Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Alta disponibilidade multinodo

Saiba mais sobre a solução multinodo de alta disponibilidade e como você pode usá-la em modelos de implantação simples e confiáveis. Atualmente, oferecemos suporte a dois nós em qualquer implantação multinode de alta disponibilidade.

Visão geral

A continuidade dos negócios é um requisito importante da rede moderna. O tempo de inatividade de alguns segundos pode causar interrupções e inconvenientes, além de afetar a OpEx e o CapEx. As redes modernas também têm data centers espalhados por várias áreas geográficas. Nesses cenários, alcançar alta disponibilidade pode ser muito desafiador.

Os firewalls da Série SRX da Juniper Networks® oferecem suporte a uma nova solução, Multinode High Availability, para atender aos requisitos de alta disponibilidade para data centers modernos. Nesta solução, tanto o plano de controle quanto o plano de dados dos dispositivos participantes (nós) estão ativos ao mesmo tempo. Assim, a solução oferece resiliência à interchassis.

Os dispositivos participantes podem ser co-localizados ou fisicamente separados em áreas geográficas ou outros locais, como salas ou edifícios diferentes. Ter nós com alta disponibilidade em locais geográficos garante um serviço resiliente. Se um desastre afetar um local físico, a alta disponibilidade de multinodos pode falhar em um nó em outro local físico, garantindo assim a continuidade.

Benefícios da alta disponibilidade de múltiplosnodos

  • CapEx e OpEx reduzidos — elimina a necessidade de uma rede comutada em torno do complexo de firewall e a necessidade de uma conectividade direta de Camada 2 (L2) entre nós

  • Flexibilidade de rede — oferece maior flexibilidade de rede, oferecendo suporte à alta disponibilidade em segmentos de rede de Camada 3 (L3) e comutada.

  • Solução resiliente stateful — oferece suporte a plano de controle ativo e plano de dados ao mesmo tempo em ambos os nós.

  • Continuidade de negócios e recuperação de desastres — maximiza a disponibilidade, aumentando a redundância dentro e entre data centers e geografias.

  • Atualizações suaves — oferece suporte a diferentes versões do Junos OS em dois nós para garantir atualizações suaves entre as versões do Junos OS, também permite executar duas versões diferentes do Junos.

Para obter a lista completa de recursos e plataformas suportados, veja Multinode High Availability no Feature Explorer.

Alta disponibilidade de multinodo ativo/backup

Oferecemos suporte a alta disponibilidade de multinodo ativo/backup em:

  • SRX5800, SRX5600, SRX5400 com SPC3, IOC3, IOC4, SCB3, SCB4 e RE3 no Junos OS Release 20.4R1

  • SRX4600, SRX4200, SRX4100 e SRX1500 no Junos OS Release 22.3R1

  • SRX2300 e SRX1600 no Junos OS Release 23.4R1.

  • SRX4300 e SRX1600 no Junos OS Release 24.2R1.

  • Firewalls virtuais vSRX3.0 para as seguintes plataformas de nuvem privada e pública:

    • KVM (máquina virtual baseada em kernel), VMWare ESXi no Junos OS Versão 22.3R1
    • Amazon Web Services (AWS) no junos OS Versão 22.3R1
    • Microsoft Azure Cloud no Junos OS Versão 23.4R1
    • Plataforma Google Cloud (GCP) no Junos OS Versão 24.4R1

Alta disponibilidade de multinodo ativo/ativo

A partir de então, você pode operar o Multinode High Availability no modo ativo ativo com suporte de vários grupos de redundância de serviços (SRGs). Vários suportes de SRG estão disponíveis nos seguintes dispositivos de segurança:

  • SRX5400, SRX5600 e SRX5800 com SPC3, IOC3, IOC4, SCB3, SCB4 e RE3 no Junos OS Release 22.4R1.
  • SRX4600, SRX4200, SRX4100, SRX2300, SRX1600, SRX1500 e vSRX no Junos OS Release 23.4R1.
  • SRX4300 no Junos OS Release 24.2R1.

