2010年06月20日 netscreen nsrpにて冗長化

netscreenをnsrpを用いて冗長化してみました。

　・NSRPのプライオリティは低い方がMasterとなる。(紛らわしい。。。)
　・NSRP構成としたら、ポリシー設定等が同期される。(便利)　
　・catalyst3550やっぱりうるさい。。。
　
以下、メモです。
　　
[netscreen(稼動系)]
　01. netscreen初期化。コンソールにて、unset all とreset。
　02. eth1(WAN側),eth4(HA用)にクロスケーブル。eth2(LAN側)にストレートケーブル。
　03. eth1をuntrust,eth2をtrust設定。eth2のみweb操作可能に変更。サブIFも作成。
　04. eth4のZoneをHAに設定。
　05. ルーティング設定。(LB,L3SWが所持するNWへはL3SWのVIP(HSRP)経由
　06. eth1にてVIP作成。
　　　　　・http,httpsはLBのVIP指定。(FW-L3SW-LB-L3SW-SV)
　　　　　・dnsはサーバのIP指定(LB経由しない)。(FW-L3SW-SV)
　07. [network]-[NSRP]-[Cluster] Cluster IDを1に設定。
　08. [network]-[NSRP]-[VSD Group] Priority 100に設定。
　09. [network]-[NSRP]-[VSD Group] Enable Preemptにチェック。
　10. [network]-[NSRP]-[Monitor]-[Interface]-[edit interface]
　　　　　・eth1(untrust側),eth2(trust側)にチェック。255。
　11. [network]-[NSRP]-[Link] eth2選択。Enable HA Link Probeにチェック。
　12. 設定同期用にset nsrp config sync

　
[netscreen(待機系)]
　01. netscreen初期化。コンソールにて、unset all とreset。
　02. eth1(WAN側),eth4(HA用)にクロスケーブル。eth2(LAN側)にストレートケーブル。
　03. eth1をuntrust,eth2をtrust設定。eth2のみweb操作可能に変更。サブIFも作成。
　04. eth4のZoneをHAに設定。
　05. ルーティング設定。(LB,L3SWが所持するNWへはL3SWのVIP(HSRP)経由
　06. eth1にてVIP作成。
　　　　　・http,httpsはLBのVIP指定。(FW-L3SW-LB-L3SW-SV)
　　　　　・dnsはサーバのIP指定(LB経由しない)。(FW-L3SW-SV)
　07. [network]-[NSRP]-[Cluster] Cluster IDを1に設定。
　08. [network]-[NSRP]-[VSD Group] Priority 110に設定。
　09. [network]-[NSRP]-[Monitor]-[Interface]-[edit interface]
　　　　　・eth1(untrust側),eth2(trust側)にチェック。255。
　10. [network]-[NSRP]-[Link] eth2選択。Enable HA Link Probeにチェック。
　11. 設定同期用にset nsrp config sync
　
　
[試験]
　01. 抜線したりして、Masterが切り替わること確認。
　02. policyを追加して、設定が同期されるか確認。
　03. インターネット経由でサイトが表示されることを確認。
　
　
■構成
　　　　　|
　netscreen–netscreen
　　　　　|　　　　　|
LVS–catalyst3550
　　　　　　|
　　　　自宅サーバ

■参考
　http://www5.ocn.ne.jp/~m-shin/firewall/netscreen-nsrp.html
　http://www.hitachi-system.co.jp/juniper/faq/ssg.html