juniper防火墙透明模式HA高可用性配置.doc

醉生梦死的博客 网络拓扑：条件要求：软件做HA的两台设备软件版本必须相同PlatformActive/PassiveActive/ActiveISG Series5.0.0 or above5.0.0 or aboveNS5000 Series5.0.0 or above5.0.0 or aboveSSG550/550M5.1.0 or above5.1.0 or aboveSSG520/520M5.1.0 or above6.0.0 or aboveSSG300 Series5.4.0 or above5.4.0 or aboveSSG 1405.4.0 or above6.0.0 or aboveSSG5 & SSG205.4.0 or above*6.0.0 or above*NS5005.1.0 or above5.1.0 or aboveNS200 Series5.1.0 or above5.1.0 or aboveNS505.1.0 or aboveNot SupportedNS255.1.0 or above*Not SupportedNS5gt5.1.0 or above*Not Supported注：* extended license required* Supports only NSRP Lite.* Supports only NSRP Lite& extended license required.另外，如果防火墙要做透明模式的HA，那么Active/Active模式要在ScreenOS 6.1.0 or above才支持的；而且是以下平台：the SSG-500 series, NS-ISG-1000, NS-ISG-2000, and all NS-5000 platforms.许可两台防火墙必须有想同功能的软件许可；硬件两台防火墙必须是相同的硬件，有相同的模块；网络详情：这里配置举例使用设备ISG1000，两台做HA，A/S模式，ethernet1/1为信任端口，ethernet1/2为非信任端口，ethernet1/4为HA接口；详细配置：1、 配置主设备set interface ethernet1/1 zone V1-Trustset interface ethernet1/2 zone V1-Untrustset interface ethernet1/4 zone HAset interface vlan1 ip /24set interface vlan1 manage-ip set interface vlan1 ip manageableset zone V1-Untrust manage pingset zone V1-Untrust manage webset policy id 2 from V1-Trust to V1-UntrustAny Any ANY permitset route /0 interface vlan1 gateway 54set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 10set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1set nsrp vsd-group id 0 monitor interface ethernet1/22、 配置备设备set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 100set nsrp vsd-group id 0 monitor interface ethernet1/1set nsrp vsd-group id 0 monitor interface ethernet1/2nsisg1000-exec nsrp sync global saveSave global configuration successfully.Continue to save local configurations . Save local configuration successfully.nsisg1000- resetnsisg1000- Configuration modified. Save? y y/n nnsisg1000- System reset? Are you sure? y/n y重启后检查配置是否已经同步exec nsrp sync global-config check-sum如果已经同步，设置管理地址set interface vlan1 manage-ip 3、 补充：A、透明模式实现HA以后，如果要管理被设备，默认是管理不到的，可以用以下命令解决此问题：set interface vlan1 nsrp manage zone V1-Untrust此命令要在2台设备上都应用。B、跟踪IP地址有一些要注意的地方：这是透明模式正确的配置方式set nsrp monitor track-ip ip interface vlan1.如果要跟踪的IP地址是直连交换机的VLAN接口，那么此vlan必须是the native VLAN IP address。以下命令