Prepare seu ambiente para implantação de alta disponibilidade multinodo
Este tópico fornece detalhes para preparar o ambiente para a implantação de alta disponibilidade multinode.
- Modelo de dispositivo
- Versão do software
- Pacote IKE mais recente do Junos
- Licenças de software
- Acessibilidade de rede
- Consideração de endereço IP
Modelo de dispositivo
Em multinodo de alta disponibilidade, você deve usar o mesmo modelo de firewall da Série SRX que seus nós. Por exemplo, se você usa o SRX5600 como um nó, você deve usar outro SRX5600 como o outro nó
No caso da linha SRX5000 de dispositivos, garanta que SPCs, NPCs e IOCs tenham o mesmo posicionamento e tipo de slot.
Versão do software
Instale a versão compatível do Junos OS nos dispositivos de segurança participantes.
Pacote IKE mais recente do Junos
Você deve instalar o pacote IKE para habilitar a criptografia ICL na solução multinodo de alta disponibilidade.
Por padrão, quando o firewall da Série SRX é inicializado, a arquitetura IKE legada é executada. Para habilitar a nova arquitetura IKE, você deve instalar o novo pacote Junos IKE. Este é um pacote opcional incluído na imagem de download de software do Junos OS.
Use o comando a seguir para instalar o pacote IKE:
user@host> request system software add optional://junos-ike.tgz
Depois de instalar o pacote Junos IKE, para posteriores atualizações de software da instância, o pacote Junos IKE é atualizado automaticamente a partir das novas versões do Junos OS instaladas em seu dispositivo.
Licenças de software
Você não precisa de nenhuma licença específica para o recurso multinodo de alta disponibilidade. No entanto, as licenças são exclusivas de cada Série SRX e não podem ser compartilhadas entre os nós em uma configuração multinode de alta disponibilidade. Portanto, você deve usar licenças idênticas em ambos os nós. Se ambos os firewalls da Série SRX não tiverem um conjunto idêntico de licenças, o sistema não estará pronto para a implantação.
Acessibilidade de rede
Ambos os nós na configuração de alta disponibilidade multinodo devem ser capazes de alcançar uns aos outros usando o caminho ICL. Esse caminho usa (quer a ICL seja criptografada ou não) endereço IP, protocolo e detalhes de porta. Você deve garantir que essa comunicação seja permitida entre os nós se algum firewall ou outra inspeção estiver em vigor.
O endereço IP flutuante que você usa para cada nó deve ser IP roteável (caminho roteado lógico) por toda a rede.
Recomendamos vincular o ICL à interface de loopback (lo0) ou a uma interface Ethernet agregada (ae0) e ter mais de um link físico (LAG/LACP) que garante a diversidade de caminhos para maior resiliência. Você também pode usar uma porta Ethernet de receita nos firewalls da Série SRX para configurar uma conexão ICL. Certifique-se de separar o tráfego de trânsito em interfaces de receita do tráfego de alta disponibilidade (HA).
Consideração de endereço IP
A Tabela 1 fornece detalhes sobre o suporte a endereços IPv4 e IPv6 para implantações multinode de alta disponibilidade.
| Implantação MNHA Tipo | Rede de Camada 3 (Roteadores em ambas as extremidades) | Rede híbrida (roteador em uma extremidade e switch na outra extremidade) | Gateway padrão (switches em ambas as extremidades) |
|---|---|---|---|
| Endereços IPv4 e IPv6 para monitoramento de IP |
Sim | Sim | Sim |
| Endereços IPv4 e IPv6 para sondagem de ativação |
Sim | Sim | Sim |
| Endereços IPv4 e IPv6 virtuais |
Não aplicável | Sim | Sim |
Configure apenas um VIP por interface lógica (IFL) em uma configuração de alta disponibilidade multinodo. O suporte para o uso de vários VIPs ou dual-stack não está disponível.
Usando grupos de endereços IP em configurações de alta disponibilidade multinodos
Ao configurar vários SRGs (modo ativo-ativo) em Multinode High Availability, certifique-se de que os pools de endereços usados pelos SRGs em um perfil de acesso não devem se sobrepor. Certifique-se também de que o pool de endereços e endereços configurado no servidor RADIUS para os hosts conectados a diferentes SRGs deve ser único.
Exemplo: A amostra a seguir mostra as configurações do pool de endereços com perfil localpool de acesso e localpool2 para SRG1 e SRG2, respectivamente:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
Neste exemplo, os grupos de redundância de serviços — SRG1 e SRG2 — estão na mesma rede (192.0.2.0/24). No entanto, os endereços IP em pools de endereços são distribuídos para evitar sobreposição (192.0.2.1/24 — 192.0.2.127 para SRG1 e 192.0.2.128 — 192.0.2.255 para SRG2).
Da mesma forma, você deve usar pools de endereços e endereços IP exclusivos para configurações de usuários no servidor RADIUS.
Caso você atribua o mesmo endereço para hosts em dois SRGs, então o Multinode High Availability apaga o novo host e interrompe as negociações da IKE com a seguinte mensagem:
AUTHENTICATION_FAILED as the AUTH response
O registro do sistema exibe a seguinte mensagem:
Duplicate assigned IPv4 received, delete new peer