【正文】 xyARPset security nat proxyarp interface ge0/0/ address 配置往外訪問(wèn)的策略set security policies fromzone trust tozone untrust policy policyapptest match sourceaddress anyset security policies fromzone trust tozone untrust policy policyapptest match destinationaddress anyset security policies fromzone trust tozone untrust policy policyapptest match application apptestset security policies fromzone trust tozone untrust policy policyapptest then permitset security policies fromzone trust tozone untrust policy policyapptest then log sessioninitset applications application protocol tcpset applications application destinationport set applications applicationset apptest application junosicmpallset applications applicationset apptest application junostftpset applications applicationset apptest application set applications applicationset apptest application junosftp 測(cè)試表格測(cè)試號(hào)Test4設(shè)備名稱(chēng)Juniper SRX防火墻：SRX240H1設(shè)備軟件版本測(cè)試項(xiàng)目設(shè)備基于Rule的源NAT測(cè)試2：NAT地址與外網(wǎng)接口地址在同一網(wǎng)段測(cè)試目的驗(yàn)證設(shè)備的防火墻基于Rule的源NAT功能測(cè)試配置見(jiàn)本節(jié)的設(shè)備配置部分測(cè)試步驟： 按配置步驟進(jìn)行配置 配置2臺(tái)測(cè)試PC在防火墻內(nèi)、外網(wǎng)側(cè)，分別配置地址為： 在內(nèi)網(wǎng)PC：（ping）、TCP（）、UDP（tftp），如正常則表示trust zone的pc能通過(guò)NAT正常訪問(wèn)外網(wǎng)服務(wù)器，并且在外網(wǎng)服務(wù)器上能看到訪問(wèn)的源地址為： 檢查命令：A、查看session連接：lab@SRX240H1 show security flow sessionB、檢查源NAT狀態(tài)：lab@SRX240H1show security nat source summary lab@SRX240H1 show security nat source rule allC、檢查是否所有服務(wù)都正常允許D、檢查log信息：lab@SRX240H1 show log rtlogd預(yù)期結(jié)果： 在基于接口的源NAT的情況下，內(nèi)網(wǎng)PC：、TFTP訪問(wèn)外網(wǎng)PC：，能正常訪問(wèn)，：測(cè)試結(jié)果：測(cè)試結(jié)果： 通過(guò) ( ) 失敗 ( )測(cè)試通過(guò)：(簽字)測(cè)試失?。?簽字)失敗原因：注釋?zhuān)? HA工作方式測(cè)試 測(cè)試內(nèi)容防火墻的HA工作方式是指兩臺(tái)防火墻運(yùn)行于主備工作狀態(tài)，正常情況下，數(shù)據(jù)流通過(guò)主防火墻進(jìn)行通信，在主防火墻出現(xiàn)故障時(shí)（包括各類(lèi)線路故障和設(shè)備故障），業(yè)務(wù)可正常地切換到備份防火墻。對(duì)于防火墻的HA工作方式的測(cè)試包含以下幾個(gè)方面：n 正常情況下，主防火墻承擔(dān)所有業(yè)務(wù)流量。n 兩個(gè)防火墻內(nèi)的session表的同步功能。n 主防火墻出現(xiàn)故障時(shí)，包括各種線路故障和設(shè)備故障，業(yè)務(wù)可正常地切換到備份防火墻，并保證session不丟失。n 主防火墻故障排除后，業(yè)務(wù)可正常切換回主防火墻，并保證session不丟失?；镜臏y(cè)試方法是在使用網(wǎng)絡(luò)PC模擬業(yè)務(wù)連接，在正常情況下，觀察業(yè)務(wù)是否通過(guò)主防火墻正常運(yùn)行，兩臺(tái)防火墻的session是否同步，然后進(jìn)行主防火墻相關(guān)的各個(gè)單故障點(diǎn)的切換測(cè)試，觀察業(yè)務(wù)是否可正常切換，最后將主防火墻進(jìn)行恢復(fù)，觀察業(yè)務(wù)是否可正常切換。推薦的測(cè)試業(yè)務(wù)：n TFTPn HTTPn Ping 測(cè)試拓?fù)鋱D 設(shè)備配置 HA連線根據(jù)不同的SRX設(shè)備類(lèi)型，HA的連線會(huì)有所不同，本次測(cè)試使用的SRX 240的HA連線為，其中fxp0和fxp1的接口在srx240中必須為ge0/0/0和ge0/0/1，fab可以為任何一個(gè)數(shù)據(jù)接口。 Ge0/0/0為帶外網(wǎng)管線FXP0 Ge0/0/1為chassis cluster control plane：FXP1 Ge0/0/15為chassis cluster data plane：fab Ge0/0/7為內(nèi)網(wǎng)接口：reth7 Ge0/0/8為外網(wǎng)接口：reth8 配置HA在主用SRX1上配置：set chassis cluster clusterid 1 node 0 reboot 在備用SRX1上配置：set chassis cluster clusterid 1 node 1 reboot 串口登錄至srx1上進(jìn)行HA的其他配置 配置組中的設(shè)備名及fxp0管理地址set groups node0 system hostname srx1set groups node0 interfaces fxp0 unit 0 family inet address set groups node1 system hostname srx2set groups node1 interfaces fxp0 unit 0 family inet address set applygroups ${node} 配置HA接口組：set chassis cluster controllinkrecoveryset chassis