為了保證網絡應用的高可用性,在部署 Juniper 防火牆過程中可以在需要保護的網絡邊緣同時部署兩台相同型号的防火牆裝置,實作 HA 的配置。Juniper 防火牆提供了三種高可用性的應用配置模式:主備方式、主主方式和雙主備援方式。在這裡,我們隻對主備方式的配置進行說明。
防火牆 HA 網絡拓撲圖(主備模式):
<a href="http://wnqcmq.blog.51cto.com/attachment/201306/8/5200614_13706834549z5y.png"></a>
1.使用Web浏覽器方式配置
WebUI ( 裝置-A)
① 接口
Network > Interfaces > Edit ( 對于 ethernet7): 輸入以下内容,然後單擊 OK:
Zone Name: HA
Network > Interfaces > Edit ( 對于 ethernet8): 輸入以下内容,然後單擊 OK:
Network > Interfaces > Edit ( 對于 ethernet1): 輸入以下内容,然後單擊 OK:
Zone Name: Untrust
Static IP: ( 出現時選擇此選項)
IP Address/Netmask: 210.1.1.1/24
Network > Interfaces > Edit ( 對于 ethernet3): 輸入以下内容,然後單擊
Apply:
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.20
輸入以下内容,然後單擊 OK:
Interface Mode: NAT
② NSRP
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 輸入
以下内容,然後單擊 Apply:
ethernet1: ( 選擇); Weight: 255
ethernet3: ( 選擇); Weight: 255
Network > NSRP > Synchronization: 選擇 NSRP RTO Synchronization,然後
單擊 Apply。
Network > NSRP > Cluster: 在 Cluster ID 字段中,鍵入 1,然後單擊 Apply。
WebUI ( 裝置-B)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.21
輸入以下内容,然後單擊 OK:
Interface Mode: NAT
單擊 Apply。
Network > NSRP > Cluster: 在 Cluster ID 字段中,鍵入 1,然後單擊 Apply。
2.使用指令行方式配置
CLI ( 裝置-A)
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set interface ethernet1 zone untrust
set interface ethernet1 ip 210.1.1.1/24
set interface ethernet3 zone trust
set interface ethernet3 ip 10.1.1.1/24
set interface ethernet3 manage-ip 10.1.1.20
set interface ethernet3 nat
set nsrp rto-mirror sync
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
set nsrp cluster id 1
save
CLI ( 裝置-B)
① 接口
set interface ethernet3 manage-ip 10.1.1.21
save
本文轉自 chenming421 51CTO部落格,原文連結:http://blog.51cto.com/wnqcmq/1219067
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)