juniper防火墙双机配置案例

概述
juniper防火墙的双机具有高冗余性和安全性，便于管理，分为三种组网模式：
layer3的A/P组网模式
layer3的full-mesh的A/P组网模式
layer3的full-mesh的A/A组网模式
其中layer3A/P模式对环境要求最低，是业界广为流行的配置。

但是，其利用率不高，同一时间只有一台防火墙处理网络流量，一侧链路和设备出现故障时提供冗余切换。

配置要求硬件和软件版本相同，接口编号相同，放入HA的接口要统一。

配置时只需清空备的那一台，然后将HA、manger ip 、MGT端口ip，及个性化配置即可。

两台防火墙用e4口连接。

配置主防火墙
unset interface e4 ip
//清空e4口的ip地址
set interface e4 zone ha
//将e4口和HA区域绑定
//-----配置NSRP----
set nsrp cluster id 1
//设置cluster组号
set nsrp vsd id 0
//设置虚拟安全数据库的组号0
set nsrp vsd-group id 0 priority 50
//设置nsrp主设备的优先级（优先级数值越大，优先级越小）set nsrp rto syn
//设置配置同步
set nsrp vsd-group id 0 monitor interface ethernet3
set nsrp vsd-group id 0 monitor interface ethernet1
//设置防火墙监控的端口
//只有当备份防火墙配置之后，主设备上才能检测到备防火墙的状态（get nsrp）
set nsrp vsd-group hb-interval 200
//设置心跳信息每隔200秒发送问候信息
set nsrp vsd-group hb-threshold 3
//设置心跳信息总共发出3次问候信息
save
//保存
配置备防火墙
unset all
//恢复出厂设置
set interface e4 zone ha
//将e4和ha区域绑定
set nsrp cluster id 1
//设置cluster组号
set nsrp vsd id 0
//设置vsd组号
set nsrp vsd-group id 0 priority 100
//设置nsrp主设备的优先级（优先级数值越大，优先级越小）set nsrp rto syn
//设置配置同步
set nsrp vsd-group id 0 monitor interface ethernet3
set nsrp vsd-group id 0 monitor interface ethernet1
//设置防火墙监控的端口
set nsrp vsd-group hb-interval 200
//设置心跳信息每隔200秒发送问候信息
set nsrp vsd-group hb-threshold 3
//设置心跳信息总共发出3次问候信息
save //保存
同步配置
在备机上操作
exec nsrp sync global-config check-sum
//将两台设备的配置进行校检，如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中
exec nsrp sync global-config save
//如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中。