Recursos suportados

Os firewalls da Série SRX com alta disponibilidade multinode oferecem suporte ao firewall e serviços avançados de segurança — como segurança de aplicativos, segurança de conteúdo, sistema de prevenção contra invasões (IPS), autenticação de usuários de firewall, NAT, ALG.

Para obter a lista completa de recursos suportados com multinodo de alta disponibilidade, consulte o Feature Explorer.

A alta disponibilidade multinodo não oferece suporte ao modo transparente de alta disponibilidade (HA)

Suporte para sistemas lógicos e locatários

Sistemas lógicos para firewalls da Série SRX permitem que você partique um único dispositivo em contextos seguros e um sistema de locatário logicamente divide o firewall físico em firewall lógico separado e isolado.

Um sistema de locatário divide logicamente o firewall físico em firewall lógico separado e isolado. Embora semelhantes aos sistemas lógicos, os sistemas de locatários têm escalabilidade muito maior e menos recursos de roteamento.

Os firewalls da Série SRX na configuração de alta disponibilidade multinodos oferecem suporte a sistemas lógicos e sistemas de locatários no grupo de redundância de serviços 0 (SRG0).

O comportamento de uma configuração multinode de alta disponibilidade com firewalls da Série SRX executando sistemas lógicos é o mesmo de uma configuração em que os nós da Série SRX não executam sistemas lógicos. Não há diferença nos eventos que desencadeiam um failover de nós. Especificamente, se o monitoramento da interface estiver habilitado sob o SRG0 e um link associado a um único sistema lógico falhar (que está sendo monitorado), o dispositivo falhará em outro nó. Esse failover ocorre por meio de anúncios de preferência de rota na configuração de alta disponibilidade multinodo.

Antes de configurar os sistemas lógicos ou de locatário, você deve configurar a alta disponibilidade multinode. Cada nó na configuração de alta disponibilidade deve ter uma configuração idêntica. Garanta que o nome, o perfil e os recursos de segurança correspondentes dos sistemas lógicos ou dos sistemas de locatário sejam os mesmos. Todas as configurações lógicas ou de sistema de locatários são sincronizadas e replicadas entre os dois nós.

Ponta:

Use grupos de configuração do Junos para configurar recursos e funções e sincronizar a configuração usando a opção [edit system commit peers-synchronize] em sua configuração multinodo de alta disponibilidade. Veja a sincronização de configuração entre nós de alta disponibilidade multinodo.

Ao usar firewalls da Série SRX com sistemas lógicos em um multinodo de alta disponibilidade, você deve comprar e instalar o mesmo número de licenças para cada nó na configuração.

Para obter mais informações, consulte o Guia de usuário de sistemas lógicos e locatários para dispositivos de segurança.

Cenários de implantação

A alta disponibilidade multinodo oferece suporte a dois firewalls da Série SRX que se apresentam como nós independentes para o resto da rede. Os nós estão conectados à infraestrutura adjacente pertencente às mesmas ou diferentes redes, tudo dependendo do modo de implantação. Esses nós podem ser colocados ou separados entre geografias. Os nós participantes recuam entre si para garantir um failover sincronizado rápido em caso de falha no sistema ou hardware.

Oferecemos suporte aos seguintes tipos de modelos de implantação de rede para alta disponibilidade multinodo:

  • Modo de rota (todas as interfaces conectadas usando uma topologia de Camada 3)
    Figura 1: Modo Layer 3 Mode camada 3
  • Modo gateway padrão (todas as interfaces conectadas usando uma topologia de Camada 2) usada em ambientes mais tradicionais. Implantação comum de redes DMZ onde os dispositivos de firewall atuam como o gateway padrão para hosts e aplicativos no mesmo segmento.
    Figura 2: Modo Default Gateway Mode gateway padrão
  • Modo híbrido (uma ou mais interfaces são conectadas usando uma topologia de Camada 3 e uma ou mais interfaces estão conectadas usando uma topologia de Camada 2)
    Figura 3: Modo Hybrid Mode híbrido
  • Implantação de nuvem pública
    Figura 4: Implantação de nuvem pública (exemplo: AWS) Public Cloud Deployment (Example: AWS)

Como a alta disponibilidade do multinodo é diferente do cluster do chassi?

