juniper防火墙灾备切换解决方案

《juniper防火墙灾备切换解决方案》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、Juniper防火墙灾备切换解决方案目录现状描述2灾备切换方案2总结77现状描述IDC现有JuniperSSG550防火墙两台做NSRP双机热备，IDC主要提供DMZ服务器应用访问。为了使应用能够得到冗余保障，灾备中心拥有一套相同的系统。为了顺利的切换应用，需要事先准备应急切换方案。灾备切换方案方案描述1).相同的配置，当部分应用挂掉时，通过修改路由(需要通过策略路由控制)和MIP策略的方式切换。修改的MIP策略需要事先加好并disable。2).当整个Internet挂掉后，通过运营商BGP选路切换，需要部分应用通过修改路由(

2、需要通过策略路由控制)和MIP策略的方式切换;修改的MIP策略需要事先加好并disable。3).MIP策略需要修改目标Zone和添加DIP，同一条策略需要同时设置MIP和DIP。4).该方案中配置可以互导，定期的手工导出防火墙配置来进行两边配置的同步工作。路由设置由于INSIDE区域之间有一条专线，所以，当故障发生时，可以将原本通过MPSL走的路由切换至INSIDE。由于SSG防火墙默认会根据MPSL接口的IP生成一条接口路由，接口路由的优先级高于静态路由，所以，需要事先添加策略路由指向INSIDE，在不需要切换的时候不启用该

3、路由。策略路由配置示例CLI配置1.建立一个扩展ACLsetaccess-listextended[number]src-ip[ip/netmask]dst-ip[ip/netmask]protocolanyentry[number]2.建立一个MatchGroupsetmatch-groupname[name]setmatch-group[name]ext-acl[number]match-entry[number]3.建立一个ActionGroupsetaction-groupname[name]setaction-grou

4、p[name]next-hop[ip]action-entry[number]4.建立一个PBRPolicysetpbrpolicyname[name]setpbrpolicy[name]match-group[name]action-group[name][number]5.将PBR绑定到接口上(支持绑定到zone和vr)7setinterface[name]pbr[pbr-policy-name]WEB配置1.建立extendedacl设置ACLID、源地址、目的地址、源目端口等信息注:需要再建立一条Protocol为ICM

5、P的ACL，否则traceroute还是走默认路由2.配置matchgroup3.配置actiongroup74.PBR配置Policy5.在接口绑定策略路由7MIP配置示例CLI配置setinterface [int_name]mipx.x.x.xhostx.x.x.xnetmaskx.x.x.xvrouter[vr_name]setpolicyfrom[zone]to[zone][source][mip-address][service]permitsaveWeb配置step1.定义MIPstep2.配置MIP策略7DIP配

6、置示例CLI配置setinterface[name]dip[4-255][start-address][end-address]setpolicyfrom[zone]to[zone][source][destination][service]natsrcdip[4-255]permitWEB配置step1.创建DIP-Network>Interface>Edit>DIP(clickonnew)step2.创建策略7总结两边防火墙的配置可以互导，这样便于两边配置的维护，由于方案中防火墙的配置变动较多，建议在正式使用前，先进行一次切

7、换测试。7