juniper防火牆的雙機具有高冗餘性和安全性,便於管理,分爲三種組網模式:layer3的A/P組網模式,layer3的full-mesh的A/P組網模式,layer3的full-mesh的A/A組網模式。其中layer3A/P模式對環境要求最低,是業界廣爲流行的配置。但是,其利用率不高,同一時間只有一臺防火牆處理網絡流量,一側鏈路和設備出現故障時提供冗餘切換。配置要求硬件和軟件版本相同,接口編號相同,放入HA的接口要統一。配置時只需清空備的那一臺,然後將HA、manger ip 、MGT端口ip,及個性化配置即可。
兩臺防火牆用e4口連接,unset interface e4 ip (清空e4口的ip地址)
set interface e4 zone ha (將e4口和HA區域綁定)
主防火牆:
配置NSRP:set nsrp cluster id 1 設置cluster組號
set nsrp vsd id 0 設置虛擬安全數據庫的組號0
set nsrp vsd-group id 0 priority 50 設置nsrp主設備的優先級(優先級數值越大,優先級越小)
set nsrp rto syn 設置配置同步
set nsrp vsd-group id 0 monitor interface ethernet3 設置防火牆監控的端口
set nsrp vsd-group id 0 monitor interface ethernet1
*只有當備份防火牆配置之後,主設備上才能檢測到備防火牆的狀態(get nsrp)
set nsrp vsd-group hb-interval 200 設置心跳信息每隔200秒發送問候信息
set nsrp vsd-group hb-threshold 3 設置心跳信息總共發出3次問候信息
save 保存
備防火牆
unset all 恢復出廠設置
set interface e4 zone ha 將e4和ha區域綁定
配置nsrp
set nsrp cluster id 1 設置cluster組號
set nsrp vsd id 0 設置vsd組號
set nsrp vsd-group id 0 priority 100 設置nsrp主設備的優先級(優先級數值越大,優先級越小)
set nsrp rto syn 設置配置同步
set nsrp vsd-group id 0 monitor interface ethernet3 設置防火牆監控的端口
set nsrp vsd-group id 0 monitor interface ethernet1
set nsrp vsd-group hb-interval 200 設置心跳信息每隔200秒發送問候信息
set nsrp vsd-group hb-threshold 3 設置心跳信息總共發出3次問候信息
save 保存
同步配置:
用crt---console做exec nsrp sync global-config check-sum 將兩臺設備的配置進行校驗,若不同,備份設備將會在重啓後把主設備上的配置導入備份設備中
exec nsrp sync global-config save 若有不同,備份的設備將會在重啓後把主設備上的配置導入到備份設備上
configuration in sync
重啓防火牆 reset