Both sides previous revision
Previous revision
Next revision
|
Previous revision
Last revision
Both sides next revision
|
ru:jobs:juniper_srx_pat_dns_2isp [2013/01/03 01:05] admin [Конфигурация PAT (Destination NAT) и NAT на Juniper SRX с двумя провайдерами (ISPs) и двумя DNS серверами, находящимися в зоне -DMZ] |
ru:jobs:juniper_srx_pat_dns_2isp [2013/01/12 10:32] admin [Решение.] |
| |
Есть два сервера DNS и Juniper SRX 220H cluster. DNS сервера находятся в DMZ-зоне. Juniper SRX 220H cluster подключен к двум провайдерам.\\ | Есть два сервера DNS и Juniper SRX 220H cluster. DNS сервера находятся в DMZ-зоне. Juniper SRX 220H cluster подключен к двум провайдерам.\\ |
**Задача**:\\ сконфигурировать PAT и NAT чтобы один DNS сервер использовал только одного проайдера (one-to-one).\\ | **Задача**:\\ сконфигурировать PAT и NAT чтобы один DNS сервер использовал только одного провайдера (one-to-one).\\ |
| |
{{:ru:jobs:2ispdns.jpg?700|700}} | {{:ru:jobs:2ispdns.jpg?700|700}} |
| |
| |
1. Сконфигурируем две security zones на Juniper:\\ | 1. Конфигурация двух security zones на Juniper:\\ |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
| |
| |
2. Сконфигурируем security policies\\ | 2. Конфигурация security policies\\ |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
| |
| |
3. Отключим DNS security alg (Без этой строчки работать будет только через одного проайдера.) | 3. Отключение DNS security alg (Без этой строчки работать будет только через одного проайдера.) |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
set security alg dns disable | set security alg dns disable |
| |
4. Сконфигурируем две routing instance. Для каждого проайдера своя routing instance | 4. Конфигурация двух routing instance. Для каждого проайдера своя routing instance |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
set routing-instances INS_ISP-2 routing-options static route 0.0.0.0/0 next-hop IP_DG_ISP-2 | set routing-instances INS_ISP-2 routing-options static route 0.0.0.0/0 next-hop IP_DG_ISP-2 |
| |
5. Сконфигурируем шлюз по умолчанию. | 5. Конфигурация шлюза по умолчанию. |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
set routing-options static route 0.0.0.0/0 qualified-next-hop IP_DG_ISP-2 preference 100 | set routing-options static route 0.0.0.0/0 qualified-next-hop IP_DG_ISP-2 preference 100 |
| |
6. Сконфигурируем policy routing | 6. Конфигурация policy routing |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
set firewall family inet filter PRULE_ISP-2 term default then accept | set firewall family inet filter PRULE_ISP-2 term default then accept |
| |
7. Применим policy routing на интерфейсе, подключенном к ISP-1 | 7. Применение policy routing на интерфейсе, подключенном к ISP-1 |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
set interfaces reth0 unit 0 family inet filter output PRULE_ISP-2 | set interfaces reth0 unit 0 family inet filter output PRULE_ISP-2 |
| |
8. Сконфигурируем PPROXY-ARP | 8. Конфигурация PPROXY-ARP |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
| |
| |
9. Сконфигурируем PAT (Destination NAT) | 9. Конфигурация PAT (Destination NAT) |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
set security nat destination rule-set ISPs_to_DMZ rule PAT_DNS_2 then destination-nat pool DMZ_DNS-2 | set security nat destination rule-set ISPs_to_DMZ rule PAT_DNS_2 then destination-nat pool DMZ_DNS-2 |
| |
10. Сконфигурируем NAT | 10. Конфигурация NAT |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
| |
| |
11. Применим сделанную конфигурацию | 11. Сохранение и применение созданной конфигурации |
| |
{primary:node1}[edit] | {primary:node1}[edit] |
commit | commit |