【正文】 40H1 show log rtlogdD、 show結(jié)果及配置文件： 預(yù)期結(jié)果： 在策略為允許的情況下，PC：、能正常訪問(wèn) 在策略為拒絕的情況下，PC：、不能訪問(wèn)相應(yīng)的業(yè)務(wù)測(cè)試結(jié)果：測(cè)試結(jié)果： 通過(guò) ( ) 失敗 ( )測(cè)試通過(guò)：(簽字)測(cè)試失?。?簽字)失敗原因：注釋： 靜態(tài)NAT測(cè)試 測(cè)試內(nèi)容基于靜態(tài)NAT功能的要求是：對(duì)SRX內(nèi)網(wǎng)側(cè)的服務(wù)器主機(jī)地址進(jìn)行一對(duì)一NAT映射，即對(duì)于從SRX外網(wǎng)側(cè)進(jìn)入內(nèi)網(wǎng)側(cè)的數(shù)據(jù)流，對(duì)目的地址進(jìn)行NAT。具體的測(cè)試需求：n 在SRX防火墻上對(duì)PC，、。n PC－1作為業(yè)務(wù)客戶端，PC－2作為業(yè)務(wù)服務(wù)器端進(jìn)行業(yè)務(wù)測(cè)試，包括ICMP（ping）、TCP（）、UDP（TFTP）測(cè)試n 檢查在基于接口的源NAT的情況下，訪問(wèn)外網(wǎng)服務(wù)器的PC2的源地址應(yīng)該為防火墻的外網(wǎng)接口地址。具體的測(cè)試要求為：n 在SRX防火墻上對(duì)PC－，轉(zhuǎn)換后的地址為SRX的外網(wǎng)接口地址在同一子網(wǎng)內(nèi)：。n 主防火墻出現(xiàn)故障時(shí)，包括各種線路故障和設(shè)備故障，業(yè)務(wù)可正常地切換到備份防火墻，并保證session不丟失。 Ge0/0/0為帶外網(wǎng)管線FXP0 Ge0/0/1為chassis cluster control plane：FXP1 Ge0/0/15為chassis cluster data plane：fab Ge0/0/7為內(nèi)網(wǎng)接口：reth7 Ge0/0/8為外網(wǎng)接口：reth8 配置HA在主用SRX1上配置：set chassis cluster clusterid 1 node 0 reboot 在備用SRX1上配置：set chassis cluster clusterid 1 node 1 reboot 串口登錄至srx1上進(jìn)行HA的其他配置 配置組中的設(shè)備名及fxp0管理地址set groups node0 system hostname srx1set groups node0 interfaces fxp0 unit 0 family inet address set groups node1 system hostname srx2set groups node1 interfaces fxp0 unit 0 family inet address set applygroups ${node} 配置HA接口組：set chassis cluster controllinkrecoveryset chassis cluster rethcount 10set chassis cluster heartbeatinterval 1000set chassis cluster heartbeatthreshold 3set chassis cluster redundancygroup 0 node 0 priority 254set chassis cluster redundancygroup 0 node 1 priority 100set chassis cluster redundancygroup 1 node 0 priority 200set chassis cluster redundancygroup 1 node 1 priority 100set chassis cluster redundancygroup 1 preemptset chassis cluster redundancygroup 1 interfacemonitor ge0/0/7 weight 255set chassis cluster redundancygroup 1 interfacemonitor ge5/0/7 weight 255set chassis cluster redundancygroup 1 interfacemonitor ge5/0/8 weight 200set chassis cluster redundancygroup 1 interfacemonitor ge0/0/8 weight 200 配置各個(gè)reth接口及ip地址set interfaces ge0/0/7 gigetheroptions redundantparent reth7set interfaces ge0/0/8 gigetheroptions redundantparent reth8set interfaces ge0/0/13 unit 0 family inet address set interfaces ge5/0/7 gigetheroptions redundantparent reth7set interfaces ge5/0/8 gigetheroptions redundantparent reth8set interfaces fab0 fabricoptions memberinterfaces ge0/0/15set interfaces fab1 fabricoptions memberinterfaces ge5/0/15set interfaces reth7 redundantetheroptions redundancygroup 1set interfaces reth7 unit 0 family inet address set interfaces reth8 redundantetheroptions redundancygroup 1set interfaces reth8 unit 0 family inet address 將各個(gè)reth接口分配至相應(yīng)的zoneset security zones securityzone trust interfaces set security zones securityzone untrust interfaces 配置策略set security policies fromzone trust tozone untrust policy policyapptest match sourceaddress anyset security policies fromzone trust tozone untrust policy policyapptest match destinationaddress anyset security policies fromzone trust tozone untrust policy policyapptest match application apptestset security policies fromzone trust tozone untrust