Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Serviços multinodo de alta disponibilidade

A alta disponibilidade multinode oferece suporte ao modo ativo/ativo para plano de dados e modo ativo/backup para serviços de plano de controle. Vamos aprender sobre os serviços stateless e stateful do plano de controle nas seguintes seções:

Serviços stateless do plano de controle

O SRG0 gerencia serviços sem o estado do plano de controle, como segurança de aplicativos, IDP, segurança de conteúdo, firewall, NAT, políticas, ALG, etc. O failover para esses serviços é necessário apenas no nível do plano de dados e alguns desses serviços são aprovados (sem terminação no dispositivo, exceto NAT, autenticação de firewall).

O SRG0 permanece ativo em nós e encaminha o tráfego de ambos os nós. Esses recursos funcionam de forma independente em ambos os firewalls da Série SRX em alta disponibilidade multinodo.

Para configurar os serviços stateless do plano de controle:

  • Configure os recursos conforme os configura em um firewall autônomo da Série SRX.
  • Instale a mesma versão do Junos OS nos dispositivos de segurança participantes (Junos OS Release 22.3R1 ou posterior)
  • Instale licenças idênticas em ambos os nós
  • Baixe e instale as mesmas versões do pacote de assinatura de aplicativos ou pacote IPS em ambos os nós (se você estiver usando segurança de aplicativos e IDP)
  • Configure anúncios de rota condicionais, política de roteamento e rotas estáticas conforme os seus requisitos.
  • Em multinodo de alta disponibilidade, a sincronização de configuração não acontece por padrão. Você precisa configurar aplicativos como parte de grupos e, em seguida, sincronizar a configuração usando a opção ou gerenciar a peer synchronization configuração de forma independente em cada nó.

Tradução de endereços de rede

Serviços como Firewall, ALG, NAT não têm estado de plano de controle. Para esses serviços, apenas o estado do plano de dados precisa ser sincronizado entre os nós.

Em uma configuração multinode de alta disponibilidade, um dispositivo lida com uma sessão de NAT de cada vez, e o outro dispositivo assume a função ativa quando o failover acontece. Assim, uma sessão permanece ativa em um dispositivo e, no outro dispositivo, a sessão estará em estado quente (de espera) até que o failover aconteça.

As sessões de NAT e objetos de estado alg são sincronizados entre os nós. Se um nó falhar, o segundo nó continua a processar o tráfego para as sessões sincronizadas do dispositivo com falha, incluindo as tradução de NAT.

Você deve criar regras e grupos de NAT com os mesmos parâmetros em ambos os firewalls da Série SRX. Para direcionar o caminho de resposta para o tráfego NAT (destinado ao endereço IP do grupo NAT) para o firewall correto da Série SRX (dispositivo ativo), você deve ter a configuração de roteamento necessária em ambos os dispositivos ativos/backup. Ou seja, a configuração deve especificar quais rotas são anunciadas por meio dos protocolos de roteamento para os dispositivos de roteamento adjacentes. Assim, você também deve configurar a opção de política e a configuração de rota.

Quando você executa comandos operacionais específicos de NAT em ambos os dispositivos, você pode ver a mesma saída. No entanto, pode haver casos em que as IDs numéricas internas de regra/pool de NAT podem ser diferentes entre os nós. IDs numéricos diferentes não afetam a sincronização de sessão/ tradução de NAT no failover.

Autenticação do usuário do firewall

Com a autenticação do firewall, você pode restringir ou permitir que usuários individualmente ou em grupos. Os usuários podem ser autenticados usando um banco de dados local de senhas ou usando um banco de dados de senha externo.

A alta disponibilidade multinodo é compatível com os seguintes métodos de autenticação:

  • Autenticação de passagem
  • Aprovação com autenticação de redirecionamento da web
  • Autenticação da Web

A autenticação do usuário do firewall é um serviço com um estado de plano de controle ativo e requer controle e estado de plano de dados sincronização entre nós. Enquanto trabalha na configuração multinode de alta disponibilidade, o recurso de autenticação de usuários de firewall funciona de forma independente em firewalls da Série SRX e sincroniza a tabela de autenticação entre os nós. Quando um usuário autentica com sucesso, a entrada de autenticação é sincronizada com o outro nó e é visível em ambos os nós quando você executa o comando de show (exemplo: show security firewall-authentication users ).

Nota:

Ao sincronizar a configuração entre nós, verifique se os detalhes de autenticação, política, zona de origem e zona de destino são compatíveis em ambos os nós. Manter a mesma ordem em sua configuração garante uma sincronização bem-sucedida de entradas de autenticação em ambos os nós.

