Juniper NETSCREEN NSRP典型配置及维护

企业动态
Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式,在保证网络高可靠性的同时提升了网络的可用性。A/A结构中两台防火墙同时作为主用设备并 提供互为在线备份,各自独立处理信息流量并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有进出网络流量。

Juniper NETSCREEN NSRP典型配置及维护之一:Layer3 Fullmesh连接A/A组网模式

 

 

Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式,在保证网络高可靠性的同时提升了网络的可用性。A/A结构中两台防火墙同时作为主用设备并 提供互为在线备份,各自独立处理信息流量并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有进出网络流量。Fullmesh连接A/A组网模 式对网络环境要求较高,要求网络维护人员具备较强技术能力,防火墙发生故障时,接管设备受单台设备容量限制,可能会导致会话连接信息丢失,采用A/A模式 组网时,建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50%,以确保故障切换时不会丢失会话连接。

配置说明:定 义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0),其中NS-A为VSD0主用设备和VSD1备用设备,NS-B为VSD1主用设备和VSD0备用设备;创建冗余接口实现两物 理接口动态冗余;配置交换机路由指向来引导网络流量经过哪个防火墙。

NS-A(Active):

set interface redundant1 zone Untrust

set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/

set interface ethernet1 group redundant1

set interface ethernet2 group redundant1

set interface redundant2 zone trust

set interface redundant2 ip 192.168.1.4/29

set interface redundant2 manage-ip 192.168.2.1

set interface ethernet3 group redundant2

set interface ethernet4 group redundant2

/***配置冗余接口、定义Vsd0 接口IP地址***/

set interface redundant1:1 ip 100.1.1.5/29

set interface redundant2:1 ip 192.168.1.5/29

/***VSD1的VSI接口需手动配置IP地址,冒号后面的1表示该接口属于VSD1的VSI***/

set interface ethernet7 zone ha

set interface ethernet8 zone ha

set nsrp cluster id 1

set nsrp vsd-group id 0 priority 50

set nsrp vsd-group id 1 /*** VSD1使用缺省配置,优先级为100***/

set nsrp rto-mirror sync

set nsrp monitor interface redundant1

set nsrp monitor interface redundant2

set nsrp secondary-path ethernet2/1

/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/

set arp always-on-dest

/***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/

set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1

set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1

NS-B(Active):

set interface redundant1 zone Untrust

set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/

set interface ethernet1 group redundant1

set interface ethernet2 group redundant1

set interface redundant2 zone trust

set interface redundant2 ip 192.168.1.4/29

set interface redundant2 manage-ip 192.168.2.2

set interface ethernet3 group redundant2

set interface ethernet4 group redundant2

/***配置冗余接口、定义Vsd0 接口IP地址***/

set interface redundant1:1 ip 100.1.1.5/29

set interface redundant2:1 ip 192.168.1.5/29

set interface ethernet7 zone ha

set interface ethernet8 zone ha

set nsrp cluster id 1

/***定义一致的Cluster ID,自动启用采用缺省配置的VSD0***/

set nsrp rto-mirror sync

set nsrp vsd-group id 1 priority 50

set nsrp monitor interface redundant1

set nsrp monitor interface redundant2

set nsrp secondary-path ethernet2/1

/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/

set arp always-on-dest

/***强制采用基于ARP表而不是会话中的MAC地址转发封包***/

set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1

set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1

Juniper NETSCREEN NSRP典型配置及维护之二:NSRP常用维护命令

1、get license-key

查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。

2、exec nsrp sync global-config check-sum

检查双机配置命令是否同步

3、exec nsrp sync global-config save

如双机配置信息没有自动同步,请手动执行此同步命令,需重启系统。

4、get nsrp

查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。

5、Exec nsrp sync rto all from peer

手动执行RTO信息同步,使双机保持会话信息一致

6、exec nsrp vsd-group 0 mode backup

手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。

7、exec nsrp vsd-group 0 mode ineligible

手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。

8、get alarm event

检查设备告警信息,其中将包含NSRP状态切换信息

#p#

Juniper NETSCREEN NSRP典型配置及维护之三:Netscreen NSRP维护案例

案例1: Netscreen双机升级步骤

1.使用Tftp备份两台防火墙现有配置文件和OS系统文件。

2.升级步骤为先升级备用设备后升级主用设备,如果是Active/Active模式请切换为Active/Passive模式后再 升级备用设备。用笔记本电脑连接NS-B的Console口和MGT口,通过Web界面上对NS-B进行升级,并在Console口上观察升级过程。

