Juniper NETSCREEN NSRP典型配置及维护

network

Layer3 Fullmesh连接A/A组网模式        Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式，在保证网络高可靠性的同时提升了网络的可用性。A/A结构中两台防火墙同时作为主用设备并提供互为在线备份，各自独立处理信息流量并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有进出网络流量。Fullmesh连接A/A组网模式对网络环境要求较高，要求网络维护人员具备较强技术能力，防火墙发生故障时，接管设备受单台设备容量限制，可能会导致会话连接信息丢失，采用A/A模式组网时，建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50％，以确保故障切换时不会丢失会话连接。       配置说明：定义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0)，其中NS-A为VSD0主用设备和VSD1备用设备，NS-B为VSD1主用设备和VSD0备用设备；创建冗余接口实现两物理接口动态冗余；配置交换机路由指向来引导网络流量经过哪个防火墙。        NS-A(Active)：        set interface redundant1 zone Untrust        set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/        set interface ethernet1 group redundant1        set interface ethernet2 group redundant1        set interface redundant2 zone trust        set interface redundant2 ip 192.168.1.4/29        set interface redundant2 manage-ip 192.168.2.1        set interface ethernet3 group redundant2        set interface ethernet4 group redundant2        /***配置冗余接口、定义Vsd0 接口IP地址***/        set interface redundant1:1 ip 100.1.1.5/29        set interface redundant2:1 ip 192.168.1.5/29        /***VSD1的VSI接口需手动配置IP地址，冒号后面的1表示该接口属于VSD1的VSI***/        set interface ethernet7 zone ha        set interface ethernet8 zone ha        set nsrp cluster id 1        set nsrp vsd-group id 0 priority 50        set nsrp vsd-group id 1 /*** VSD1使用缺省配置，优先级为100***/        set nsrp rto-mirror sync        set nsrp monitor interface redundant1        set nsrp monitor interface redundant2        set nsrp secondary-path ethernet2/1        /***定义NSRP备用心跳接口，保证心跳连接信息不会丢失***/        set arp always-on-dest        /***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/        set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1        set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1        NS-B(Active)：        set interface redundant1 zone Untrust        set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/        set interface ethernet1 group redundant1        set interface ethernet2 group redundant1        set interface redundant2 zone trust        set interface redundant2 ip 192.168.1.4/29        set interface redundant2 manage-ip 192.168.2.2        set interface ethernet3 group redundant2        set interface ethernet4 group redundant2        /***配置冗余接口、定义Vsd0 接口IP地址***/        set interface redundant1:1 ip 100.1.1.5/29        set interface redundant2:1 ip 192.168.1.5/29        set interface ethernet7 zone ha        set interface ethernet8 zone ha        set nsrp cluster id 1        /***定义一致的Cluster ID，自动启用采用缺省配置的VSD0***/        set nsrp rto-mirror sync        set nsrp vsd-group id 1 priority 50        set nsrp monitor interface redundant1        set nsrp monitor interface redundant2        set nsrp secondary-path ethernet2/1        /***定义NSRP备用心跳接口，保证心跳连接信息不会丢失***/        set arp always-on-dest        /***强制采用基于ARP表而不是会话中的MAC地址转发封包***/        set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1        set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1

阳光暖暖

好，谢谢你，大家都需要的好帖

-------------------------
pet supply webpage: pet supply, Pet products,Dog carrier, archlord gold webpage: archlord gold, lineage2 adena,