您的位置:360文档中心› Juniper 高可用性技术白皮书(HA)

Juniper 高可用性技术白皮书(HA)

合集下载

Juniper Networks NetScreen-204 208防火墙 说明书

Juniper Networks NetScreen-204 208防火墙 说明书

系統管理WebUI(HTTP 與HTTPS)命令列介面(控制台)命令列介面(telnet)命令列介面(SSH)NetScreen-Security Manager在任何介面上透過VPN 通道執行所有管理SNMP 完全客製化MIBMicrosoft CA RSA Keon CAiPlanet (Netscape) CA Baltimore CA DOD PKI CA內建(內部)資料庫使用者限制第三方使用者認證XAUTH VPN 認證Web-based 認證Juniper Networks NetScreen-204/208NetScreen-200 系列產品是目前市面上最能彈性運用的一組網路安全裝置,能輕鬆整合及保護多種不同的網路環境,包含中大型企業辦公室、電子商務網站、資料中心與電信基礎建設。

NetScreen 系列產品分別具有 4 個至 8 個自動調整的 10/100 乙太網路埠,能以接近連線速度 (NetScreen-204 是 400 Mbps ,而 NetScreen-208 是 800Mbps) 執行防火牆功能。

即便是像 3DES 及 AES 加密等需要消耗大量運算資源的應用也可以以 200Mbps 以上的速度進行。

最大效能與容量(2)防火牆效能3DES 效能深入檢查效能同時會話數(concurrent sessions)每秒的新會話數目策略數介面數400 Mbps 200 Mbps 180 Mbps 128,00011,5004,0004 10/100 Base-T550 Mbps 200 Mbps 180 Mbps 128,00011,5004,0008 10/100 Base-T高達1,500RADIUS 、RSA SecurID 與LDAP是是是是是是,v1.5與v2.0 相容是是是是是是是是是管理本地管理資枓庫外部管理資料庫限制性管理網路根管理、管理和唯讀用戶權限軟體升級組態自動恢復路徑管理保障頻寬最大頻寬優先頻寬利用DiffServ stamp外部FlashCompactFlash TM 事件日誌和預警系統配置腳本NetScreen ScreenOS 軟體尺寸與電源尺寸(H/W/L)重量機架掛載電源供應(AC)電源供應(DC)認證安全認證UL 、CUL 、CSA 、CB 、NEBS Level 3 (NetScreen-208 含DC 電源供應)EMC 認證FCC A 級、BSMI 、CE A 級、C-Tick 、VCCI A 級操作環境作業溫度:23°to 122° F 、-5°to 50° C 非作業溫度:-4°to 158° F 、-20°to 70° C 溼度:10 to 90%非冷凝MTBF (Bellcore 機型)NetScreen-204:6.8 年、NetScreen-208:6.5 年安全性認證 (僅限高階機型)Common Criteria :EAL4+FIPS 140-2:Level 2ICSA 防火牆與VPN訂購資訊NetScreen-208美式電源線NS-208-001NetScreen-208英式電源線NS-208-003NetScreen-208歐式電源線NS-208-005NetScreen-208日式電源線NS-208-007Juniper NetScreen-208 w/DC 電源供應NetScreen-208直流電源NS-208-001-DC Juniper NetScreen-204 w/AC 電源供應NetScreen-204美式電源線NS-204-001NetScreen-204英式電源線NS-204-003NetScreen-204歐式電源線NS-204-005NetScreen-204日式電源線NS-204-007Juniper NetScreen-204 w/dC 電源供應NetScreen-204直流電源NS-204-001-DCJuniper NetScreen-200 系列虛擬化技術NetScreen-200 Virtualization KeyNS-200-VIRTVirtualization Key 增加 32 VLANs 、5 個額外的虛擬路由,與 10 個額外的安全區。

Juniper防火墙HA配置详解_双主(L2透明模式)(精)

Juniper防火墙HA配置详解_双主(L2透明模式)(精)

