发布时间 : 星期一 文章Juniperssg-140防火墙冗余配置步骤分析更新完毕开始阅读066b6c48dc88d0d233d4b14e852458fb760b380d
ns204(B)-> set nsrp vsd-group hb-interval 200 设置心跳信息每隔200秒将发出问候信息 ns204(B)-> set nsrp vsd-group hb-threshold 3 设置心跳信息总共发出3次问候信息 ns204(B)-> save
3、同步配置(备份防火墙上面配置)
该步骤将主防火墙的配置和备份防火墙的配置进行同步,(设置前请先将主防火墙的配置备份一次)。 ns204(B)-> exec nsrp sync rto all from peer (将从主设备上向备份主机同步会话状态信息)
ns204(B)-> exec nsrp sync file from peer (将从主设备上向备份主机同步配置信息)
ns204(B)-> exec nsrp sync global-config check-sum (将两台设备的配置进行校检,如有不同,备份的设备将会在重启后把主设备上的配置导入备份主机中)
ns204(B)-> exec nsrp sync global-config save (如有不同,备份的设备将会在重启后把主设备上的配置导入备份主机中)
重启备份防火墙,在重启的过程中,备份的防火墙将会从主设备上同步配置 ns204(B)-> reset
Juniper防火墙的冗余配置结束。
三、图形界面下的配置步骤
1、 登录防火墙的图形管理界面
选择network>Interface> Ethernet6 > edit
将Ethernet6端口的Zone name 选择HA,
2、NSRP设置
选择Network > NSRP >Cluster 在Cluster ID中输入1
选择Network > NSRP >VSD Group
Priority设置设备的优先权值,priority值越小,优先权越高。(主防火墙要低于备份防火墙)。
设置监控接口,选择Network > NSRP >Monitor>interface
设置同步信息,选择Network > NSRP >Synchronization
注:以上图形界面配置除主备防火墙的优先权值外,配置一样。
3、同步配置(图形界面无法配置,使用超级终端配置)
该步骤将主防火墙的配置和备份防火墙的配置进行同步,(设置前请先将主防火墙的配置备份一次)。 ns204(B)-> exec nsrp sync rto all from peer (将从主设备上向备份主机同步会话状态信息)
ns204(B)-> exec nsrp sync file from peer (将从主设备上向备份主机同步配置信息)
ns204(B)-> exec nsrp sync global-config check-sum (将两台设备的配置进行校检,如有不同,备份的设备将会在重启后把主设备上的配置导入备份主机中)
ns204(B)-> exec nsrp sync global-config save (如有不同,备份的设备将会在重启后把主设备上的配置导入备份主机中)
重启备份防火墙,在重启的过程中,备份的防火墙将会从主设备上同步配置 ns204(B)-> reset
Juniper防火墙的冗余配置结束。
五、配置中出现的问题
1、 在主防火墙配置时,备份防火墙没有同步信息
解析:用超级终端Console口登录到备份防火墙,使用get nsrp命令查看同步配置。如果没有同步配置增加相关配置。设备同步信息系统默认是200s,就是在主防火墙配置后,不会立即同步到备份防火墙上面,200s后可以查看备份防火墙信息。 2、 主防火墙出现故障,备份防火墙启动
解析:经过在公司内网测试,关闭主防火墙或者拔下主防火墙网线,备份防火墙1分钟内可以启动正常工作。在北艾机房测试过程中最长4分钟可以正常启动。 3、 北艾电信机房备份防火墙外网无法连通
解析:1、由于电信机房外网IP需要与mac绑定,之前绑定是主防火墙的mac,当主防火墙关闭时,外网IP在备份防火墙上面无法进行正确的寻址。在配置双防火墙HA后,主备防火墙的各网口mac都变成了虚拟的统一mac地址。最后电信机房通过绑定虚拟mac解决寻址问题。2、防火墙兼容问题,做HA配置的两台防火墙最好是同型号同硬件配置及同系统版本号,不兼容会出现备机无法正常的工作。