XOS
configure bootprelay add 192.168.68.220 vr VR-Default
enable bootprelay vlan RTI-V10
Extremeware
enable bootprelay
configure bootprelay add 192.168.68.220
2011年10月31日 星期一
2011年10月30日 星期日
Extreme Troutbleshooting
Layer 2 problem
show ports configuration
show ports txerrors
show ports rxerrors
show ports collisions
show ports utilization
show edp ports all
Layer 2 problem
show fdb
clear fdb
show vlan <vlan name>
show edp ports all
Layer 3 problem
show vlan
show ipconfig
show iproute
show iparp
show ipstats
show ospf <interface>
show rip <interface>
ping
traceroute
2011年10月5日 星期三
netstat檢測網路連線用法
Netstat參數說明
-a : 顯示所有的連線
-b : 一併顯示建立連線的執行檔
-n : 使用數值方式顯示
-v : 顯示多一點的資訊
-o : 一併顯示建立連線的程序ID
例 : 記錄通訊行為方法
netstat -an 60 -p tcp > netlog.txt
每60秒紀錄一次連線狀態至netlog.txt檔案
TCPView也是一個好用的工具..
-a : 顯示所有的連線
-b : 一併顯示建立連線的執行檔
-n : 使用數值方式顯示
-v : 顯示多一點的資訊
-o : 一併顯示建立連線的程序ID
例 : 記錄通訊行為方法
netstat -an 60 -p tcp > netlog.txt
每60秒紀錄一次連線狀態至netlog.txt檔案
TCPView也是一個好用的工具..
2011年10月4日 星期二
Extreme 基本命令 二
負載均衡︰
和cisco的FEC差不多,也是允許使用多個端口綁定在一起來增加帶寬
有三種算法︰
1. 基于端口。(默認)就是說可以用指定物理端口來轉發流量進行負載均衡就是說把某幾個端口的流量均衡一下
2. 基于位址,包括 ip位址,ipx位址等(推薦)用位址來進行負載均衡mac ip tcp udp都可以
config sharing address-based <l2 | l2_l3 | l2_l3_l4>
l2 表示用mac位址
l3表示用ip
l4表示tcp和udp端口號
show sharing address-based
3. 循環
配置負載均衡︰
首先得建立一個負載均衡端口組,組中第一個端口配置為master邏輯端口,它代表這個組。在summit交換機上建立負載均衡可以︰
1. 一個組中最多包含8個端口
2. 端口不用連續
定義一個負載均衡組,先分發一個組號,邏輯端口號,並使能這個組(不知道怎么說這句話)
enable sharing <port> grouping <portlist> {port-based | address-based | round-robin}
disable sharing <port>
負載均衡的例子︰
enable sharing 9 grouping 9-12 #定義一個負載均衡組9,包括9-12端口
如果這些端口屬于某個vlan,那么將會從vlan中刪除
校驗︰show ports configuration
端口鏡像︰
什麼是鏡像就不用說了吧,cisco也有^_^
1. 物理端口,把這個端口的數據都複製到鏡像端口中去
2. Vlan,把vlan的所有數據都複製到鏡像口
3. 虛端口,vlan中指定端口複製到鏡像口
一旦最為鏡像口就不能上網了
例子︰
enable mirroring to port 3 #選擇3作為鏡像口
config mirroring add port 1 #把端口1的流量發送到3
config mirroring add port 1 vlan default #把1和vlan default的流量都發送到3
交換機的vlan default包含所有的端口,就是說說有的端口都屬于default(初始狀態),並且所有口都是untagged,內部vlanid為1
config vlan <old_name> name <new_name> vlan改名
show vlan {<name> | detail} 查看vlan訊息
show vlan stats vlan <name> ... <name> 查vlan狀態
show protocol {<protocol>} 查看協議
局域mac的vlan例子︰
enable mac-vlan mac-group any ports 10-15
enable mac-vlan mac-group 10 ports 16-17
enable mac-vlan mac-group 200 ports 18-20
config mac-vlan add mac-address 00:00:00:00:00:01 mac-group 10 engineering
config mac-vlan add mac-address 00:00:00:00:00:02 mac-group any marketing
config mac-vlan add mac-address 00:00:00:00:00:03 mac-group 200 sales
FDB轉發數據庫︰
create fdbentry [<mac_address> | any-mac] vlan <name> dynamic
[qosprofile <qosprofile> {ingress-qosprofile <iqosprofile>} |
