JuniperSRX防火墙HA双机配置步骤.doc

《JuniperSRX防火墙HA双机配置步骤.doc》由会员分享，可在线阅读，更多相关《JuniperSRX防火墙HA双机配置步骤.doc（7页珍藏版）》请在三一文库上搜索。

1、Juniper SRX防火墙双机配置步骤JSRP是Juniper SRX的私有HA协议，对应 ScreenOS的NSRP双机集群协议，支 持A/P和A/A模式，JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整 合集成，熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于 JSRP是完全意义上的Cluster概念，两台设备完全当作一台设备来看待，两台设备的 接口板卡顺序编号、运维变更将对两台设备同时进行操作，无需额外执行ScreenOS的配置和会话同步等操作，而ScreenOS NSRP可看作在同步配置和动态对象（session）基础上

2、独立运行的两台单独设备。JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于 SRX是转发与控制层面完全分裂架构，JSRP需要控制层面（配置同步）和数据层面（Session同步）两个平面的互联，建议控制和数据层面互联链路使用光 纤链路直连（部分平台强制要求光纤链路直连）。Data Plane ConnectionControl Plane ConnectionSPC to SPCIOC to IOCJSRP 接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号， 如上所示的SRX5800,每个SRX5800机箱有12个业务槽位，节点0槽

3、位号从0开始 编号，节点 1 槽位号从 1 2开始往后编。整个JSRP配置过程包括如下7个步骤配置 Cluster id 和 Node id （ 对应 ScreenOS NSRP 的 cluster id 并需手工指定设备指定使用节点 id ）Control Port （指定控制层面使用接口，用于配置同步及心跳）指定Fabric Link Port指定数据层面使用接口，主要 session 等 RTO 同步）配置Redundancy Group（类似NSRP的VSD group，优先级与抢占等配置）每个机箱的个性化配置单机无需同步的个性化配置，如主机名、带外管理口IP 地址等）配置Redu n

4、dant Ethernet In terface（类似 NSRP 的 Redu nda nt 冗余接口）配置Interface Monitoring类似 NSRP interface monitor ，是 RG 数据层面切换依据）1.1.配置 Cluster id和 Node idSRX 在启用 JSRP 之后，组成 Cluster 的两台机箱会被抽象成一台逻辑的机箱，cluster id 和node id 将会被存放在 EEPROM内，每个机箱内部的各个业务引擎通讯用的TNP地址都需要重新分配，因此设备需要重启生效。注意，这一步两个配置命令：node 都需要配置。SRX5800Asrx580

5、0aset chassis cluster cluster-id 1 node 0 reboot / 注 1：注意该命令需在 operational 模式下输入/ 注 2: Cluster ID 取值范围为 1 - 15，当 Cluster ID = 0 时会 unsets cluster 配置,成为单机SRX5800Bsrx5800bset chassis cluster cluster-id 1 node 1 reboot1.2.指定Control Port这一步只对 SRX5K有效（两个node都需要配置），因为SRX3K的Control Port 是固化的，无需指定。JSRP 中两个机

6、箱的控制平面以主备 （A/P） 的方式运作。 Control Port 用于 连接两个 机箱的控制平面（RE），实现RE之间的互相通信，包括传递jsrpd心跳信息（1000ms 次，threshold 为 3 次 ） ， chassisd 通信， kernel （ifstate） 状态同步和配置信息同步等。由 于Control Port接口的流量直接通到 RE,因此可以用” tcpdump”或” monitor trafficinterface ”来查看 Control Port 的流量。由于SRX5K的RE没有专门的Control Port ，因此借用了 SPC上的千兆以太网口（SFP形式）

7、作为Control Port ，而SRK3K勺SFB上已设计有专门的 Control Port （ 通过内 部总线直接连接到 RE），因此不需要单独指定。由于受 LAG Feature 的限制，SRX5K目 前只支持 SPC的 port 0 用于 Control Port 。 配置命令:SRX5800Aset chassis cluster control-ports fpc 11 port 0set chassis cluster control-ports fpc 23 port 0/注3: Control Port最好不要选在 CP所在的SPC上以降低单板故障对系统的影响注意：当配置完c

8、ontrtol port之后系统配置会自动在两个nodes之间同步，因此后面的配置可以只在一个节点上做即可1.3.指定Fabric LinkFabric Link是一个虚拟的交换平面，用于将两个SRX机箱的数据平面连接在一起，类似 EX交换机的VCP接口或TX Matrix的SCC主要用于 RTO对象同步和异 步路由数据的回程。JSRP 中两个机箱的数据平面以主主 （A/A） 的方式运作，即不管控制平面是否是 master ， 数据平面的SPU/NPU等始终是Active的，只要流量经过即可转发。JSRP中Fabric Link 采用SRX业务板卡里的以太网接口实现，其通过SPU直接驱动，无需

