2008年7月19日 星期六

讓NetScreen 5GT防火牆具有兩組備援機制的WAN Port

要讓NetScreen 5GT防火牆具有兩組備援機制的WAN Port(RJ-45),該如何設定?

04 / 06 / 2005

NetScreen 5GT 防火牆預設提供 2 個 Untrust port(1 個 RJ-45、1 個RS-232)、4 個 RJ-45 Trust port,這裡的 Uuntrust 及 Trust port 的意思也就是一般所謂的 WAN port 及 LAN port。至於為何要以 Untrust、Trust 來命名,就字面上解釋來看,應該是認為外部是較不安全,攻擊較多因此也不被信任(untrust),而內部則較安全且攻擊較少,自然較容易被信任 (trust)了,不管其名稱為何,將它想成 WAN 及LAN會比較容易理解。




根 據上面的資料要接兩組外部線路(WAN)可使用 1 組 RJ-45(ADSL 或Cable)及 1 組 RS-232(ISDN),但若無 ISDN,卻有兩組 ADSL 或 Cable 的話,則可藉由更改 Port Mode 設定的方式來調整為兩組 RJ-45 的 Untrust Port 用以連接兩組 ADSL 或 Cable 的線路來做 WAN 的備援。請注意這裡所說的備援,是指當 1 組 WAN 失效時,另 1 組 WAN 可以接替運作,不至於讓整個網路對外的連線中斷,而不是兩組 WAN 可同時運作。以下內容將針對如何設定 Port Mode 以及備援方式一一說明。

一、設定兩組 RJ-45 Untrust Port(Dual-Untrust)

設定 Dual Untrust 有以下兩種方式:

● 第一種:在 NetScreen 5GT 作初使設定時即指定。

1. 於瀏覽器 URL 鍵入 192.168.1.1,連線進入 5GT 初始設定畫面,選擇「No , Use the Initial Configuration Wizard instead」後,按『Next』。




2. 在 Port Mode 選擇畫面,選擇「Dual - Untrust Mode」,此模式會將第 4 個 Trust Port 調整為 Backup Untrust Port(interface eth2),而原來的 Untrust Port 則為 Primary Untrust Port(interface eth3)。




3. 分別輸入兩組 Untrust Port(eth3、eth2)的 IP 位址、子網路罩及 Gateway。






4. 核對上述輸入值是否正確,正確無誤的話點選『Next』完成設定,此時裝置會重新開機。




5. 待裝置重開機後,進入Web管理畫面,於「Home」顯示畫面及點選左窗格「Network」→「Interface」畫面,即可看到 Untrust Port 的狀態。細看之下會發現兩個畫面中 Untrust Port Link 狀態不一樣,這是因為「Home」顯示的 Link 是外部線路連接狀態(Untrust Port 是否接上外部線路),而 Interface 畫面顯示的則是目前哪一組外部線路運作中。看到這些畫面即代表 Dual–Untrust Mode 已設定完成。






● 第二種:進入 Web 管理畫面設定。

1. 於Web管理畫面點選左窗格「Configuration」→「Port Mode」,之後點選右窗格「Port Mode」的下拉式選單,選擇 Dual-Untrust,再按『Apply』。



此時系統會出現警告訊息(會將目前設定移除並 reset 裝置),按『確定』後,裝置會 reset。這裡建議先將原來設定存檔,不管是要將所有內容重新設定(可做參考用),或是使用原有設定(只變更 Port Mode)都會用到。




2. 裝置 reset 後,會回至初始設定狀態,也就是第一種的設定方式,重頭開始。

3. 若要延用以往的設定,只要將之前的設定檔結合到目前的設定檔內即可。方式如下:

 a. 點選左窗格「Configuration」→「Update」→「Config File」。

 b. 點選右窗格畫面中「Merge to Current Configuration」,再按『瀏覽』,找出之前設定檔路徑及檔案後,按『Apply』確認,即可將先前的設定併入目前設定中。

 c. 要再將設定存檔,則點選『Save To File』,決定存放位置及檔案名稱即可。




由上述說明可知,兩種設定方式其實是相同的,差別在於設定的時間點。第一種的時間點是事先已規劃好兩組 WAN 做備援,因此可於初始設定時即指定。第二種則是事後再擴充一組 WAN 做備援,因此須由 Web 管理畫面來設定。

二、設定兩組 WAN 互相備援。

1. 進入Web管理畫面點選左窗格「Network」→「Untrust Failover」。

2. 於右窗格中勾選「Automatic Failover」,並設定「Failover Holddown Time」。裝置會自動偵測外部線路的存在,若與外部線路失聯超過設定的時間,則判定 Primary 線路失效,自動將 Backup 線路啟動,以替代Primary 線路,待 Primary 線路回復後,再自動轉回 Primary 線路連線。




利用上述的設定方式,就可以將 NetScreen 5GT 設定為兩組 WAN 並且具互相備援的機制了。


原文轉址

沒有留言:

張貼留言