Juniper ISG1000防火墙双机测试.docVIP

Juniper ISG防火墙双机测试 测试拓扑： 高可用性 (HA) 为将网络中的设备出现故障的可能性降至最低提供了一种方法。由于所有网络信息都要流经 Juniper Networks 安全设备，所以需要确保该设备在发生故障时有备份设备，从而尽可能减少网络中的故障点 Active/Passive模式：通过对一个冗余集群中的两台安全设备进行电缆连接和配置，使其中一台设备作为主用设备，另一台作为备用设备。主用设备负责处理所有网络信息流，备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备，备用设备始终保持与主用设备配置信息和会话连接信息的同步，并跟踪主用设备状态，一旦主设备出现故障，备份设备将在极短时间内晋升为主设备并接管信息流处理。 设备配置： 第一步：配置设备接口 set interface ethernet1/1 zone Untrust set interface ethernet1/2 zone Trust set interface ethernet1/3 zone HA set interface mgt ip 192.168.1.1/24 set interface ethernet1/1 ip 10.0.0.1/24 set interface ethernet1/1 route set interface ethernet1/2 ip 172.16.0.1/24 set interface ethernet1/2 route 主设备 set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp rto-mirror route set nsrp vsd-group hb-interval 200 set nsrp vsd-group master-always-exist set nsrp vsd-group id 0 priority 50 set nsrp monitor interface ethernet1/1 set nsrp monitor interface ethernet1/2 第二步：配置HA信息 备份设备 set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp rto-mirror route set nsrp vsd-group hb-interval 200 set nsrp vsd-group master-always-exist set nsrp vsd-group id 0 priority 100 set nsrp monitor interface ethernet1/1 set nsrp monitor interface ethernet1/2 测试内容与结果 在主设备上开通Trust与Untrust之间的所有策略,观察备份设备上是否命令同步 set policy id 1 from Trust to Untrust Any Any ANY permit log set policy id 2 from Untrust to Trust Any Any ANY permit log 测试发现 命令可以自动同步 test004(M)- set address Trust test001 1.2.3.4/24 test003(B)- get config | in test001 set address Trust test001 1.2.3.4 255.255.255.0 test003(B)- exec nsrp sync global-config check-sum test003(B)- configuration in sync 从PC2 172.16.0.10 发送ping 包到PC1 10.0.0.10 断开线路1，观察ping包丢包情况，观察设备同步情况 观察ping 10.0.0.10的结果出现丢包1个， Reply from 10.0.0.10: bytes=32 time1ms TTL=63 Reply from 10.0.0.10: bytes=32 time1ms TTL=63 Request timed out. Reply from 10.0.0.10: bytes=32 time1ms TTL=63 Reply from 10.0.0.10: bytes=32 time1ms TTL=63 Reply from 10.0.0.10: bytes=32 time1ms TTL=63 Reply from 10.0.0.10: bytes=32 time1ms TTL=63 观察设备的HA状态,