Juniper NETSCREEN NSRP典型配置及维护之一:Layer3 Fullmesh连接A/A组网模式
Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式,在保证网络高可靠性的同时提升了网络的可用性。A/A结构中两台防火墙同时作为主用设备并 提供互为在线备份,各自独立处理信息流量并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有进出网络流量。Fullmesh连接A/A组网模 式对网络环境要求较高,要求网络维护人员具备较强技术能力,防火墙发生故障时,接管设备受单台设备容量限制,可能会导致会话连接信息丢失,采用A/A模式 组网时,建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50%,以确保故障切换时不会丢失会话连接。
配置说明:定 义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0),其中NS-A为VSD0主用设备和VSD1备用设备,NS-B为VSD1主用设备和VSD0备用设备;创建冗余接口实现两物 理接口动态冗余;配置交换机路由指向来引导网络流量经过哪个防火墙。
NS-A(Active):
set interface redundant1 zone Untrust
set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/
set interface ethernet1 group redundant1
set interface ethernet2 group redundant1
set interface redundant2 zone trust
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.1
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2
/***配置冗余接口、定义Vsd0 接口IP地址***/
set interface redundant1:1 ip 100.1.1.5/29
set interface redundant2:1 ip 192.168.1.5/29
/***VSD1的VSI接口需手动配置IP地址,冒号后面的1表示该接口属于VSD1的VSI***/
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp vsd-group id 0 priority 50
set nsrp vsd-group id 1 /*** VSD1使用缺省配置,优先级为100***/
set nsrp rto-mirror sync
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1
/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/
set arp always-on-dest
/***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/
set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
NS-B(Active):
set interface redundant1 zone Untrust
set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/
set interface ethernet1 group redundant1
set interface ethernet2 group redundant1
set interface redundant2 zone trust
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.2
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2
/***配置冗余接口、定义Vsd0 接口IP地址***/
set interface redundant1:1 ip 100.1.1.5/29
set interface redundant2:1 ip 192.168.1.5/29
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1
/***定义一致的Cluster ID,自动启用采用缺省配置的VSD0***/
set nsrp rto-mirror sync
set nsrp vsd-group id 1 priority 50
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1
/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/
set arp always-on-dest
/***强制采用基于ARP表而不是会话中的MAC地址转发封包***/
set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
Juniper NETSCREEN NSRP典型配置及维护之二:NSRP常用维护命令
1、get license-key
查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。
2、exec nsrp sync global-config check-sum
检查双机配置命令是否同步
3、exec nsrp sync global-config save
如双机配置信息没有自动同步,请手动执行此同步命令,需重启系统。
4、get nsrp
查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。
5、Exec nsrp sync rto all from peer
手动执行RTO信息同步,使双机保持会话信息一致
6、exec nsrp vsd-group 0 mode backup
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。
7、exec nsrp vsd-group 0 mode ineligible
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。
8、get alarm event
检查设备告警信息,其中将包含NSRP状态切换信息
#p#
Juniper NETSCREEN NSRP典型配置及维护之三:Netscreen NSRP维护案例
案例1: Netscreen双机升级步骤
1.使用Tftp备份两台防火墙现有配置文件和OS系统文件。
2.升级步骤为先升级备用设备后升级主用设备,如果是Active/Active模式请切换为Active/Passive模式后再 升级备用设备。用笔记本电脑连接NS-B的Console口和MGT口,通过Web界面上对NS-B进行升级,并在Console口上观察升级过程。
3.NS-B升级后将自动重启,通过Console口观察重启过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否符合升级要求。输入get nsrp,验证此设备处于备机状态。
4.Session信息应该自动从主机上同步到备机。为进一步确保Session信息同步,在NS-B上执行exec nsrp syn rto all from peer,手工同步Session信息。
5.主备双机进行状态切换。用笔记本接NS-A的Console口,输入exec nsrp vsd-group 0 mode backup命令,将状态切换。使用get nsrp命令,验证设备状态已切换完成,此时NS-A为备机,NS-B为主机。
6.在Web界面上对NS-A进行升级,在Console口上观察升级过程。
7.NS-A升级后会自动重起,在Console口上观察重起过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否满足升级需求。输入get nsrp验证此台设备为备机状态。
8.恢复原先的主备状态:在NS-B上执行exec nsrp vsd-group 0 mode backup命令,将状态切换。验证设备状态已切换完成,此时NS-A为主机,NS-B为备机。
9.在设备NS-A上执行exec nsrp syn vsd-group 0 global-config checksum,验证两台设备的配置同步。如双机配置文件没有同步,请执行exec nsrp syn vsd-group 0 global-config save 手动进行配置同步。
10.观察两台防火墙的日志,验证是否存在异常告警信息。
案例2:快速配置NSRP集群备用设备
Netscreen提供快速配置NSRP集群中备用设备的方法,适用于创建NSRP集群双机配置和备用设备出现故障时用备件进行替换。
1、清空备机配置命令
Unset all
"Erase all system config, are you sure y / [n]?" Y
Reset
"Configuration modified, save? [y] / n" N
"System reset, are you sure? y / [n]" Y
2、系统重新启动后配置命令
Set hostname xxxxxx
Set interface mgt ip x.x.x.x/x
Set nsrp cluster id 1
Exec nsrp sync file
Exec nsrp sync global-config run
/***适应于5.1以上版本,5.0中使用Exec nsrp sync global-config save命令,需要重启设备***/
Set nsrp rto-mirror sync
Save all
3、检查设备状态
Nsrp:get nsrp
接口:Get interface
路由:get route
会话:get session
Juniper NETSCREEN NSRP典型配置及维护之四:附录一 NSRP 缺省设置值
| VSD 组信息 | |
| VSD group ID: | 0 |
| Device priority in the VSD group: | 100 |
| Preempt option: | disable |
| Preempt hold-down time: | 0 second |
| Initial state hold-down time: | 5 second |
| Heartbeat interval: | 1000 milliseconds |
| Lost heartbeat threshold: | 3 |
| Master (Primary) always exist: | no |
| RTO 镜像信息 | |
| RTO synchronization: | disable |
| Heartbeat interval: | 4 second |
| Lost heartbeat threshold: | 16 |
| NSRP 链接信息 | |
| Number of gratuitous ARPs: | 4 |
| NSRP encryption: | disable |
| NSRP authentication: | disable |
| Track IP: | none |
| Interfaces monitored: | none |
| Secondary path: | none |
| HA link probe: | none |
| Interval: | 15 |
| Threshold: | 5 |
【编辑推荐】