Juniper HA 双主(L2透明模式配置实际环境中防火墙做双主是不太可能实现全互联结构, juniper 防火墙标配都是4个物理以太网端口, 全互联架构需要防火墙增加额外的以太网接口 (这样会增加用户成本 ,或者在物理接口上使用子接口(这样配置的复杂性增加许多 , 最主要的是用户的网络中大多没有像全互联模式那样多的设备。

因此双主多数实现在相对冗余的网络环境中。

图中服务器交换机与核心交换机间采用 OSPF 动态路由器协议,自动完成双链路的流量负载均衡。

具体实际环境如下:FW-A FW-B 核心 -1核心 -2 E1/1E1/1E1/4E1/4HAZone: v1-UntrustZone: v1-trustE1/3E1/3服务器交换机服务器服务器172.16.40.254172.17.1.1172.17.2.1172.17.2.2Zone: v1-trust Zone: v1-Untrust 172.17.1.21.1.1.11.1.1.2Vlan100 主Vlan200 从Vlan200 主Vlan100 从防火墙 A 上执行的命令set hostname ISG1000-Aset interface mgt ip 172.16.12.1/24 set int mgt manageset interface "ethernet1/4" zone "HA" set nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ack unset nsrp vsd-group id 0set nsrp vsd-group id 1 priority 1set nsrp vsd-group id 1 preemptset nsrp vsd-group id 1 preempt hold-down 10 set nsrp vsd-group id 2 priority 255 set nsrp vsd-group id 2 preempt hold-down 10 防火墙 B 上执行的命令set hostname ISG1000-Bset interface mgt ip 172.16.12.2/24set int mgt manageset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ackset nsrp rto-mirror session non-vsiunset nsrp vsd-group id 0set nsrp vsd-group id 1 priority 255set nsrp vsd-group id 1 preempt hold-down 10 set nsrp vsd-group id 2 priority 1 set nsrp vsd-group id 2 preemptset nsrp vsd-group id 2 preempt hold-down 10任意一个防火墙上执行的命令即可set vlan group name v100set vlan group v100 100set vlan group v100 vsd id 1set vlan group name v200set vlan group v200 200set vlan group v200 vsd id 2set vlan port ethernet1/3 group v100 zone V1-trust set vlan port ethernet1/1 group v100 zone V1-untrust set vlan port ethernet1/3 group v200 zone V1-trust set vlan port ethernet1/1 group v200 zone V1-untrustset policy from V1-trust to V1-untrust any any any permit set policy from V1-untrust to V1-trust any any any permitset interface "ethernet1/1" zone "V1-Untrust"set interface "ethernet1/3" zone "V1-Trust"。

SSG300系列

SSG300系列

瞻博网络公司安全业务网关SSG 300系列瞻博网络公司安全业务网关300(SSG 300)系列由专用安全设备组成,为大型、地区性分支办事处和中型独立企业的网络部署提供了集高性能、高安全性、路由和局域网/广域网连接方式于一体的完美组合。

通过状态防火墙、IPSec VPN 、IPS 、防病毒(包括防间谍软件、防广告软件、防网页仿冒)、防垃圾邮件以及网页过滤等一套完整的统一威胁管理(UTM )安全特性,可以对进出于地区性分支办事处和企业的流量进行保护,以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。

SSG 300 系列包含 SSG 350M 和SSG 320M 。

产品系列描述SSG 300 系列由高性能安全平台组成,能够保护企业不受内部和外部攻击、防止未授权访问并满足法规遵从性要求。

SSG 350M 能够提供500 Mbps 的状态防火墙流量和225 Mbps 的 IPSec VPN 流量,而SSG 320M 能够提供400 Mbps 的状态防火墙流量和175 Mbps 的IPSec VPN 流量。