Um cluster de chassi opera em ambiente de rede de Camada 2 e requer dois links entre os nós (link de controle e enlace de malha). Esses links conectam ambos os nós em VLANs dedicadas usando cabeamento back-to-back ou sobre fibra escura. Links de controle e links de malha usam portas físicas dedicadas no firewall da Série SRX.

A alta disponibilidade multinodo usa um link de interchasse lógica criptografado (ICL). A ICL conecta os nós em um caminho roteado em vez de uma rede de Camada 2 dedicada. Esse caminho roteado pode usar uma ou mais portas de receita para melhor resiliência, é até possível dedicar sua própria instância de roteamento a essas portas e caminhos para garantir o isolamento total que maximiza a resiliência da solução.

A Figura 5 e a Figura 6 mostram duas arquiteturas.

Figura 5: Topologia de cluster de chassi em uma rede Chassis Cluster Topology in a Layer 2 Network de camada 2
Figura 6: Alta disponibilidade de multinodo em uma rede Multinode High Availability in a Layer 3 Network de camada 3

A Tabela 1 lista as diferenças entre as duas arquiteturas

Tabela 1: Comparando clusters de chassi e alta disponibilidade multinodo
Parâmetros Chassis Cluster Multinode Alta Disponibilidade
Topologia de rede Nós se conectam a um domínio de broadcast Nós se conectam a um roteador, um domínio de broadcast ou uma combinação de ambos.
  • Nós se conectam a um roteador
  • Domínio de broadcast
  • Combinação de ambos acima
Ambiente de rede Camada 2
  • Camada 3 (modo de rota)
  • Camada 2 (modo gateway desfigurado
  • Combinação de Camada 3 e Camada 2 (modo híbrido)
  • Implantações de nuvem pública (AWS)
Abordagem de transição de tráfego Firewall da Série SRX envia GARP para o switch

Switchover usando seleção de caminho IP por um roteador de Camada 3 peer ou GARP de Camada 2 de um firewall da Série SRX para um switch de Camada 2 peer

  • Modo de rota: mudança de switch usando seleção de caminho IP (atualizações de rota)
  • Modo híbrido: switchover usando seleção de caminho IP (atualizações de rota) e envio de GARP para o switch
  • Modo gateway padrão: firewall da Série SRX envia GARP para o switch
Nuvem pública Não suportado Suportado
Função de roteamento dinâmico Processo de roteamento ativo na Série SRX, onde o plano de controle (RG0) está ativo Processo de roteamento ativo em cada firewall da Série SRX participando de alta disponibilidade multinodo
Conexão entre firewalls da Série SRX

  • Link de controle (caminho de camada 2)

  • Enlace de malha (caminho de Camada 2)
Link de interchassis (caminho de Camada 3)
Conectividade / Geo-redundância Requer um alongamento dedicado de Camada 2 entre os nós da Série SRX para o link de controle e o enlace da malha. Usa qualquer caminho roteado entre os nós para o link interchassis.
Monitoramento ip para detectar falha na rede
  • Interfaces
  • Monitoramento de IP usando endereços IPv4
  • Interfaces
  • Monitoramento de IP usando endereços IPv4 e IPv6
  • Detecção de encaminhamento bidirecional (BFD) usando endereços IPv4 e endereços IPv6

Brilho de alta disponibilidade multinodo

Vamos começar por nos familiarizar com os termos de alta disponibilidade multinodo usados nesta documentação.