ingress-qosprofile <qosprofile> {qosprofile <qosprofile>}]
關聯一個qos和fdb動態表項
create fdbentry <mac_address> vlan <name> ports [<portlist | all]
{qosprofile <qosprofile>} {ingress-qosprofile <iqosprofile>}
和fdb永久表項關聯qos
create fdbentry 00:E0:2B:12:34:56 vlan marketing port 3:4
增加一個fdb表項
基于MAC的安全配置︰
基于mac的安全允許你控制fdb的學習和傳播
config ports [<portlist> vlan <name> | all] limit-learning <number>限制端口的mac條目範圍是 0 to 500,000
config ports [<portlist> vlan <name> | all] unlimited-learning清除
show vlan <name> security 顯示安全配置
show ports <portlist> info detail 顯示port安全配置
config ports [<portlist> vlan <name> | all] lock-learning 鎖住現有的mac,不再學習新的表項
config ports [<portlist> vlan <name> | all] unlock-learning 解鎖
show fdb {<mac_address> | vlan <name> | ports <portlist> | permanent}顯示fdb表項
QoS配置︰
基于策略的qos允許你對于一些重要的應用程式提供保護帶寬,比如,voip要有特殊的帶寬控制。用qos可以保留足夠的帶寬來給特殊的應用。
如何配置︰
配置qos你要用qos profiles定義交換機如何來區分不同種類的流量
1. 配置qos profile
2. 創建traffic grouping,
如應用到一個 vlan config vlan <name> qosprofile <qosprofile>
3. 監控
Qos profile
一個qosprofile用特殊的流量屬性定義了一類服務,比如帶寬,參數包括︰
Minimum bandwidth 保留全部帶寬的最小百分比使用物理端口的硬體隊列,缺省是0%
Maximum bandwidth 最大使用帶寬
Priority
Buffer
show qosprofile <qosprofile>
show ports <portlist> info {detail}
or
show vlan 檢查qos 配置
Access-Lists
要構建一個表,倪要先指定一個規則,一個缺省規則包含目標和源ip的反碼,沒有第4層訊息。
例子︰
• Deny UDP port 32 and TCP port 23 traffic to the 10.2.XX network.
• All other TCP port 23 traffic destined for other 10.X.X.X networks is permitted using QoS profile
Qp4.
• All remaining traffic to 10.2.0.0 uses QoS profile Qp3.
With no default rule specified, all remaining traffic is allowed using the default QoS profile.
create access-list deny102_32 udp dest 10.2.0.0/16 ip-port 32 source any ip-port any
deny ports any(我理解是交換機的所有端口) precedence 10
create access-list deny102_23 tcp dest 10.2.0.0/16 ip-port 23 source any ip-port any
deny ports any precedence 20
create access-list allow10_23 tcp dest 10.0.0.0/8 ip-port 23 source any ip-port any
permit qosprofile qp4 ports any precedence 30
create access-list allow102 ip dest 10.2.0.0/16 source 0.0.0.0/0 permit qosprofile qp3
ports any precedence 40
show access-list {<name> | port <portlist>}
show access-list-monitor
過濾ICMP包︰
echo的icmp code是8
echo reply的code是0
create access-list denyping icmp destination any source any type 8 code 0 deny ports
any
配置NAT
1. Enable nat #啟用nat
2. 建立nat規則(動態和靜態)
Static NAT Rule Example
config nat add out_vlan_1 map source 192.168.1.12/32 to 216.52.8.32/32
Dynamic NAT Rule Example
config nat add out_vlan_1 map source 192.168.1.0/24 to 216.52.8.1 - 216.52.8.31
Portmap NAT Rule Example
config nat add out_vlan_2 map source 192.168.2.0/25 to 216.52.8.32 /28 both portmap
Portmap Min-Max Example
