Netscreen防火墙(NSRP)配置

Netscreen考虑到网络设备不可中断性,设计了一种专门可供备份“Netscreen冗余协议(NSRP)”,冗余协议(NSRP)是一种在选定的Netscreen设备上支持的、可提供高可用性(HA) 服务的专有协议。

要正常起到网络防火墙的主备作用,必须将Netscreen设备放置在所有区段间流量都必须通过的单一点上。因此,保持流量不中断流动至关重要,即使在设备或网络发生故障时也应如此。

Trust区段安全区段间流过的所有流量都必须通过Netscreen设备。Untrust区段要确保流量的连续流动,可以通过冗余集群方式用电缆连接并配置两台Netscreen设备,其中一台作为主设备,另一台作为它的备份。主设备将所有的网络和配置设置以及当前会话的信息传播到备份设备。主设备出现故障时,备份设备会晋升为主设备并接管流量处理。在这种情况下,两种设备处于主动/被动配置;即主设备为主动,处理所有防火墙和VPN活动,备份设备为被动,等待主设备让位时接管。然而如果需要NSRP协议起作用,必须用电缆线,把整防火墙的应用端口连接起来。另外,如果要维持NSRP 集群中Netscreen设备的一个或多个物理接口的管理流量的网络连接。

在现有网络进行主动/被动配置的NSRP:

一、线缆的连接

1、    把所有的防火墙上的物理端口分别于交换机端口相连;

2、    用2根心跳线连接防火墙的HA1和HA2端口。

二、主动NSRP主机上配置

在web界面下:

1、Network > Redundancy > Settings:输入以下内容,然后单击Apply:

Cluster ID: 1

Netscreen防火墙(NSRP)配置

2、Monitor Port Edit: 选择ethernet1/1、ethrnet1/2、ethrnet2/1 和ethernet3/1,然后单击Apply,设置监控的端口并返回到“General NSRP”配置页。

NSRP RTO Mirror Synchronization: (选择)

如果没有启用自动RTO 同步选项,则可以用CLI 命令exec nsrp sync rto all 手动同步RTO。

Netscreen防火墙(NSRP)配置

3、最后保存设置,设置之后的web界面如图:

Netscreen防火墙(NSRP)配置

三、备份NSRP主机上配置

在备份主机上的设置与主动机器上的设置完全相同。

四、检查NSRP配置同步的两种方式

1、 插拔端口连线,模拟主机发生故障时,检查备份主机是否能自动晋升为主动主机;

2、 使用命令:exec nsrp sync global-config check 查看主/被信息。

本文转自 yhw85 51CTO博客,原文链接:http://blog.51cto.com/yanghuawu/735124,如需转载请自行联系原作者

上一篇:用防火墙伪装抵住黑客攻击
下一篇:SELinux、LINUX关闭防火墙