这些产品注重三大特性:安全:久经考验的统一威胁管理(UTM)安全特性和最佳的业务合作伙伴服务相结合,可以同时保护网络免遭病毒、垃圾软件和其它新兴攻击的侵袭。

为了符合内部安全要求并同时满足法规遵从性,SSG 300系列提供了一组先进的网络保护特性,如安全区、虚拟路由器和虚拟局域网等,允许管理员将网络分割为不同层次的安全区域以部署不同的安全策略,从而为各个区域提供不同级别的安全特性。

针对每个安全区域的策略保护机制包括了各种接入控制规则,以及通过任何支持的UTM 安全特性进行的检测。

连接和路由:SSG 300系列具有4个10/100/1000板载接口和若干个能够分别用于局域网或广域网接口的I/O 扩展插槽,使 SSG 300 系列成为一个非常灵活的安全平台。

I/O 选项的灵活组合加上广域网协议和封装支持,使得SSG 300系列平台能够被轻松部署为传统分支机构的办公室路由器,或成为用于降低前期购置成本和后期维护成本的坚固安全和路由设备。

high-availability讲解

high-availability讲解

One Weak Link Significantly Weakens This Chain!
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential

‹#›
系统可用性计算: 串联
Simple E-3 Network, With One E-3 Trunk
Downtime Time Minutes/Year
5,000 Min/Yr 500 Min/Yr 50 Min/Yr
5 Min/Yr .5 Min/Yr
Qualitative Term
Well-Managed Highly Available Very Highly Available Extremely Highly
1
2
ATM
3
ቤተ መጻሕፍቲ ባይዱ
E-3
4
ATM
5
Server
99.99
99.992
99.9959
99.9959
99.9959
99.98
99.992
99.95
99.9959
99.9959
Availability 99.8835%
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
▪ IP网络正在由“业务网”向“承载网”转化 ▪ 复杂的业务系统要求IP网络不再是传统的“Best Effort” ▪ 业务系统要求IP网络提供传统SDH、ATM一样的可靠性
Copyright © 2007 Juniper Networks, Inc.

Juniper网络公司SSG 320系列产品(中文)

Juniper网络公司SSG 320系列产品(中文)

SSG320M 是 是
是 是 是 是 是 00,000+ POP、HTTP、SMTP、IMAP、FTP、IM 是 是 是 是 是 是 是
是 是 是 是 是
00 00 是 是 是 ,, 是 是 是 是 是 是
00 RADIUS,RSA SecureID,LDAP
是——开始/停止 是 是 是 是
集成的防垃圾邮件功能
由瞻博网络提供的需要年度许可的防垃圾邮件引擎,采用了赛 能够阻止来自已知垃圾邮件散发者和网页冒仿者的恶意邮件。 门铁克(Symantec)公司的技术。
集成的网页过滤功能
由瞻博网络提供的需要年度许可的网页过滤引擎,采用了 控制/ 阻止对于恶意网站的访问。 SurfControl 的技术。
区域办公室
公司总部
A区 Mi
互联网 NS00
B区 C区
部署在分支办事处的SSG0M可用于安全的互联网连接和到公司总部的端对端VPN连接。 分支办事处的内部资源可以通过在每个安全区域配置不同的安全策略来有效进行保护。

连接和路由:SSG00系列具有个0/00/000板载接口和若干 个能够分别用于局域网或广域网接口的I/O扩展插槽,使SSG00 系列成为一个非常灵活的平台。I/O选项的灵活组合加上广域网 协议和封装支持,使得SSG00系列平台能够被轻松部署为传统 分支机构的办公室路由器,或成为用于降低前期投资成本和后期 维护成本的坚固安全和路由设备。
瞻博网络统一接入控制 策略执行点
和集中策略控制引擎(Infranet 控制器)一起,采用例如用户 身份、设备安全状态和网络位置等指标,强化进程相关的接入 控制策略。
通过利用现有的客户网络基础架构组件和一流技术,以经济高 效的方式提高安全性。

