Prepare seu ambiente para a implantação de alta disponibilidade de vários nós
Este tópico fornece detalhes para preparar o ambiente para a implantação de alta disponibilidade de vários nós.
Para obter a lista completa de recursos e plataformas com suporte, consulte Alta disponibilidade de vários nós no Explorador de Recursos.
Modelo do dispositivo
Na alta disponibilidade de múltiplos nós, você deve usar o mesmo modelo de firewall da Série SRX que seus nós. Por exemplo, se você usar o SRX5600 como um nó, deverá usar outro SRX5600 como o outro nó
No caso da Linha SRX5000 de dispositivos, certifique-se de que SPCs, NPCs e IOCs tenham o mesmo posicionamento e tipo de slot.
Versão do software
Instale a versão compatível do Junos OS nos dispositivos de segurança participantes.
Pacote mais recente do Junos IKE
Você deve instalar o pacote IKE para habilitar a criptografia ICL na solução Multinode High Availability.
Por padrão, quando o firewall da Série SRX é inicializado, a arquitetura IKE legada é executada. Para habilitar a nova arquitetura IKE, você deve instalar o novo pacote Junos IKE. Este é um pacote opcional incluído na imagem de download do software do Junos OS.
Use o seguinte comando para instalar o pacote IKE:
user@host> request system software add optional://junos-ike.tgz
Depois de instalar o pacote Junos IKE, para atualizações de software subsequentes da instância, o pacote Junos IKE é atualizado automaticamente a partir das novas versões do Junos OS instaladas em seu dispositivo.
Licenças de software
Você não precisa de nenhuma licença específica para o recurso de alta disponibilidade de vários nós. No entanto, as licenças são exclusivas para cada Série SRX e não podem ser compartilhadas entre os nós em uma configuração de alta disponibilidade de múltiplos nós. Portanto, você deve usar licenças idênticas em ambos os nós. Se ambos os firewalls da Série SRX não tiverem um conjunto idêntico de licenças, o sistema não estará pronto para a implantação.
Acessibilidade de rede
Ambos os nós na configuração de alta disponibilidade de vários nós devem ser capazes de alcançar um ao outro usando o caminho ICL. Esse caminho usa (independentemente de a ICL ser criptografada ou não) endereço IP, protocolo e detalhes da porta. Você deve garantir que essa comunicação seja permitida entre os nós se algum firewall ou outra inspeção estiver em vigor.
O endereço IP flutuante usado para cada nó deve ser um IP roteável (caminho roteado lógico) em toda a rede.
Recomendamos vincular a ICL à interface de loopback (lo0) ou a uma interface Ethernet agregada (ae0) e ter mais de um link físico (LAG/LACP) que garante a diversidade de caminhos para maior resiliência. Você também pode usar uma porta Ethernet de receita nos firewalls da Série SRX para configurar uma conexão ICL. Certifique-se de separar o tráfego de trânsito nas interfaces de receita do tráfego de alta disponibilidade (HA).
Usando pools de endereços IP na configuração de alta disponibilidade de vários nós
Ao configurar vários SRGs (modo ativo/ativo) em alta disponibilidade de vários nós, certifique-se de que os pools de endereços usados pelos SRGs em um perfil de acesso não se sobreponham. Certifique-se também de que o endereço e o pool de endereços configurados no servidor RADIUS para os hosts conectados a diferentes SRGs devem ser exclusivos.
Exemplo: o exemplo a seguir mostra as configurações do pool de endereços com perfil localpool de acesso e localpool2 para SRG1 e SRG2, respectivamente:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
Neste exemplo, os Grupos de Redundância de Serviços - SRG1 e SRG2 - estão na mesma rede (192.0.2.0/24). No entanto, os endereços IP nos pools de endereços são distribuídos para evitar sobreposições (192.0.2.1/24— 192.0.2.127 para SRG1 e 192.0.2.128— 192.0.2.255 para SRG2).
Da mesma forma, você deve usar endereço IP exclusivo e pools de endereços para configurações de usuário no servidor RADIUS.