config nat add out_vlan_2 map source 192.168.2.128/25 to 216.52.8.64/28 tcp portmap
1024 - 8192
3. show nat rules {vlan <outside_vlan>}
show nat stats
檢查
disable nat 關閉nat
一般配置︰
1.先建立一個vlan
create vlan test
2.然後在配置vlan的界面位址
configure vlan test ipaddress
config vlan test ipaddress 123.45.67.8 / 24
configure test tag 900 為test 打標籤為900
3. 配置缺省通訊閘
config iproute add default <gateway>
4.Save 存儲配置文件
5.configure test add ports 45 tagged 增加45進test vlan
6.configure ports 45 auto on 配置45端口
7.enable ports 45 使能45端口
8.Enable ipforwarding on the <vlan name> 使vlan能夠轉發ip
9.conf vlan xxx proto ip #重要,不然不能添加端口untaggedsu
和cisco的FEC差不多,也是允許使用多個端口綁定在一起來增加帶寬
有三種算法︰
1. 基于端口。(默認)就是說可以用指定物理端口來轉發流量進行負載均衡就是說把某幾個端口的流量均衡一下
2. 基于位址,包括 ip位址,ipx位址等(推薦)用位址來進行負載均衡mac ip tcp udp都可以
config sharing address-based <l2 | l2_l3 | l2_l3_l4>
l2 表示用mac位址
l3表示用ip
l4表示tcp和udp端口號
show sharing address-based
3. 循環
配置負載均衡︰
首先得建立一個負載均衡端口組,組中第一個端口配置為master邏輯端口,它代表這個組。在summit交換機上建立負載均衡可以︰
1. 一個組中最多包含8個端口
2. 端口不用連續
定義一個負載均衡組,先分發一個組號,邏輯端口號,並使能這個組(不知道怎么說這句話)
enable sharing <port> grouping <portlist> {port-based | address-based | round-robin}
disable sharing <port>
負載均衡的例子︰
enable sharing 9 grouping 9-12 #定義一個負載均衡組9,包括9-12端口
如果這些端口屬于某個vlan,那么將會從vlan中刪除
校驗︰show ports configuration
端口鏡像︰
什麼是鏡像就不用說了吧,cisco也有^_^
1. 物理端口,把這個端口的數據都複製到鏡像端口中去
2. Vlan,把vlan的所有數據都複製到鏡像口
3. 虛端口,vlan中指定端口複製到鏡像口
一旦最為鏡像口就不能上網了
例子︰
enable mirroring to port 3 #選擇3作為鏡像口
config mirroring add port 1 #把端口1的流量發送到3
config mirroring add port 1 vlan default #把1和vlan default的流量都發送到3
交換機的vlan default包含所有的端口,就是說說有的端口都屬于default(初始狀態),並且所有口都是untagged,內部vlanid為1
config vlan <old_name> name <new_name> vlan改名
show vlan {<name> | detail} 查看vlan訊息
show vlan stats vlan <name> ... <name> 查vlan狀態
show protocol {<protocol>} 查看協議
局域mac的vlan例子︰
enable mac-vlan mac-group any ports 10-15
enable mac-vlan mac-group 10 ports 16-17
enable mac-vlan mac-group 200 ports 18-20
config mac-vlan add mac-address 00:00:00:00:00:01 mac-group 10 engineering
config mac-vlan add mac-address 00:00:00:00:00:02 mac-group any marketing
config mac-vlan add mac-address 00:00:00:00:00:03 mac-group 200 sales
FDB轉發數據庫︰
create fdbentry [<mac_address> | any-mac] vlan <name> dynamic
[qosprofile <qosprofile> {ingress-qosprofile <iqosprofile>} |
ingress-qosprofile <qosprofile> {qosprofile <qosprofile>}]
關聯一個qos和fdb動態表項
create fdbentry <mac_address> vlan <name> ports [<portlist | all]
{qosprofile <qosprofile>} {ingress-qosprofile <iqosprofile>}
和fdb永久表項關聯qos
create fdbentry 00:E0:2B:12:34:56 vlan marketing port 3:4
增加一個fdb表項
基于MAC的安全配置︰
基于mac的安全允許你控制fdb的學習和傳播
config ports [<portlist> vlan <name> | all] limit-learning <number>限制端口的mac條目範圍是 0 to 500,000
