Juniper550M防火墙配置指导

目录

Juniper 550M 防火墙配置指导 (2)

双机HA配置 (3)

1.登陆防火墙 (3)

2.配置接口IP (5)

3.配置默认路由 (7)

4.配置NSRP (7)

5.设置同步选项 (9)

6.同步配置 (10)

配置MIP (10)

1.配置映射IP (10)

2.配置策略 (12)

配置VIP (13)

1.配置映射端口服务 (14)

2.配置映射IP关系 (15)

3.配置策略 (16)

附件1 (16)

Juniper 550M 防火墙配置指导通过串口登陆，帐号：netscreen 密码：netscreen

SSG520-> get config ---等同于cisco的show run

新机器上来默认是无任何配置的，如拿到的机器是有配置的，请清除。注：清除防火墙配置方法（见附件1）

双机HA配置

配置HA之前，请将HA心跳线拔掉。

注：HA配置当中，如无特别说明，以下操作均要在主备两台防火墙上操作。

1.登陆防火墙

用普通网线连上防火墙0/0口，将本机IP设为192.168.1.100/24 gw192.168.1.1(现场环境需要做一条到防火墙的默认路由)，打开IE浏览器：

配置主界面：

2.配置接口IP

注：只需在主防火墙上配置即可，后续接口IP会同步到备机。但Manage IP不会同

步，需要在配完HA后，自己根据需要进行更改，也可以不设。

Network->Interfaces->ehternet0/2->Edit->Basic

注：此处0/2口为untrust口，实际应用中，应当为公网IP或网管网、营帐网所对应接口。

3.配置默认路由

Network > Routing > Routing Entries

4.配置NSRP

Network > NSRP > Cluster

Network > NSRP > VSD Group

点击Edit进入Network > NSRP > VSD Group > Configuration

Network > NSRP > Monitor > Interface

将需要监控的端口勾选并保存

5.设置同步选项

6.同步配置

上述操作在主备防火墙上完成后，连接好心跳线，用串口线连接备防火墙，并登陆，输入如下命令，并重启防火墙。（同样的操作在主防火墙上操作一遍）

exec nsrp sync global-config save

配置MIP

1.配置映射IP

Network->Interfaces->ehternet0/2->Edit->MIP

MIP是“一对一”的双向地址翻译（转换）过程。通俗讲，在只有一个公网和一个内网主机的时候，可以选择此种方式。相当于把内网的主机直接映射到公网。（实际应用中，IUH 口目前都用的是此方式）

注：因为0/0口默认已经是192.168.1.1了，所以无须再设置其端口IP，内网主机我将其设成192.168.1.100。且在实验环境是在公司办公网络，故172.16.6.100体现在现网环境时应该是公网IP（理论上我们在申请资源时，一般都会申请3个或以上，规划好3个IP的用途，尽量做到不浪费）。

2.配置策略

Policy > Policies (From All zones To All zones)

配置VIP

简单来说，和MIP的区别就是，MIP是基于IP的一对一映射，而VIP是基于端口的映射，可以将其理解为我们平时在外场做网管网防火墙CISCO所映射端口的那样。

1.配置映射端口服务

Policy > Policy Elements > Services > Custom

协议：请根据实际情况填写。

源端口：一般填0-65535

目的端口：所需要映射的内网主机的端口。

2.配置映射IP关系

N etwork > Interfaces > Edit > VIP/VIP Services

此IP为外部访问进来时的进口IP。

3.配置策略

请参考配置MIP的策略，和它是一样的。

附件1

清除配置。

查找机器上的标签，找到SN：JN120DA18ADA，或者用默认用户密码netscreen登陆防火墙，并用get sys命令找到

然后用这个SN当作用户名和密码登陆防火墙：

自动重启后，所有配置恢复出厂配置。

附件2：

HA配置过程中，备机同步主机的配置时发生错误。Warning: configuration out of sync