juniper防火牆透明模式HA
網絡拓撲:
條件要求:
軟件
作HA的兩臺設備軟件版本必須相同
|
Platform
|
Active/Passive
|
Active/Active
|
|
ISG Series
|
5.0.0 or above
|
5.0.0 or above
|
|
NS5000 Series
|
5.0.0 or above
|
5.0.0 or above
|
|
SSG550/550M
|
5.1.0 or above
|
5.1.0 or above
|
|
SSG520/520M
|
5.1.0 or above
|
6.0.0 or above
|
|
SSG300 Series
|
5.4.0 or above
|
5.4.0 or above
|
|
SSG 140
|
5.4.0 or above
|
6.0.0 or above
|
|
SSG5 & SSG20
|
5.4.0 or above*
|
6.0.0 or above*
|
|
NS500
|
5.1.0 or above
|
5.1.0 or above
|
|
NS200 Series
|
5.1.0 or above
|
5.1.0 or above
|
|
NS50
|
5.1.0 or above
|
Not Supported
|
|
NS25
|
5.1.0 or above**
|
Not Supported
|
|
NS5gt
|
5.1.0 or above***
|
Not Supported
|
注:
* extended license required
** Supports only NSRP Lite.
** Supports only NSRP Lite.
*** Supports only NSRP Lite & extended license required.
另外,若是防火牆要作透明模式的HA,那麼Active/Active模式要在ScreenOS 6.1.0 or above才支持的;並且是如下平臺:the SSG-500 series, NS-ISG-1000, NS-ISG-2000, and all NS-5000 platforms.
許可
兩臺防火牆必須有想同功能的軟件許可;
硬件
兩臺防火牆必須是相同的硬件,有相同的模塊;
網絡詳情:
這裏配置舉例使用設備ISG1000,兩臺作HA,A/S模式,ethernet1/1爲信任端口,ethernet1/2爲非信任端口,ethernet1/4爲HA接口;
詳細配置:
一、
配置主設備
set interface "ethernet1/1" zone "V1-Trust"
set interface "ethernet1/2" zone "V1-Untrust"
set interface "ethernet1/4" zone "HA"
set interface vlan1 ip 10.0.0.1/24
set interface vlan1 manage-ip 10.0.0.2
set interface vlan1 ip manageable
set zone V1-Untrust manage ping
set zone V1-Untrust manage web
set policy id 2 from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit
set route 0.0.0.0/0 interface vlan1 gateway 10.0.0.254
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 10
set nsrp vsd-group id 0 preempt
set nsrp vsd-group id 0 monitor interface ethernet1/1
set nsrp vsd-group id 0 monitor interface ethernet1/2
二、
配置備設備
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp vsd-group id 0 monitor interface ethernet1/1
set nsrp vsd-group id 0 monitor interface ethernet1/2
nsisg1000->exec nsrp sync global save
Save global configuration successfully.
Continue to save local configurations ... Save local configuration successfully.
Continue to save local configurations ... Save local configuration successfully.
nsisg1000-> reset
nsisg1000-> Configuration modified. Save? [y] y/n n
nsisg1000-> System reset? Are you sure? y/n y
nsisg1000-> Configuration modified. Save? [y] y/n n
nsisg1000-> System reset? Are you sure? y/n y
重啓後檢查配置是否已經同步
exec nsrp sync global-config check-sum
若是已經同步,設置管理地址
set interface vlan1 manage-ip 10.0.0.3
三、
補充:
A、透明模式實現HA之後,若是要管理被設備,默認是管理不到的,能夠用如下命令解決此問題:
set interface vlan1 nsrp manage zone V1-Untrust
此命令要在2
臺設備上都應用。
B、跟蹤IP地址有一些要注意的地方:
這是透明模式正確的配置方式
set nsrp monitor track-ip ip 10.0.0.5 interface vlan1.
若是要跟蹤的IP地址是直連交換機的VLAN接口,那麼此vlan必須是the native VLAN IP address。
如下命令在透明模式的HA中不生效,由於V1-Trust和V1-Untrust上是沒有地址的。
set nsrp monitor track-ip ip 10.0.0.5 zone V1-Trust
關於排錯,這裏就不寫了,太多的方法,你們在項目中本身總結吧;
以上描述的是我以前爲客戶作的一個配置文檔,關於透明模式HA在網上基本沒有文檔,在這裏分享給你們,可是目的不是爲了教你們如何配置HA,其實配置很簡單。複雜的是關於一個功能配置衍生出的不少問題,這裏只是寫了一部分,例如還有如何排錯,心跳線都傳輸什麼數據,MAC地址是如何生成的……..等等不少,這裏還有不少命令沒有用上,他們都是作什麼用的,但願你們養成一個好的習慣,善於總結,把本身在項目中的經驗生成文檔,記住,要看的全面,好的工程師是體如今 -----別人不會的而你會。
風不停web
QQ:76900998網絡
MAIL:jane.h@genisystem.comide
相關文章
- 1. juniper防火牆透明模式實戰
- 2. Juniper防火牆透明模式
- 3. juniper防火牆HA詳解
- 4. Juniper SRX防火牆HA配置
- 5. 防火牆的透明模式
- 6. USG防火牆透明模式配置
- 7. Juniper防火牆監控
- 8. Juniper防火牆MIP配置
- 9. juniper防火牆×××的配置
- 10. 24-思科防火牆:ASA透明防火牆實驗
- 更多相關文章...
- • 使用TCP協議檢測防火牆 - TCP/IP教程
- • Scala 模式匹配 - Scala教程
- • 委託模式
- • Github 簡明教程
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. juniper防火牆透明模式實戰
- 2. Juniper防火牆透明模式
- 3. juniper防火牆HA詳解
- 4. Juniper SRX防火牆HA配置
- 5. 防火牆的透明模式
- 6. USG防火牆透明模式配置
- 7. Juniper防火牆監控
- 8. Juniper防火牆MIP配置
- 9. juniper防火牆×××的配置
- 10. 24-思科防火牆:ASA透明防火牆實驗