Juniper 防火墙HA配置详解_主从(L3 路由模式).doc

《Juniper 防火墙HA配置详解_主从(L3 路由模式).doc》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、JuniperHA主双（L3）路由模式配置实际环境中防火墙做主双是不太可能实现全互联结构，juniper防火墙标配都是4个物理以太网端口，全互联架构需要防火墙增加额外的以太网接口（这样会增加用户成本），或者在物理接口上使用子接口（这样配置的复杂性增加许多），最主要的是用户的网络中大多没有像全互联模式那样多的设备。因此主双多数实现在相对冗余的网络环境中。防火墙A上执行的命令sethostnameISG1000-Asetinterfacemgtip172.16.12.1/24setinterface"ethernet1/4"zone"HA"setnsrpclusterid1setnsrprto

2、-mirrorsyncsetnsrpvsd-groupid0priority10setnsrpvsd-groupid0preemptsetnsrpvsd-groupid0monitorinterfaceethernet1/1setnsrpvsd-groupid0monitorinterfaceethernet1/2setinterfaceethernet1zonetrustsetinterfaceethernet1ip192.168.1.254/24setinterfaceethernet1manage-ip192.168.1.1setinterfaceethernet2zoneUntru

3、stsetinterfaceethernet2ip172.16.1.254/24setinterfaceethernet2manage-ip172.16.1.1setinterfaceeth1managesetinterfaceeth2manage防火墙B上执行的命令sethostnameISG1000-Bsetinterfacemgtip172.16.12.2/24setinterface"ethernet1/4"zone"HA"setnsrpclusterid1setnsrprto-mirrorsyncsetnsrpvsd-groupid0priority100setnsrpvsd-g

4、roupid0preemptsetnsrpvsd-groupid0monitorinterfaceethernet1/1setnsrpvsd-groupid0monitorinterfaceethernet1/2setinterfaceethernet1zonetrustsetinterfaceethernet1ip192.168.1.254/24setinterfaceethernet1manage-ip192.168.1.2setinterfaceethernet2zoneUntrustsetinterfaceethernet2ip172.16.1.254/24setinterface

5、ethernet2manage-ip172.16.1.2setinterfaceeth1managesetinterfaceeth2manage任意一个防火墙上执行的命令即可setpolicyid2from"Trust"to"Untrust""Any""Any""ANY"permitsetpolicyid3from"UnTrust"to"trust""Any""Any""ANY"permit___________________________________________________________最后A和B都必须执行的命令execnsrpsyncglobalsave