Tabela 2: Brilho de alta disponibilidade multinodo
Descrição do termo
estado ativo/ativo (SRG0) Todos os serviços/fluxos de segurança são inspecionados em cada nó e são apoiados no outro nó. Os fluxos de segurança devem ser simétricos.
estado ativo/backup (SRG1+) O SRG1+ permanece ativo em um nó a qualquer momento e permanece em estado de backup no outro nó. O SRG1+ no estado de backup está pronto para assumir o tráfego do SRG1 ativo em caso de falha.
prioridade do dispositivo O valor de prioridade determina se um nó pode agir como um nó ativo em uma configuração de alta disponibilidade multinodo. O nó com menor valor numérico tem uma prioridade maior e, portanto, atua como nó ativo enquanto o outro nó atua como nó de backup.
preempção do dispositivo O comportamento preventivo permite que o dispositivo com a maior prioridade (menor valor numérico) retome como nó ativo após se recuperar de uma falha. Se você precisar usar um dispositivo específico em multinodo de alta disponibilidade como nó ativo, então você deve habilitar o comportamento preventivo em ambos os dispositivos e atribuir um valor de prioridade do dispositivo para cada dispositivo.
failover Um failover acontece quando um nó detecta uma falha (hardware/software e assim por diante) e o tráfego faz a transição para o outro nó de maneira stateful. Como resultado, o nó de backup em um sistema de alta disponibilidade assume a tarefa do nó ativo quando o nó ativo falha.
endereço IP flutuante ou endereço IP de sondagem de ativação Um endereço IP que passa de um nó ativo para o nó de backup durante o failover em uma configuração multinode de alta disponibilidade. Esse mecanismo permite que os clientes se comuniquem com os nós usando um único endereço IP.

alta disponibilidade/resiliência

 Capacidade de um sistema de eliminar pontos únicos de falha para garantir operações contínuas por um longo período de tempo.
link de interchassis Link baseado em IP (link lógico) que conecta nós em uma rede roteada em uma implantação multinode de alta disponibilidade. O link ICL normalmente está vinculado às interfaces de loopback para a maioria das implantações flexíveis. A conectividade pode ser qualquer caminho roteado ou comuto, desde que a conectividade seja acessível entre os dois endereços IP.

O dispositivo de segurança usa a ICL para sincronizar e manter informações de estado e lidar com cenários de failover do dispositivo.
Criptografia de enlaces de interchassis A criptografia do link oferece privacidade de dados para mensagens que atravessam a rede. Como o link ICL transmite dados privados, é importante criptografar o link. Você deve criptografar a ICL usando VPN IPsec.
monitoramento (BFD) Monitoramento de um ou mais links usando a Detecção bidirecional de encaminhamento (BFD). O monitoramento de BFD desencadeia uma mudança de caminho de roteamento ou um failover do sistema, dependendo da configuração do sistema.
monitoramento (IP) Monitoramento de um endereço IP confiável e estado do sistema em caso de perda de comunicação com o nó peer.
monitoramento (caminho) Método que usa o ICMP para verificar a acessibilidade do endereço IP. O intervalo padrão para sondas de ping ICMP é de 1 segundo.
monitoramento (sistema) Monitoramento dos principais recursos e infraestruturas de hardware e software, desencadeando failover quando uma falha é detectada em um nó.
Sondagem Mecanismo usado para trocar mensagens entre nós ativos e de backup na configuração de alta disponibilidade. As mensagens determinam o status e a integridade do aplicativo em cada nó individual.
objeto em tempo real (RTO) Pacote de carga especial que contém as informações necessárias para sincronizar os dados de um nó para o outro nó.
detecção de cérebro dividido (também conhecido como detecção de plano de controle ou detecção de conflitos de ativação) Evento em que a ICL entre dois nós de alta disponibilidade multinodo esteja baixa, e ambos os nós iniciem uma sonda de determinação de ativação (sonda de cérebro dividido). Com base na resposta à sonda, o failover subsequente a uma nova função é desencadeado
grupo de redundância de serviços (SRG) Unidade de failover que inclui e gerencia uma coleção de objetos nos nós participantes. O SRG em um nó muda para o outro nó quando um failover é detectado.
SRG0 Gerencia todos os serviços stateless do plano de controle, como firewall, NAT e ALG. O SRG0 está ativo em todos os nós participantes e lida com fluxos de segurança simétricos.
SRG1+ Gerencia o plano de controle de serviços stateful (VPN IPsec ou IPs virtuais no modo de gateway híbrido ou padrão.).
sincronização Processe onde os controles e os estados do plano de dados são sincronizados entre os nós.
endereço IP virtual (VIP) Endereços IP virtuais no modo gateway híbrido ou padrão são usados para determinação e aplicação da ativação no lado da comutação em uma configuração multinode de alta disponibilidade. O IP virtual é controlado pelo SRG1+.
endereço MAC virtual (VMAC) (Para implantações de gateway híbridos e padrão). Endereço MAC virtual atribuído dinamicamente à interface em nó ativo que enfrenta o lado da comutação.

