1.了解SRX240默认配置

以下默认配置适用于SRX240出厂默认设置
                                                                                     

安全区域,安全策略和NAT规则的默认配置:

2.本实验室中的群集网络图

如果您以前使用过设备,则最好将它们重置为默认配置。这是执行此操作的四种不同方法和命令

a. 请求服务Fips归零
b。请求系统归零
C。在配置模式下删除所有命令
[电子邮件 protected]#删除   
这将删除整个配置
删除此级别下的所有内容? [是,否](否)否

您将需要设置root密码才能提交更改
d. load factory-default

3.  Set 根 password

默认情况下,没有root用户的密码。

设置系统根身份验证纯文本密码

4.删除Node0上的一些默认配置

请记住这一点,您将需要删除两个节点(node0和node1)上的那些配置。 

删除系统名称服务器
删除系统服务DHCP

删除VLAN

删除接口VLAN

删除接口ge-0 / 0/0 unit 0

删除接口ge-0 / 0/1 unit 0
删除接口ge-0 / 0/2 unit 0
删除接口ge-0 / 0/3 unit 0
删除接口ge-0 / 0/4 unit 0
删除接口ge-0 / 0/5 unit 0
删除接口ge-0 / 0/6 unit 0
删除接口ge-0 / 0/7 unit 0
删除接口ge-0 / 0/8 unit 0
删除接口ge-0 / 0/9 unit 0
删除接口ge-0 / 0/10 unit 0
删除接口ge-0 / 0/11 unit 0
删除接口ge-0 / 0/12 unit 0
删除接口ge-0 / 0/13 unit 0
删除接口ge-0 / 0/14 unit 0
删除接口ge-0 / 0/15 unit 0
删除安全性

承诺

5.在节点0上启用群集并重新启动

根>设置机箱群集cluster-id 2节点0重新启动 

6.基于拓扑的基本配置

设置组node0系统主机名fw-a
设置组node0接口fxp0单元0系列inet地址10.9.12.9/24
设置组node0接口fxp0单元0系列inet地址10.9.12.8/24仅主机
设置组node1系统主机名fw-b
设置组node1接口fxp0单元0系列inet地址10.9.12.10/24
设置组node0接口fxp0单元0系列inet地址10.9.12.8/24仅主机
设置套用组“ $ {node}”
设置机箱群集更新计数2
设置机箱群集冗余组0节点0优先级200
设置机箱群集冗余组0节点1优先级100
设置机箱群集冗余组1节点0优先级200
设置机箱群集冗余组1节点1优先级100
设置接口fab0 Fabric-options成员接口ge-0 / 0/2
设置接口fab1 fabric-options成员接口ge-5 / 0/2
设置接口ge-0 / 0/3 gigether-options冗余父级reth0
设置接口ge-5 / 0/3 gigether-options冗余父级reth0
设置接口ge-0 / 0/4 gigether-options冗余父项reth1
设置接口ge-5 / 0/4 gigether-options冗余双亲reth1
设置接口reth0冗余以太选项冗余组1
设置接口reth1冗余以太选项冗余组1
设置安全区域security-zone Zone1
设置安全区域security-zone Zone2
设置安全区域security-zone Zone1主机入站流量系统服务全部
设置安全区域security-zone Zone2主机入站流量系统服务全部
设置接口reth0单元0系列inet地址10.9.132.18/24
设置安全区域security-zone Zone1接口reth0.0
设置接口reth1单元0系列inet地址10.9.136.18/24
设置安全区域security-zone Zone2接口reth1.0


设置系统备用路由器目标10.0.0.0/8 10.9.12.1
设置路由选项静态路由0.0.0.0/0下一跳10.9.12.1

设置安全策略从区域Zone1到区域Zone2策略allow_any匹配source-address any
设置安全策略从区域Zone1到区域Zone2策略allow_any匹配目标地址-any
设置安全策略从区域Zone1到区域Zone2策略allow_any与应用程序匹配any
将安全策略从区域Zone1设置为区域Zone2策略allow_any然后允许
将安全策略从区域Zone2设置为区域Zone1策略allow_any匹配source-address any
设置安全策略从区域Zone2到区域Zone1策略allow_any匹配目标地址-any
从区域Zone2到区域Zone1策略设置安全策略allow_any与应用程序匹配any
将安全策略从区域Zone2设置为区域Zone1策略allow_any然后允许

7.在节点1上启用集群并重新启动

在g0 / 1和g0 / 2上的两个集群之间建立电缆连接之后,我们可以启用集群节点1

在节点1上启用群集之前,必须删除一些基本配置。

删除系统名称服务器
删除系统服务DHCP

删除VLAN
删除接口VLAN

删除接口ge-0 / 0/0 unit 0
删除接口ge-0 / 0/1 unit 0
删除接口ge-0 / 0/2 unit 0
删除接口ge-0 / 0/3 unit 0
删除接口ge-0 / 0/4 unit 0
删除接口ge-0 / 0/5 unit 0
删除接口ge-0 / 0/6 unit 0
删除接口ge-0 / 0/7 unit 0
删除接口ge-0 / 0/8 unit 0
删除接口ge-0 / 0/9 unit 0
删除接口ge-0 / 0/10 unit 0
删除接口ge-0 / 0/11 unit 0
删除接口ge-0 / 0/12 unit 0
删除接口ge-0 / 0/13 unit 0
删除接口ge-0 / 0/14 unit 0
删除接口ge-0 / 0/15 unit 0
删除安全性

承诺

提交后,启用chassic cluster:

设置机箱群集cluster-id 1 node 1 重启 

注意:如果在同一以太网环境中使用多个Juniper Cluster,则它们必须配置唯一的cluster-id。否则,MAC地址将在交换机接口上发生冲突,并且防火墙将无法正确处理该区域中的网络流量。在以下示例中,将cluster-id设置为5以避免冲突。 cluster-id的范围是0-15。

[电子邮件 protected]> 设置机箱群集cluster-id 5节点0重新启动
成功启用机箱集群。现在要重启。

{primary:node0} [编辑]
[电子邮件 protected]> 显示机箱集群状态
群集ID:5
节点                 Priority          Status    Preempt  Manual failover

冗余组:0,故障转移数:1
    node0                   100         primary        no       no
    node1                   1           secondary      no       no

冗余组:1,故障转移数:1
    node0                   0           primary        no       no
    node1                   0           secondary      no       no

验证:

您可以使用以下命令检查集群状态。

显示机箱集群状态
show chassis cluster interfaces
show chassis cluster statistics
show chassis cluster control-plane statistics
show chassis cluster data-plane statistics
显示机箱集群状态 redundancy-group 1

参考:

通过 约翰

发表评论