Juniper防火墙新手教程总结 - IGogogo的专栏 - CSDN博客
Juniper防火墙新手教程总结
原文 /juniper/juniper-newbie.html
&Juniper防火墙新手教程目录
我的热门文章Juniper Srx650防火墙透明模式双机配置--原创-360文档中心
360文档中心免费免积分下载，各行业
知识、技术、信息等word文档下载网站
Juniper Srx650防火墙透明模式双机配置--原创
Juniper Srx650防火墙透明模式双机配置Juniper Srx650防火墙透明模式双机配置
一、网络拓扑图 . ............................................................................................................................................ 2
二、详细配置 . ................................................................................................................................................ 3
1. 前期准备 . ........................................................................................................................................ 3
2. 配置Cluster id和Node id .............................................................................................................. 3
3. 指定Control Port ............................................................................................................................ 3
4. 指定Fabric Link Port ....................................................................................................................... 4
5. 配置系统参数 ................................................................................................................................. 5
6. 配置Redundancy Group ................................................................................................................. 5
7. 每个机箱的个性化配置 ................................................................................................................. 6
8. 配置桥接域和集成路由桥接口 ..................................................................................................... 6
9. 配置Redundant Ethernet Interface . ............................................................................................... 7
10. 配置Interface Monitoring（必须配置，否则RETH 接口） ........................................................ 8
11. 配置接口归属安全区域 ................................................................................................................. 9
12. 配置安全访问策略 ......................................................................................................................... 9
13. 配置缺省访问路由 ....................................................................................................................... 10
14. 生成紧急配置文件（消除面板告警） ....................................................................................... 10
15. 配置长连接服务 ........................................................................................................................... 10
三、JSRP 日常维护命令 . .............................................................................................................................. 14
1. 手工切换JSRP Master，将RG1 原backup 切换成为Master ................................................. 14
2. 手工恢复JSRP 状态，按优先级重新确定主备关系（高值优先） ......................................... 14
3. 查看cluster interface.................................................................................................................... 14
4. 查看cluster 状态、节点状态、主备关系 ................................................................................. 14
5. 取消cluster 配置 ......................................................................................................................... 14
