATNATNAT----SRCSRCSRCSRC））））配置示例配置示例配置示例配置示例

由由由由 [email protected]@[email protected]@hotmail.com 原创原创原创原创

Juniper IDJuniper IDJuniper IDJuniper ID：：：：JPR29525 JPR29525 JPR29525 JPR29525 JNCISJNCISJNCISJNCIS----FWVFWVFWVFWV/JNCIS/JNCIS/JNCIS/JNCIS----ERERERER/JNSS/JNSS/JNSS/JNSS----SSSS

设备设备设备设备型号及型号及型号及型号及 ScreenOSScreenOSScreenOSScreenOS 版本版本版本版本

深圳深圳深圳深圳（（（（NetScreen ISGNetScreen ISGNetScreen ISGNetScreen ISG----1000100010001000））））：：：：Hardware Version: 3010(0)Hardware Version: 3010(0)Hardware Version: 3010(0)Hardware Version: 3010(0)----(04), FPGA checksum: 00000000, (04), FPGA checksum: 00000000, (04), FPGA checksum: 00000000, (04), FPGA checksum: 00000000,

VLAN1 IP (0.0.0.0)VLAN1 IP (0.0.0.0)VLAN1 IP (0.0.0.0)VLAN1 IP (0.0.0.0)

Software Version: 5.3.0Software Version: 5.3.0Software Version: 5.3.0Software Version: 5.3.0r10.0, Type: Firewall+VPNr10.0, Type: Firewall+VPNr10.0, Type: Firewall+VPNr10.0, Type: Firewall+VPN

网络拓朴如下网络拓朴如下网络拓朴如下网络拓朴如下：：：：

案例说明案例说明案例说明案例说明：：：：

1. 个人 PC 通过 ADSL 拨入互联网，然后通过 L2TP 拨入到防火墙，实现对测试服务器

（10.245.32.114）资源访问。



2.防火墙上的 IPPOOL：192.168.68.1~192.168.68.254 在 Trust 区段中是不可路由的。

3. 在防火墙上如何配置 L2TP VPN 服务器请参考：NetScNetScNetScNetScreen ISGreen ISGreen ISGreen ISG----1000 1000 1000 1000 远程远程远程远程 VPN(Only L2TP VPN(Only L2TP VPN(Only L2TP VPN(Only L2TP

User)User)User)User)详细配置指南详细配置指南详细配置指南详细配置指南，本文档不详述。

4、本文档只是本人做的实验，以加深对基于 Policy 的 NAT-SRC 知识点的理解，正好有时间，

记录之，以备忘。难免有错误，欢迎指正。

只只只只有有有有一个一个一个一个 IPIPIPIP 地址地址地址地址 DIPDIPDIPDIP 池池池池（（（（启用启用启用启用 PATPATPATPAT））））的的的的 NATNATNATNAT----SRCSRCSRCSRC

在绑定到 trust 区段的 ethernet1/2 接口上定义 DIP 池 4，DIP 池只包含单个 IP 地址

10.245.32.116，且缺省启用了 PAT。

-------------------------------------------------------------------------------

一一一一、、、、定义定义定义定义 DIPDIPDIPDIP

通过 WebUI 界面配置：

通过 CLI 命令行配置：

set interface ethernet1/2 dip 4 10.245.32.116 10.245.32.116set interface ethernet1/2 dip 4 10.245.32.116 10.245.32.116set interface ethernet1/2 dip 4 10.245.32.116 10.245.32.116set interface ethernet1/2 dip 4 10.245.32.116 10.245.32.116

二二二二、、、、配置基于配置基于配置基于配置基于 PolicyPolicyPolicyPolicy 的的的的 srcsrcsrcsrc----natnatnatnat





set policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dial----Up VPN" "10.245.32.114Up VPN" "10.245.32.114Up VPN" "10.245.32.114Up VPN" "10.245.32.114/32" "PING" /32" "PING" /32" "PING" /32" "PING"

nat src dipnat src dipnat src dipnat src dip----id 4 tunnel l2tp "l2tpvpn" logid 4 tunnel l2tp "l2tpvpn" logid 4 tunnel l2tp "l2tpvpn" logid 4 tunnel l2tp "l2tpvpn" log

三三三三、、、、测试测试测试测试

在个人 PC上通过 l2tp 拨号到防火墙后成功获取地址：

PPP adapter l2tpvpn:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physical Address. . . . . . . . . : 00-53-45-00-00-00

Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.68.1

Subnet Mask . . . . . . . . . . . : 255.255.255.255

Default Gateway . . . . . . . . . :

DNS Servers . . . . . . . . . . . : 202.96.128.68

202.96.128.110

ping 目的 IP 地址：

C:\>ping 10.245.32.114 -t

Pinging 10.245.32.114 with 32 bytes of data:

Reply from 10.245.32.114: bytes=32 time=79ms TTL=254



查看防火墙 Policy Log：



只只只只有有有有一个一个一个一个 IPIPIPIP 地址地址地址地址 DIPDIPDIPDIP 池池池池（（（（禁用禁用禁用禁用 PATPATPATPAT））））的的的的 NATNATNATNAT----SRCSRCSRCSRC

在绑定到 trust 区段的 ethernet1/2 接口上定义 DIP 池 4，DIP 池只包含单个 IP 地址

10.245.32.116，且禁用了 PAT。

-------------------------------------------------------------------------------




set interface ethernet1/2 dip 4 1set interface ethernet1/2 dip 4 1set interface ethernet1/2 dip 4 1set interface ethernet1/2 dip 4 10.245.32.116 10.245.32.116 fix0.245.32.116 10.245.32.116 fix0.245.32.116 10.245.32.116 fix0.245.32.116 10.245.32.116 fix----portportportport






set policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dial----Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING"








Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.68.1

Subnet Mask . . . . . . . . . . . : 255.255.255.255


DNS Servers . . . . . . . . . . . : 202.96.128.68

202.96.128.110


C:\>ping 10.245.32.114 -t






有有有有多多多多个个个个 IPIPIPIP 地址地址地址地址 DIPDIPDIPDIP 池池池池（（（（启用启用启用启用 PATPATPATPAT））））的的的的 NATNATNATNAT----SRCSRCSRCSRC

在绑定到 trust 区段的 ethernet1/2 接口上定义 DIP 池 4，DIP 池包含从 10.245.32.116 到

10.245.32.117IP 地址范围，且缺省启用了 PAT。



-------------------------------------------------------------------------------




set interface etherneset interface etherneset interface etherneset interface ethernet1/2 dip 4 10.245.32.116 10.245.32.117t1/2 dip 4 10.245.32.116 10.245.32.117t1/2 dip 4 10.245.32.116 10.245.32.117t1/2 dip 4 10.245.32.116 10.245.32.117




set policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dialset policy from "dialup_sz" to "Trust" "Dial----Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING"








Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.68.1

Subnet Mask . . . . . . . . . . . : 255.255.255.255




DNS Servers . . . . . . . . . . . : 202.96.128.68

202.96.128.110


C:\>ping 10.245.32.114 -t







有多个有多个有多个有多个 IPIPIPIP 地址地址地址地址 DIPDIPDIPDIP 池池池池（（（（禁用禁用禁用禁用 PATPATPATPAT））））的的的的 NATNATNATNAT----SRCSRCSRCSRC

在绑定到 trust 区段的 ethernet1/2 接口上定义 DIP 池 4，DIP 池包含从 10.245.32.116 到

10.245.32.117IP 地址范围，且禁用了 PAT。

-------------------------------------------------------------------------------






set interface ethernet1/2 dip 4 10.245.32.116 10.245.32.117 fixset interface ethernet1/2 dip 4 10.245.32.116 10.245.32.117 fixset interface ethernet1/2 dip 4 10.245.32.116 10.245.32.117 fixset interface ethernet1/2 dip 4 10.245.32.116 10.245.32.117 fix----portportportport




set policy set policy set policy set policy from "dialup_sz" to "Trust" "Dialfrom "dialup_sz" to "Trust" "Dialfrom "dialup_sz" to "Trust" "Dialfrom "dialup_sz" to "Trust" "Dial----Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING"

nat src dipnat src dipnat src dipnat src dip----id 4 tunnel l2id 4 tunnel l2id 4 tunnel l2id 4 tunnel l2tp "l2tpvpn" logtp "l2tpvpn" logtp "l2tpvpn" logtp "l2tpvpn" log







Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.68.1

Subnet Mask . . . . . . . . . . . : 255.255.255.255


DNS Servers . . . . . . . . . . . : 202.96.128.68

202.96.128.110


C:\>ping 10.245.32.114 -t









无无无无 DIPDIPDIPDIP 池池池池（（（（来自出口接口来自出口接口来自出口接口来自出口接口 IPIPIPIP 地址地址地址地址））））的的的的 NATNATNATNAT----SRCSRCSRCSRC