policy policyapptest then permitset security policies fromzone trust tozone untrust policy policyapptest then log sessioninitset applications application protocol tcpset applications application destinationport set applications applicationset apptest application set applications applicationset apptest application junosicmpallset applications applicationset apptest application junostftpset applications applicationset apptest application junosftp 測(cè)試表格測(cè)試號(hào)Test4設(shè)備名稱Juniper SRX防火墻：SRX240H1設(shè)備軟件版本測(cè)試項(xiàng)目設(shè)備基于HA工作方式測(cè)試測(cè)試目的驗(yàn)證防火墻的HA功能測(cè)試配置見(jiàn)本節(jié)的設(shè)備配置部分測(cè)試步驟： 按配置步驟進(jìn)行配置 配置2臺(tái)測(cè)試PC在防火墻內(nèi)、外網(wǎng)側(cè)，分別配置地址為： 在內(nèi)網(wǎng)PC：（ping）、TCP（）、UDP（tftp） 將主用SRX1的對(duì)內(nèi)網(wǎng)的網(wǎng)線ge0/0/7斷開(kāi)，查看應(yīng)用能否正常切換至備用設(shè)備SRX2上 檢查命令：A、 查看session連接：labSRX240H1 show security flow sessionB、 檢查源HA狀態(tài)：labSRX240H1 show chassis cluster status labSRX240H1 show interfaces terseC、 檢查是否所有服務(wù)都正常允許D、 檢查log信息：labSRX240H1 show log rtlogdlabSRX240H1 show log jsrpdE、 show結(jié)果及配置 預(yù)期結(jié)果： 在HA的情況下，內(nèi)網(wǎng)PC：、TFTP訪問(wèn)外網(wǎng)PC：，能正常訪問(wèn)，并且在主設(shè)備SRX1的內(nèi)網(wǎng)線出現(xiàn)問(wèn)題后，能切換至備用設(shè)備，并能繼續(xù)傳輸數(shù)據(jù)測(cè)試結(jié)果：測(cè)試結(jié)果： 通過(guò) ( ) 失敗 ( )測(cè)試通過(guò)：(簽字)測(cè)試失?。?簽字)失敗原因：注釋： 基于策略的長(zhǎng)連?；镜臏y(cè)試方法是在使用網(wǎng)絡(luò)PC模擬業(yè)務(wù)連接，在正常情況下，觀察業(yè)務(wù)是否通過(guò)主防火墻正常運(yùn)行，兩臺(tái)防火墻的session是否同步，然后進(jìn)行主防火墻相關(guān)的各個(gè)單故障點(diǎn)的切換測(cè)試，觀察業(yè)務(wù)是否可正常切換，最后將主防火墻進(jìn)行恢復(fù)，觀察業(yè)務(wù)是否可正常切換。對(duì)于防火墻的HA工作方式的測(cè)試包含以下幾個(gè)方面：n 正常情況下，主防火墻承擔(dān)所有業(yè)務(wù)流量。具體的測(cè)試要求為：n 在SRX防火墻上對(duì)PC－，轉(zhuǎn)換后的地址為SRX的外網(wǎng)接口地址不在同一子網(wǎng)內(nèi)：。 檢查命令：A、 查看session連接：labSRX240H1 show security flow sessionB、 檢查目的NAT Pool：labSRX240H1 show security nat destination pool allC、 檢查是否所有服務(wù)都正常允許或拒絕：、：D、 檢查log信息：labSRX240H1 show log rtlogdE、 show結(jié)果及配置文件： 預(yù)期結(jié)果： 在目的NAT的情況下，外網(wǎng)PC：、TFTP訪問(wèn)內(nèi)網(wǎng)PC：、6對(duì)外的NAT地址：、2，能正常訪問(wèn)，、6上看到源地址為NAT后的地址：測(cè)試結(jié)果：測(cè)試結(jié)果： 通過(guò) ( ) 失敗 ( )測(cè)試通過(guò)：(簽字)測(cè)試失?。?簽字)失敗原因：注釋： 基于接口的源NAT測(cè)試 測(cè)試內(nèi)容基于接口的源NAT功能的要求是：對(duì)SRX內(nèi)網(wǎng)側(cè)的主機(jī)地址訪問(wèn)外網(wǎng)進(jìn)行NAT轉(zhuǎn)換，即對(duì)于從SRX內(nèi)網(wǎng)側(cè)進(jìn)入外網(wǎng)側(cè)的數(shù)據(jù)流，對(duì)源地址進(jìn)行NAT，NAT地址為外網(wǎng)側(cè)的接口IP地址。n PC－1作為業(yè)務(wù)服務(wù)器端，PC－2作為業(yè)務(wù)客戶端進(jìn)行業(yè)務(wù)測(cè)試，包括ICMP（ping）、TCP（）、UDP（TFTP）測(cè)試n PC－1作為業(yè)務(wù)客戶端，PC－2作為業(yè)務(wù)服務(wù)器端進(jìn)行業(yè)務(wù)測(cè)試，包括ICMP（ping）、TCP（）、UDP（TFTP）測(cè)試 測(cè)試拓?fù)鋱DPC1InternetStatic NATPC2TrustUntrustSRXGe0/0/0Ge0/0/8 設(shè)備配置配置接口IP地址set interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 family inet address 配置目的靜態(tài)目的NATset security nat static ruleset staticnat1 from zone untrustset security nat static ruleset staticnat1 rule rulestaticnat1 match destinationaddress set security nat static ruleset staticnat1 rule rulestaticnat1 then staticnat prefix 配置zone及將接口加到zone中，將ge0/0/ zone，將ge0/0/ zoneset security zones securityzone trust hostinboundtraffic systemservices allset security zones securityzone trust hostinboundtraffic protocols allset security zones securityzone trust inte