文档介绍：Juniper防火墙灾备切换解决方案
目录
现状描述 2
灾备切换方案 2
总结 7
现状描述
IDC现有Juniper SSG550防火墙两台做NSRP双机热备， IDC主要提供DMZ服务器应用访问。为了使应用能够得到冗余保障，灾备中心拥有一套相同的系统。为了顺利的切换应用，需要事先准备应急切换方案。
灾备切换方案
方案描述
1).相同的配置，当部分应用挂掉时，通过修改路由(需要通过策略路由控制)和MIP策略的方式切换。修改的MIP策略需要事先加好并disable。
2).当整个Internet挂掉后，通过运营商BGP选路切换，需要部分应用通过修改路由(需要通过策略路由控制)和MIP策略的方式切换;修改的MIP策略需要事先加好并disable。
3).MIP策略需要修改目标Zone和添加DIP，同一条策略需要同时设置MIP和DIP。
4).该方案中配置可以互导，定期的手工导出防火墙配置来进行两边配置的同步工作。
路由设置
由于INSIDE区域之间有一条专线，所以，当故障发生时，可以将原本通过MPSL走的路由切换至INSIDE。由于SSG防火墙默认会根据MPSL接口的IP生成一条接口路由，接口路由的优先级高于静态路由，所以，需要事先添加策略路由指向INSIDE，在不需要切换的时候不启用该路由。
策略路由配置示例
CLI配置

set access-list extended [number] src-ip [ip/netmask] dst-ip [ip/netmask] protocol any entry [number]
Group
set match-group name [name]
set match-group [name] ext-acl [number] match-entry [number]
Group
set action-group name [name]
set action-group [name] next-hop [ip] action-entry [number]
Policy
set pbr policy name [name]
set pbr policy [name] match-group [name] action-group [name] [number]
(支持绑定到zone和vr)
set interface [name] pbr [pbr-policy-name]
WEB配置
acl
设置ACL ID、源地址、目的地址、源目端口等信息
注:需要再建立一条Protocol为ICMP的ACL，否则traceroute还是走默认路由
group
group