Juniper防火墙的HA(高可用性)配置

为了保证网络应用的高可用性,在部署 Juniper 防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备,实现 HA 的配置。Juniper 防火墙提供了三种高可用性的应用配置模式:主备方式、主主方式和双主冗余方式。在这里,我们只对主备方式的配置进行说明。

防火墙 HA 网络拓扑图(主备模式):

Juniper防火墙的HA(高可用性)配置

1.使用Web浏览器方式配置

WebUI ( 设备-A)

① 接口

Network > Interfaces > Edit ( 对于 ethernet7): 输入以下内容,然后单击 OK:

Zone Name: HA

Network > Interfaces > Edit ( 对于 ethernet8): 输入以下内容,然后单击 OK:

Zone Name: HA

Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击 OK:

Zone Name: Untrust

Static IP: ( 出现时选择此选项)

IP Address/Netmask: 210.1.1.1/24

Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击

Apply:

Zone Name: Trust

Static IP: ( 出现时选择此选项)

IP Address/Netmask: 10.1.1.1/24

Manage IP: 10.1.1.20

输入以下内容,然后单击  OK:

Interface Mode: NAT

②  NSRP

Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入

以下内容,然后单击 Apply:

ethernet1: ( 选择); Weight: 255

ethernet3: ( 选择); Weight: 255

Network > NSRP > Synchronization: 选择 NSRP RTO Synchronization,然后

单击 Apply。

Network > NSRP > Cluster: 在 Cluster ID 字段中,键入 1,然后单击 Apply。

WebUI ( 设备-B)

① 接口

Network > Interfaces > Edit ( 对于 ethernet7): 输入以下内容,然后单击 OK:

Zone Name: HA

Network > Interfaces > Edit ( 对于 ethernet8): 输入以下内容,然后单击 OK:

Zone Name: HA

Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击 OK:

Zone Name: Untrust

Static IP: ( 出现时选择此选项)

IP Address/Netmask: 210.1.1.1/24

Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击

Apply:

Zone Name: Trust

Static IP: ( 出现时选择此选项)

IP Address/Netmask: 10.1.1.1/24

Manage IP: 10.1.1.21

输入以下内容,然后单击 OK:

Interface Mode: NAT

②  NSRP

Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入

以下内容,然后单击 Apply:

ethernet1: ( 选择); Weight: 255

ethernet3: ( 选择); Weight: 255

Network > NSRP > Synchronization: 选择 NSRP RTO Synchronization,然后

单击 Apply。

Network > NSRP > Cluster: 在 Cluster ID 字段中,键入 1,然后单击 Apply。

2.使用命令行方式配置

CLI ( 设备-A)

① 接口

set interface ethernet7 zone ha

set interface ethernet8 zone ha

set interface ethernet1 zone untrust

set interface ethernet1 ip 210.1.1.1/24

set interface ethernet3 zone trust

set interface ethernet3 ip 10.1.1.1/24

set interface ethernet3 manage-ip 10.1.1.20

set interface ethernet3 nat

②  NSRP

set nsrp rto-mirror sync

set nsrp monitor interface ethernet1

set nsrp monitor interface ethernet3

set nsrp cluster id 1

save

CLI ( 设备-B)

① 接口

set interface ethernet7 zone ha

set interface ethernet8 zone ha

set interface ethernet1 zone untrust

set interface ethernet1 ip 210.1.1.1/24

set interface ethernet3 zone trust

set interface ethernet3 ip 10.1.1.1/24

set interface ethernet3 manage-ip 10.1.1.21

set interface ethernet3 nat

②  NSRP

set nsrp rto-mirror sync

set nsrp monitor interface ethernet1

set nsrp monitor interface ethernet3

set nsrp cluster id 1

save

本文转自 chenming421  51CTO博客,原文链接:http://blog.51cto.com/wnqcmq/1219067

上一篇:什么是状态化包过滤防火墙
下一篇:linux防火墙