6. 恢复处于disabled 状态的node .................................................................................................. 14
四、密码恢复 . .............................................................................................................................................. 15
五、在线升级JSRP 软件版本（SRX 650/240/210）.................................................................................. 16
配置FTP server ............................................................................................................................. 16
通过FTP 服务器，下载OS 更新文件到本地 . ............................................................................ 16
备份原FLASH 文件 . ...................................................................................................................... 17
4. 确认当前配置和新软件版本兼容 ............................................................................................... 17
5. 确认哪个是主设备 ....................................................................................................................... 17
6. 升级备份设备 ............................................................................................................................... 18
7. 将系统切换到升级后的备用系统 ............................................................................................... 19
8. 检查系统业务是否正常。 ........................................................................................................... 20
9. 确认业务正常后，继续升级另一个node . ................................................................................. 20
10. 确认HA 工作正常 ........................................................................................................................ 20
11. 完成后，进行观察设备及业务是否正常 ................................................................................... 20
六、注意点 . .................................................................................................................................................. 21
免费下载该文档：
Juniper Srx650防火墙透明模式双机配置--原创的相关文档搜索
Juniper SRX 防火墙透明模式配置手册_计算机硬件及网络_IT/计算机_专业资料。...{ } } } 1.3 建立集群 ##双机配置,设置...Juniper SRX 防火墙双机配置步骤 JSRP 是 Juniper SRX 的私有 HA 协议,对应 ScreenOS 的 NSRP 双机集群协议,支持 A/P 和 A/A 模式,JSRP 对 ScreenOS NSRP ...概述 juniper 防火墙的双机具有高冗余性和安全性,便于管理,分为 三种组网模式: ...Juniper Srx650防火墙透... 21页 2下载券
Juniper防火墙配置案例第... 8页...透明模式是一个非常灵活的防火墙部署解决方案– 可以快速实现防火墙和VPN 的功能 ...Juniper Srx650防火墙透... 21页 2下载券 Juniper-防火墙的管理 54页 1下载券...Juniper SRX 高端防火墙简明配置手册_计算机硬件及网络_IT/计算机_专业资料。详细...23 3.4 双机模式下主备 SRX 关机 ......以上描述的是我之前为客户做的一个配置文档,关于透明模式 HA 在网上基本没有文档...Juniper Srx650防火墙透... 21页 2下载券 Juniper SRX防火墙HA双机... 暂无...SRX-HA(JSRP)配置_IT/计算机_专业资料。Juniper junos防火墙SRX双机配置(详细) ...www.juniper.net 透明模式 22 Copyright ? 2009 Juniper Networks, Inc. www....juniper防火墙双机配置案... 4页 2下载券 Juniper Srx650防火墙透... 21页 ...模式:通过对一个冗余集群中的两台安全设备进行电缆连接 和配置,使其中一台设备...26 第 2 页共 26 页 Juniper SRX Branch 系列防火墙配置管理手册说明 SRX 系列防火墙是 Juniper 公司基于 JUNOS 操作系统的安全系列产品,JUNOS 集成了路由、交换...Juniper SRX低端系列防火墙配置手册_IT/计算机_专业...SRX100\210\240\650 将来会有新的产品加入到 ...对应 ScreenOS 的 NSRP 双机集群协议, 支持 A/P ...如何备份Juniper防火墙ScreenOS
首先在tftp服务器上启动tftp server（本例中使用的是Cisco TFTP
Server）：
检查从Juniper防火墙到TFTP Server网络连通性：
netscreen_isg1000-& ping
10.245.33.11
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 10.245.33.11,
timeout is 1 seconds
!!!!!Success
Rate is 100 percent (5/5), round-trip time min/avg/max=0/0/1
