Juniper防火墙的HA（高可用性）配置

为了保证网络应用的高可用性，在部署 Juniper 防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备，实现 HA 的配置。Juniper 防火墙提供了三种高可用性的应用配置模式：主备方式、主主方式和双主冗余方式。在这里，我们只对主备方式的配置进行说明。

防火墙 HA 网络拓扑图（主备模式）:

1.使用Web浏览器方式配置

WebUI ( 设备-A)    
① 接口     
Network > Interfaces > Edit ( 对于 ethernet7): 输入以下内容，然后单击 OK:     
Zone Name: HA     
Network > Interfaces > Edit ( 对于 ethernet8): 输入以下内容，然后单击 OK:     
Zone Name: HA     
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容，然后单击 OK:     
Zone Name: Untrust     
Static IP: ( 出现时选择此选项)     
IP Address/Netmask: 210.1.1.1/24     
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容，然后单击     
Apply:     
Zone Name: Trust     
Static IP: ( 出现时选择此选项)     
IP Address/Netmask: 10.1.1.1/24 

Manage IP: 10.1.1.20    
输入以下内容，然后单击  OK:     
Interface Mode: NAT     
②  NSRP     
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入     
以下内容，然后单击 Apply:     
ethernet1: ( 选择); Weight: 255     
ethernet3: ( 选择); Weight: 255     
Network > NSRP > Synchronization: 选择 NSRP RTO Synchronization，然后     
单击 Apply。 

Network > NSRP > Cluster: 在 Cluster ID 字段中，键入 1，然后单击 Apply。

WebUI ( 设备-B)    
① 接口     
Network > Interfaces > Edit ( 对于 ethernet7): 输入以下内容，然后单击 OK:     
Zone Name: HA     
Network > Interfaces > Edit ( 对于 ethernet8): 输入以下内容，然后单击 OK:     
Zone Name: HA     
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容，然后单击 OK:     
Zone Name: Untrust     
Static IP: ( 出现时选择此选项)     
IP Address/Netmask: 210.1.1.1/24     
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容，然后单击     
Apply:     
Zone Name: Trust     
Static IP: ( 出现时选择此选项)     
IP Address/Netmask: 10.1.1.1/24     
Manage IP: 10.1.1.21     
输入以下内容，然后单击 OK: 

Interface Mode: NAT    
②  NSRP     
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入     
以下内容，然后单击 Apply:     
ethernet1: ( 选择); Weight: 255     
ethernet3: ( 选择); Weight: 255     
Network > NSRP > Synchronization: 选择 NSRP RTO Synchronization，然后     
单击 Apply。     
Network > NSRP > Cluster: 在 Cluster ID 字段中，键入 1，然后单击 Apply。 

 

2.使用命令行方式配置

CLI ( 设备-A)    
① 接口     
set interface ethernet7 zone ha     
set interface ethernet8 zone ha     
set interface ethernet1 zone untrust     
set interface ethernet1 ip 210.1.1.1/24     
set interface ethernet3 zone trust     
set interface ethernet3 ip 10.1.1.1/24     
set interface ethernet3 manage-ip 10.1.1.20     
set interface ethernet3 nat     
②  NSRP     
set nsrp rto-mirror sync     
set nsrp monitor interface ethernet1     
set nsrp monitor interface ethernet3     
set nsrp cluster id 1     
save     
CLI ( 设备-B)

① 接口    
set interface ethernet7 zone ha     
set interface ethernet8 zone ha     
set interface ethernet1 zone untrust     
set interface ethernet1 ip 210.1.1.1/24     
set interface ethernet3 zone trust     
set interface ethernet3 ip 10.1.1.1/24     
set interface ethernet3 manage-ip 10.1.1.21     
set interface ethernet3 nat     
②  NSRP     
set nsrp rto-mirror sync     
set nsrp monitor interface ethernet1     
set nsrp monitor interface ethernet3     
set nsrp cluster id 1     
save

本文转自 chenming421  51CTO博客，原文链接:http://blog.51cto.com/wnqcmq/1219067