SSG - VIP / MIP



 ◆ VIP の設定方法

 VIP (Virtual IP) は、宛先アドレスの変換を行う
1対多マッピング技術です。グローバルIPアドレスの使用
 を節約しなければいけない環境でDMZの公開サーバへのアクセスの際に使用されるアドレス変換技術です。
 固定のグローバルIPアドレスが1つしかない環境にて、公開サーバへアクセスさせたい場合には必須の技術。


    



 VIPは、Untrustゾーンのインターフェースでのみ使用可能であること、VIPアドレスはインターフェースに
 設定したアドレスと同じサブネット上になければいけない2点がVIPの仕様です。VIPの設定は以下の1.と2.。


 
1. UntrustゾーンのインターフェースでVIPアドレスの設定
 set interface interface vip global-ip port service private-ip

 設定例の前提は set admin port number コマンドで、SSGへのHTTPの管理アクセスのポート番号を変えておくこと。例えば
 set admin port 8888 と設定してSSGへhttps://x.x.x.x:8888/としてHTTPの管理アクセスできるようになり、そして、VIP通信
 のためにポート80を使用できます。この設定がなければ以下のメッセージが表示されます。
 ⇒ Not supported service: (ip:x.x.x.x/port:80) is for management of the box.

 また、以下のようにポート53を指定する場合はDNSプロキシを有効にしている場合、set dns proxy enableは無効化する必要があり。

 ◆ 上図の設定例

 
SSG5-> set interface ethernet0/0 vip 1.1.1.10 80 http 192.168.1.11
 SSG5-> set interface ethernet0/0 vip 1.1.1.10 53 dns 192.168.1.12

 VIPのIPアドレスにSSGのインターフェースのIPを指定した場合、set int ethernet0/0 vip interface-ip の構文に自動変換されます。



 2. ポリシーの設定
 set policy from zone to zone source-ip VIP(address) service permit

 ◆ 上図の設定例

 
SSG5-> set policy from Untrust to Global any VIP(ethernet0/0) HTTP permit
 SSG5-> set policy from Untrust to Global any VIP(ethernet0/0) DNS permit


 ◇ 1.1.1.1/24がTrustゾーンのインターフェースにバインドされているので以下の設定でもOK

 
SSG5-> set policy from Untrust to Trust any VIP(ethernet0/0) HTTP permit
 SSG5-> set policy from Untrust to Trust any VIP(ethernet0/0) DNS permit


 
VIPがSSGのI/FのIPでない場合、上記コマンドの「VIP(ethernet0/0)」のところを「VIP(1.1.1.10)」という書き方に変えます。


 ◆ MIPの設定方法

 MIP (Mapped IP) は、1対1の静的マッピングを行い、送信側、受信側ともにセッション開始できる方式です。
 MIPアドレスは外向けのI/Fで定義する必要がありますが、MIPアドレスはどのサブネットでも設定できます。
 送信元アドレスの変換はTrustなどの内部からUntrustなどの外部ネットワークに送信された時に行われます。
 宛先アドレスの変換は、Untrustなどの外部からTrustなどの内部ネットワークに送信された時に行われます。


      



 
1. MIPアドレスの定義 ( 一般的にUntrust(グローバル)ネットワークのインターフェースで設定 )
 set interface interface mip global-ip host private-ip netmask netmask vr vr

 ◆ 上図の設定例

 
SSG5-> set interface ethernet0/0 mip 1.1.1.2 host 192.168.1.11 netmask 255.255.255.255 vr trust-vr
 SSG5-> set interface ethernet0/0 mip 1.1.1.3 host 192.168.1.12 netmask 255.255.255.255 vr trust-vr



 2. ポリシーの設定 ( 正確には、どのトラフィックにおいてMIPを有効化し、MIPアドレスへの変換プロセス起動させるか )
 set policy from zone to zone source-ip MIP(address) service permit

 ◆ 上図の設定例 ( Globalゾーンとは仮想IPアドレスで使用するゾーン )

 
SSG5-> set policy from Untrust to Global any MIP(1.1.1.2) HTTP permit
 SSG5-> set policy from Untrust to Global any MIP(1.1.1.3) DNS permit


 ◇ 1.1.1.0/28 がUntrustゾーンのインターフェースにバインドされているので以下の設定でもOK

 
SSG5-> set policy from Untrust to Trust any MIP(1.1.1.2) HTTP permit
 SSG5-> set policy from Untrust to Trust any MIP(1.1.1.3) DNS permit



比較項目 VIP MIP
必要なグローバルIPアドレス数  グローバルIPアドレス1つで可  公開サーバの数だけグローバルIPが必要
アドレス変換の対象  宛先IPアドレス、宛先ポート番号  IPアドレス ( 双方向に通信開始可能 )
アドレス変換の例  1.1.1.10:80 ⇒ 192.168.1.11
 1.1.1.10:53 ⇒ 192.168.1.12
 1.1.1.2 ⇒ 192.168.1.11
 1.1.1.3 ⇒ 192.168.1.12
それぞれの特徴

 グローバルIPアドレス1つでも、複数の
 サーバを公開可能。ただし公開サーバ
 からの通信開始はできない。

 ポート番号変換を行わないので、サーバ通信
 における自由度が高い。公開サーバに対して
 実装するアドレス変換としては推奨となる方式。




Juniper SSG - ScreenOS 設定コマンド解説

Copyright(C) 2002-2024 ネットワークエンジニアとして All Rights Reserved