Juniper 防火墙HA配置详解_主从(L3 路由模式)

防火墙基本配置步骤
防火墙的基本配置分三个步骤：
1、配置接口的IP地址和接口模式。

2、配置默认路由！
3、配置允许策略，TRUST到UNTRUST的策略！
这个是接口栏的截图：单击EDIT即可进行编辑！这里需要编辑trust口和untrust口！
这是点击trust口的edit后进入的配置界面，您只要输入IP地址和掩码位即可！注意：Manage ip* 对应的空白框一定不要填入内容，截图里的是自动生成的！其他保持默认，单击下面的OK即可完成！
下图是点击untrust口的edit进入编辑，选择static ip ,填入IP地址和掩码位，这里的IP是公网IP地址，manage ip那依然保持空白，模式为route,然后在service options选项栏中，将web ui,telnet,ping；三处打勾，如图！
然后点击OK即可完成！
点击左栏的Destination选项即可出现路由界面：新建点击NEW即可！
下图为点击NEW后出现的画面：如图填入内容，ip address/netmask填入0.0.0.0/0,
Next hop处选择gateway，在interface 处的下拉菜单中选择出口，gateway ip address填入UNTRUST口IP地址的下一跳网关即可！其他默认单击OK完成！
trust,TO处选择untrust，然后点击NEW！
点击new后的配置界面，如图配置即可！source address,destination address,service三处都选择ANY，action选permit, 在logging处打勾，其他保持默认，点击OK即可！
下图为蓝影标出的这条策略就是如上图配置完成后看到的结果！。

防火墙配置简介Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 1 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 2Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 3 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 4Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 5 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 6Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 7 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 8Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 9 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 10Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 11 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 12Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 13 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 14Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 15 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 16Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 17 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 18Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 19 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 20Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 21 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 22Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 23 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 24Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 25 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 26Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 27 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 28Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 29 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 30Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 31 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 32Thank YouCopyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 33。

J u n i p e r防火墙H A配置详解_主从(L3路由模式)------------------------------------------作者xxxx------------------------------------------日期xxxxJuniper HA 主双（L3）路由模式配置实际环境中防火墙做主双是不太可能实现全互联结构，juniper防火墙标配都是4个物理以太网端口，全互联架构需要防火墙增加额外的以太网接口（这样会增加用户成本），或者在物理接口上使用子接口（这样配置的复杂性增加许多），最主要的是用户的网络中大多没有像全互联模式那样多的设备。

因此主双多数实现在相对冗余的网络环境中。

HAG 2/23G 2/1G 2/1G 2/23G 2/24G 2/24防火墙A上执行的命令set hostname ISG1000-Aset intset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 10set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp vsd-group id 0 monitor interface ethernet1/2 set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 manage-ipset interface ethernet2 zone Untrustset .254/24set inter.1set interface eth1 manageset interface eth2 manage防火墙B上执行的命令set hostname ISG1000-Bset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 100set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp vsd-group id 0 monitor interface ethernet1/2 set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 manage-ipset interface ethernet2 zone Untrustset interface ethernet2 manage-ip 172.16.1.2set interface eth1 manageset interface eth2 manage任意一个防火墙上执行的命令即可set policy id 2 from "Trust" to "Untrust" "Any" "Any" "ANY" permitset policy id 3 from "UnTrust" to "trust" "Any" "Any" "ANY" permit___________________________________________________________最后 A 和 B 都必须执行的命令exec nsrp sync global save。

Juniper HA 双主(L2透明模式配置实际环境中防火墙做双主是不太可能实现全互联结构, juniper 防火墙标配都是4个物理以太网端口, 全互联架构需要防火墙增加额外的以太网接口 (这样会增加用户成本 ,或者在物理接口上使用子接口(这样配置的复杂性增加许多 , 最主要的是用户的网络中大多没有像全互联模式那样多的设备。

因此双主多数实现在相对冗余的网络环境中。

图中服务器交换机与核心交换机间采用 OSPF 动态路由器协议,自动完成双链路的流量负载均衡。

具体实际环境如下:FW-A FW-B 核心 -1核心 -2 E1/1E1/1E1/4E1/4HAZone: v1-UntrustZone: v1-trustE1/3E1/3服务器交换机服务器服务器172.16.40.254172.17.1.1172.17.2.1172.17.2.2Zone: v1-trust Zone: v1-Untrust 172.17.1.21.1.1.11.1.1.2Vlan100 主Vlan200 从Vlan200 主Vlan100 从防火墙 A 上执行的命令set hostname ISG1000-Aset interface mgt ip 172.16.12.1/24 set int mgt manageset interface "ethernet1/4" zone "HA" set nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ack unset nsrp vsd-group id 0set nsrp vsd-group id 1 priority 1set nsrp vsd-group id 1 preemptset nsrp vsd-group id 1 preempt hold-down 10 set nsrp vsd-group id 2 priority 255 set nsrp vsd-group id 2 preempt hold-down 10 防火墙 B 上执行的命令set hostname ISG1000-Bset interface mgt ip 172.16.12.2/24set int mgt manageset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ackset nsrp rto-mirror session non-vsiunset nsrp vsd-group id 0set nsrp vsd-group id 1 priority 255set nsrp vsd-group id 1 preempt hold-down 10 set nsrp vsd-group id 2 priority 1 set nsrp vsd-group id 2 preemptset nsrp vsd-group id 2 preempt hold-down 10任意一个防火墙上执行的命令即可set vlan group name v100set vlan group v100 100set vlan group v100 vsd id 1set vlan group name v200set vlan group v200 200set vlan group v200 vsd id 2set vlan port ethernet1/3 group v100 zone V1-trust set vlan port ethernet1/1 group v100 zone V1-untrust set vlan port ethernet1/3 group v200 zone V1-trust set vlan port ethernet1/1 group v200 zone V1-untrustset policy from V1-trust to V1-untrust any any any permit set policy from V1-untrust to V1-trust any any any permitset interface "ethernet1/1" zone "V1-Untrust"set interface "ethernet1/3" zone "V1-Trust"。