Caso você atribua o mesmo endereço para hosts em dois SRGs, a alta disponibilidade de múltiplos nós excluirá o novo host e interromperá as negociações de IKE com a seguinte mensagem:
AUTHENTICATION_FAILED as the AUTH response
O log do sistema exibe a seguinte mensagem:
Duplicate assigned IPv4 received, delete new peer
Consideração de endereços IPv4 e IPv6
A Tabela 1 fornece detalhes sobre o suporte a endereços IPv4 e IPv6 para implantações de alta disponibilidade de vários nós.
| Tipo de implantação de MNHA | Rede de Camada 3 (roteadores em ambas as extremidades) | Rede híbrida (roteador em uma extremidade e switch na outra extremidade) | Gateway padrão (Switches em ambas as extremidades) |
|---|---|---|---|
| Endereços IPv4 e IPv6 para monitoramento de IP |
Sim | Sim | Sim |
| Endereços IPv4 e IPv6 para sondagem de atividade |
Sim | Sim | Sim |
| Endereços IPv4 e IPv6 virtuais |
Não aplicável | Sim | Sim |
Suporte disponível para a configuração de endereços IPv6 para a rota de sinal ativa, rota de sinal de backup e opções de rota de instalação em caso de falha nas configurações de grupo de redundância de serviços na configuração do MNHA.
Configure apenas um VIP por interface lógica (IFL) em uma configuração de alta disponibilidade de vários nós. O suporte para o uso de vários VIPs ou pilha dupla não está disponível.
Endereços IP virtuais de pilha dupla em alta disponibilidade de vários nós
O MNHA oferece suporte a IP virtual de pilha dupla (IPv4 e IPv6) para implantações de modo de gateway padrão e modo híbrido. Nessas implantações, você pode atribuir um endereço IPv4 e um endereço IPv6 ao mesmo IP virtual na [edit chassis high-availability services-redundancy-group] hierarquia. Com suporte a pilha dupla, você pode configurar um endereço IPv4 e um endereço IPv6 no mesmo IP virtual adicionando várias ip declarações. Se você configurar apenas uma família de endereços, o comportamento do grupo de redundância de serviço (SRG) permanecerá o mesmo das implantações de pilha única.
O SRG gerencia o estado de instalação e o failover para ambas as famílias de endereços como uma única entrada IP virtual. Essa abordagem mantém o comportamento padrão do gateway consistente em interfaces de pilha dupla sem exigir índices de IP virtuais separados para IPv4 e IPv6.
Se a investigação de prevenção de cérebro dividido estiver configurada para um SRG com endereços IP virtuais de pilha dupla, o sistema investigará cada endereço configurado e avaliará os resultados juntos. Se o endereço IP virtual IPv4 ou IPv6 responder, a sondagem será considerada bem-sucedida. Esse comportamento ajuda a evitar decisões de função incorretas quando apenas uma família de endereços é afetada.
Esse suporte melhora a adoção da MNHA em ambientes dual-stack e permite que o sistema gerencie e faça failover de endereços IP virtuais IPv4 e IPv6 para manter a continuidade do tráfego e a alta disponibilidade.
Para configurar endereços IP virtuais de pilha dupla, adicione um prefixo IPv4 e um prefixo IPv6 no mesmo ID SRG e índice de IP virtual, conforme mostrado no exemplo a seguir:
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type switching user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 2001:db8:6700::3/64 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.2.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 2001:db8:6701::7/64 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface ge-0/0/4.0
Para verificar se o SRG rastreia os dois endereços no mesmo índice, use:
show chassis high-availability services-redundancy-group 1
show chassis high-availability information detail
- Verificar a instalação do IP virtual (VIP) IPv4 e IPv6
- Verifique a instalação de IPs virtuais nas interfaces
Verificar a instalação do IP virtual (VIP) IPv4 e IPv6
Use o comando para ver os detalhes dos show chassis high-availability services-redundancy-group 1 endereços IP.