SSG 500_CN

SSG 500_CN









100,000 以上
POP3,SMTP,HTTP,IMAP,FTP














VoIP 安全性
H.323. ALG


SIP ALG


SCCP ALG


MGCP ALG


用于 SIP 和 H.323/MGCP/SCCP
的 NAT


SSG 550
SSG 520
VPN
是 是 12 个 是 是 12 个 是
是 是 12 个 是 是 12 个 是
流量管理(QoS) 带宽保证 带宽限制 基于优先级的带宽使用 DiffServ 标记
是 是,逐物理接口
是 是,逐策略
是 是,逐物理接口
是 是,逐策略
系统管理 WebUI(HTTP 和 HTTPS) 命令行接口(控制台) 命令行接口(远程登录) 命令行接口(SSH) NetScreen-Security Manager 通过任何接口上的 VPN 隧道提供全部管理 SNMP 全面定制的 MIB 快速部署
Page 1 Datasheet
Juniper 网络公司 500 系列安全业务网关
Juniper 网络公司 500 系列安全业务网关(SSG)代表了新一代的专用安全网关,为分支机构和分支办事处的网络部署提供了集高性能、高 安全性和广泛的局域网 / 广域网接入手段于一体的完美组合。凭借状态防火墙、IPS、防病毒特性(包括防间谍软件、防广告软件、防网页 仿冒)、防垃圾邮件以及 Web 过滤等一套完整的统一威胁管理(UTM)安全特性,SSG 500 系列可作为单独的安全网关实施,用于阻断蠕虫、 间谍软件、特洛伊木马、恶意软件和其他新兴攻击。

中标麒麟高可用集群软件(龙芯版)V7.0 产品白皮书说明书

中标麒麟高可用集群软件(龙芯版)V7.0 产品白皮书说明书
中标麒麟高可用集群软件(龙芯版)V7.0 产品白皮书
中标软件有限公司
目录
目录
目录 ...................................................................................................................................................i 前言 ..................................................................................................................................................v 内容指南 ........................................................................................................................................vii 中标麒麟高可用集群产品介绍....................................................................................................... 9 1 概述 ............................................................................................................................................ 11
第 i 页 / 共 54 页

juniper防火墙详细配置手册

juniper防火墙详细配置手册

juniper防火墙详细配置手册Juniper防火墙简明实用手册(版本号:V1.0)目录1juniper中文参考手册重点章节导读 (4)1.1第二卷:基本原理41.1.1第一章:ScreenOS 体系结构41.1.2第二章:路由表和静态路由41.1.3第三章:区段41.1.4第四章:接口41.1.5第五章:接口模式51.1.6第六章:为策略构建块51.1.7第七章:策略51.1.8第八章:地址转换51.1.9第十一章:系统参数61.2第三卷:管理61.2.1第一章:管理61.2.2监控NetScreen 设备61.3第八卷:高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本:Juniper防火墙5.0中文参考手册,内容非常庞大和繁杂,其中很多介绍和功能实际应用的可能性不大,为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作,下面简单对参考手册中的重点章节进行一个总结和概括,掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

NETSCREEN NSRP典型配置及维护1、NSRP工作原理NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。

防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务访问需求,要求防火墙设备必须具备高可靠性,能够在设备、链路及互连设备出现故障的情况下,提供网络访问路径无缝切换。

NSRP冗余协议提供复杂网络环境下的冗余路径保护机制。

NSRP主要功能有:1、在高可用群组成员之间同步配置信息;2、提供活动会话同步功能,以保证发生路径切换情况下不会中断网络连接;3、采用高效的故障切换算法,能够在短短几秒内迅速完成故障检测和状态切换。

NSRP集群两种工作模式:一、Active/Passive模式:通过对一个冗余集群中的两台安全设备进行电缆连接和配置,使其中一台设备作为主用设备,另一台作为备用设备。

主用设备负责处理所有网络信息流,备用设备处于在线备份状态。

主设备将其网络和配置命令及当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升为主设备并接管信息流处理。

二、Active/Active模式:在NSRP中创建两个虚拟安全设备(VSD) 组,每个组都具有自己的虚拟安全接口(VSI),通过VSI接口与网络进行通信。

设备A充当VSD组1的主设备和VSD 组2的备份设备。

设备B充当VSD组2的主设备和VSD组1的备份设备。

Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。

在双主动模式中不存在任何单一故障点。

NSRP集群技术优势主要体现于:1、消除防火墙及前后端设备单点故障,提供网络高可靠性。

即使在骨干网络中两类核心设备同时出现故障,也能够保证业务安全可靠运行。

2、根据客户网络环境和业务可靠性需要,提供灵活多样的可靠组网方式。

NSRP双机集群能够提供1、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式;2、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。

为用户提供灵活的组网选择。

3、NSRP双机结构便于网络维护管理,通过将流量在双机间的灵活切换,在防火墙软件升级、前后端网络结构优化改造及故障排查时,双机结构均能够保证业务的不间断运行。

4、结合Netscreen虚拟系统和虚拟路由器技术,部署一对NSRP集群防火墙,可以为企业更多的应用提供灵活可靠的安全防护,减少企业防火墙部署数量和维护成本。

2、NSRP Active/Passive模式配置Active/Passive模式也就是主/备模式,该组网模式是当前很多企业广泛采用的HA模式,该模式具有对网络环境要求不高,无需网络结构做较大调整,具有较好冗余性、便于管理维护等优点。

缺点是Netscreen防火墙利用率不高,同一时间只有一台防火墙处理网络流量;冗余程度有限,仅在一侧链路和设备出现故障时提供冗余切换。

但主/备模式具有较强冗余性、低端口成本和网络结构简单、便于维护管理等角度考虑,成为很多企业选用该组网模式的标准。

配置说明:两台Netscreen设备采用相同硬件型号和软件版本,组成Active/Passive冗余模式,两台防火墙均使用一致的Ethernet接口编号连接到网络。

通过双Ethernet端口或将1个Ethernet接口放入HA区段,其中控制链路用于NSRP心跳信息、配置信息和Session会话同步,数据链路用于在两防火墙间必要时传输数据流量。

命令模式配置说明如下:NS-A(主用):Set hostname NS-A /***定义主机名***/Set interface ethernet1 zone untrustSet interface ethernet1 ip 100.1.1.4/29Set interface ethernet1 route /***配置接口:Untrust/Trust Layer3 路由模式***/Set interface ethernet2 zone trustSet interface ethernet2 ip 192.168.1.4/29Set interface ethernet2 routeSet interface mgt ip 192.168.2.1/24 /***通过管理口远程管理NS-A***/Set interface ethernet3 zone HASet interface ethernet4 zone HA /***Eth3和Eth4口用于HA互连,用于同步配置文件、会话信息和跟踪设备状态信息***/set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 50 /***缺省值为100,低值优先成为主用设备***/set nsrp monitor interface ethernet2set nsrp monitor interface ethernet1 /***配置NSRP:Vsd-group缺省为0,VSI使用物理接口IP地址,非抢占模式***/NS-B(备用):Set hostname NS-B /***定义主机名***/Set interface ethernet1 zone UntrustSet interface ethernet1 ip 100.1.1.4/29Set interface ethernet1 routeSet interface ethernet2 zone trustSet interface ethernet2 ip 192.168.1.4/29Set interface ethernet2 route /***配置接口:Untrust/Trust Layer3 路由模式***/Set interface mgt ip 192.168.2.2/24 /***通过管理口远程管理NS-A***/Set interface ethernet3 zone HASet interface ethernet4 zone HA /***Eth3和Eth4口用于HA互连,用于同步配置文件、会话信息和跟踪设备状态信息***/set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 100set nsrp monitor interface ethernet2set nsrp monitor interface ethernet1 /***Vsd-group缺省为0,VSI使用物理接口IP地址,备用设备:优先级100,成为非抢占模式***/3、NSRP Active/Active Full-Mesh模式配置Fullmesh连接组网使用全交叉网络连接模式,容许在同一设备上提供链路级冗余,发生链路故障时,由备用链路接管网络流量,防火墙间无需进行状态切换。

