如何把当前状态为主的Juniper ScreenOS防火墙手工切换为备机

如何把当前状态为主的Juniper ScreenOS防火墙手工切换为备机~

查看当前防火墙nsrp状态：
ISG2000_A(M)-> get nsrp
nsrp version: 2.0
cluster info:
cluster id: 5, no name
local unit id: 6612736
active units discovered:
index: 0, unit id: 6612736, ctrl mac: 001bc064e71f, data mac: 001bc064e720
index: 1, unit id: 6581504, ctrl mac: 001bc0646d1f, data mac: 001bc0646d20
total number of units: 2
VSD group info:
init hold time: 5
heartbeat lost threshold: 3
heartbeat interval: 1000(ms)
master always exist: disabled
group priority preempt holddown inelig master PB other members
0 50 no 3 no myself 6581504
total number of vsd groups: 1
Total iteration=43663730,time=1289556165,max=370164,min=141,average=29
RTO mirror info:
run time object sync: enabled
ping session sync: enabled
coldstart sync done
nsrp data packet forwarding is enabled
nsrp link info:
control channel: ethernet3/3 (ifnum: 31) mac: 001bc064e71f state: up
data channel: ethernet3/4 (ifnum: 32) mac: 001bc064e720 state: up
ha secondary path link not available
NSRP encryption: disabled
NSRP authentication: disabled
device based nsrp monitoring threshold: 255, weighted sum: 0, not failed
device based nsrp monitor interface:
device based nsrp monitor zone:
device based nsrp track ip: (weight: 255, disabled)
number of gratuitous arps: 4 (default)
config sync: enabled
track ip: disabled
从上面红色部分可知，当前防火墙为主设备，未开启“抢占”模式。现要把当前防火墙切换为备机，可通过以下命令完成：
ISG2000_A(M)-> exec nsrp vsd-group 0 mode ?
backup backup
ineligible ineligible
init init
pb primary backup
ISG2000_A(M)-> exec nsrp vsd-group 0 mode backup ?

首先明确，你做做的是目的地址NAT，ScreenOS上定义为dst-nat，带有端口转换利用VIP来实现。 如果你防火墙的外网的地址为219.80.65.77/30 服务器地址为192.168.5.3/24
按照你做的策略，任何地址在访问219.80.65.77:8080这个地址的这个端口时，会被防火墙翻译为192.168.5.3:80，例子如果你的5.3是Web服务器，那么只要在浏览器中输入https://219.80.65.77:8080就可以打开你的网站了，这时外网可以通过8080端口来访问你服务器的80端口！
untust to Global 全局策略！
这个是ScreenOS在查看策略时，可以看到所有Untrust到任何区域的策略！注意观察就可以了

查看当前防火墙nsrp状态：
ISG2000_A(M)-> get nsrp
nsrp version: 2.0
cluster info:
cluster id: 5, no name
local unit id: 6612736
active units discovered:
index: 0, unit id: 6612736, ctrl mac: 001bc064e71f, data mac: 001bc064e720
index: 1, unit id: 6581504, ctrl mac: 001bc0646d1f, data mac: 001bc0646d20
total number of units: 2
VSD group info:
init hold time: 5
heartbeat lost threshold: 3
heartbeat interval: 1000(ms)
master always exist: disabled
group priority preempt holddown inelig master PB other members
0 50 no 3 no myself 6581504
total number of vsd groups: 1
Total iteration=43663730,time=1289556165,max=370164,min=141,average=29
RTO mirror info:
run time object sync: enabled
ping session sync: enabled
coldstart sync done
nsrp data packet forwarding is enabled
nsrp link info:
control channel: ethernet3/3 (ifnum: 31) mac: 001bc064e71f state: up
data channel: ethernet3/4 (ifnum: 32) mac: 001bc064e720 state: up
ha secondary path link not available
NSRP encryption: disabled
NSRP authentication: disabled
device based nsrp monitoring threshold: 255, weighted sum: 0, not failed
device based nsrp monitor interface:
device based nsrp monitor zone:
device based nsrp track ip: (weight: 255, disabled)
number of gratuitous arps: 4 (default)
config sync: enabled
track ip: disabled
从上面红色部分可知，当前防火墙为主设备，未开启“抢占”模式。现要把当前防火墙切换为备机，可通过以下命令完成：
ISG2000_A(M)-> exec nsrp vsd-group 0 mode ?
backup backup
ineligible ineligible
init init
pb primary backup
ISG2000_A(M)-> exec nsrp vsd-group 0 mode backup ?
<return>

---

景谷傣族彝族自治县18521904232： Juniper路由器怎么配置 - ？
禹苛金芪： Juniper的基本配置: root# cli #相当于cisco的en root@> cli> configure #相当于cisco的configure terminal [edit] root@# set system host-name router1 #配置路由器的名字为router1 root@# set system domain-name mynetwork.com #配置路由器所在...