Modo de comutação
user@host> show chassis high-availability services-redundancy-group 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Virtual IP Info:
Index: 2
IP: 10.2.0.200/16
IP2: 2001:db8:6701::7/64
VMAC: 00:10:db:fe:01:02
Interface: ge-0/0/4.0
Status: INSTALLED
Index: 1
IP: 10.1.0.200/16
IP2: 2001:db8:6700::3/64
VMAC: 00:10:db:fe:01:01
Interface: ge-0/0/3.0
Status: INSTALLED
Split-brain Prevention Probe Info:
DST-IP: 10.1.0.200
Routing Instance: default
Type: ICMP Probe
Status: NOT RUNNING
Result: N/A Reason: N/A
DST-IP: 2001:db8:6700::3
Routing Instance: default
Type: ICMP Probe
Status: NOT RUNNING
Result: N/A Reason: N/A
Interface Monitoring:
Status: UP
IF Name: ge-0/0/4 State: Up
IF Name: ge-0/0/3 State: Up
IP SRGID Table:
SRGID IP Prefix Routing Table
1 2001:db8:6701::7/128 default
1 10.2.0.200/32 default
1 2001:db8:6700::3/128 default
1 10.1.0.200/32 default
Nos exemplos acima:
- Os VIPs IPv4 e IPv6 estão presentes, o que confirma que o empilhamento duplo está ativo.
- O VIP é instalado somente no nó ativo.
Verifique a instalação de IPs virtuais nas interfaces
Use o show interface terse comando para verificar se os endereços IP virtuais estão instalados na interface.
user@host> show interfaces terse | no-more
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
gr-0/0/0 up up
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/2 up up
ge-0/0/2.0 up up inet 10.22.0.2/24
ge-0/0/3 up up
ge-0/0/3.0 up up inet 10.1.0.200/16
10.3.0.2/24
inet6 2001:db8:6700::3/64
fe80::5604:1aff:fe00:4882/64
ge-0/0/4 up up
ge-0/0/4.0 up up inet 10.2.0.200/16
10.5.0.1/24
inet6 2001:db8:6701::7/64
fe80::5604:1aff:fe00:7541/64
...
Nó de backup
user@host> show interfaces terse | no-more
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
gr-0/0/0 up up
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/2 up up
ge-0/0/2.0 up up inet 10.22.0.1/24
ge-0/0/3 up up
ge-0/0/3.0 up up inet 10.2.0.2/24
ge-0/0/4 up up
ge-0/0/4.0 up up inet 10.4.0.1/24
...
No exemplo acima, no nó ativo, a interface mostra que os IPs virtuais de pilha dupla 10.1.0.200/16 e 2001:db8:6700::3/64 estão instalados na interface ge-0/0/3.0 para o índice VIP 1 e 10.2.0.200/16 e 2001:db8:6701::7/64 estão instalados na interface ge-0/0/4.0 para o índice VIP 2.
No nó de backup, somente os endereços IP da interface local estão presentes e o VIP não está instalado. Isso garante que apenas o nó ativo lide com o tráfego. Durante um failover, o VIP se move do nó ativo para o nó de backup, mantendo a continuidade do serviço para o tráfego IPv4 e IPv6.
Para obter a configuração completa, consulte Exemplo: configurar a alta disponibilidade de vários nós em uma implantação de gateway padrão.
Dimensionamento do suporte de IP virtual no MNHA
Você pode aumentar o número de endereços IP virtuais (VIP) por grupo de redundância de serviços (SRG) até 2000 no modo de comutação de alta disponibilidade de múltiplos nós (MNHA) (gateway padrão) e no lado L2 do modo híbrido.
Em implementações anteriores, o endereço MAC virtual (VMAC) era derivado usando o identificador SRG e o índice VIP. Como resultado, cada VIP exigia um VMAC exclusivo, limitando o número de VIPs a aproximadamente 32 por SRG.
