Juniper防火牆的HA（高可用性）配置

爲了保證網絡應用的高可用性，在部署 Juniper 防火牆過程當中能夠在須要保護的網絡邊緣同時部署兩臺相同型號的防火牆設備，實現 HA 的配置。Juniper 防火牆提供了三種高可用性的應用配置模式：主備方式、主主方式和雙主冗餘方式。在這裏，咱們只對主備方式的配置進行說明。

防火牆 HA 網絡拓撲圖（主備模式）:

1.使用Web瀏覽器方式配置

WebUI ( 設備-A)    
① 接口     
Network > Interfaces > Edit ( 對於 ethernet7): 輸入如下內容，而後單擊 OK:     
Zone Name: HA     
Network > Interfaces > Edit ( 對於 ethernet8): 輸入如下內容，而後單擊 OK:     
Zone Name: HA     
Network > Interfaces > Edit ( 對於 ethernet1): 輸入如下內容，而後單擊 OK:     
Zone Name: Untrust     
Static IP: ( 出現時選擇此選項)     
IP Address/Netmask: 210.1.1.1/24     
Network > Interfaces > Edit ( 對於 ethernet3): 輸入如下內容，而後單擊     
Apply:     
Zone Name: Trust     
Static IP: ( 出現時選擇此選項)     
IP Address/Netmask: 10.1.1.1/24 

Manage IP: 10.1.1.20    
輸入如下內容，而後單擊  OK:     
Interface Mode: NAT     
②  NSRP     
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 輸入     
如下內容，而後單擊 Apply:     
ethernet1: ( 選擇); Weight: 255     
ethernet3: ( 選擇); Weight: 255     
Network > NSRP > Synchronization: 選擇 NSRP RTO Synchronization，而後     
單擊 Apply。 

Network > NSRP > Cluster: 在 Cluster ID 字段中，鍵入 1，而後單擊 Apply。

WebUI ( 設備-B)    
① 接口     
Network > Interfaces > Edit ( 對於 ethernet7): 輸入如下內容，而後單擊 OK:     
Zone Name: HA     
Network > Interfaces > Edit ( 對於 ethernet8): 輸入如下內容，而後單擊 OK:     
Zone Name: HA     
Network > Interfaces > Edit ( 對於 ethernet1): 輸入如下內容，而後單擊 OK:     
Zone Name: Untrust     
Static IP: ( 出現時選擇此選項)     
IP Address/Netmask: 210.1.1.1/24     
Network > Interfaces > Edit ( 對於 ethernet3): 輸入如下內容，而後單擊     
Apply:     
Zone Name: Trust     
Static IP: ( 出現時選擇此選項)     
IP Address/Netmask: 10.1.1.1/24     
Manage IP: 10.1.1.21     
輸入如下內容，而後單擊 OK: 

Interface Mode: NAT    
②  NSRP     
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 輸入     
如下內容，而後單擊 Apply:     
ethernet1: ( 選擇); Weight: 255     
ethernet3: ( 選擇); Weight: 255     
Network > NSRP > Synchronization: 選擇 NSRP RTO Synchronization，而後     
單擊 Apply。     
Network > NSRP > Cluster: 在 Cluster ID 字段中，鍵入 1，而後單擊 Apply。 

 

2.使用命令行方式配置

CLI ( 設備-A)    
① 接口     
set interface ethernet7 zone ha     
set interface ethernet8 zone ha     
set interface ethernet1 zone untrust     
set interface ethernet1 ip 210.1.1.1/24     
set interface ethernet3 zone trust     
set interface ethernet3 ip 10.1.1.1/24     
set interface ethernet3 manage-ip 10.1.1.20     
set interface ethernet3 nat     
②  NSRP     
set nsrp rto-mirror sync     
set nsrp monitor interface ethernet1     
set nsrp monitor interface ethernet3     
set nsrp cluster id 1     
save     
CLI ( 設備-B)

① 接口    set interface ethernet7 zone ha     set interface ethernet8 zone ha     set interface ethernet1 zone untrust     set interface ethernet1 ip 210.1.1.1/24     set interface ethernet3 zone trust     set interface ethernet3 ip 10.1.1.1/24     set interface ethernet3 manage-ip 10.1.1.21     set interface ethernet3 nat     ②  NSRP     set nsrp rto-mirror sync     set nsrp monitor interface ethernet1     set nsrp monitor interface ethernet3     set nsrp cluster id 1     save