config ports [<portlist> vlan <name> | all] unlimited-learning清除
show vlan <name> security 顯示安全配置
show ports <portlist> info detail 顯示port安全配置
config ports [<portlist> vlan <name> | all] lock-learning 鎖住現有的mac,不再學習新的表項
config ports [<portlist> vlan <name> | all] unlock-learning 解鎖
show fdb {<mac_address> | vlan <name> | ports <portlist> | permanent}顯示fdb表項
QoS配置︰
基于策略的qos允許你對于一些重要的應用程式提供保護帶寬,比如,voip要有特殊的帶寬控制。用qos可以保留足夠的帶寬來給特殊的應用。
如何配置︰
配置qos你要用qos profiles定義交換機如何來區分不同種類的流量
1. 配置qos profile
2. 創建traffic grouping,
如應用到一個 vlan config vlan <name> qosprofile <qosprofile>
3. 監控
Qos profile
一個qosprofile用特殊的流量屬性定義了一類服務,比如帶寬,參數包括︰
Minimum bandwidth 保留全部帶寬的最小百分比使用物理端口的硬體隊列,缺省是0%
Maximum bandwidth 最大使用帶寬
Priority
Buffer
show qosprofile <qosprofile>
show ports <portlist> info {detail}
or
show vlan 檢查qos 配置
Access-Lists
要構建一個表,倪要先指定一個規則,一個缺省規則包含目標和源ip的反碼,沒有第4層訊息。
例子︰
• Deny UDP port 32 and TCP port 23 traffic to the 10.2.XX network.
• All other TCP port 23 traffic destined for other 10.X.X.X networks is permitted using QoS profile
Qp4.
• All remaining traffic to 10.2.0.0 uses QoS profile Qp3.
With no default rule specified, all remaining traffic is allowed using the default QoS profile.
create access-list deny102_32 udp dest 10.2.0.0/16 ip-port 32 source any ip-port any
deny ports any(我理解是交換機的所有端口) precedence 10
create access-list deny102_23 tcp dest 10.2.0.0/16 ip-port 23 source any ip-port any
deny ports any precedence 20
create access-list allow10_23 tcp dest 10.0.0.0/8 ip-port 23 source any ip-port any
permit qosprofile qp4 ports any precedence 30
create access-list allow102 ip dest 10.2.0.0/16 source 0.0.0.0/0 permit qosprofile qp3
ports any precedence 40
show access-list {<name> | port <portlist>}
show access-list-monitor
過濾ICMP包︰
echo的icmp code是8
echo reply的code是0
create access-list denyping icmp destination any source any type 8 code 0 deny ports
any
配置NAT
1. Enable nat #啟用nat
2. 建立nat規則(動態和靜態)
Static NAT Rule Example
config nat add out_vlan_1 map source 192.168.1.12/32 to 216.52.8.32/32
Dynamic NAT Rule Example
config nat add out_vlan_1 map source 192.168.1.0/24 to 216.52.8.1 - 216.52.8.31
Portmap NAT Rule Example
config nat add out_vlan_2 map source 192.168.2.0/25 to 216.52.8.32 /28 both portmap
Portmap Min-Max Example
config nat add out_vlan_2 map source 192.168.2.128/25 to 216.52.8.64/28 tcp portmap
1024 - 8192
3. show nat rules {vlan <outside_vlan>}
show nat stats
檢查
disable nat 關閉nat
一般配置︰
1.先建立一個vlan
create vlan test
2.然後在配置vlan的界面位址
configure vlan test ipaddress
config vlan test ipaddress 123.45.67.8 / 24
configure test tag 900 為test 打標籤為900
3. 配置缺省通訊閘
config iproute add default <gateway>
4.Save 存儲配置文件
