项目需求:
公司有juniper防火墙一台,分别配置了两个zone, trust用于内网,untrust用于公网,5个同一网段公网IP地址----(IP1,IP2,IP3,IP4,IP5), 其中IP1用于全公司NAT上网,并且在IP1上做了端口映射用于Internet侧访问内部服务器,目前有一需求,希望用一个专门的地址IP2来做端口映射,并且邮件服务器出口也希望是IP2, 因为Juniper上可以增加虚拟IP2来做端口映射,外部访问内部没有问题的,但是邮件服务器发送邮件会使用默认出口IP1的地址。

分析:
因为客户的5个外网地址是同一网段的,无法在三层接口上设置地址,juniper也不能通过策略来实现指定出口IP。
经过测试,可以使用juniper的虚拟路由器功能V-router来实现, 单独建立一个zone-newmail,并与新的VR关连,这样可以在newmail这个zone上设置IP2地址,相当于在另外一个路由器接口上设置IP2,因此与IP1不在同一个路由器上,只要在IP1的虚拟路由器上做一条源地址路由直接丢给新建的路由器就可以了。

步骤:
一.在virtual router中新建一个虚拟路由器,系统默认有两个(trust-vr和Untrust-vr),也可以使用其中一个,本文中就用没有使用的默认untrust-vr
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入_第1张图片
二、新建一个zone---NEWMAIL, 并与untrust-vr关连。
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入_第2张图片
三、设置相关的接口与zone 关连,并设置IP和端口映射
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入_第3张图片
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入_第4张图片
四、设置一个源地址路由
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入_第5张图片
五、设置放行策略
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入
六、监控一下出入流量是否都从MEWMAIL这个接口走
验证映射:OK
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入_第6张图片
验证出口:OK 都是从173出的
关于Juniper虚拟路由器---服务器流量不从NAT出入,从指定的IP从指定的IP做流量出入_第7张图片