近期工作筆記(2)SRX 240 HA 設定

當網段都規劃好cisco 3750也設定好了以後,接下來我要進行的就是兩台juniper srx 240 的設定。

基本上此次240設定的工作就是把HA設定好讓內部網段可以上網就完成目標,VPN就交給國外設定。

Juniper SRX 要做HA前要先確認的東西就兩台型號 OS及Modules 都要相同

很幸運的 我這邊兩台是馬來西亞那邊沒再用的最早也是設定HA。

因為對juniper 不熟,所以只能google 找一下相關資源

官方有一個網站(如下)可以輸入相關資訊後把conf 產生出來非常方便

http://www.juniper.net/support/tools/srxha/

網路上找了SRX240的圖片如下

 

SRX-240-1

先說明一下HA會用到的interface

fxp0: management interface
fxp1: control link
fab : data link
swfab : switching data link
reth : redundant pseudo-interface

fxp1 功能:

1. Heartbet

2. conf 同步

fab 功能

1. RTO(Real Time Object)

2.traffic

每一各型號可以用的port定義可能會不同可以參考下面網址找到要設定的型號

https://kb.juniper.net/InfoCenter/index?page=content&id=KB15356&actp=search

目前我的型號240 就如下圖

SRX-240-2

 

依照上圖查到的我先定義號我要用的port

node0 : ge-0/0/0 管理IP
node1 : ge-0/0/0 管理IP

node0 : ge-0/0/1 HA  control
node1 : ge-0/0/1 HA  control

node0 : ge-0/0/2  RTO
node1 : ge-0/0/2  RTO

node0 : ge-0/0/3 內部IP
node1 : ge-0/0/3 內部IP

node0 : ge-0/0/4 isp1
node1 : ge-0/0/4 isp1

node0 : ge-0/0/5 isp2
node1 : ge-0/0/5 isp2

 

小插曲: 

因為不知道root密碼所以參考下面的文件將root 密碼 reset

https://www.juniper.net/documentation/en_US/junos12.1×46/topics/task/operational/security-root-password-srx-series-device-recovering.html

密碼reset 後,確定可以登入,但詢問我的廠商後要做HA他的習慣就是把所有設定清空

清空的方式

直接是conf 模式

下 delete 選yes 然後重新設定一組root password (指令如下紅色字體,我是用console 連然後兩台都做好後,重開機)

root# delete

This will delete the entire configuration

Delete everything under this level? [yes,no] (no) yes

root@host# set system root-authentication plain-text-password

New password:

Retype new password:

root@host# commit

HA設定:

除非沒有做HA,否則HA設定一定是做優先做

首先將兩台 HA相關的port 對接起來 (如下)

node0 : ge-0/0/1 HA  control
node1 : ge-0/0/1 HA  control

node0 : ge-0/0/2  RTO
node1 : ge-0/0/2  RTO

兩台個別做

NODE1:

set chassis cluster cluster-id 1 node 0 reboot

NODE2:

set chassis cluster cluster-id 1 node 1 reboot

cluster-id 1-15 node 0 or 1 ,cluster-id 須設定相同

兩台重開機後:

查詢cluster 狀態(正常應該如下圖)

root> show chassis cluster status

image

以上就完成HA的設定

接下來都在primary 做就可以:

set groups node0 system host-name  SRX_0=>設定 NODE0 HOSTNAME
set groups node0 set interface fxp0 unit 0 family inet address 10.65.114.1/23 =>設定NODE0 管理ip 在GE-0/0/0

set groups node1 system host-name  SRX_1 =>設定 NODE1 HOSTNAME

set groups node1 interface fxp0 unit 0 family inet address 10.65.114.2/23 =>設定NODE1 管理ip 在GE-0/0/0

set apply-groups "${node}" => HA group的成員node代號

設定data link interface

set interfaces fab0 fabric-options member-interfaces ge-0/0/2

set interfaces fab1 fabric-options member-interfaces ge-5/0/2

 

設定redundancy-group (以下的設定是利用官方提供的設定檔配置產生網頁做出來的)

set chassis cluster reth-count 3 =>設定有幾個介面,內部,isp1,isp2 所以是3

set chassis cluster redundancy-group 0 node 0 priority 200

set chassis cluster redundancy-group 0 node 1 priority 100

set chassis cluster redundancy-group 1 node 0 priority 200

set chassis cluster redundancy-group 1 node 1 priority 100

set interfaces ge-0/0/3 gigether-options redundant-parent reth0

set interfaces ge-0/0/4 gigether-options redundant-parent reth1

set interfaces ge-0/0/5 gigether-options redundant-parent reth2

set interfaces ge-5/0/3 gigether-options redundant-parent reth0

set interfaces ge-5/0/4 gigether-options redundant-parent reth1

set interfaces ge-5/0/5 gigether-options redundant-parent reth2

set interfaces reth0 redundant-ether-options redundancy-group 1

set interfaces reth0 unit 0 family inet address 10.65.113.253/23

set interfaces reth1 redundant-ether-options redundancy-group 1

set interfaces reth1 unit 0 family inet address 1.1.1.1/24 =>  這裡是ISP線路IP

set interfaces reth2 redundant-ether-options redundancy-group 1

set interfaces reth2 unit 0 family inet address 2.2.2.2/24 => 這裡是ISP線路IP

set security zones security-zone Trusted host-inbound-traffic system-services all

set security zones security-zone Trusted interfaces reth0.0

set security zones security-zone Untrusted interfaces reth1.0

set security zones security-zone Untrusted interfaces reth2.0

 

其他設定

設定web console

set system services web-management https system-generated-certificate

set system services web-management http interface ge-0/0/3

set system services web-management https interface ge-0/0/3.0

設定static routing

利用web 來設定上網走第一條線路

點選 Routing  => static routing 來新增

666

2016-10-05_230630

最後還要設定 policy and secure NAT 後用戶端就可以上網

可以參考之前的的文章

http://blog.pmail.idv.tw/?p=13998



本篇瀏覽人數: 4290
本篇發表於 公司合併公司建置筆記。將永久鏈結加入書籤。

近期工作筆記(2)SRX 240 HA 設定 有 10 則回應

  1. chong 說道:

    设定了HA如何进web做其他设定?谢谢

    • 榮哥 說道:

      您好
      你應該有設定其中一個介面為內部網段並指定IP,就是用這IP 連線

      • chong 說道:

        谢谢。可以了。。可以问下为何我的trusted zone device ping不到untrusted zone device吗?全部service都开了。就是any to any.是不是要加ip address在zone.玩了好久都不行。谢谢你的帮忙。

  2. chong 說道:

    zh1_om1 "Firewall 1
    192.168.1.11″
    192.168.5.101
    ic01sdc
    zh2_om1 192.168.1.101
    192.168.5.102
    Untrusted Trusted
    gd1_om1 Switch Switch
    192.168.5.103
    HA
    Ngoshawk
    172.18.1.30

    Ncuckoo ic02sdc
    172.18.1.29 "Firewall 2
    192.168.1.12″ 192.168.1.102

    PI_ICCP
    10.130.21.152

    这样要如何做配置让trusted to untrusted 开通。。

    荣哥,谢谢你的帮忙

  3. chong 說道:

    荣哥,你好。可以和你拿联络方式吗?

  4. chong 說道:

    好的。谢谢荣哥。。

發表迴響

您的電子郵件位址並不會被公開。 必要欄位標記為 *

*

您可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>