然后在CLI方式下输入save software from flash to tftp
10.245.33.11 CurrentOS.bin命令，如下所示：
netscreen_isg1000-&
save software from flash to tftp
10.245.33.11 CurrentOS.bin
Load image from flash.
Save software to TFTP 10.245.33.11 (file: CurrentOS.bin). It may
take a few minutes ...
Type escape sequence to abort
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!D!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!D!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!
完成后在C:\Program Files\Cisco Systems\Cisco TFTP
Server目录会有一个文件名为CurrentOS.bin的文件，备份好这个文件即可。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。查看:8068|回复：12
juniper防火墙trust-vr和untrust-vr属于两个虚拟路由器那么两个端口属于trust-vr，两个端口属于untrust-vr
分别接入两个不公的ISP 运营商线路
那么ISP线路 是不是 就相当于 接在了不同的防火墙上面？
还是需要什么特别的设置？
白袍大法师
可以将其路由选择组件分成两个或多个虚拟路由器。虚拟路由器同时支持静态和动态路由协议，这样可以
在一个虚拟路由器上同时启用二者。NetScreen 设备上预先定义了两个虚拟路由器:
o trust-vr，在缺省情况下包含所有预定义安全区和所有用户定义区段
o untrust-vr，在缺省情况下不含任何安全区
一些 NetScreen 设备还允许创建其它自定义的虚拟路由器。通过将路由选择信息分给两个 ( 或多个) 虚拟路由器，可
以控制给定路由域中对其它路由域可见的信息。例如，可以将企业网内部所有安全区的路由选择信息保留在预定义的虚拟路由器 trust-vr 中，而将企业网外部所有区段的路由选择信息保留在另一预定义的虚拟路由器 untrust-vr 中。由于虚拟路由器路由表中的信息对于其它路由器是不可见的，所以您可以将内部网的路由选择信息与公司外部的不可信源分离开来。也就是说，从一个虚拟路由器的区段发出的信息流不能自动转发到另一个虚拟路由器中的区段，即使存在策略允许这样转发信息流。如果希望信息虚拟路由器 (VR) 的功能与路由器相同。它拥有自己的接口和路由表。在 ScreenOS 中，NetScreen 设备支持两个预定义的虚拟路由器，从而允许 NetScreen 设备维护两个单独的路由表，并隐藏虚拟路由器彼此之间的路由信息。例如，untrust-vr 通常用来与不可信方进行通信，并且不含有保护区段的任何路由信息。保护区段的路由信息由 trust-vr进行维护。因此，通过从 untrust-vr 中秘密提取路由的方式，搜集不到任何内部网络信息。
NetScreen 设备上存在两个虚拟路由器时，即使存在允许信息流的策略，也不能在驻留于不同 VR 中的区段之间自动转发信息流。如果希望信息流在虚拟路由器之间传递，则需要导出 VR 之间的路由或在一个 VR 中配置静态路由将另一个 VR 定义为下一跳。
安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整&&。安全区是绑定了一个或多个接口的逻辑实体。通过多种类型的 NetScreen 设备，您可以定义多个安全区，确切数目可根据网络需要来确定。除用户定义的区段外，您还可以使用预定义的区段: Trust、Untrust 和 DMZ ( 用于第3 层操作)，或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第 2 层操作) 2。如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段3。另外，您还可以同时使用这两种区段— 预定义和用户定义。利用区段配置的这种灵活性，您可以创建能够最好地满足您的具体需要的网络设计。
在单个 NetScreen 设备上，可以配置多个安全区，将网络分成多段，可对这些网段应用各种安全选项以满足各段的需要。必须最少定义两个安全区，以便在网络的不同区段间分开提供基本的保护。在某些 NetScreen 平台上，您可以定义多个安全区，使网络安全设计具有更高的精确度— 而且这样做无需配置多个安全设备。
可以灵活将Vr和安全区结合起来使用。。
本帖最后由 小侠唐在飞 于
10:23 编辑
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
思 科 技 术
引用:原帖由 小侠唐在飞 于
10:20 发表
可以将其路由选择组件分成两个或多个虚拟路由器。虚拟路由器同时支持静态和动态路由协议，这样可以
在一个虚拟路由器上同时启用二者。NetScreen 设备上预先定义了两个虚拟路由器:
o trust-vr，在缺省情况下包含所有预定 ... 大侠如此威武。
现在的努力 、
是为了实现小时候吹过的牛逼 ！！
大侠啊！～～学习了....
建议LZ去看一下netscreen的官方文档。个人觉得即使是2个不通ISP线路接进，也不一定需要两个VR.启用一个trust-vr就够了，关键还是看源地址路由和目标地址路由怎么配.
恩，讲的很透彻啊，呵呵，哥们儿高就？
白袍大法师
引用:原帖由 cfgege 于
15:42 发表
建议LZ去看一下netscreen的官方文档。个人觉得即使是2个不通ISP线路接进，也不一定需要两个VR.启用一个trust-vr就够了，关键还是看源地址路由和目标地址路由怎么配. ... 关键是楼主想实现 什么功能。。如何利用这Vr和安全区。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
引用:原帖由 小侠唐在飞 于
21:23 发表
关键是楼主想实现 什么功能。。如何利用这Vr和安全区。
(24.84 KB)
白袍大法师
引用:原帖由
08:30 发表
219187 你这是典型的，双WAN嘛。。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
引用:原帖由 小侠唐在飞 于
10:25 发表
你这是典型的，双WAN嘛。。 4506 走电信& &3560走网通
白袍大法师
引用:原帖由
14:00 发表
4506 走电信& &3560走网通 这个更简单了
1、在4506上做默认路由指向虚拟防火墙1
2、在3560上做默认路由指向虚拟防火墙2
3、两台交换机互联用静态明细路由就可以了。
虚拟防火墙成两台设备，哈哈。。这样网络就清晰了。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
引用:原帖由 小侠唐在飞 于
19:24 发表
这个更简单了
1、在4506上做默认路由指向虚拟防火墙1
2、在3560上做默认路由指向虚拟防火墙2
3、两台交换机互联用静态明细路由就可以了。
虚拟防火墙成两台设备，哈哈。。这样网络就清晰了。 ... 涨姿势了哦,谢谢}