netscreenをnsrpを用いて冗長化してみました。
・NSRPのプライオリティは低い方がMasterとなる。(紛らわしい。。。)
・NSRP構成としたら、ポリシー設定等が同期される。(便利)
・catalyst3550やっぱりうるさい。。。
以下、メモです。
[netscreen(稼動系)]
01. netscreen初期化。コンソールにて、unset all とreset。
02. eth1(WAN側),eth4(HA用)にクロスケーブル。eth2(LAN側)にストレートケーブル。
03. eth1をuntrust,eth2をtrust設定。eth2のみweb操作可能に変更。サブIFも作成。
04. eth4のZoneをHAに設定。
05. ルーティング設定。(LB,L3SWが所持するNWへはL3SWのVIP(HSRP)経由
06. eth1にてVIP作成。
・http,httpsはLBのVIP指定。(FW-L3SW-LB-L3SW-SV)
・dnsはサーバのIP指定(LB経由しない)。(FW-L3SW-SV)
07. [network]-[NSRP]-[Cluster] Cluster IDを1に設定。
08. [network]-[NSRP]-[VSD Group] Priority 100に設定。
09. [network]-[NSRP]-[VSD Group] Enable Preemptにチェック。
10. [network]-[NSRP]-[Monitor]-[Interface]-[edit interface]
・eth1(untrust側),eth2(trust側)にチェック。255。
11. [network]-[NSRP]-[Link] eth2選択。Enable HA Link Probeにチェック。
12. 設定同期用にset nsrp config sync
[netscreen(待機系)]
01. netscreen初期化。コンソールにて、unset all とreset。
02. eth1(WAN側),eth4(HA用)にクロスケーブル。eth2(LAN側)にストレートケーブル。
03. eth1をuntrust,eth2をtrust設定。eth2のみweb操作可能に変更。サブIFも作成。
04. eth4のZoneをHAに設定。
05. ルーティング設定。(LB,L3SWが所持するNWへはL3SWのVIP(HSRP)経由
06. eth1にてVIP作成。
・http,httpsはLBのVIP指定。(FW-L3SW-LB-L3SW-SV)
・dnsはサーバのIP指定(LB経由しない)。(FW-L3SW-SV)
07. [network]-[NSRP]-[Cluster] Cluster IDを1に設定。
08. [network]-[NSRP]-[VSD Group] Priority 110に設定。
09. [network]-[NSRP]-[Monitor]-[Interface]-[edit interface]
・eth1(untrust側),eth2(trust側)にチェック。255。
10. [network]-[NSRP]-[Link] eth2選択。Enable HA Link Probeにチェック。
11. 設定同期用にset nsrp config sync
[試験]
01. 抜線したりして、Masterが切り替わること確認。
02. policyを追加して、設定が同期されるか確認。
03. インターネット経由でサイトが表示されることを確認。
■構成
|
netscreen–netscreen
| |
LVS–catalyst3550
|
自宅サーバ
■参考
http://www5.ocn.ne.jp/~m-shin/firewall/netscreen-nsrp.html
http://www.hitachi-system.co.jp/juniper/faq/ssg.html