9、RE干预。因此在 RE上通过” tcpdump ”或” mon itor traffic in terface”不能看到Fabric Link 的流量。 在有异步路由数据回程的情况下为保证充裕的互联带宽可采用千兆以太网捆绑或万兆以 太网接口作为 Fabric Link 。推荐采用前一种方式，因为接口捆绑 (Aggregate Interface) 不但提供了更大的互联带宽，还能保证 Fabric Link 的高可用性。/ 注 4： SRX 3K/5K 目前尚不支持 Aggregate Interface ， JUNOS 10.1 以后开始支持 配置命令：SRX5800Aset interfac

10、es fab0 fabric-options member-interfaces ge-1/0/0set interfaces fab1 fabric-options member-interfaces ge-13/0/0/注5: Fabric Link 中的FabO固定用于node 0 , Fab1固定用于node 11.4.配置 Redundancy GroupRedundancy Group (RG) 类似 ScreenOS NSRP里的 VSD 用来抽象 两个机箱之间可以互相热备切换的一组对象，其中RG0固定用于RE切换，RG1用于一组redu ndant in terface切换，如

11、果要做 AA则还需要 RG2由此可以看出，RE切换是独立于接口切换的。配置如下：labsrx5800b# show chassiscluster reth-count 10;/ 指定 redundant Ethernet interface 数量，类似 ae interfaceredundancy-group 0 node 0 priority 200;node 1 priority 100;redundancy-group 1 node 0 priority 200;node 1 priority 100;1.5.每个机箱的个性化配置通过group模板来实现，类似 JUNOS RE的grou

12、p配置，实际上JSRP中的跨机箱 RE切换就是模拟了 JUNOS的RE Redundancy，这样也方便以后实现NSR/ISSUo配置如下：labsrx5800a# show groups nodeO system host-name srx5800a;interfaces fxp0 unit 0 family inet address 172.27.11.196/25;node1system host-name srx5800b;interfaces fxp0 unit 0 family inet address 172.27.11.197/25;apply-groups “ $node”1

13、6酉己置 Redu ndant Ether net In terfaceRedu ndant Ether net in terface是一组主备的以太网接口，实际上利用了跨机箱的802.3ad link aggregate技术来实现两个成员接口间的主备切换。Redu nda nt Ethernet in terface的MAC地址是虚拟的，其值根据以下公式可以计算得出：0010DB11111111CCCCRRVV1111111CCCC: Cluster IDRR:Reserved. 00.VV:Version, 00 for the first releaseIIIIIIII:Interfac

14、e id, derived from the reth index.配置如下： labsrx5800a# show interfacege-0/0/0 /node 1 的 ge-0/0/0 gigether-options redundant-parent reth0;ge-13/0/0 /node 1 的 ge-0/0/0 gigether-options redundant-parent reth0;reth0 redundant-ether-options redundancy-group 1; /redundant ethernet 应属于 RG1 unit 0 family inet

15、 address 192.168.0.1/24;/ 注 6: JUNOS 9.5 中一个 RG最多容纳 15 个 redu ndant Ethernet in terface，而整个JSRP系统支持最多 128个RG1.7.配置 Interface Monitoring 默认情况下，接口故障只会触发 Redundant Ethernetinterface 内部主备接口切换，这时异步路由流量会从 FabricLink 送到 egress 接口所在的 nod e ；如果希望避免这种状况( 比如 Fabric Link 带宽不够 )则可以通过配置 interface monitoring 来监控物理

16、接口的存亡，并触发整个 Redundancy Group 的切换。每个被监控的成员接口需要被赋予一个权重 (weight) ，当累积的 weight 超 过 threshold (default 为 2 55)时则可触发整个 Redundancy Group 切换。配置如下： labsrx5800a# show chassiscluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255;ge-0/0/1 weight 255;ge-13/0/1 weight 255;ge-13/0/0 weight 255;至此一个基本的 J

17、SRP 配置已经完成，其余安全策略部分的配置跟单机类似。1.8.JSRP常用维护命令a)手工切换 JSRP Masterrootsrx5800a request chassis cluster failover redundancy-group 1 node 1b)手工回复 JSRP 状态rootsrx5800b request chassis cluster failover reset redundancy-group 1c)查看 cluster interfacerootrouter show chassis cluster interfaces labsrx5800a# run sho

18、w chassis cluster interfacesd)查看 cluster 状态labsrx5800a# run show chassis cluster status取消 cluster 配置srx5800a# set chassis cluster disable rebootf)恢复处于 disabled 状态的 node当 control port 或 fabric link 出现故障时，为避免出现双 master (split-brain)的状况，JSRP会把出现故障前状态为secdonary的node置为disabled状态，即除了 RE其余部件都不工作。想要恢复必须 reboot 该 node。srx5800brequest system rebootg)升级软件版本升级步骤如下：1. 升级 node 0，注意不要重启系统userhost request system software add ftp:/1.1.1.1/ no-copy2. 升级 node 1，注意不要重启系统3. 同时重启两个系统