5.configure test add ports 45 tagged 增加45進test vlan
6.configure ports 45 auto on 配置45端口
7.enable ports 45 使能45端口
8.Enable ipforwarding on the <vlan name> 使vlan能夠轉發ip
9.conf vlan xxx proto ip #重要,不然不能添加端口untaggedsu
Extreme 基本命令 一
看看誰登錄Switch
show session
然後用clear session number
config account <username> 配置用戶帳號
config ports <portlist> auto off {speed [10 | 100 | 配置端口
1000]} duplex [half | full]
config time <date> <time> 配置時間和日期︰格式 mm dd yyyy hh mm ss
config time 10 04 2011 13 42 22
config vlan <name> ipaddress <ip_address> 配置vlan的ip位址
{<mask>}
config vlan default ipaddress 192.168.1.1 255.255.255.0
create account [admin | user] <username> {<password>} 建立一個用戶帳號,admin或者是user 普通模式
create account admin ryan XXXX
delete account <username> 刪除帳號
delete vlan <name> 刪除一個vlan
disable clipaging 關閉螢幕輸出時候的暫停功能
enable 。。。。 開啟
disable ports [<portlist> | all] 關閉一個端口,或所有端口
disable telnet 關閉telnet 模式訪問交換機
disable web 關閉web模式訪問交換機
unconfig switch {all} 恢復出廠值,但不包括用戶改的時間和用戶帳號訊息
configure account 配置用戶密碼,不過首先你得先用create建立一個用戶帳號才能用這個改密碼 ExtremeWare支持2種級別的管理︰user和administrator
config dns-client add <ipaddress> 配置一個dns server
ping {udp} {continuous} {size <start_size> {- <end_size>}} [<ip_address> | <hostname>]
{from <src_address> | with record-route | from <src_ipaddress> with record-route}
udp 是指用udp包代替icmp包來ping
continuos 連續ping
size 製定icmp包大小,如果start和end都設置的話,那么每發一個包就增加一個位元組,如果製定開始100結尾200,那么第一次100,第二次101…… 如果沒指定end則按開始包大小發
from 發送源端口
traceroute [<ip_address> | <hostname>] {from <src_ipaddress>} {ttl <TTL>} {port
<port>}
ttl 可指定ttl值
port 製定 udp端口號
show management 查看管理訊息,以及snmp訊息
config snmp add trapreceiver <ip address> {port <udp_port>} community <communitystring> {from <source ip address>} 配置snmp接收host和團契字元串
config snmp delete trapreceiver 這是刪掉trap
config snmp access-profile readonly [<access_profile> | none]配置snmp的只讀訪問列表,none是去除
config snmp access-profile readwrite [<access_profile> | none]
這是控制讀寫控制
config snmp (add 6.22版本)community [readonly | readwrite] <string>控制只讀和讀寫字元串 (在Extremeware Version 6.1.7 (Build 9)測試)
dhcp缺省在每個vlan的每個端口啟用,用以下命令修改
enable dhcp ports <portlist> vlan <name>
disable dhcp ports <portlist> vlan <name>
config cpu-dos-protect [alert-threshold <packets per second>] [notice-threshold
<packets per second>] [timeout <seconds>] [messages [on | off] [filter-precedence
<number>] 配置拒絕服務保護
enable cpu-dos-protect 是dos保護功能啟用
disable cpu-dos-protect
show cpu-dos-protect 顯示配置訊息 (以上為6。22版本)
config ip-mtu <size> vlan <vlan name> 配置mtuT的值可以設置為1500到9216
show session
然後用clear session number
config account <username> 配置用戶帳號
config ports <portlist> auto off {speed [10 | 100 | 配置端口
1000]} duplex [half | full]
