Juniper 防火墙做NAT时的几个基本概念（转载）

狮头

NAT,即Network address translation;是为了解决IPv4地址匮乏而产生的技术，不过后来又衍生出很多变种，包括为实现服务器负载均衡而出现的destination nat等等；
Juiniper防火墙的配置中给这些不同的NAT实现取了很多不同的名字，新手不仔细阅读文档的话，往往容易被折腾得一头雾水；为避免新手像我一样走弯路，特把我的一些心得总结如下，希望各位高手斧正。
DIP:主要用于源地址(Source)翻译，会话必须由内部(非Untrust zone)发起；这是最常见的nat实现，常见于内网使用私用ip但上Internet时通过防火墙翻译成公网ip时使用；DIP Pool可以是一段地址，也可以只是一个地址；DIP具体配置时又分为"Fix-port"和“None Fix-port”两种；很明显，"fix-port"就是不做源端口的翻译，即不能实现地址的复用，而“None Fix-port”则相当于Cisco的PAT概念(overload)，通过翻译源端口并记录翻译前的地址和翻译后的源端口对应表来实现地址的复用；理论上，一个ip地址可以被复用65535-1024=64511次；即DIP Pool里的每一个ip可以支持超过60000个会话；
VIP:主要用于对目标地址(Destination)的翻译,会话必须由外部(Untrust zone)发起；当外部对一个VIP发起连接的时候，防火墙将该地址翻译成一台内部主机的地址；由于VIP还可实现目标端口的翻译，因此可以利用VIP实现同一个公网IP的不同端口映射到内网不同服务器的不同服务上(HTTP/FTP/MAIL等)，以实现对公网IP的复用；比如你只有一个公网ip，但是你有三台服务器:HTTP/FTP/MAIL要对外提供服务。
MIP:用于一对一的地址翻译，会话即可以由内部(非Untrust zone)发起，也可以会话由外部(Untrust zone)发起；会话由内部发起时防火墙将内部地址转换为MIP地址出去，会话由外部发起时防火墙将MIP地址转换为内部地址进来；常用于将内网或DMZ区域对外提供服务的服务器做NAT；

燕子三

学习中，谢谢LZ分享经验！新手不仔细阅读文档的话，往往容易被折腾得一头雾水