Juniper550M防火墙配置指导.docx
《Juniper550M防火墙配置指导.docx》由会员分享,可在线阅读,更多相关《Juniper550M防火墙配置指导.docx(13页珍藏版)》请在冰点文库上搜索。
Juniper550M防火墙配置指导
Juniper550M防火墙配置指导
通过串口登陆,:
netscreen密码:
netscreen
SSG520->getconfig---等同于cisco的showrun
新机器上来默认是无任何配置的,如拿到的机器是有配置的,请清除。
注:
清除防火墙配置方法(见附件1)
双机HA配置
配置HA之前,请将HA心跳线拔掉。
注:
HA配置当中,如无特别说明,以下操作均要在主备两台防火墙上操作。
1.登陆防火墙
用普通网线连上防火墙0/0口,将本机IP设为192.168.1.100/24gw192.168.1.1(现场环境需要做一条到防火墙的默认路由),打开IE浏览器:
配置主界面:
2.配置接口IP
注:
只需在主防火墙上配置即可,后续接口IP会同步到备机。
但ManageIP不会同步,需要在配完HA后,自己根据需要进行更改,也可以不设。
Network->Interfaces->ehternet0/2->Edit->Basic
注:
此处0/2口为untrust口,实际应用中,应当为公网IP或网管网、营帐网所对应接口。
3.配置默认路由
Network > Routing > Routing Entries
4.配置NSRP
Network>NSRP>Cluster
Network>NSRP>VSDGroup
点击Edit进入Network>NSRP>VSDGroup>Configuration
Network>NSRP>Monitor>Interface
将需要监控的端口勾选并保存
5.设置同步选项
6.同步配置
上述操作在主备防火墙上完成后,连接好心跳线,用串口线连接备防火墙,并登陆,输入如下命令,并重启防火墙。
(同样的操作在主防火墙上操作一遍)
execnsrpsyncglobal-configsave
配置MIP
1.配置映射IP
Network->Interfaces->ehternet0/2->Edit->MIP
MIP是“一对一”的双向地址翻译(转换)过程。
通俗讲,在只有一个公网和一个网主机的时候,可以选择此种方式。
相当于把网的主机直接映射到公网。
(实际应用中,IUH口目前都用的是此方式)
注:
因为0/0口默认已经是192.168.1.1了,所以无须再设置其端口IP,网主机我将其设成192.168.1.100。
且在实验环境是在公司办公网络,故172.16.6.100体现在现网环境时应该是公网IP(理论上我们在申请资源时,一般都会申请3个或以上,规划好3个IP的用途,尽量做到不浪费)。
2.配置策略
Policy>Policies(FromAllzonesToAllzones)
配置VIP
简单来说,和MIP的区别就是,MIP是基于IP的一对一映射,而VIP是基于端口的映射,可以将其理解为我们平时在外场做网管网防火墙CISCO所映射端口的那样。
1.配置映射端口服务
Policy>PolicyElements>Services>Custom
协议:
请根据实际情况填写。
源端口:
一般填0-65535
目的端口:
所需要映射的网主机的端口。
2.配置映射IP关系
Network>Interfaces>Edit>VIP/VIPServices
此IP为外部访问进来时的进口IP。
3.配置策略
请参考配置MIP的策略,和它是一样的。
附件1
清除配置。
查找机器上的标签,找到SN:
JN120DA18ADA,或者用默认用户密码netscreen登陆防火墙,并用getsys命令找到
然后用这个SN当作用户名和密码登陆防火墙:
自动重启后,所有配置恢复出厂配置。
附件2:
HA配置过程中,备机同步主机的配置时发生错误。
Warning:
configurationoutofsync
升级会员 