cluster rethcount 10set chassis cluster heartbeatinterval 1000set chassis cluster heartbeatthreshold 3set chassis cluster redundancygroup 0 node 0 priority 254set chassis cluster redundancygroup 0 node 1 priority 100set chassis cluster redundancygroup 1 node 0 priority 200set chassis cluster redundancygroup 1 node 1 priority 100set chassis cluster redundancygroup 1 preemptset chassis cluster redundancygroup 1 interfacemonitor ge0/0/7 weight 255set chassis cluster redundancygroup 1 interfacemonitor ge5/0/7 weight 255set chassis cluster redundancygroup 1 interfacemonitor ge5/0/8 weight 200set chassis cluster redundancygroup 1 interfacemonitor ge0/0/8 weight 200 配置各個(gè)reth接口及ip地址set interfaces ge0/0/7 gigetheroptions redundantparent reth7set interfaces ge0/0/8 gigetheroptions redundantparent reth8set interfaces ge0/0/13 unit 0 family inet address set interfaces ge5/0/7 gigetheroptions redundantparent reth7set interfaces ge5/0/8 gigetheroptions redundantparent reth8set interfaces fab0 fabricoptions memberinterfaces ge0/0/15set interfaces fab1 fabricoptions memberinterfaces ge5/0/15set interfaces reth7 redundantetheroptions redundancygroup 1set interfaces reth7 unit 0 family inet address set interfaces reth8 redundantetheroptions redundancygroup 1set interfaces reth8 unit 0 family inet address 將各個(gè)reth接口分配至相應(yīng)的zoneset security zones securityzone trust interfaces set security zones securityzone untrust interfaces 配置策略set security policies fromzone trust tozone untrust policy policyapptest match sourceaddress anyset security policies fromzone trust tozone untrust policy policyapptest match destinationaddress anyset security policies fromzone trust tozone untrust policy policyapptest match application apptestset security policies fromzone trust tozone untrust policy policyapptest then permitset security policies fromzone trust tozone untrust policy policyapptest then log sessioninitset applications application protocol tcpset applications application destinationport set applications applicationset apptest application set applications applicationset apptest application junosicmpallset applications applicationset apptest application junostftpset applications applicationset apptest application junosftp 測(cè)試表格測(cè)試號(hào)Test4設(shè)備名稱(chēng)Juniper SRX防火墻：SRX240H1設(shè)備軟件版本測(cè)試項(xiàng)目設(shè)備基于HA工作方式測(cè)試測(cè)試目的驗(yàn)證防火墻的HA功能測(cè)試配置見(jiàn)本節(jié)的設(shè)備配置部分測(cè)試步驟： 按配置步驟進(jìn)行配置 配置2臺(tái)測(cè)試PC在防火墻內(nèi)、外網(wǎng)側(cè)，分別配置地址為： 在內(nèi)網(wǎng)PC：（ping）、TCP（）、UDP（tftp） 將主用SRX1的對(duì)內(nèi)網(wǎng)的網(wǎng)線ge0/0/7斷開(kāi)，查看應(yīng)用能否正常切換至備用設(shè)備SRX2上 檢查命令：A、 查看session連接：lab@SRX240H1 show security flow sessionB、 檢查源HA狀態(tài)：lab@SRX240H1 show chassis cluster status lab@SRX240H1 show interfaces terseC、 檢查是否所有服務(wù)都正常允許D、 檢查log信息：lab@SRX240H1 show log rtlogdlab@SRX240H1 show log jsrpdE、 show結(jié)果及配置 預(yù)期結(jié)果： 在HA的情況下，內(nèi)網(wǎng)PC：、TFTP訪問(wèn)外網(wǎng)PC：，能正常訪問(wèn)，并且在主設(shè)備SRX1的內(nèi)網(wǎng)線出現(xiàn)問(wèn)題后，能切換至備用設(shè)備，并能繼續(xù)傳輸數(shù)據(jù)測(cè)試結(jié)果：測(cè)試結(jié)果： 通過(guò) ( ) 失敗 ( )測(cè)試通過(guò)：(簽字)測(cè)試失?。?簽字)失敗原因：注釋?zhuān)? 基于策略的長(zhǎng)