仅在上行或下行两条链路同时发生故障情况下,防火墙才会进行状态切换,Fullmesh连接进一步提高了业务的可靠性。

该组网模式在提供设备冗余的同时提供链路级冗余,成为很多企业部署关键业务时的最佳选择。

典型拓扑如下:Fullmesh连接组网模结构提供了一种更为灵活的组网方式,在保证网络高可靠性的同时提升了网络的可用性。

该结构中两台防火墙同时作为主用设备并提供互为在线备份,各自独立处理信息流量并共享连接会话信息。

一旦发生设备故障另一台设备将负责处理所有进出网络流量。

Fullmesh 组网模式对网络环境要求较高,该组网方式中两台防火墙为双Active状态,但要求网络维护人员具备较强技术能力,防火墙发生故障时,接管设备受单台设备容量限制,可能会导致会话连接信息丢失,采用A/A fullmesh模式组网时,建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50%,以确保故障切换时不会丢失会话连接。

配置说明:定义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0),其中NS-A为VSD0主用设备和VSD1备用设备,NS-B为VSD1主用设备和VSD0备用设备;创建冗余接口实现两物理接口动态冗余;配置交换机路由指向来引导网络流量经过哪个防火墙。

命令配置说明如下:NS-A(Active):Set hostname NS-A /***定义主机名***/Set interface mgt ip 192.168.2.1/24 /***通过管理口远程管理NS-A***/set interface redundant1 zone Untrust /***创建冗余接口1,用于Untrust接口冗余***/set interface redundant1 ip 100.1.1.4/29 /***创建冗余接口管理地址***/Set interface ethernet 1 zone null /***默认为Null***/Set interface ethernet 2 zone nullSet interface ethernet 3 zone nullSet interface ethernet 4 zone nullset interface ethernet1 group redundant1 /***将物理接口加入冗余接口1***/set interface ethernet2 group redundant1set interface redundant2 zone trust /***创建冗余接口2,用于trust接口冗余***/set interface redundant2 ip 192.168.1.4/29set interface redundant2 manage-ip 192.168.2.1set interface ethernet3 group redundant2set interface ethernet4 group redundant2set interface redundant1:1 ip 100.1.1.5/29 /***配置冗余接口、定义Vsd0 接口IP地址***/set interface redundant2:1 ip 192.168.1.5/29 /***VSD1的VSI接口需手动配置IP地址,冒号后面的1表示该接口属于VSD1的VSI***/set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1set nsrp vsd-group id 0 priority 50set nsrp vsd-group id 1 /*** VSD1使用缺省配置,优先级为100***/set nsrp rto-mirror syncset nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1 /***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/set arp always-on-dest /***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/ set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1NS-B(Active):set interface redundant1 zone Untrustset interface redundant1 ip 100.1.1.4/29set interface ethernet1 group redundant1 /***VSD0的VSI接口使用物理接口IP地址***/set interface ethernet2 group redundant1set interface redundant2 zone trustset interface redundant2 ip 192.168.1.4/29set interface redundant2 manage-ip 192.168.2.2set interface ethernet3 group redundant2set interface ethernet4 group redundant2 /***配置冗余接口、定义Vsd0 接口IP地址***/set interface redundant1:1 ip 100.1.1.5/29set interface redundant2:1 ip 192.168.1.5/29set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1 /***定义一致的Cluster ID,自动启用采用缺省配置的VSD0***/set nsrp rto-mirror syncset nsrp vsd-group id 1 priority 50set nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1 /***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/set arp always-on-dest /***强制采用基于ARP表而不是会话中的MAC地址转发封包***/set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.14、NSRP常用维护命令1、get license-key查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。

相关文档
最新文档