資源描述:
《juniper防火墻ha配置詳解_主從(l2透明模式)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、JuniperHA主雙(L2)透明模式配置實(shí)際環(huán)境中防火墻做主雙是不太可能實(shí)現(xiàn)全互聯(lián)結(jié)構(gòu)Juniper防火墻標(biāo)配都是4個(gè)物理以太網(wǎng)端口,全互聯(lián)架構(gòu)需要防火墻增加額外的以太網(wǎng)接口(這樣會(huì)增加用戶成本),或者在物理接口上使用子接口(這樣配置的復(fù)雜性增加許多),最主要的是用戶的網(wǎng)絡(luò)中大多沒有像全互聯(lián)模式那樣多的設(shè)備。因此主雙多數(shù)實(shí)現(xiàn)在相對(duì)冗余的網(wǎng)絡(luò)環(huán)境中。環(huán)境中兩個(gè)Cisco4506交換配置為HSRP模式,文檔最后附上HSRP配置。F5的配置請(qǐng)參考我寫的關(guān)于F5鏈路負(fù)載均衡設(shè)備配置手冊(cè)。具體實(shí)際環(huán)境如下:核心交換區(qū)兩臺(tái)核心交換機(jī)作主備
2、;2/23G2/23Cisco4506Cisco4506J^.2/24G2/24G2/1防火墻A上執(zhí)行的命令sethostnameISGI000-Asetinterfacemgtip172.16.12.1/24setinterfaceHethernetl/4Hzone"HA”setnsrpclusterid1setnsrprto-mirrorsyncsetnsrpvsd-groupid0priority10setnsrpvsd-groupid0preemptsetnsrpvsd-groupid0monitorinterfacee
3、thernetl/1setnsrpvsd-groupid0monitorinterfaceethernetl/2防火墻B上執(zhí)行的命令sethostnameISG1000-Bsetinterfacemgtip172.16.12.2/24setinterfaceHethemetl/4Hzone"HA"setnsrpclusterid1setnsrprto-mirrorsyncsetnsrpvsd-groupid0priority100setnsrpvsd-groupid0preemptsetnsrpvsd-groupid0monit
4、orinterfaceethernetl/1setnsrpvsd-groupid0monitorinterfaceethernetl/2任意一個(gè)防火墻上執(zhí)行的命令即可setinterfaceEthernet1/1HzoneHV1-Trust11setinterfaceHethernetl/2nzoneHVl-UntrustHsetpolicyid2from"Vl-Trust11toHVl-UntrustM“Any””Any””ANY”permitsetpolicyid3from"Vl-UnTrust"to"VI-trust""A
5、ny""Any""ANY'1permit最后A和B都必須執(zhí)彳丁的命令execnsrpsyncglobalsave這個(gè)實(shí)驗(yàn)環(huán)境中使用的設(shè)備是ISGI000,該產(chǎn)品帶有專用管理接口,方便設(shè)備的管理配置。如果是其他沒有管理接口的型號(hào)防火墻請(qǐng)參考下面配置進(jìn)行管理。首先在主防火墻上配置setinterfacevlanlip192.168.1.254/24管理地址為舉例setinterfacevlan1manage-ip192.168.1.1在從防火墻上配置setinterfacevlan1ip192」68」.254/24管理地址為舉例
6、setinterfacevlanlmanage-ip192.168.1.2在任意一個(gè)防火墻上配置即可setinterfacevlanlipmanageablesetinterfacevlan1ipmanagsetzoneVl?UntrustmanagesetzoneV1?trustmanage最后在兩臺(tái)防火墻上均需要執(zhí)行的命令setinterfacevlanlnsrpmanagezoneVl-UntrustsetinterfacevlanlnsrpmanagezoneVl?trust此處附上4506的hsrp的配置方便大家測(cè)試,
7、配置中主4506還添加了上游F5鏈路中斷后的檢測(cè)配置(SLA),有興趣的朋友自己看配置研究吧。主4506配置spanning-treevlan1-2,40priority0ipsla1icmp-echo172.16.1.2frequency5ipslaschedule1lifeforeverstart-timenowtrack1ipsla1reachabilityvtpmodetransparentvlan2-4,10interfacePort-channel2switchportswitchportmodetrunkinter
8、faceGigabitEthernet1/3description"ConnecttoServer_Switch_3750Gswitch!port51HswitchportmodetrunkinterfaceGigabitEthernet2/1descripti