Juniper防火墙灾备切换解决方案
目录
现状描述........................................................................................................................................... 2 灾备切换方案 ................................................................................................................................... 2 总结 .................................................................................................................................................. 7
1
现状描述
IDC现有Juniper SSG550防火墙两台做NSRP双机热备, IDC主要提供DMZ服务器应用访问。为了使应用能够得到冗余保障,灾备中心拥有一套相同的系统。为了顺利的切换应用,需要事先准备应急切换方案。
灾备切换方案
方案描述
1).相同的配置,当部分应用挂掉时,通过修改路由(需要通过策略路由控制)和MIP策略的方式切换。修改的MIP策略需要事先加好并disable。
2).当整个Internet挂掉后,通过运营商BGP选路切换,需要部分应用通过修改路由(需要通过策略路由控制)和MIP策略的方式切换;修改的MIP策略需要事先加好并disable。 3).MIP策略需要修改目标Zone和添加DIP,同一条策略需要同时设置MIP和DIP。 4).该方案中配置可以互导,定期的手工导出防火墙配置来进行两边配置的同步工作。
路由设置
由于INSIDE区域之间有一条专线,所以,当故障发生时,可以将原本通过MPSL走的路由切换至INSIDE。由于SSG防火墙默认会根据MPSL接口的IP生成一条接口路由,接口路由的优先级高于静态路由,所以,需要事先添加策略路由指向INSIDE,在不需要切换的时候不启用该路由。
策略路由配置示例 CLI配置
1.建立一个扩展ACL
set access-list extended [number] src-ip [ip/netmask] dst-ip [ip/netmask] protocol any entry [number] 2.建立一个Match Group
set match-group name [name]
set match-group [name] ext-acl [number] match-entry [number] 3.建立一个Action Group
set action-group name [name]
set action-group [name] next-hop [ip] action-entry [number] 4.建立一个PBR Policy
set pbr policy name [name]
set pbr policy [name] match-group [name] action-group [name] [number] 5.将PBR绑定到接口上(支持绑定到zone和vr)
2
set interface [name] pbr [pbr-policy-name]
WEB配置
1.建立extended acl
设置ACL ID、源地址、目的地址、源目端口等信息
注:需要再建立一条Protocol为ICMP的ACL,否则traceroute还是走默认路由
2.配置match group
3.配置action group
3
4.PBR配置Policy
5.在接口绑定策略路由
4