Com esse aprimoramento, o VMAC é gerado usando uma combinação dos seguintes parâmetros:
- Identificador de grade (grid-id)
- Identificador de grupo de redundância de serviços (SRG-ID)
- Identificador MAC virtual (virtual-mac-id)
Isso desacopla a atribuição de VMAC do índice VIP, permitindo que vários VIPs compartilhem o mesmo VMAC e aumentando significativamente a escala suportada
Grid-ID (configurado no nível do chassi)
edit user@host# set chassis high-availability grid-id <1–15>
ID MAC virtual (configurado por interface em um SRG)
edit user@host# set chassis high-availability services-redundancy-group <id> interface <interface> virtual-mac-id <0–15>
Essa configuração precisa ser consistente para a mesma interface entre SRGs.
Esse aprimoramento permite o seguinte:
- Até ~2000 VIPs por SRG
- Até 16 interfaces por SRG. Esse limite de 16 interfaces se aplica ao nível da interface física (IFD). Uma única interface física (ou pacote AE) pode hospedar várias subinterfaces lógicas e VIPs. O uso de todas as 16 interfaces não é necessário; menos, incluindo uma única interface com várias subinterfaces, pode ser usado
- Uma interface Ethernet física ou agregada pode ser configurada em vários SRGs
- Até 15 pares de MNHA podem coexistir em um único domínio de broadcast de Camada 2. Ou seja, até 15 pares MNHA com id de rede exclusivo para cada par podem ser conectados ao mesmo switch L2 e o id de rede se diferenciará com vMAC exclusivo, embora o mesmo ID SRG e ID de interface usados.
Configuração de exemplo
Essa configuração configura um par MNHA na Camada 2 (modo de comutação) com dimensionamento VIP aprimorado usando grid-id e virtual-mac-id.
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.22.0.1 user@host# set chassis high-availability grid-id 5 user@host# set chassis high-availability peer-id 2 peer-ip 10.22.0.2 user@host# set chassis high-availability peer-id 2 interface xe-1/0/7.0 user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 300 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 3 user@host# set chassis high-availability services-redundancy-group 1 deployment-type switching user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 interface xe-1/1/7 virtual-mac-id 10 user@host# set chassis high-availability services-redundancy-group 1 interface xe-1/1/9 virtual-mac-id 11 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.20.0.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface xe-1/1/7.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.40.0.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface xe-1/1/9.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 3 ip 10.20.1.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 3 interface xe-1/1/7.1 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 3 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 4 ip 10.40.1.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 4 interface xe-1/1/9.1 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 4 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 5 ip 10.20.2.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 5 interface xe-1/1/7.2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 5 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 6 ip 10.40.2.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 6 interface xe-1/1/9.2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 6 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 7 ip 10.20.3.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 7 interface xe-1/1/7.3 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 7 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 8 ip 10.40.3.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 8 interface xe-1/1/9.3 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 8 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 9 ip 10.20.4.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 9 interface xe-1/1/7.4 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 9 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 10 ip 10.40.4.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 10 interface xe-1/1/9.4 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 10 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 11 ip 10.20.5.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 11 interface xe-1/1/7.5 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 11 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 12 ip 10.40.5.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 12 interface xe-1/1/9.5 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 12 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 13 ip 10.20.6.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 13 interface xe-1/1/7.6 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 13 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 14 ip 10.40.6.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 14 interface xe-1/1/9.6 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 14 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 15 ip 10.20.7.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 15 interface xe-1/1/7.7 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 15 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 16 ip 10.40.7.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 16 interface xe-1/1/9.7 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 16 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 17 ip 10.20.8.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 17 interface xe-1/1/7.8 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 17 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 18 ip 10.40.8.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 18 interface xe-1/1/9.8 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 18 use-virtual-mac
Na configuração acima, Todos os VIPs em:
xe-1/1/7.*→ compartilham VMAC derivado de virtual-mac-id 10xe-1/1/9.*→ compartilham VMAC derivado de virtual-mac-id 11
Compatibilidade com versões anteriores - Se o grid-id não estiver configurado, o sistema continuará a usar o método de geração de VMAC herdado com base no SRG-ID e no índice VIP. Nesse caso, a escala VIP permanece limitada a aproximadamente 32 por SRG.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.