juniper防火墙的双机具有高冗余性和安全性,便于管理,分为三种组网模式:layer3的A/P组网模式,layer3的full-mesh的A/P组网模式,layer3的full-mesh的A/A组网模式。其中layer3A/P模式对环境要求最低,是业界广为流行的配置。但是,其利用率不高,同一时间只有一台防火墙处理网络流量,一侧链路和设备出现故障时提供冗余切换。配置要求硬件和软件版本相同,接口编号相同,放入HA的接口要统一。配置时只需清空备的那一台,然后将HA、manger ip 、MGT端口ip,及个性化配置即可。
两台防火墙用e4口连接,unset interface e4 ip (清空e4口的ip地址)
                      set interface e4 zone ha (将e4口和HA区域绑定)
主防火墙:
配置NSRP:set nsrp cluster id 1 设置cluster组号
          set nsrp vsd id 0     设置虚拟安全数据库的组号0
          set nsrp vsd-group id 0 priority 50 设置nsrp主设备的优先级(优先级数值越大,优先级越小)
          set nsrp rto syn      设置配置同步
          set nsrp vsd-group id 0 monitor interface ethernet3 设置防火墙监控的端口
          set nsrp vsd-group id 0 monitor interface ethernet1
*只有当备份防火墙配置之后,主设备上才能检测到备防火墙的状态(get nsrp)
         set nsrp vsd-group hb-interval 200 设置心跳信息每隔200秒发送问候信息
         set nsrp vsd-group hb-threshold 3  设置心跳信息总共发出3次问候信息
         save 保存
备防火墙
        unset all   恢复出厂设置
        set interface e4 zone ha  将e4和ha区域绑定
配置nsrp
        set nsrp cluster id 1 设置cluster组号
        set nsrp vsd id 0 设置vsd组号
        set nsrp vsd-group id 0 priority 100 设置nsrp主设备的优先级(优先级数值越大,优先级越小)
        set nsrp rto syn      设置配置同步
        set nsrp vsd-group id 0 monitor interface ethernet3 设置防火墙监控的端口
        set nsrp vsd-group id 0 monitor interface ethernet1
        set nsrp vsd-group hb-interval 200 设置心跳信息每隔200秒发送问候信息
        set nsrp vsd-group hb-threshold 3  设置心跳信息总共发出3次问候信息
        save 保存
同步配置:
用crt---console做exec nsrp sync global-config check-sum 将两台设备的配置进行校验,若不同,备份设备将会在重启后把主设备上的配置导入备份设备中
                exec nsrp sync global-config save 若有不同,备份的设备将会在重启后把主设备上的配置导入到备份设备上
                configuration in sync
重启防火墙 reset