У меня одна установка Juniper SRX100 между несколькими серверами и глобальной сетью.
Можно ли дать всем серверам внешние IP-адреса и при этом использовать SRX100 в качестве брандмауэра?
(Мой интернет-провайдер уже предоставил мне дополнительные адреса, я просто не уверен, как настроить коммутатор)
Я не согласен с приведенным выше ответом.
Устройства SRX, такие как устройства NetScreen, работают с зонами. Вам нужно будет поместить один порт в зону «недоверия», а остальные - в зону «доверия». SRX должен быть настроен для этого из коробки. Порт в зоне недоверия, скорее всего, прямо сейчас настроен для DHCP, вам нужно переопределить это и сделать что-то вроде этого:
set interfaces ge-0/0/0 unit 0 description ISP Link
set interfaces ge-0/0/0 unit 0 family inet address 99.10.15.173/29
Теперь ... для того, чтобы ДРУГИЕ IP-адреса были доступны с того же интерфейса, вам понадобится инструкция proxy arp в конфигурации NAT.
set security nat proxy-arp interface ge-0/0/0.0 address 99.10.15.170/32
set security nat proxy-arp interface ge-0/0/0.0 address 99.10.15.171/32
Затем вам понадобится статический NAT, отображающий эти IP-адреса на внутренние хосты:
set security nat static rule-set emailservers from zone untrust
set security nat static rule-set emailservers rule exchange-direct match destination-address 99.10.15.170/32
set security nat static rule-set emailservers rule exchange-direct then static-nat prefix 192.168.1.70/32
set security nat static rule-set emailservers rule proofpoint match destination-address 99.10.15.171/32
set security nat static rule-set emailservers rule proofpoint then static-nat prefix 192.168.1.74/32
И тогда вы ДОЛЖНЫ иметь политику, РАЗРЕШАЮЩУЮ указанный трафик!
set security policies from-zone untrust to-zone trust policy mailservers match source-address any
set security policies from-zone untrust to-zone trust policy mailservers match destination-address mailservers
set security policies from-zone untrust to-zone trust policy mailservers match application junos-smtp
set security policies from-zone untrust to-zone trust policy mailservers match application junos-https
set security policies from-zone untrust to-zone trust policy mailservers match application junos-http
set security policies from-zone untrust to-zone trust policy mailservers match application junos-icmp-all
set security policies from-zone untrust to-zone trust policy mailservers match application junos-imap
set security policies from-zone untrust to-zone trust policy mailservers match application junos-imaps
set security policies from-zone untrust to-zone trust policy mailservers match application junos-pop3
set security policies from-zone untrust to-zone trust policy mailservers then permit
Некоторые вещи я упустил: настройку записей в адресной книге для зон и т. Д., Но подведем итог:
1) установить внешний интерфейс 2) установить proxy arp 3) установить статические NAT (или все, что вам нужно) 4) настроить политику безопасности для разрешения трафика.
Да, это так. Просто позвольте серверам быть в dmz, с адресом шлюза на его интерфейсе, и, конечно, вы должны создать разрешающие политики и так далее.
напр. Сервер 1 имеет IP 1.1.1.2/24 со шлюзом 1.1.1.1 Сервер 2 имеет IP 1.1.1.3/24 со шлюзом 1.1.1.1
IP-адрес интерфейса SRX - 1.1.1.1.
Удачи.
Похоже, вам нужен прозрачный режим. В настоящее время он поддерживается только на старших моделях SRX1400-SRX5800.
Ходят слухи что это может скоро появиться на SRX начального уровня.