景谷傣族彝族自治县18521904232： win10怎么运行juniper networks - ？
禹苛金芪： Win10运行在哪,Win10怎么打开运行1 方法一:我们可以同时按下键盘的“Win键+R”打开电脑运行窗口.2 这样我们就可以快速的打开电脑运行窗口,然后使用即可.3 方法二:我们还可以按下键盘的“CTRL+X”键,然后出现界面点击运行.4 方法三:当然我们还可以在这里的搜索框中直接输入运行进行搜索.5 方法四:我们可以点击开始菜单,然后打开所有应用.6 然后在windows系统中,找到运行按钮打开.7 当然对于我们来说,以后使用的方便,我们这里可以在运行上单击鼠标右键,将运行固定到开始菜单屏幕.8 这样对于我们以后的使用是不是更方便些呢.

景谷傣族彝族自治县18521904232： Juniper路由器怎么配置？
禹苛金芪： Juniper路由器具体设置方法如下:1、将路由器的电源连接好,然后将一条网线的一头插在电脑的网口,另一头插在路由器的LAN口.2、打开电脑的浏览器,在地址栏里输入路由器的IP是192.168.0.1,点击回车键,进入路由器的设置页面,用...

景谷傣族彝族自治县18521904232： juniper路由器怎么开启web登录 - ？
禹苛金芪： 请使用如下命令: set system services web-management management-url admin set system services web-management http port 7777 set system services web-management http interface reth0.X set system services web-management https system-generated-certificate希望可以帮到你.

景谷傣族彝族自治县18521904232： 公司硬件防护墙juniper SSG140 如何把某个局域网的IP加到白名单中,就是不受端口封锁的限制 别复杂没基础？
禹苛金芪： 最简单的,点击policies,选择untrust zone到trust zone,点击new,相应添加源和目的的ip(ip范围),选择协议点击ok即可. 我的juniper型号和你不一样,不过我觉得设置应该大同小异的.有问题继续截图给我看.

景谷傣族彝族自治县18521904232： 如何通过Juniper防火墙设置网络连接 - ？
禹苛金芪： 大概分以下几个步骤:1.管理电脑:把用作配置设备的电脑配制成192.168.1.x/255.255.255.0的地址(192.168.1.1除外),用网线连接电脑以及设备的后四个接口(从左向右数)中任意一个,打开IE浏览器,输入http://192.168.1.1,使用账号...

景谷傣族彝族自治县18521904232： 请问juniper路由器的配置文件如何用命令导出 - ？
禹苛金芪： 默认情况他的配置文件0-4个版本都保存在/config下面,5-49个版本保存在/var/db/config下面,当然随着软件版本的更新,这个位置可能稍有变化,你通过file list命令都可以找到.还有一个办法是你在配置的最上层用save filename这个命令给你当前的配置保存一个文件名.这个文件就存在于你登陆用户名的主目录下面,下次你只要还是用这个用户名登陆就可以看到.可以通过ftp的方式传到外面的主机上.log是保存在/var/log下面.你可以选择通过ftp或tftp的方式将这些文件所存在的目录传出来保存.如果只想要里面的各别文件,就用crt 记录会话就好了 记得采纳啊

景谷傣族彝族自治县18521904232： Juniper SSG 520M - SH刚初始化,现在怎样进入管理界面?? - ？
禹苛金芪： 【网线接在0号口,电脑IP配置成192.168.1.1以外的地址,在IE中输入192.168.1.1使用netscreen/netscreen登录.】这个人说的对,我是没用过这个东西,默认ip不一定是这个,但你可以先试试这个默认ip,实在不行的话,你把电脑和1234口都连一下,看看是否能获得ip,如果能获得ip就OK了,你ipconfig /all一下,看看网关和DHCP应该是同一地址,这个地址就是ssg520的默认管理地址了.希望能帮到你.祝你好运!

景谷傣族彝族自治县18521904232： juniper如何做地址映射 - ？
禹苛金芪： Juniper防火墙作为网络的一道关卡,除了控制内网用户访问外网之外还可以控制外网对内网的访问,如果用户内网的服务器需要对外网发布服务的话就需要使用Juniper防火墙的网络映射功能,这里介绍两个最常用的方式MIP和VIP.Juniper 防...

景谷傣族彝族自治县18521904232： juniper路由器具体怎么设置,详细的来 - ？
禹苛金芪： 在network里面的Interface里面的untrust口里面设置,选择PPPOE拨号或者固定IP地址,固定IP地址记得要加默认路由,如果有DHCP设置,也是在network里面,还有就是策略要开通