October 1, 2022

Konfiguracja Juniper-failover

Konfiguracja Juniper-failover

Konfiguracja łącza w routerze Juniper serii SSG działającego pod kontrolą systemu ScreenOS w przypadku gdy posiadamy dwa łącza od różnych parametrach. Przygotowując się do konfiguracji interfejsów powinniśmy zaopatrzyć się w dane wymagane do konfiguracji uzyskane od dostawców internetu (ISP).

Dostawca #1 (przyklad)

  • adres IP: aaa.bbb.ccc.ddd
  • maska sieci: 255.255.255.252 (30)
  • brama: aaa.bbb.ccc.ddc
  • serwer DNS o ile jest udostępniany przed dostawcę

Dostawca #2 (przyklad)

  • adres IP: aaa.bbb.ddd.eee
  • maska sieci: 255.255.255.252 (30)
  • brama:  aaa.bbb.ddd.eed
  • serwer DNS o ile jest udostępniany przed dostawcę

Przyjmijmy iż:

  • dostawca #1 udostępnił nam łącze o wysokiej przepustowości 100mbit download / 50mbit upload lecz łącze to jest mało stabilne
  • dostawca #2 udostępnił nam łącze o znacznie niższej przepustowości  10mbit download / 1mbit upload lecz wysokiej stabilności

Szybkie łącze chcemy wykorzystać jako łącze główne obsługujące cały ruch z/do naszej sieci w przypadku awarii tego łącza router powinien przekierować cały ruch do dostawcy #2 którego łącze jest zdecydowanie wolniejsze oraz ulega awariom znacznie rzadziej.

Pierwszym etapem konfiguracji jest zdefiniowanie interfejsów które wykorzystamy i przypisanie ich do strefy, w poniższym przykładzie została wykorzystana domyślna strefa “Untrust”.


Interfejsy fizyczne gniazda rj-45 zostały przypisane do strefy “Untrust”, drugim etapem jest ustawienie właściwego trybu pracy oraz zdefiniowanie adresacji interfejsów:

aaa.bbb.ccc.ddd

aaa.bbb.ddd.eee

Definiujemy domyślne routingi dla każdego interfejsu:

aaa.bbb.ddd.eed
aaa.bbb.ccc.ddc

Najważniejszą częścią konfiguracji jest ustawienie monitorowania IP czyli kiedy router ma zmienić interfejs obsługujący ruch




W tym momencie po zapisaniu zmian możemy przeprowadzić test konfiguracji.

Najprostszy sposób przetestowania czy zrobiliśmy wszystko poprawnie to:

na stacji (windows) start uruchom -> cmd -> ping 8.8.8.8

Gdy zobaczymy odpowiedzi z adresu DNS Google wyjmujemy przewód z interfejsu ethernet0/0 na stacji powinniśmy zobaczyć informację iż: “Upłyną limit czasu żądania”  po kilkunastu sekundach powinniśmy ujrzeć iż komunikacja została przywrócona (łącze od dostawcy #2 zostało aktywowane) i otrzymujemy odpowiedzi z 8.8.8.8.