Agora que estamos familiarizados com os recursos de alta disponibilidade multinodo e o que há de melhor em termos de recursos, vamos continuar a entender como funciona a alta disponibilidade de multinodo.

Como funciona a alta disponibilidade multinodo

Nota:

Oferecemos suporte a uma configuração de dois nós para a solução multinodo de alta disponibilidade.

Em uma configuração multinode de alta disponibilidade, você conecta dois firewalls da Série SRX a roteadores upstream e downstream adjacentes (para implantações de Camada 3), roteadores e switches (implantação híbrida) ou switches (implantação padrão de gateway) usando as interfaces de receita.

Os nós se comunicam entre si usando um link de interchasse (ICL). O link ICL usa conectividade de Camada 3 para se comunicar entre si, essa comunicação pode ocorrer em uma rede roteada (Camada 3) ou em um caminho de Camada 2 conectado diretamente. É recomendável vincular a ICL à interface de loopback e ter mais de um link físico (LAG/LACP) para garantir a diversidade de caminhos para a mais alta resiliência.

A alta disponibilidade multinodo opera no modo ativo/ativo para plano de dados e modo ativo/backup para serviços de plano de controle. O firewall ativo da Série SRX hospeda o endereço IP flutuante e direciona o tráfego em direção a ele usando o endereço IP flutuante

A alta disponibilidade multinodo funciona em:

  • Modo ativo/ativo (SRG0) para os serviços de segurança
  • Modo ativo/backup (SRG1 ou superior) para segurança e serviços de sistema

Endereços IP flutuantes controlados pelo SRG1 ou superiores se movem entre os nós. O SRG1+ ativo hospeda e controla o endereço IP flutuante. Em cenários de failover, esse endereço IP 'flutua' para outro SRG1 ativo com base em decisões de configuração, integridade do sistema ou monitoramento de caminhos. O SRG1+ recém-ativo pode assumir a função de um SRG1 agora em standby e começa a responder às solicitações recebidas.

A Figura 7, a Figura 8 e a Figura 9 mostram implantações nos modos de gateway de Camada 3, híbridos e padrão.

Figura 7: Implantação Layer 3 Deployment da Camada 3

Nesta topologia, dois firewalls da Série SRX fazem parte de uma configuração multinode de alta disponibilidade. A configuração tem conectividade de Camada 3 entre firewalls da Série SRX e roteadores vizinhos. Os dispositivos estão sendo executados em redes físicas separadas de Camada 3 e estão operando como dois nós independentes. Os nós mostrados na ilustração estão co-localizados na topologia. Os nós também podem ser geograficamente separados.

Figura 8: Implantação Default Gateway Deployment padrão de gateway

Em uma implantação de gateway padrão típica, hosts e servidores em uma LAN são configurados com um gateway padrão do dispositivo de segurança. Assim, o dispositivo de segurança deve hospedar um endereço IP virtual (VIP) que se move entre nós com base na ativação. A configuração em hosts permanece estática, e a falha no dispositivo de segurança é perfeita da perspectiva dos hosts.

Você deve criar rotas estáticas ou roteamento dinâmico em firewalls da Série SRX para alcançar outras redes não conectadas diretamente.

Figura 9: Implantação Hybrid Deployment híbrida

No modo híbrido, um firewall da Série SRX usa um endereço VIP no lado da Camada 2 para atrair tráfego em direção a ele. Você pode configurar opcionalmente o ARP estático para o VIP usando o endereço VMAC para garantir que não haverá alteração no endereço IP durante o failover

Vamos agora entender detalhadamente os componentes e funcionalidade da alta disponibilidade multinodo.