JuniperSRX防火墙HA双机配置步骤JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。

由于SR某是转发与控制层面完全分裂架构，JSRP需要控制层面(配置同步)和数据层面(Seion同步)两个平面的互联，建议控制和数据层面互联链路使用光纤链路直连（部分平台强制要求光纤链路直连）。

整个JSRP配置过程包括如下7个步骤配置Cluterid和Nodeid(对应ScreenOSNSRP的cluterid并需手工指定设备使用节点id）指定ControlPort（指定控制层面使用接口，用于配置同步及心跳）指定FabricLinkPort（指定数据层面使用接口，主要eion等RTO同步）配置RedundancyGroup（类似NSRP的VSDgroup，优先级与抢占等配置）每个机箱的个性化配置（单机无需同步的个性化配置，如主机名、带外管理口IP地址等）配置RedundantEthernetInterface（类似NSRP的Redundant冗余接口）配置InterfaceMonitoring（类似NSRPinterfacemonitor，是RG数据层面切换依据）1.1.配置Cluterid和NodeidSR某在启用JSRP之后，组成Cluter的两台机箱会被抽象成一台逻辑的机箱，cluterid和nodeid将会被存放在EEPROM内，每个机箱内部的各个业务引擎通讯用的TNP地址都需要重新分配，因此设备需要重启生效。

注意，这一步两个node都需要配置。

配置命令：SR某5800Ar某5800a>etchaiclutercluter-id1node0reboot//注1：注意该命令需在operational模式下输入//注2：CluterID取值范围为1–15，当CluterID=0时会unetcluter配置，成为单机SR某5800Br某5800b>etchaiclutercluter-id1node1reboot1.2.指定ControlPort这一步只对SR某5K有效(两个node都需要配置)，因为SR某3K的ControlPort是固化的，无需指定。

浙江电力信息数据网Juniper路由器配置手册^JuniperNETWORKS IJuniper Networks, Inc・2009-4-13路由器开箱启动软破件检测 (3)SYSTEM基本配置 (3)设置系统名称及时区 (3)设置帐号密码 (4)用户级别定义 (4)设置系统登录 (5)S YSLOG设賈 (6)G ROUP配置 (6)C HASSIS配置 (7)S YSTEM下的应用配置 (7)INTERFACE 配置 (7)路由协议配JL配置 (9)OSPF协议配置 (9)Ospf基本配逻 (9)OSPF邻居间认证配迸 (10)賂由重发布 (10)OSPF配覺示例 (11)IBGP协议配莊 (12)EBGP协议配莊 (13)RR配置 (14)MPLS协议配迅 (15)釆用LDP信令建LSP (15)采用RSVP信令建LSP (17)VPN配置 (19)I NSTANCE配置 (19)MBGP的配賈 (20)CLASS OF SERVICE 配3L (20)路由器开箱启动软硬件检测确认设备电源连接正确，加点启动，使用Console线连接路由器Console接口，首次登陆用户名：root,无密码。

进入根模式：%cl i进入Operating ModeRoot〉Show chassis hardware查看欣件信总，检浏是否所有板卡在线，对应配置淸单端认机箱.板卡配信息是否正确，Root〉Show chassis environmervt查右机箱温度，正常温度不应趨过40摄氏度。

Root> Show chassis alarms查右告警信总，联调阶役应该有电源摸块（因为没有连接冗余电源）和带外管理接口fxpO （没有连接带外网管接口）告譬，厲正常。

Root> Show version查看JUNOS软件版本信息。

System基本配置System配置是路由器基本信息的配覺，包括路由君名称、管理员名称和口令.管理协议.Log等相关信息.设置系统名称及时区Root#Set system hostname 〈hostname〉设置系统的主机名称Root# Set t i me-zone Asia/Shanghai配迅路由器的时区Root# Set ntp serverSijK. NTP Server,Root# Set system root-authorrtication pI a i n-text-password设备初次启动只有root用户，root用户为最高权限用户，缺省没有密码，配置root管理员口令.日常运维不使用root用户。

juniper防火墙详细配置手册Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读 (4)1.1第二卷：基本原理41.1.1第一章：ScreenOS 体系结构41.1.2第二章：路由表和静态路由41.1.3第三章：区段41.1.4第四章：接口41.1.5第五章：接口模式51.1.6第六章：为策略构建块51.1.7第七章：策略51.1.8第八章：地址转换51.1.9第十一章：系统参数61.2第三卷：管理61.2.1第一章：管理61.2.2监控NetScreen 设备61.3第八卷：高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

∙①基于TCP/IP协议三层的NAT模式；②基于TCP/IP协议三层的路由模式；③基于二层协议的透明模式。

∙标签：∙Juniper防火墙部署NAT模式当Juniper防火墙入口接口（“内网端口”）处于NA T模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源IP 地址和源端口号。

防火墙使用Untrust 区（外网或者公网）接口的IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：①注册IP地址（公网IP地址）的数量不足；②内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；③内部网络中有需要外显并对外提供服务的服务器。

Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

①与NA T模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射IP (MIP) 和虚拟IP (VIP) 地址；②与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：①注册IP（公网IP地址）的数量较多；②非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③防火墙完全在内网中部署应用。

透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

使用透明模式有以下优点：①不需要修改现有网络规划及配置；②不需要为到达受保护服务器创建映射或虚拟IP 地址；③在防火墙的部署过程中，对防火墙的系统资源消耗最低。