juniper防火墻透明模式HA

網(wǎng)絡拓撲：

條件要求：

軟件

做HA的兩臺設備軟件版本必須相同

注：

*   extended license required
**  Supports only NSRP Lite. 

*** Supports only NSRP Lite & extended license required.

另外，如果防火墻要做透明模式的HA，那么Active/Active模式要在ScreenOS 6.1.0  or above才支持的；而且是以下平臺：the SSG-500 series, NS-ISG-1000, NS-ISG-2000, and all NS-5000 platforms.

 

許可

兩臺防火墻必須有想同功能的軟件許可；

硬件

兩臺防火墻必須是相同的硬件，有相同的模塊；

網(wǎng)絡詳情：

這里配置舉例使用設備ISG1000，兩臺做HA，A/S模式，ethernet1/1為信任端口，ethernet1/2為非信任端口，ethernet1/4為HA接口；

詳細配置：

1、             配置主設備

set interface "ethernet1/1" zone "V1-Trust"

set interface "ethernet1/2" zone "V1-Untrust"

set interface "ethernet1/4" zone "HA"

 set interface vlan1 ip 10.0.0.1/24

set interface vlan1 manage-ip 10.0.0.2

 set interface vlan1 ip manageable

set zone V1-Untrust manage ping

set zone V1-Untrust manage web

set policy id 2 from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit

 set route 0.0.0.0/0 interface vlan1 gateway 10.0.0.254

 set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 10

set nsrp vsd-group id 0 preempt

set nsrp vsd-group id 0 monitor interface ethernet1/1

set nsrp vsd-group id 0 monitor interface ethernet1/2

 2、             配置備設備

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 100

set nsrp vsd-group id 0 monitor interface ethernet1/1

set nsrp vsd-group id 0 monitor interface ethernet1/2

 

nsisg1000->exec nsrp sync global save

Save global configuration successfully.
Continue to save local configurations ... Save local configuration successfully.

 

nsisg1000-> reset
nsisg1000-> Configuration modified.  Save? [y] y/n  n
nsisg1000-> System reset? Are you sure? y/n  y

 

重啟后檢查配置是否已經(jīng)同步

exec nsrp sync global-config check-sum

 

如果已經(jīng)同步，設置管理地址

set interface vlan1 manage-ip 10.0.0.3

 3、             補充：

A、透明模式實現(xiàn)HA以后，如果要管理被設備，默認是管理不到的，可以用以下命令解決此問題：

set interface vlan1 nsrp manage zone  V1-Untrust

此命令要在2臺設備上都應用。

 B、跟蹤IP地址有一些要注意的地方：

這是透明模式正確的配置方式

set nsrp monitor track-ip ip 10.0.0.5 interface vlan1.

如果要跟蹤的IP地址是直連交換機的VLAN接口，那么此vlan必須是the native VLAN IP address。

 以下命令在透明模式的HA中不生效，因為V1-Trust和V1-Untrust上是沒有地址的。

set nsrp monitor track-ip ip 10.0.0.5 zone V1-Trust

 關于排錯，這里就不寫了，太多的方法，大家在項目中自己總結吧；

 以上描述的是我之前為客戶做的一個配置文檔，關于透明模式HA在網(wǎng)上基本沒有文檔，在這里分享給大家，但是目的不是為了教大家如何配置HA，其實配置很簡單。復雜的是關于一個功能配置衍生出的很多問題，這里只是寫了一部分，例如還有如何排錯，心跳線都傳輸什么數(shù)據(jù)，MAC地址是如何生成的……..等等很多，這里還有很多命令沒有用上，他們都是做什么用的，希望大家養(yǎng)成一個好的習慣，善于總結，把自己在項目中的經(jīng)驗生成文檔，記住，要看的全面，好的工程師是體現(xiàn)在 -----別人不會的而你會。