文档介绍:目录
Juniper 550M 防火墙配置指导 2
双机HA配置 2
1. 登陆防火墙 2
2. 配置接口IP 4
3. 配置默认路由 5
4. 配置NSRP 6
5. 设置同步选项 8
6. 同步配置 8
配置MIP 9
1. 配置映射IP 9
2. 配置策略 10
配置VIP 11
1. 配置映射端口服务 12
2. 配置映射IP关系 13
3. 配置策略 14
附件1 14
Juniper 550M 防火墙配置指导
通过串口登陆,:netscreen 密码:netscreen
SSG520-> get config ---等同于cisco的show run
新机器上来默认是无任何配置的,如拿到的机器是有配置的,请清除。
注:清除防火墙配置方法(见附件1)
双机HA配置
配置HA之前,请将HA心跳线拔掉。
注:HA配置当中,如无特别说明,以下操作均要在主备两台防火墙上操作。
登陆防火墙
用普通网线连上防火墙0/0口, (现场环境需要做一条到防火墙的默认路由),打开IE浏览器:
配置主界面:
配置接口IP
注:只需在主防火墙上配置即可,后续接口IP会同步到备机。但Manage IP不会同步,需要在配完HA后,自己根据需要进行更改,也可以不设。
Network->Interfaces->ehternet0/2->Edit->Basic
注:此处0/2口为untrust口,实际应用中,应当为公网IP或网管网、营帐网所对应接口。
配置默认路由
Network > Routing > Routing Entries
配置NSRP
Network > NSRP > Cluster
Network > NSRP > VSD Group
点击Edit进入Network > NSRP > VSD Group > Configuration
Network > NSRP > Monitor > Interface
将需要监控的端口勾选并保存
设置同步选项
同步配置
上述操作在主备防火墙上完成后,连接好心跳线,用串口线连接备防火墙,并登陆,输入如下命令,并重启防火墙。(同样的操作在主防火墙上操作一遍)
exec nsrp sync global-config save
配置MIP
配置映射IP
Network->Interfaces->ehternet0/2->Edit->MIP
MIP是“一对一”的双向地址翻译(转换)过程。通俗讲,在只有一个公网和一个网主机的时候,可以选择此种方式。相当于把网的主机直接映射到公网。(实际应用中,IUH口目前都用的是此方式)
注:因为0/,所以无须再设置其端口IP,。且在实验环境是在公司办公网络,(理论上我们在申请资源时,一般都会申请3个或以上,规划好3个IP的用途,尽量做到不浪费)。
配置策略
Policy > Policies (From All zones To All zones)