config time <date> <time> 配置時間和日期︰格式 mm dd yyyy hh mm ss
config time 10 04 2011 13 42 22
config vlan <name> ipaddress <ip_address> 配置vlan的ip位址
{<mask>}
config vlan default ipaddress 192.168.1.1 255.255.255.0
create account [admin | user] <username> {<password>} 建立一個用戶帳號,admin或者是user 普通模式
create account admin ryan XXXX
delete account <username> 刪除帳號
delete vlan <name> 刪除一個vlan
disable clipaging 關閉螢幕輸出時候的暫停功能
enable 。。。。 開啟
disable ports [<portlist> | all] 關閉一個端口,或所有端口
disable telnet 關閉telnet 模式訪問交換機
disable web 關閉web模式訪問交換機
unconfig switch {all} 恢復出廠值,但不包括用戶改的時間和用戶帳號訊息
configure account 配置用戶密碼,不過首先你得先用create建立一個用戶帳號才能用這個改密碼 ExtremeWare支持2種級別的管理︰user和administrator
config dns-client add <ipaddress> 配置一個dns server
ping {udp} {continuous} {size <start_size> {- <end_size>}} [<ip_address> | <hostname>]
{from <src_address> | with record-route | from <src_ipaddress> with record-route}
udp 是指用udp包代替icmp包來ping
continuos 連續ping
size 製定icmp包大小,如果start和end都設置的話,那么每發一個包就增加一個位元組,如果製定開始100結尾200,那么第一次100,第二次101…… 如果沒指定end則按開始包大小發
from 發送源端口
traceroute [<ip_address> | <hostname>] {from <src_ipaddress>} {ttl <TTL>} {port
<port>}
ttl 可指定ttl值
port 製定 udp端口號
show management 查看管理訊息,以及snmp訊息
config snmp add trapreceiver <ip address> {port <udp_port>} community <communitystring> {from <source ip address>} 配置snmp接收host和團契字元串
config snmp delete trapreceiver 這是刪掉trap
config snmp access-profile readonly [<access_profile> | none]配置snmp的只讀訪問列表,none是去除
config snmp access-profile readwrite [<access_profile> | none]
這是控制讀寫控制
config snmp (add 6.22版本)community [readonly | readwrite] <string>控制只讀和讀寫字元串 (在Extremeware Version 6.1.7 (Build 9)測試)
dhcp缺省在每個vlan的每個端口啟用,用以下命令修改
enable dhcp ports <portlist> vlan <name>
disable dhcp ports <portlist> vlan <name>
config cpu-dos-protect [alert-threshold <packets per second>] [notice-threshold
<packets per second>] [timeout <seconds>] [messages [on | off] [filter-precedence
<number>] 配置拒絕服務保護
enable cpu-dos-protect 是dos保護功能啟用
disable cpu-dos-protect
show cpu-dos-protect 顯示配置訊息 (以上為6。22版本)
config ip-mtu <size> vlan <vlan name> 配置mtuT的值可以設置為1500到9216
Summit add default route
# config iproute add default 12.34.56.78 vr
<vrname> Virtual router name
"VR-Default" "VR-Mgmt"
<vrname> Virtual router name
"VR-Default" "VR-Mgmt"
例如 管理Mgmt要加default route
# config iproute add default 12.34.56.78 vr VR-Mgmt
2011年10月3日 星期一
Juniper NETSCREEN NSRP典型配置及維護
一、NSRP工作原理
NSRP(NetScreen Redundant Protocol)是Juniper公司基於VRRP協議規範自行開發的設備冗餘協議。防火牆作為企業核心網絡中的關鍵設備,需要為所有進出網絡的信息流提供安全保護,為滿足客戶不間斷業務訪問需求,要求防火牆設備必須具備高可靠性,能夠在設備、鏈路及互連設備出現故障的情況下,提供網絡訪問路徑無縫切換。NSRP冗餘協議提供複雜網絡環境下的冗餘路徑保護機制。NSRP主要功能有:
1、在高可用群組成員之間同步配置信息;2、提供活動會話同步功能,以保證發生路徑切換情況下不會中斷網絡連接;3、採用高效的故障切換算法,能夠在短短幾秒內迅速完成故障檢測和狀態切換。
