发布时间 : 2024/5/3 3:18:14 星期五 文章Juniper SRX3000工程开工指导书更新完毕开始阅读6612c87fa26925c52cc5bfaa

Juniper防火墙工程开通指导书

DNS FTP H323 MGCP MSRPC PPTP RSH RTSP SCCP SIP SQL SUNRPC TALK delete security alg dns disable delete security alg ftp disable set security alg dns disable set security alg ftp disable delete security alg H323 disable set security alg H323 disable delete security alg mgcp disable set security alg mgcp disable delete security alg msrpc disable set security alg msrpc disable delete security alg pptp disable set security alg pptp disable delete security alg rsh disable set security alg rsh disable delete security alg rtsp disable set security alg rtsp disable delete security alg sccp disable set security alg sccp disable delete security alg sip disable delete security alg sql disable set security alg sip disable set security alg sql disable delete security alg sunrpc disable set security alg sunrpc disable delete security alg talk disable set security alg talk disable 配置建议：

当防火墙工作在二层透明模式及路由模式时，不建议开启应用对应的ALG，当防火墙工作在NAT模式时，建议开启。

3.1.5.JSRP的配置

SRP是Juniper 下一代安全网关SRX的私有HA协议，支持A/P和A/A，集成了ScreenOS NSRP和JUNOS TX Matrix的一些设计思想。

由于需要做机箱间的配置同步和异步路由数据的回程，JSRP需要Control Plane (用于配置同步)和Data plane (用于异步路由数据的回程和SPC状态同步)两个平面的互联，同时由于SPC之间的状态同步是严格一一对应的，因此还要求业务处理引擎SPC必须数量相同且安装槽位相同。

注意：SRX3K除了SPC外还要求IOC和NPC也必须在两个机箱之间一一对应。

JSRP的接口命名方式类似TX Matrix，即把多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号，以SRX3400为例，JSRP将把两台7个业务槽位的抽象成一台14槽位的虚拟JUNOS 进行槽位和接口编号

比如下所示的SRX3400，每个SRX3400机箱有7个业务槽位，则node 0槽位号从0-7，node 1的槽位号从8开始往后编。

第25页

Juniper防火墙工程开通指导书

Data plane Control plane fxp1 fxp0 Node 0 rethm fabn Node 1 rethm fxp0 Cluster Management Redundant interfaces Management

实物图：

FAB 1

FXP1

（FAB 端口可选数据口的电口或光口）

整个JSRP配置过程包括如下7个步骤 1、 配置Cluster id和Node id 2、 指定Fabric Link

3、 配置Redundancy Group 4、 每个机箱的个性化配置

第26页

Juniper防火墙工程开通指导书

5、 配置Redundant Ethernet Interface 6、 配置Interface Monitoring 3.1.5.1配置Cluster id和Node id

注意，这一步两个node都需要配置。

配置命令： SRX3400A

SRX3400a>set chassis cluster cluster-id 1 node 0 reboot //注1：注意该命令需在operational模式下输入

//注2：Cluster ID取值范围为1 – 15，当Cluster ID = 0时会unsets cluster配置，成为单机 SRX3400B

SRX3400b>set chassis cluster cluster-id 1 node 1 reboot

3.1.5.2指定Fabric Link

Fabric Link是一个虚拟的交换平面，用于将两个SRX机箱的数据平面连接在一起，主要用于RTO对象同步和异步路由数据的回程。 配置命令： SRX3400A

set interfaces fab0 fabric-options member-interfaces ge-1/0/0 set interfaces fab1 fabric-options member-interfaces ge-13/0/0 commit

//注5：Fabric Link中的Fab0固定用于node 0，Fab1固定用于node 1

3.1.5.3配置Redundancy Group

Redundancy Group (RG)类似ScreenOS NSRP里的VSD，用来抽象两个机箱之间可以互相热备切换的一组对象，其中RG0固定用于RE切换，RG1用于一组redundant interface切换，如果要做AA，则还需要RG2。由此可以看出，RE切换是独立于接口切换的。

配置如下：

set chassis cluster reth-count 15

set chassis cluster heartbeat-interval 1000 set chassis cluster heartbeat-threshold 3

set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 100 set chassis cluster redundancy-group 1 node 0 priority 254 set chassis cluster redundancy-group 1 node 1 priority 100 commit

第27页

Juniper防火墙工程开通指导书

3.1.5.4每个机箱的个性化配置

通过group模板来实现，类似JUNOS RE 的group配置，实际上JSRP中的跨机箱RE切换就是模拟了JUNOS中的RE Redundancy，这样也方便以后实现NSR/ISSU。

配置如下：

set groups node0 system host-name GZGY-PS-WAP-FW01 set groups node0 system backup-router 10.147.66.67

set groups node0 system backup-router destination 0.0.0.0/0

set groups node0 interfaces fxp0 unit 0 family inet address 10.147.66.65/27 set groups node1 system host-name GZGY-PS-WAP-FW02 set groups node1 system backup-router 10.147.66.67

set groups node1 system backup-router destination 0.0.0.0/0

set groups node1 interfaces fxp0 unit 0 family inet address 10.147.66.66/27 set apply-groups ${node}\commit

3.1.5.5配置Redundant Ethernet Interface

Redundant Ethernet interface是一组主备的以太网接口，实际上利用了跨机箱的802.3ad link aggregate技术来实现两个成员接口间的主备切换。

Redundant Ethernet interface的MAC地址是虚拟的，其值根据以下公式可以计算得出：

0 0 1 0 D B 1 1 1 1 1 1 1 1 C C C C R R V V 1 1 1 1 1 1 1

CCCC: Cluster ID RR: Reserved. 00.

VV: Version, 00 for the first release

IIIIIIII: Interface id, derived from the reth index.

配置如下：

set interfaces ge-0/0/7 gigether-options redundant-parent reth7 // node0的ge-0/0/7 set interfaces ge-0/0/8 gigether-options redundant-parent reth8 // node0的ge-0/0/8 set interfaces ge-0/0/9 gigether-options redundant-parent reth9 // node0的ge-0/0/9 set interfaces ge-13/0/7 gigether-options redundant-parent reth7 // node1的ge-0/0/7 set interfaces ge-13/0/8 gigether-options redundant-parent reth8 // node1的ge-0/0/8 set interfaces ge-13/0/9 gigether-options redundant-parent reth9 // node1的ge-0/0/9 set interfaces reth7 redundant-ether-options redundancy-group 1 // 属于RG1 set interfaces reth8 redundant-ether-options redundancy-group 1 // 属于RG1 set interfaces reth9 redundant-ether-options redundancy-group 1 // 属于RG1

第28页