《Juniper维护手册》深圳发展银行

CLI: get service 创建一个新的服务

目标协议和端口号我们可以设置多个组合，例如TCP 8888＋UDP＋ICMP等

我们一般仅设置目标端口号，源端口号不做限制，例如我们要提供一个WWW的服务，类似设置就是： TCP 0 65535 80 80

如果设置允许ICMP的PING，可以设置为：ICMP 80

2.11 策略Policy报告Report

如果我们想看具体某一条策略是否有流量或流量的源地址、目的地址以及源和目的转换的情况我们可以在策略中点击记事本直接进行观

41

《Juniper维护手册》深圳发展银行

看。

另外系统也提供一个汇总的方式让我们能够方便地观测所有策略的数据流的概要信息，比如在一个时刻都有哪些业务在运行，每种业务的数据量等等。

点击Reports－Polices：

如上图所示，我们可以直观地看到某个时刻都有哪些业务流在进行，灰色的记事本代表没有业务，蓝色的代表有业务数据流，点击蓝色记事本可以查看业务数据流的详细信息。

42

《Juniper维护手册》深圳发展银行

四、防火墙日常应用

4.1、Netscreen 冗余协议（NSRP）

NSRP协议提供了灵活的设备和路径冗余保护功能，在设备和链路发生故障的情况下进行快速切换，切换时现有会话连接不会受到影响。设计NSRP架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。

4.1.1、NSRP部署建议：

基于端口和设备的冗余环境中，无需启用端口和设备级的抢占模式（preempt），避免因交换机端口不稳定而引发nsrp反复切换。 当配置两组或两组以上的防火墙到同一组交换机上时，每组nsrp集群应设置不同的cluster ID号，避免因相同的cluster ID号引发接口MAC地址冲突现象。

防火墙nsrp集群建议采用接口监控方式，仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能够更快更准确的反映网络状态变化。

在单台防火墙设备提供的session和带宽完全可以满足网络需求时，建议采用基于路由的Active-Passive主备模式，该模式组网结构清晰，便于维护和管理。

设备运行时应保证HA线缆连接可靠，为确保HA心跳连接不会出现中断，建议配置HA备份链路“secondary－path”。

43

《Juniper维护手册》深圳发展银行

NSRP许多配置参数是经过检验的推荐配置，通常情况下建议采用这些缺省参数。

4.1.2NSRP常用维护命令

get license-key 查看防火墙支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是简化版，支持设备和链路冗余切换，不支持配置和会话同步。

exec nsrp sync global-config check-sum 检查双机配置命令是否同步

exec nsrp sync global-config save 如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。

get nsrp 查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。

Exec nsrp sync rto all from peer 手动执行RTO信息同步，使双机保持会话信息一致

exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。 exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。 set failover on/set failover auto启用并容许冗余接口自动切换 exec failover force 手动执行将主用端口切换为备用端口。 exec failover revert 手动执行将备用端口切换为主用端口。

44