NSRP集群兩種工作模式:
一、Active/Passive模式:通過對一個冗餘集群中的兩台安全設備進行電纜連接和配置,使其中一台設備作為主用設備,另一台作為備用設備。主用設備負責處理所有網絡信息流,備用設備處於在線備份狀態。主設備將其網絡和配置命令及當前會話信息傳播到備用設備,備用設備始終保持與主用設備配置信息和會話連接信息的同步,並跟踪主用設備狀態,一旦主設備出現故障,備份設備將在極短時間內晉升為主設備並接管信息流處理。
二、Active/Active模式:在NSRP中創建兩個虛擬安全設備(VSD) 組,每個組都具有自己的虛擬安全接口(VSI),通過VSI接口與網絡進行通信。設備A充當VSD組1的主設備和VSD 組2的備份設備。設備B充當VSD組2的主設備和VSD組1的備份設備。Active/Active模式中兩台防火牆同時進行信息流的處理並彼此互為備份。在雙主動模式中不存在任何單一故障點。如下圖所示,通過調整防火牆上下行路由/交換設備到網絡的路由指向,HostA通過左側路徑訪問ServerA,HostB通過右側路徑訪問ServerB,網絡中任一設備或鏈路出現故障時,NSRP集群均能夠做出正確的路徑切換。
NSRP集群技術優勢主要體現於:
1、消除防火牆及前後端設備單點故障,提供網絡高可靠性。即使在骨幹網絡中兩類核心設備同時出現故障,也能夠保證業務安全可靠運行。
2、根據客戶網絡環境和業務可靠性需要,提供靈活多樣的可靠組網方式。NSRP雙機集群能夠提供1、Active-Passive模式Layer2/3多虛擬路由器多虛擬系統和口型/交叉型組網方式;2、Active-Active模式Layer2/3多虛擬路由器多虛擬系統和口型/ Fullmesh交叉型組網方式。為用戶提供靈活的組網選擇。
3、NSRP雙機結構便於網絡維護管理,通過將流量在雙機間的靈活切換,在防火牆軟件升級、前後端網絡結構優化改造及故障排查時,雙機結構均能夠保證業務的不間斷運行。
4、結合Netscreen虛擬系統和虛擬路由器技術,部署一對NSRP集群防火牆,可以為企業更多的應用提供靈活可靠的安全防護,減少企業防火牆部署數量和維護成本。
二、NSRP典型結構與配置
1、Layer3 口型A/P組網模式
Layer3 口型A/P組網模式是當前很多企業廣泛採用的HA模式,該模式具有對網絡環境要求不高,無需網絡結構做較大調整,具有較好冗餘性、便於管理維護等優點。缺點是Netscreen防火牆利用率不高,同一時間只有一台防火牆處理網絡流量;冗餘程度有限,僅在一側鏈路和設備出現故障時提供冗餘切換。Layer3 口型組網A/P模式具有較強冗餘性、低端口成本和網絡結構簡單、便於維護管理等角度考慮,成為很多企業選用該組網模式的標準。
配置說明:兩台Netscreen設備採用相同硬件型號和軟件版本,組成Active/Passive冗餘模式,兩台防火牆均使用一致的Ethernet接口編號連接到網絡。通過雙HA端口或將2Ethernet接口放入HA區段,其中控制鏈路用於NSRP心跳信息、配置信息和Session會話同步,數據鏈路用於在兩防火牆間必要時傳輸數據流量。
NS-A(主用):
Set hostname NS-A /***定義主機名***/
Set interface ethernet1 zone untrust
Set interface ethernet1 ip 100.1.1.4/29
Set interface ethernet1 route
Set interface ethernet2 zone trust
Set interface ethernet2 ip 192.168.1.4/29
Set interface ethernet2 route
Set interface mgt ip 192.168.2.1/24 /***通過管理口遠程管理NS-A***/
/***配置接口:Untrust/Trust Layer3路由模式** */
Set interface ethernet3 zone HA
Set interface ethernet4 zone HA
/***Eth3和Eth4口用於HA互連,用於同步配置文件、會話信息和跟踪設備狀態信息***/
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 50 /***缺省值為100,低值優先成為主用設備***/
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***配置NSRP :Vsd-group缺省為0,VSI使用物理接口IP地址,非搶占模式***/
NS-B(備用):
Set hostname NS-B /***定義主機名***/
Set interface ethernet1 zone Untrust
Set interface ethernet1 ip 100.1.1.4/29
Set interface ethernet1 route
Set interface ethernet2 zone trust
Set interface ethernet2 ip 192.168.1.4/29
Set interface ethernet2 route
Set interface mgt ip 192.168.2.2/24 /***通過管理口遠程管理NS-A***/
/***配置接口:Untrust/Trust Layer3路由模式***/
Set interface ethernet3 zone HA
Set interface ethernet4 zone HA
/***Eth3和Eth4口用於HA互連,用於同步配置文件、會話信息和跟踪設備狀態信息***/
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***Vsd -group缺省為0,VSI使用物理接口IP地址,備用設備:優先級100,成為非搶占模式***/
2、Layer3 Fullmesh A/P組網模式
