juniper防火墙透明模式HA

Juniper Network Connect7.1.0.17943 x64 官方版

类型：网络加速大小：2.4M语言：英文评分：.0
标签：

立即下载

网络拓扑：

条件要求：

软件

做HA的两台设备软件版本必须相同

注：

* extended license required
** Supports only NSRP Lite.

*** Supports only NSRP Lite & extended license required.

另外，如果防火墙要做透明模式的HA，那么Active/Active模式要在ScreenOS 6.1.0 or above才支持的；而且是以下平台：the SSG-500 series, NS-ISG-1000, NS-ISG-2000, and all NS-5000 platforms.

许可

两台防火墙必须有想同功能的软件许可；

硬件

两台防火墙必须是相同的硬件，有相同的模块；

网络详情：

这里配置举例使用设备ISG1000，两台做HA，A/S模式，ethernet1/1为信任端口，ethernet1/2为非信任端口，ethernet1/4为HA接口；

详细配置：

1、配置主设备

set interface "ethernet1/1" zone "V1-Trust"

set interface "ethernet1/2" zone "V1-Untrust"

set interface "ethernet1/4" zone "HA"

set interface vlan1 ip 10.0.0.1/24

set interface vlan1 manage-ip 10.0.0.2

set interface vlan1 ip manageable

set zone V1-Untrust manage ping

set zone V1-Untrust manage web

set policy id 2 from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit

set route 0.0.0.0/0 interface vlan1 gateway 10.0.0.254

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 10

set nsrp vsd-group id 0 preempt

set nsrp vsd-group id 0 monitor interface ethernet1/1

set nsrp vsd-group id 0 monitor interface ethernet1/2

2、配置备设备

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 100

set nsrp vsd-group id 0 monitor interface ethernet1/1

set nsrp vsd-group id 0 monitor interface ethernet1/2

nsisg1000->exec nsrp sync global save

Save global configuration successfully.
Continue to save local configurations ... Save local configuration successfully.

nsisg1000-> reset
nsisg1000-> Configuration modified. Save? [y] y/n n
nsisg1000-> System reset? Are you sure? y/n y

重启后检查配置是否已经同步

exec nsrp sync global-config check-sum

如果已经同步，设置管理地址

set interface vlan1 manage-ip 10.0.0.3

3、补充：

A、透明模式实现HA以后，如果要管理被设备，默认是管理不到的，可以用以下命令解决此问题：

set interface vlan1 nsrp manage zone V1-Untrust

此命令要在2台设备上都应用。

B、跟踪IP地址有一些要注意的地方：

这是透明模式正确的配置方式

set nsrp monitor track-ip ip 10.0.0.5 interface vlan1.

如果要跟踪的IP地址是直连交换机的VLAN接口，那么此vlan必须是the native VLAN IP address。

以下命令在透明模式的HA中不生效，因为V1-Trust和V1-Untrust上是没有地址的。

set nsrp monitor track-ip ip 10.0.0.5 zone V1-Trust

关于排错，这里就不写了，太多的方法，大家在项目中自己总结吧；

以上描述的是我之前为客户做的一个配置文档，关于透明模式HA在网上基本没有文档，在这里分享给大家，但是目的不是为了教大家如何配置HA，其实配置很简单。复杂的是关于一个功能配置衍生出的很多问题，这里只是写了一部分，例如还有如何排错，心跳线都传输什么数据，MAC地址是如何生成的……..等等很多，这里还有很多命令没有用上，他们都是做什么用的，希望大家养成一个好的习惯，善于总结，把自己在项目中的经验生成文档，记住，要看的全面，好的工程师是体现在 -----别人不会的而你会。