如果只在策略中应用 NAT-src 而不指定 DIP 池，安全设备会将源 IP 地址转换成出

口接口的地址。在上述情况下，安全设备始终应用 PAT。

一一一一、、、、配置基于配置基于配置基于配置基于 PolicyPolicyPolicyPolicy 的的的的 srcsrcsrcsrc----natnatnatnat



set policy from "dialup_sz" to "Trust" "Diaset policy from "dialup_sz" to "Trust" "Diaset policy from "dialup_sz" to "Trust" "Diaset policy from "dialup_sz" to "Trust" "Diallll----Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING"

nat src tunnel l2tp "l2tpvpn" lognat src tunnel l2tp "l2tpvpn" lognat src tunnel l2tp "l2tpvpn" lognat src tunnel l2tp "l2tpvpn" log









Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.68.1

Subnet Mask . . . . . . . . . . . : 255.255.255.255


DNS Servers . . . . . . . . . . . : 202.96.128.68

202.96.128.110


C:\>ping 10.245.32.114 -t







有有有有 DIPDIPDIPDIP 池池池池（（（（带有地址变换带有地址变换带有地址变换带有地址变换））））的的的的 NATNATNATNAT----SRCSRCSRCSRC

可以定义一对一映射，将 IP 地址范围内的初始源 IP 地址映射成已转换源 IP 地

址。上述映射可以确保安全设备始终将该范围内的特定源 IP 地址转换成 DIP 池内

的同一已转换地址。该范围内的地址可以为任意数字。甚至还可以将一个子网映射

到另一子网，但需要使用一致的一对一映射 ( 将一个子网中的每个初始地址映射成

另一子网中相应的已转换地址)。

执行带有地址变换的 NAT-src 可能有一个用途: 为接收来自第一个安全设备的信息

流的另一个安全设备提供较大的策略精细度。例如，站台 A 的设备-A 管理员的政

策定义如下: 通过站台对站台 VPN 通道与站台 B 的设备-B 进行通信时，转换其主



机的源地址。如果设备-A 使用无地址变换的 DIP 池的地址应用 NAT-src，则设备-B

的管理员只能为站点 A 发出的信息流配置通用策略。除非知道特定的已转换 IP 地

址，否则设备-B 的管理员只能为从设备-A DIP 池提取的源地址范围设置入站策

略。另一方面，如果设备-B 的管理员 ( 通过地址变换) 得知已转换源地址，则会针

对来自站点 A 的入站信息流设置的策略，做出选择性及限制性的处理。

注意，可以在策略中应用启用地址变换的 DIP 池 ( 该策略应用于超出池中指定的范

围之外的源地址)。在上述情况下，安全设备传递策略允许的所有源地址发出的信

息流，将带有地址变换的 NAT-src 应用于 DIP 池范围内的地址，但让源地址超出了

DIP 池范围之外的地址保持不变。如果希望安全设备对所有源地址应用 NAT-src，

请确保源地址范围小于或等于 DIP 池的范围。（这段话摘自概念与范例ScreenOS 参考指南第

一卷6.0.0版）




set interface ethernet1/2 dip 4 shiftset interface ethernet1/2 dip 4 shiftset interface ethernet1/2 dip 4 shiftset interface ethernet1/2 dip 4 shift----from 192.168.68.1 to 10.245.32.116 from 192.168.68.1 to 10.245.32.116 from 192.168.68.1 to 10.245.32.116 from 192.168.68.1 to 10.245.32.116

10.245.32.11710.245.32.11710.245.32.11710.245.32.117




set policy from "dialup_sz" to "set policy from "dialup_sz" to "set policy from "dialup_sz" to "set policy from "dialup_sz" to "Trust" "DialTrust" "DialTrust" "DialTrust" "Dial----Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING" Up VPN" "10.245.32.114/32" "PING"





在第一台个人 PC 上通过 l2tp 拨号到防火墙后成功获取地址：





Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.68.1

Subnet Mask . . . . . . . . . . . : 255.255.255.255


DNS Servers . . . . . . . . . . . : 202.96.128.68

202.96.128.110


C:\>ping 10.245.32.114 -t






此时查看防火墙 Policy Log：

在第二台个人 PC 上通过 l2tp 拨号到防火墙后成功获取地址：

PPP adapter dialtest:






Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.68.2

Subnet Mask . . . . . . . . . . . : 255.255.255.255


DNS Servers . . . . . . . . . . . : 202.96.128.68

202.96.128.110


C:\>ping 10.245.32.114 -t







在第二台个人 PC 上通过 l2tp 拨号到防火墙后成功获取地址：

PPP adapter dialtest:




Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.68.2

Subnet Mask . . . . . . . . . . . : 255.255.255.255


DNS Servers . . . . . . . . . . . : 202.96.128.68

202.96.128.110




C:\>ping 10.245.32.114 -t


Request timed out.