Se você limpar uma entrada de autenticação em um nó usando a declaração de tabela de autenticação local de identificação do usuário de segurança clara, certifique-se de limpar a entrada de autenticação no outro nó também.

Siga a mesma prática em caso de configuração de tráfego assimétrica também.

O Multinode High Availability oferece suporte ao Serviço de gerenciamento de identidade (JIMS) da Juniper para obter informações de identidade do usuário. Cada nó busca as entradas de autenticação do servidor JIMS e as processa de forma independente. Por causa disso, você deve executar comandos de autenticação de usuários de firewall separadamente em cada nó. Por exemplo, quando você exibe as entradas de autenticação usando os comandos do show, cada nó exibe apenas as entradas de autenticação que ele está lidando atualmente (como se estivesse funcionando de forma independente no modo autônomo:

Sincronização de configuração entre nós de alta disponibilidade multinodos

Em multinodo de alta disponibilidade, dois firewalls da Série SRX atuam como dispositivos independentes. Esses dispositivos têm um nome de host exclusivo e o endereço IP na interface Dop0. Você pode configurar serviços stateless do plano de controle, como ALG, firewall, NAT de forma independente nesses dispositivos. Os pacotes específicos de nós são sempre processados nos respectivos nós.

Os pacotes/serviços a seguir são específicos para nós (locais) em alta disponibilidade multinodo:

  • Protocolos de roteamento de pacotes para o mecanismo de roteamento

  • Serviços de gerenciamento, como SNMP, e comandos operacionais (show, request)

  • Processos, como o processo de serviço de autenticação (authd), integrado com servidores RADIUS e LDAP

  • Controle de túnel e pacotes de dados específicos de criptografia ICL

A sincronização de configuração em alta disponibilidade multinode não é habilitada por padrão. Se você deseja que determinadas configurações sincronizam com o outro nó, você precisa:

  • Configure o recurso/função como parte groups
  • Sincronizar a configuração usando a opção [edit system commit peers-synchronize]

Quando você habilita a sincronização de configuração (usando a opção peers-synchronize ) em ambos os dispositivos em um Multinode High Availability, as configurações de configuração que você configura em um peer under [grupos] sincronizarão automaticamente com o outro peer após a ação de confirmação .

O peer local no qual você habilita a peers-synchronize declaração copia e carrega sua configuração para o peer remoto. Cada peer então realiza uma verificação de sintaxe no arquivo de configuração que está sendo cometido. Se não forem encontrados erros, a configuração será ativada e se tornará a configuração operacional atual em ambos os pares.

O trecho de configuração a seguir mostra a configuração de VPN em avpn_config_group host-mnha-01. Sincronizaremos a configuração para o outro dispositivo peer host-mnha-02.

  1. Configure o nome de host e o endereço IP do dispositivo peer participante (host-mnha-02), detalhes de autenticação e inclua a peers-synchronization declaração.

  2. Configure o grupo (avpn_config_group) e especifique as condições de aplicação (quando os pares host-mnha-01 e host-mnha-02)

  3. Use o apply-groups comando na raiz da configuração.

    Quando você confirma a configuração, o Junos verifica o comando e mescla o grupo correto para combinar com o nome do nó.

  4. Verifique o status de sincronização usando o show configuration system comando do modo operacional.

    A saída de comando exibe os detalhes do firewall da Série SRX peer sob a opção peers .

Nota:

A sincronização da configuração acontece dinamicamente e se alguma configuração for alterada quando apenas um nó estiver disponível ou quando a conectividade estiver quebrada entre os nós, você deve emitir mais um compromisso para sincronizar a configuração com o outro nó. Caso contrário, isso levará a configurações inconsistentes em nós para os aplicativos.
Nota:
  • A sincronização de configuração não é obrigatória para que a alta disponibilidade multinode funcione. No entanto, para uma sincronização de configuração fácil, recomendamos usar a set system commit peers-synchronize declaração com junos groups configuração em uma direção (nó 0 a nó 1, por exemplo).
  • Recomendamos usar a conexão fora do gerenciamento de banda (fxp0) para formar sincronização de configuração entre nós de alta disponibilidade multinodo para gerenciar configurações comuns.
  • Para o caso de uso de IPsec, se a sincronização de configuração não estiver habilitada, você deve confirmar a configuração primeiro no nó de backup e depois no nó ativo.

Documentação relacionada