Juniper 550M 防火墙配置指导Word格式文档下载.docx

1、去除防火墙配置方法见附件1双机HA配置配置HA之前，请将HA心跳线拔掉。HA配置当中，如无特别说明，以下操作均要在主备两台防火墙上操作。1.登陆防火墙用普通网线连上防火墙0/0口，将本机IP设为192.168.1.100/24 gw192.168.1.1（现场环境需要做一条到防火墙的默认路由），打开IE浏览器：配置主界面：2.配置接口IP只需在主防火墙上配置即可，后续接口IP会同步到备机。但Manage IP不会同步，需要在配完HA后，自己根据需要进展更改，也可以不设。Network-Interfaces-ehternet0/2-Edit-Basic此处0/2口为untrust口，实际应用中，

2、应当为公网IP或网管网、营帐网所对应接口。3.配置默认路由NetworkRoutingEntries4.配置NSRPNetwork NSRP Cluster VSD Group点击Edit进入Network VSD Group Configuration Monitor Interface将需要监控的端口勾选并保存5.设置同步选项6.同步配置上述操作在主备防火墙上完成后，连接好心跳线，用串口线连接备防火墙，并登陆，输入如下命令，并重启防火墙。同样的操作在主防火墙上操作一遍exec nsrp sync global-config save配置MIP1.配置映射IPMIPMIP是“一对一的双向地址

3、翻译转换过程。通俗讲，在只有一个公网和一个网主机的时候，可以选择此种方式。相当于把网的主机直接映射到公网。实际应用中，IUH口目前都用的是此方式因为0/0口默认已经是192.168.1.1了，所以无须再设置其端口IP，网主机我将其设成192.168.1.100。且在实验环境是在公司办公网络，故172.16.6.100表现在现网环境时应该是公网IP理论上我们在申请资源时，一般都会申请3个或以上，规划好3个IP的用途，尽量做到不浪费。2.配置策略Policy Policies （From All zones To All zones）配置VIP简单来说，和MIP的区别就是，MIP是基于IP的一对一

4、映射，而VIP是基于端口的映射，可以将其理解为我们平时在外场做网管网防火墙CISCO所映射端口的那样。1.配置映射端口服务 Policy Elements Services Custom协议：请根据实际情况填写。源端口：一般填0-65535目的端口：所需要映射的网主机的端口。2.配置映射IP关系 Interfaces Edit VIP/VIP Services此IP为外部访问进来时的进口IP。3.配置策略请参考配置MIP的策略，和它是一样的。附件1去除配置。查找机器上的标签，找到SN：JN120DA18ADA，或者用默认用户密码netscreen登陆防火墙，并用get sys命令找到然后用这个SN当作用户名和密码登陆防火墙：自动重启后，所有配置恢复出厂配置。附件2：HA配置过程中，备机同步主机的配置时发生错误。Warning: configuration out of sync