juniper 防火墙双机实施方案

1、河北省电力研究院内网出口防火墙双机改造项目技术方案河北省电力研究院河北新禾科技有限公司2010年11月目 录第一章 项目介绍 31.1 项目概述 31.2 项目目标 3第二章 实施方案 32.1设备安装 错误！未定义书签。2.2 设备连接 错误！未定义书签。第一章 项目介绍1.1 项目概述河北省电力研究院信息内网发展迅猛，自建成至今网络设备、安全设备、服务器数目与日俱增。随着各种应用系统的上线，对网络高可用性能的要求越来越高。两台北电8610核心交换机组成的双机系统能够满足现有的应用对高可用的要求，然而在内网出口处只部署了一台SSG550防火墙，如果防火墙发生故障会导致内部网络通信中断，影响业

2、务应用系统运行。因此急需将内网出口由单防火墙模式改造为防火墙双机冗余模式，以满足不断增长的业务和应用对网络高可用性的要求。1.2 项目目标进行此次河北省电力研究院内网出口防火墙双机改造时，在网络连通性的前提下，保障出口区域无单点故障，从而达到全网的高可用性。本次网络改造建设完成后可以实现内网出口防火墙冗余。第二章 实施方案2.1 方案设计河北省电力研究院内网出口防火墙双机改造的着眼点在于提高现有网络的可靠性和安全性。通过使用Juniper公司的高可用集群技术，实现了内网出口的高可用性。原内网出口防火墙SSG550迁移至外网出口，替换Netscreen 204。图2-1 河北省电力研究院内网出口

3、防火墙逻辑拓扑图如图2-1所示，两台Juniper ISG1000防火墙以透明模式组成双机，两台防火墙2口分别与网络核心7/16口连接，两台防火墙心跳线分别通过3、4口连接，两台防火墙1口分别与千兆交换机连接。因为真实网络环境中，防火墙和路由器之间没有千兆交换机，所以需在添加一台，建议采用H3C S5016P全千兆交换机。一、设备名称分配表3-1 设备名称分配表序号设备类型设备型号设备命名1内网出口防火墙ISG1000ISG1000-12内网出口防火墙ISG1000ISG1000-2二、设备接口连接按照图2-1连接三、标示标签制定1. 设备标示按设备名称用标签打印纸打印，黏贴在设备右上角。2.

4、 设备连线标签制定规则如下：本端设备名称“空格”+端口-对端设备名称“空格” +端口；现已ISG1000-1的G1端口至HXPP8606-1的7/16端口间连钱标签为例说明：HXPP8610-1端标签：HXPP8610-1 7/16ISG1000 G1；ISG1000-1端标签：ISG1000-1 G1-HXPP8610-1 7/16；现将标示标签汇总如下：表3-2 标示标签汇总表设备名称标签名称ISG1000-1ISG1000-1 G1-HXPP8610-1 7/16ISG1000-1 G3- ISG1000-2 G3ISG1000-1 G4- ISG1000-2 G4ISG1000-2IS

5、G1000-2 G1-HXPP8610-2 7/16ISG1000-2 G3- ISG1000-1 G3ISG1000-2 G4- ISG1000-1 G4四、IP地址规划表表3-3 IP地址规划表序号设备名称子网IP地址网关（默认路由）1ISG1000-110.122.210.0/2410.122.210.25110.122.210.2502ISG1000-210.122.210.0/2410.122.210.25210.122.210.2502.2 防火墙配置1、ISG1000-1（Active）接口配置Set interface ethernet3 zone haSet interfac

6、e ethernet4 zone haSet interface ethernet1 zone v1-untrustSet interface ethernet2 zone v1-trustNSRP配置Set nsrp cluster id 1Set nsrp vsd-group id 0 priority 50Set nsrp rto-mirror syncSet nsrp monitor interface ethernet1Set nsrp monitor interface ethernet22、ISG1000-2（Passive）接口配置Set interface ethernet3

7、 zone haSet interface ethernet4 zone haSet interface ethernet1 zone v1-untrustSet interface ethernet2 zone v1-trustNSRP配置Set nsrp cluster id 1Set nsrp vsd-group id 0 priority 100Set nsrp rto-mirror syncSet nsrp monitor interface ethernet1Set nsrp monitor interface ethernet23、配置临时全通策略Set policy from

8、v1-trust to v1-untrust any any any permit4、保存配置SaveWebUI(设备-A 接口Network > Interfaces > Edit ( 对于 ethernet3: 输入以下内容，然后单击 OK: Zone Name: HANetwork > Interfaces > Edit ( 对于 ethernet4: 输入以下内容，然后单击 OK:Zone Name: HANetwork > Interfaces > Edit ( 对于 ethernet1: 输入以下内容，然后单击 OK: Zone Name: v1

9、-untrust配置vlan1 Manage IP地址：Network > Interfaces > Edit ( 对于 ethernet2: 输入以下内容，然后单击Apply:Zone Name: v1-trust NSRPNetwork > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入 以下内容，然后单击 Apply:ethernet1: ( 选择; Weight: 255ethernet3: ( 选择; Weight: 255Network > NSRP > S

10、ynchronization: 选择 NSRP RTO Synchronization，然后 单击 Apply。Network > NSRP > Cluster: 在 Cluster ID 字段中，键入 1，然后单击 Apply。WebUI ( 设备-B 接口Network > Interfaces > Edit ( 对于 ethernet7: 输入以下内容，然后单击 OK: Zone Name: HANetwork > Interfaces > Edit ( 对于 ethernet8: 输入以下内容，然后单击 OK:Zone Name: HANetwork > Interfaces > Edit ( 对于 ethernet1: 输入以下内容，