Настройка Juniper SSG 5, Juniper SSG 140 Настройка отказоустойчивости (failover) между двумя провайдерами на Juniper.

Juniper SSG 5, Juniper SSG 140, настройка SSG



Полезная ссылка: О нас и наших клиентах

 

 

Для бизнеса главное стабильность работы сети (как intranet та extranet). В связи с эти необходимо знать и понимать как настроить  Juniper SSG 5, Juniper SSG 140  при работе с двумя интернет сервис провайдерами. В статье будет описаны команды, которые необходимы при настройке отказоустойчивости оборудования серии SSG. И так будут описаны шаги требуемые для данных настроек на SSG Juniper c использованием track-IP для мониторинга IP адресов в интернете и автоматический переход (fail-over and fail-back) при аварии на одном из провайдеров.

 

Первый шаг при настройке Juniper SSG, это переместить интерфейс, который будет подключен к Интернету в свой ​​собственный виртуальный маршрутизатор (vrouter). Это позволит нам иметь активный маршрут по умолчанию для каждого соединения, и они могут вести себя независимо друг от друга.

 

set interface ethernet0/0 zone null

set interface ethernet0/1 zone null

set zone untrust vrouter untrust-vr

set vrouter name adsl-vr

set zone name BackupUntrust

set zone BackupUntrust vrouter adsl-vr

 

Полезная ссылка: Консультация по настройке оборудования Juniper

В этом примере, 192.0.2.0/24 диапазон адресов для WAN  подключения. Поскольку из данного диапазона адреса доступны в интернете, ограничим протоколы, по которым мы будем видеть данные IP адреса. В данном примере для SSG мы разрешили протоколы ping, ssh, ssl.

 

set interface ethernet0/0 ip 192.0.2.2/29

set interface ethernet0/0 route

set interface ethernet0/0 manage-ip 192.0.2.3

set interface ethernet0/0 manage ping

set interface ethernet0/0 manage ssh

set interface ethernet0/0 manage ssl

set interface ethernet0/1 ip 192.0.2.10/29

set interface ethernet0/1 route

set interface ethernet0/1 manage-ip 192.0.2.11

set interface ethernet0/1 manage ping

set interface ethernet0/1 manage ssh

set interface ethernet0/1 manage ssl

 

Настоим  маршруты по умолчанию (default routes) из каждого виртуального маршрутизатора(vrouter), так что бы маршруты из vrouter SSG были доступны из Интернета.

set vrouter untrust-vr

set route 0.0.0.0/0 interface ethernet0/0 gateway 192.0.2.1

exit

set vrouter adsl-vr

set route 0.0.0.0/0 interface ethernet0/1 gateway 192.0.2.9

exit

 

Мы должны гарантировать, что внутренние пользователи имеют маршрут в Untrust-VR и ADSL-VR виртуальных роутерах. Для этого, в примере, экспортируем статический маршрут по умолчанию в Untrust-VR и ADSL-VR виртуальные роутеры.

 

set vrouter "untrust-vr"

set access-list 1

set access-list 1 permit ip 0.0.0.0/0 1

set route-map name "untrust-vr_export" permit 1

set match ip 1

set preserve preference

exit

set export-to vrouter "trust-vr" route-map "untrust-vr_export" protocol static

set vrouter "adsl-vr"

set access-list 1

set access-list 1 permit ip 0.0.0.0/0 1

set route-map name "adsl-vr_export" permit 1

set match ip 1

exit

set export-to vrouter "trust-vr" route-map "adsl-vr_export" protocol static

 

Это импортирует маршруты по умолчанию в trust-vr и            установить метрику лучшего маршрута для untrust-vr 20 в то время как на для виртуального роутера adsl-vr метрика 140.

 

Теперь,  пользователи могут подключаться к Интернет через Juniper SSG 5 или Juniper SSG 140, теперь необходимо настроить мониторинг достижимости обоих каналов ISP, что настройки отказоустойчивости сети. Это достигается за счет использования track-ip для мониторинга количества хостов в Интернете и  если интерфейс становится недостижимым, он должен перейти в состояние down на SSG.

 

В этом примере используем IP адреса некоторых из корневых серверов DNS как адреса межсетевого экрана SSG, и  будут использовать для проверки допустимости подключения к Интернету, но могут быть любые IP адреса, которые будут открыты на запросы ping.

 

set interface ethernet0/0 monitor track-ip ip

set interface ethernet0/0 monitor track-ip threshold 75

set interface ethernet0/0 monitor track-ip weight 75

set interface ethernet0/0 monitor track-ip ip 192.58.128.30 threshold 25

set interface ethernet0/0 monitor track-ip ip 192.58.128.30 weight 25

set interface ethernet0/0 monitor track-ip ip 192.58.128.30 threshold 25

set interface ethernet0/0 monitor track-ip ip 192.36.148.17 weight 25

set interface ethernet0/0 monitor track-ip ip 193.0.14.129 threshold 25

set interface ethernet0/0 monitor track-ip ip 193.0.14.129 weight 25

 

Ping на три адреса каждую секунду, максимальное количество пакетов которые не пришли к хостам 25. Если Juniper SSG 5 или 140 увидит, что адреса 192.58.128.30,  192.58.128.30, 193.0.14.129 не доступны и не проходит ping ( 25 пакетов не пришло)данные показатели суммируються и интерфейс переходит в состояние down. Для проверки track-ip используйте следующие команды:

 

get interface ethernet0/0 monitor

get interface ethernet0/0 monitor track-ip

 

Если интерфейс выключен(shut down) по умолчанию маршрут не действительный untrust-vr и будет удален с trust-vr, оставив маршрут по умолчанию из ADSL-VR активным и интернет-трафика будет продолжать функционировать в обычном режиме. Адрес управления на приоритетном включении к провайдеру Juniper SSG 5, Juniper SSG 140 будет продолжать опрашивать диапазон IP-адресов и когда они станут доступны, все восстановиться.

После такого перехода, сессии пользователей сбрасываются, так что им придётся опять залогинится на сайт или перегрузить страничку  в браузере.

Удачной настройки.

Также предлагаем услуги по настройке оборудования Juniper SSG 5, Juniper SSG 20, Juniper SSG 140, Juniper SSG 320M, Juniper SSG 350M, Juniper SSG 520M, Juniper SSG 550M. 

 

Полезные ссылки:

Услуги по настройке оборудования Juniper

Настройка Juniper SRX в кластер

Настройка протокола BGP на оборудовании Juniper



Обновлен 12 июл 2014. Создан 10 апр 2013



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика