juniper 防火墙配置双线路负载

Juniper Netscreen 204防火墙Untrust接口倒换

作者 马钢

博客

版本 2009021101

需求

Netscreen 204防火墙拥有两个公网接口，当主接口链路失效时，如ISP故障，则将流量转移到备份接口。

解决方法

图 1 网络拓扑

如图 1所示，由主接口ethernet2检测ISP网关连通性，如果网关不可达，则标记主接口down，ethernet3自动作为默认出口。

设置ethernet2和ethernet3同为Untrust区段

set interface ethernet2 zone Untrust

set interface ethernet3 zone Untrust

设置ethernet2接口的默认路由为优先路由

set route 0.0.0.0/0 interface ethernet2 gateway 2.2.2.254 preference 20

set route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.254 preference 25

配置track‐ip

set interface ethernet2 monitor track‐ip ip

set interface ethernet2 monitor track‐ip ip 2.2.2.254

set interface ethernet2 track‐ip ip 2.2.2.254 interval 1

set interface ethernet2 track‐ip ip 2.2.2.254 threshold 2

set interface ethernet2 track‐ip ip 2.2.2.254 weight 10

set interface ethernet2 track‐ip threshold 8

set interface ethernet2 track‐ip weight 12

set interface ethernet2 monitor threshold 5

unset interface ethernet3 monitor track‐ip dynamic

完成上述设置后，防火墙将在ethernet2启用IP跟踪。每1秒（interval 1)发送一次ICMP 请求到2.2.2.254，当连续两次（threshold 2）ICMP请求失败后，将2.2.2.254‐track‐IP权重赋为10。因为2.2.2.254‐track‐IP的赋值10大于ethernet2‐track‐IP的阈值8，则ethernet2‐track‐IP 权重被赋为12，又因为权重12大于ethernet2的monitor的阈值5，则ethernet2的接口状态被置为down，防火墙将自动把流量切换到备份接口。

NetScreen防火墙支持每个接口配置最多4个track‐IP地址。每个IP可有不同的配置，计算权重时，将所有track‐IP的各自权重累计。

参考资料

/KB7432

/KB8704

声明

本人作品以“署名‐非商业性使用‐相同方式共享”协议发布。

本文之内容不得构成您为任何行为或者不为任何行为之依据。若您转载请注明出处及署名，属于媒体发表、出版或者商业性使用的，需依法支付报酬；若您依据内容作出任何决定，您需要自行承担一切责任。

本文引用的各类形式（包括但不仅限于文字、图片、图表、翻译）的作品仅供参考使用，并不代表本人同意其说法或描述，仅为提供更多信息，不得构成您为任何行为或者不为任何行为之依据。

本人虽尽力而为，但仍不能保证所有信息的真实、完整、准确，请在阅读时注意并慎重对待。

Juniper，NetScreen等是Juniper网络公司所属商标。所有其他的商标、服务标记、注册商标或注册的服务标记均为其各自公司的财产。