2010年06月20日 netscreen nsrpにて冗長化

By | 2010年6月20日

netscreenをnsrpを用いて冗長化してみました。

 ・NSRPのプライオリティは低い方がMasterとなる。(紛らわしい。。。)
 ・NSRP構成としたら、ポリシー設定等が同期される。(便利) 
 ・catalyst3550やっぱりうるさい。。。
 
以下、メモです。
  
[netscreen(稼動系)]
 01. netscreen初期化。コンソールにて、unset all とreset。
 02. eth1(WAN側),eth4(HA用)にクロスケーブル。eth2(LAN側)にストレートケーブル。
 03. eth1をuntrust,eth2をtrust設定。eth2のみweb操作可能に変更。サブIFも作成。
 04. eth4のZoneをHAに設定。
 05. ルーティング設定。(LB,L3SWが所持するNWへはL3SWのVIP(HSRP)経由
 06. eth1にてVIP作成。
     ・http,httpsはLBのVIP指定。(FW-L3SW-LB-L3SW-SV)
     ・dnsはサーバのIP指定(LB経由しない)。(FW-L3SW-SV)
 07. [network]-[NSRP]-[Cluster] Cluster IDを1に設定。
 08. [network]-[NSRP]-[VSD Group] Priority 100に設定。
 09. [network]-[NSRP]-[VSD Group] Enable Preemptにチェック。
 10. [network]-[NSRP]-[Monitor]-[Interface]-[edit interface]
     ・eth1(untrust側),eth2(trust側)にチェック。255。
 11. [network]-[NSRP]-[Link] eth2選択。Enable HA Link Probeにチェック。
 12. 設定同期用にset nsrp config sync

 
[netscreen(待機系)]
 01. netscreen初期化。コンソールにて、unset all とreset。
 02. eth1(WAN側),eth4(HA用)にクロスケーブル。eth2(LAN側)にストレートケーブル。
 03. eth1をuntrust,eth2をtrust設定。eth2のみweb操作可能に変更。サブIFも作成。
 04. eth4のZoneをHAに設定。
 05. ルーティング設定。(LB,L3SWが所持するNWへはL3SWのVIP(HSRP)経由
 06. eth1にてVIP作成。
     ・http,httpsはLBのVIP指定。(FW-L3SW-LB-L3SW-SV)
     ・dnsはサーバのIP指定(LB経由しない)。(FW-L3SW-SV)
 07. [network]-[NSRP]-[Cluster] Cluster IDを1に設定。
 08. [network]-[NSRP]-[VSD Group] Priority 110に設定。
 09. [network]-[NSRP]-[Monitor]-[Interface]-[edit interface]
     ・eth1(untrust側),eth2(trust側)にチェック。255。
 10. [network]-[NSRP]-[Link] eth2選択。Enable HA Link Probeにチェック。
 11. 設定同期用にset nsrp config sync
 
 
[試験]
 01. 抜線したりして、Masterが切り替わること確認。
 02. policyを追加して、設定が同期されるか確認。
 03. インターネット経由でサイトが表示されることを確認。
 
 
■構成
     |
 netscreen–netscreen
     |     |
LVS–catalyst3550
      |
    自宅サーバ

■参考
 http://www5.ocn.ne.jp/~m-shin/firewall/netscreen-nsrp.html
 http://www.hitachi-system.co.jp/juniper/faq/ssg.html