Prepare seu ambiente para a implantação de alta disponibilidade de vários nós
Este tópico fornece detalhes para preparar o ambiente para a implantação de alta disponibilidade de vários nós.
- Modelo do dispositivo
- Versão do software
- Pacote mais recente do Junos IKE
- Licenças de software
- Acessibilidade de rede
- Consideração de endereço IP
Modelo do dispositivo
Na alta disponibilidade de múltiplos nós, você deve usar o mesmo modelo de firewall da Série SRX que seus nós. Por exemplo, se você usar o SRX5600 como um nó, deverá usar outro SRX5600 como o outro nó
No caso da Linha SRX5000 de dispositivos, certifique-se de que SPCs, NPCs e IOCs tenham o mesmo posicionamento e tipo de slot.
Para obter a lista completa de recursos e plataformas com suporte, consulte Alta disponibilidade de vários nós no Explorador de Recursos.
Versão do software
Instale a versão compatível do Junos OS nos dispositivos de segurança participantes.
Pacote mais recente do Junos IKE
Você deve instalar o pacote IKE para habilitar a criptografia ICL na solução Multinode High Availability.
Por padrão, quando o firewall da Série SRX é inicializado, a arquitetura IKE legada é executada. Para habilitar a nova arquitetura IKE, você deve instalar o novo pacote Junos IKE. Este é um pacote opcional incluído na imagem de download do software do Junos OS.
Use o seguinte comando para instalar o pacote IKE:
user@host> request system software add optional://junos-ike.tgz
Depois de instalar o pacote Junos IKE, para atualizações de software subsequentes da instância, o pacote Junos IKE é atualizado automaticamente a partir das novas versões do Junos OS instaladas em seu dispositivo.
Licenças de software
Você não precisa de nenhuma licença específica para o recurso de alta disponibilidade de vários nós. No entanto, as licenças são exclusivas para cada Série SRX e não podem ser compartilhadas entre os nós em uma configuração de alta disponibilidade de múltiplos nós. Portanto, você deve usar licenças idênticas em ambos os nós. Se ambos os firewalls da Série SRX não tiverem um conjunto idêntico de licenças, o sistema não estará pronto para a implantação.
Acessibilidade de rede
Ambos os nós na configuração de alta disponibilidade de vários nós devem ser capazes de alcançar um ao outro usando o caminho ICL. Esse caminho usa (independentemente de a ICL ser criptografada ou não) endereço IP, protocolo e detalhes da porta. Você deve garantir que essa comunicação seja permitida entre os nós se algum firewall ou outra inspeção estiver em vigor.
O endereço IP flutuante usado para cada nó deve ser um IP roteável (caminho roteado lógico) em toda a rede.
Recomendamos vincular a ICL à interface de loopback (lo0) ou a uma interface Ethernet agregada (ae0) e ter mais de um link físico (LAG/LACP) que garante a diversidade de caminhos para maior resiliência. Você também pode usar uma porta Ethernet de receita nos firewalls da Série SRX para configurar uma conexão ICL. Certifique-se de separar o tráfego de trânsito nas interfaces de receita do tráfego de alta disponibilidade (HA).
Consideração de endereço IP
A Tabela 1 fornece detalhes sobre o suporte a endereços IPv4 e IPv6 para implantações de alta disponibilidade de vários nós.
| Tipo de implantação de MNHA | Rede de Camada 3 (roteadores em ambas as extremidades) | Rede híbrida (roteador em uma extremidade e switch na outra extremidade) | Gateway padrão (Switches em ambas as extremidades) |
|---|---|---|---|
| Endereços IPv4 e IPv6 para monitoramento de IP |
Sim | Sim | Sim |
| Endereços IPv4 e IPv6 para sondagem de atividade |
Sim | Sim | Sim |
| Endereços IPv4 e IPv6 virtuais |
Não aplicável | Sim | Sim |
Suporte disponível para a configuração de endereços IPv6 para a rota de sinal ativa, rota de sinal de backup e opções de rota de instalação em caso de falha nas configurações de grupo de redundância de serviços na configuração do MNHA.
Configure apenas um VIP por interface lógica (IFL) em uma configuração de alta disponibilidade de vários nós. O suporte para o uso de vários VIPs ou pilha dupla não está disponível.
Usando pools de endereços IP na configuração de alta disponibilidade de vários nós
Ao configurar vários SRGs (modo ativo-ativo) na alta disponibilidade de vários nós, certifique-se de que os pools de endereços usados pelos SRGs em um perfil de acesso não se sobreponham. Certifique-se também de que o endereço e o pool de endereços configurados no servidor RADIUS para os hosts conectados a diferentes SRGs devem ser exclusivos.
Exemplo: o exemplo a seguir mostra as configurações do pool de endereços com perfil localpool de acesso e localpool2 para SRG1 e SRG2, respectivamente:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
Neste exemplo, os Grupos de Redundância de Serviços - SRG1 e SRG2 - estão na mesma rede (192.0.2.0/24). No entanto, os endereços IP nos pools de endereços são distribuídos para evitar sobreposições (192.0.2.1/24— 192.0.2.127 para SRG1 e 192.0.2.128— 192.0.2.255 para SRG2).
Da mesma forma, você deve usar endereço IP exclusivo e pools de endereços para configurações de usuário no servidor RADIUS.
Caso você atribua o mesmo endereço para hosts em dois SRGs, a alta disponibilidade de múltiplos nós excluirá o novo host e interromperá as negociações de IKE com a seguinte mensagem:
AUTHENTICATION_FAILED as the AUTH response
O log do sistema exibe a seguinte mensagem:
Duplicate assigned IPv4 received, delete new peer
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.