Layer3 Fullmesh連接A/P組網使用全交叉網絡連接模式,容許在同一設備上提供鏈路級冗餘,發生鏈路故障時,由備用鏈路接管網絡流量,防火牆間無需進行狀態切換。僅在上行或下行兩條鏈路同時發生故障情況下,防火牆才會進行狀態切換,Fullmesh連接進一步提高了業務的可靠性。該組網模式在提供設備冗餘的同時提供鏈路級冗餘,成為很多企業部署關鍵業務時的最佳選擇。
NS-A(Active):
Set hostname NS-A /***定義主機名***/
Set interface mgt ip 192.168.2.1/24 /***通過管理口遠程管理NS-A***/
Set interface red1 zone Untrust /***創建冗餘接口1***/
Set interface e1 zone null
Set interface e1 group red1
Set interface e2 zone null
Set interface e2 group red1
Set interface red1 ip 10.1.1.4/29
Set interface red2 zone trust
Set interface e3 zone null
Set interface e3 group red2
Set interface e4 zone null
Set interface e4 group red2
Set interface red2 ip 192.168.1.4/29
/***配置接口:Untrust/Trust Layer3路由模式***/
Set interface ethernet7 zone ha
Set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp rto-mirror sync /***容許會話信息自動同步***/
set nsrp vsd-group id 0 priority 50
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/ ***配置NSRP:Vsd-group缺省為0,VSI使用物理接口IP地址,優先級為50,非搶占模式***/
NS-B(Backup):
Set hostname NS-B /***定義主機名***/
Set interface mgt ip 192.168.2.2/24 /***通過管理口遠程管理NS-A***/
Set interface red1 zone Untrust /***創建冗餘接口***/
Set interface e1 zone null
Set interface e1 group red1 /***將該物理接口放置到冗餘接口中***/
Set interface e2 zone null
Set interface e2 group red1
Set interface red1 ip 10.1.1.4/29
Set interface red2 zone trust
Set interface e3 zone null
Set interface e3 group red2
Set interface e4 zone null
Set interface e4 group red2
Set interface red2 ip 192.168.1.4/29
/***配置接口:Untrust/Trust Layer3路由模式***/
Set interface ethernet7 zone ha
Set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp rto-mirror sync /***容許會話信息自動同步***/
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/ ***Vsd-group缺省為0,VSI使用物理接口IP地址,備用設備***/
Cisco Trunk & PortChannel
Trunk~
conf t
interface Gi1/0/23
switchport trunk allowed vlan 1
switchport mode trunk
!
interface Gi1/0/24
switchport trunk allowed vlan 1
switchport mode trunk
wri
Port Channel~
如果是要將2個port合併頻寬的話,則用下列方法即可
conf t
interface Port-channel1
switchport trunk encapsulation dot1q
switchport mode trunk
interface Gi1/0/23
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode active
!
interface Gi1/0/24
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode active
wri
conf t
interface Gi1/0/23
switchport trunk allowed vlan 1
switchport mode trunk
!
interface Gi1/0/24
switchport trunk allowed vlan 1
switchport mode trunk
wri
Port Channel~
如果是要將2個port合併頻寬的話,則用下列方法即可
conf t
interface Port-channel1
switchport trunk encapsulation dot1q
switchport mode trunk
interface Gi1/0/23
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode active
!
interface Gi1/0/24
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode active
wri
訂閱:
文章 (Atom)