Request timed out.

Request timed out.

Request timed out.

Request timed out.


从上面的 Log 可见防火墙并没有进行源地址转换，这是为什么呢？因为我们定义的 DIP 池只

有两个 IP：10.245.32.116 和 10.245.32.117，而之前已有两个客户端拨号上来，如下红色

部分所示：

netscreen_isg1000-> get l2tp l2tpvpn active

L2TP Name Tunnel Id Peer Address Port Peer Host Calls State t_info

--------------- --------- --------------- ---- ------------ ----- ------- --HEX---

l2tpvpn ( 27/ 2) 120.31.240.98 1042 quan 1 estblsh

8000801b

call id(local/peer)=(1/1)

assigned ip=192.168.68.3, user="al2tpuser", type=incoming, state=establish

Logged in at: 07/02/2008 17:45:39

l2tpvpn ( 21/ 1) 120.31.240.98 1041 btserver 1 estblsh

80008015



Logged in at: 07/02/2008 17:02:07

l2tpvpn ( 20/ 10) 120.31.240.98 1701 revenco-wzk 1 estblsh 80008014



Logged in at: 07/02/2008 16:36:52

l2tpvpn ( 0/ 0) 0.0.0.0 0 0 idle



80000002

DIP 池中的 IP已经用完，没有 IP 可供第三个客户作一对一源地址转换了。也就是说做的是

严格的一对一 IP 地址映射，对应关系如下：

192.168.68.1----------------------->10.245.32.116

192.168.68.2----------------------->10.245.32.117

如果再来一个客户端，获取到的 IP是 192.168.68.3，则不会被转换（即便此时马上断开一

个先前的连接）：

192.168.68.3----------------------->192.168.68.3

从下面的实验我们可以现防火墙将非常死板的执行一对一 IP地址映射,原则就是：

从小到大一一对应转换从小到大一一对应转换从小到大一一对应转换从小到大一一对应转换（（（（通俗地说就是通俗地说就是通俗地说就是通俗地说就是：：：：小对小小对小小对小小对小、、、、大对大大对大大对大大对大，，，，不搞不搞不搞不搞乱辈份乱辈份乱辈份乱辈份））））。。。。

现在修改 DIP 定义看看情况会如何，从 192.168.68.2 开始转换：

把之前所有的 PC 上的 l2tp 拨号连接断开，在第一台 PC上重新拨号，发现获得的 IP 地址为

192.168.68.3，如下：



IP Address. . . . . . . . . . . . : 192.168.68.3

Subnet Mask . . . . . . . . . . . : 255.255.255.255

Default Gateway . . . . . . . . . : 192.168.68.3


C:\>ping 10.245.32.114 -t






发现可以 ping 通，查看防火墙 Log 如下：



在第二台 PC 上拨号，发现获得的 IP地址为 192.168.68.4，如下：



IP Address. . . . . . . . . . . . : 192.168.68.4

Subnet Mask . . . . . . . . . . . : 255.255.255.255

Default Gateway . . . . . . . . . : 192.168.68.4


C:\>ping 10.245.32.114 -t


Request timed out.

Request timed out.

Request timed out.

Request timed out.

Request timed out.

发现可以 ping 通，查看防火墙 Log 如下：



更多原创文档请访问更多原创文档请访问更多原创文档请访问更多原创文档请访问：：：：http://k968888.blog.sohu.comhttp://k968888.blog.sohu.comhttp://k968888.blog.sohu.comhttp://k968888.blog.sohu.com

申明申明申明申明：：：：转载请注明原始出自转载请注明原始出自转载请注明原始出自转载请注明原始出自 http://k968888.blog.sohu.comhttp://k968888.blog.sohu.comhttp://k968888.blog.sohu.comhttp://k968888.blog.sohu.com

2008200820082008 年年年年 7777 月月月月 2222 日日日日广州广州广州广州

juniper screenos 基于policy的

Documents

state establish logged

specific dns suffix

specific dns suffix

specific dns suffix

juniper screenos http

interface physical address

interface physical address

src pat nat