juniper防火墻透明模式HA

Juniper Network Connect7.1.0.17943 x64 官方版

類(lèi)型：網(wǎng)絡(luò)加速大�。�2.4M語(yǔ)言：英文評(píng)分：.0
標(biāo)簽：

立即下載

網(wǎng)絡(luò)拓?fù)洌?/strong>

條件要求：

軟件

做HA的兩臺(tái)設(shè)備軟件版本必須相同

注：

*   extended license required
** Supports only NSRP Lite.

*** Supports only NSRP Lite & extended license required.

另外，如果防火墻要做透明模式的HA，那么Active/Active模式要在ScreenOS 6.1.0 or above才支持的；而且是以下平臺(tái)：the SSG-500 series, NS-ISG-1000, NS-ISG-2000, and all NS-5000 platforms.

許可

兩臺(tái)防火墻必須有想同功能的軟件許可；

硬件

兩臺(tái)防火墻必須是相同的硬件，有相同的模塊；

網(wǎng)絡(luò)詳情：

這里配置舉例使用設(shè)備ISG1000，兩臺(tái)做HA，A/S模式，ethernet1/1為信任端口，ethernet1/2為非信任端口，ethernet1/4為HA接口；

詳細(xì)配置：

1、             配置主設(shè)備

set interface "ethernet1/1" zone "V1-Trust"

set interface "ethernet1/2" zone "V1-Untrust"

set interface "ethernet1/4" zone "HA"

set interface vlan1 ip 10.0.0.1/24

set interface vlan1 manage-ip 10.0.0.2

set interface vlan1 ip manageable

set zone V1-Untrust manage ping

set zone V1-Untrust manage web

set policy id 2 from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit

set route 0.0.0.0/0 interface vlan1 gateway 10.0.0.254

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 10

set nsrp vsd-group id 0 preempt

set nsrp vsd-group id 0 monitor interface ethernet1/1

set nsrp vsd-group id 0 monitor interface ethernet1/2

2、             配置備設(shè)備

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 100

set nsrp vsd-group id 0 monitor interface ethernet1/1

set nsrp vsd-group id 0 monitor interface ethernet1/2

nsisg1000->exec nsrp sync global save

Save global configuration successfully.
Continue to save local configurations ... Save local configuration successfully.

nsisg1000-> reset
nsisg1000-> Configuration modified. Save? [y] y/n n
nsisg1000-> System reset? Are you sure? y/n y

重啟后檢查配置是否已經(jīng)同步

exec nsrp sync global-config check-sum

如果已經(jīng)同步，設(shè)置管理地址

set interface vlan1 manage-ip 10.0.0.3

3、             補(bǔ)充：

A、透明模式實(shí)現(xiàn)HA以后，如果要管理被設(shè)備，默認(rèn)是管理不到的，可以用以下命令解決此問(wèn)題：

set interface vlan1 nsrp manage zone V1-Untrust

此命令要在2臺(tái)設(shè)備上都應(yīng)用。

B、跟蹤IP地址有一些要注意的地方：

這是透明模式正確的配置方式

set nsrp monitor track-ip ip 10.0.0.5 interface vlan1.

如果要跟蹤的IP地址是直連交換機(jī)的VLAN接口，那么此vlan必須是the native VLAN IP address。

以下命令在透明模式的HA中不生效，因?yàn)閂1-Trust和V1-Untrust上是沒(méi)有地址的。

set nsrp monitor track-ip ip 10.0.0.5 zone V1-Trust

關(guān)于排錯(cuò)，這里就不寫(xiě)了，太多的方法，大家在項(xiàng)目中自己總結(jié)吧；

以上描述的是我之前為客戶做的一個(gè)配置文檔，關(guān)于透明模式HA在網(wǎng)上基本沒(méi)有文檔，在這里分享給大家，但是目的不是為了教大家如何配置HA，其實(shí)配置很簡(jiǎn)單。復(fù)雜的是關(guān)于一個(gè)功能配置衍生出的很多問(wèn)題，這里只是寫(xiě)了一部分，例如還有如何排錯(cuò)，心跳線都傳輸什么數(shù)據(jù)，MAC地址是如何生成的……..等等很多，這里還有很多命令沒(méi)有用上，他們都是做什么用的，希望大家養(yǎng)成一個(gè)好的習(xí)慣，善于總結(jié)，把自己在項(xiàng)目中的經(jīng)驗(yàn)生成文檔，記住，要看的全面，好的工程師是體現(xiàn)在 -----別人不會(huì)的而你會(huì)。