3.NS-B升级后将自动重启,通过Console口观察重启过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否符合升级要求。输入get nsrp,验证此设备处于备机状态。

4.Session信息应该自动从主机上同步到备机。为进一步确保Session信息同步,在NS-B上执行exec nsrp syn rto all from peer,手工同步Session信息。

5.主备双机进行状态切换。用笔记本接NS-A的Console口,输入exec nsrp vsd-group 0 mode backup命令,将状态切换。使用get nsrp命令,验证设备状态已切换完成,此时NS-A为备机,NS-B为主机。

6.在Web界面上对NS-A进行升级,在Console口上观察升级过程。

7.NS-A升级后会自动重起,在Console口上观察重起过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否满足升级需求。输入get nsrp验证此台设备为备机状态。

8.恢复原先的主备状态:在NS-B上执行exec nsrp vsd-group 0 mode backup命令,将状态切换。验证设备状态已切换完成,此时NS-A为主机,NS-B为备机。

9.在设备NS-A上执行exec nsrp syn vsd-group 0 global-config checksum,验证两台设备的配置同步。如双机配置文件没有同步,请执行exec nsrp syn vsd-group 0 global-config save 手动进行配置同步。

10.观察两台防火墙的日志,验证是否存在异常告警信息。

案例2:快速配置NSRP集群备用设备

Netscreen提供快速配置NSRP集群中备用设备的方法,适用于创建NSRP集群双机配置和备用设备出现故障时用备件进行替换。

1、清空备机配置命令

Unset all

"Erase all system config, are you sure y / [n]?" Y

Reset

"Configuration modified, save? [y] / n" N

"System reset, are you sure? y / [n]" Y

2、系统重新启动后配置命令

Set hostname xxxxxx

Set interface mgt ip x.x.x.x/x

Set nsrp cluster id 1

Exec nsrp sync file

Exec nsrp sync global-config run

/***适应于5.1以上版本,5.0中使用Exec nsrp sync global-config save命令,需要重启设备***/

Set nsrp rto-mirror sync

Save all

3、检查设备状态

Nsrp:get nsrp

接口:Get interface

路由:get route

会话:get session

Juniper NETSCREEN NSRP典型配置及维护之四:附录一 NSRP 缺省设置值

 

    VSD 组信息
     VSD group ID:      0
     Device priority in the VSD group:      100
     Preempt option:      disable
     Preempt hold-down time:      0 second
     Initial state hold-down time:      5 second
     Heartbeat interval:      1000 milliseconds
     Lost heartbeat threshold:      3
     Master (Primary) always exist:      no
    RTO 镜像信息
     RTO synchronization:      disable
     Heartbeat interval:      4 second
     Lost heartbeat threshold:      16
    NSRP 链接信息
     Number of gratuitous ARPs:      4
     NSRP encryption:      disable
     NSRP authentication:      disable
     Track IP:      none
     Interfaces monitored:      none
     Secondary path:      none
     HA link probe:      none
     Interval:      15
     Threshold:      5

【编辑推荐】

  1. Juniper NetScreen防火墙新人指南
  2. JuniperEX系列交换机大剖析
  3. Juniper Networks助香港服务提供商确保业务持续增长
责任编辑:张攀 来源: 56cto
相关推荐

2009-11-14 22:50:29

2013-02-27 13:17:51

JuniperNetScreen网络设备

2010-06-07 09:08:38

Cacti配置

2015-12-24 14:41:19

2009-12-07 16:21:50

Juniper交换机

2011-03-08 11:29:58

2009-12-10 16:02:11

Juniper防火墙配

2009-08-07 10:53:24

JUNOS配置

2010-08-17 17:38:52

万兆防火墙参数

2014-08-26 09:40:54

图数据数据挖掘

2010-09-26 16:31:07

JVM参数配置

2011-03-09 17:47:24

组播VLAN

2011-08-16 09:55:37

Juniper Ex系

2009-12-07 14:47:21

Juniper认证

2015-12-22 10:36:07

2010-07-30 15:59:44

配置

2011-03-08 11:08:55

VLAN

2010-09-29 13:13:01

NetScreen-S

2012-01-10 14:18:40

JavaJVM

2010-04-26 09:24:07

云计算标准
点赞
收藏

51CTO技术栈公众号