Grupos de redundância de serviços

Um grupo de redundância de serviços (SRG) é uma unidade de failover em uma configuração multinode de alta disponibilidade. Existem dois tipos de SRGs:

  • SRG0 — gerencia o serviço de segurança a partir da Camada 4-Camada 7, exceto os serviços de VPN IPsec. O SRG0 opera no modo ativo em ambos os nós a qualquer momento. No SRG0, cada sessão de segurança deve atravessar o nó em um fluxo simétrico, o backup desses fluxos é totalmente sincronizado em estado para o outro nó,
  • SRG1+— gerencia serviços IPsec e IPs virtuais para o modo gateway híbrido e padrão e tem backup do outro nó. O SRG1 opera no modo ativo em um nó e em nó de backup em outro nó.

A Figura 10 mostra o SRG0 e o SRG1 em uma configuração de alta disponibilidade multinodo.

Figura 10: Suporte SRG único em alta disponibilidade multinodo (modo active-backup) Single SRG Support in Multinode High Availability (Active-Backup Mode)

A Figura 11 mostra o SRG0 e o SRG1+ em uma configuração de alta disponibilidade multinodo.

Figura 11: Suporte multi-SRG em alta disponibilidade multinodo (modo ativo-ativo) Multi SRG Support in Multinode High Availability (Active-Active Mode)

A partir do Junos OS Release 22.4R1, você pode configurar o Multinode High Availability para operar no modo ativo com suporte de multi SRG1s (SRG1+). Nesse modo, alguns SRGs permanecem ativos em um nó e alguns SRGs permanecem ativos em outro nó. Um SRG específico sempre opera no modo active-backup; opera no modo ativo em um nó e modo de backup em outro nó. Neste caso, ambos os nós podem ter o SRG1 ativo encaminhando serviços stateful. Cada nó tem um conjunto diferente de endereços IP flutuantes atribuídos ao SRG1+.

Nota:

A partir do Junos OS Release 22.4R1, você pode configurar até 20 SRGs em uma configuração multinode highavailability.

A Tabela 3 explica o comportamento dos SRGs em uma configuração de alta disponibilidade multinodo.

Tabela 3: Detalhes do grupo de redundância de serviços em alta disponibilidade multinodo
Serviços gerenciados do Grupo de redundância de serviços relacionados (SRG) operam no tipo de sincronização quando o nó ativo falha nas opções de configuração
SRG0 Gerencia o serviço de segurança L4-L7, exceto VPN IPsec. Modo ativo/ativo Sincronização stateful de serviços de segurança O tráfego processado no nó com falha fará a transição para o nó saudável de forma stateful.
  • Opção de desligamento por falha
  • Instalação em opções de rota de falha
SRG1+ Gerencia endereços IPsec e virtual-IP com serviços de segurança associados Modo ativo/backup Sincronização stateful de serviços de segurança O tráfego processado no nó com falha fará a transição para o nó saudável de forma stateful.
  • Rota de sinal ativo/backup
  • Tipo de implantação
  • Prioridade e preempção da ativação
  • Endereço IP virtual (para implantações de gateway padrão)
  • Sondagem de ativação
  • Processar pacotes na opção de backup

  • Monitoramento de BFD

  • Monitoramento de IP
  • Monitoramento de interface
Nota:

Quando você configura opções de monitoramento (BFD, IP ou Interface) no SRG1+, recomendamos não configurar a opção de shutdown-on-failure no SRG0.

A partir do Junos OS Release 23.4R1, a configuração multinodo de alta disponibilidade opera em um modo combinado. Você não precisa reiniciar o sistema ao adicionar ou excluir nenhuma configuração de SRG (SRG0 ou SRG1+).

Determinação e aplicação da ativação

Em uma configuração multinode de alta disponibilidade, a ativação é determinada no nível de serviço, não no nível do nó. O estado ativo/backup está no nível SRG e o tráfego é direcionado para o SRG ativo. O SRG0 permanece ativo em ambos os nós, enquanto o SRG1 pode permanecer ativo ou em estado de backup em cada nó

Se você preferir que um determinado nó assuma o cargo de nó ativo no boot, você pode fazer um dos seguintes:

  • Configure os roteadores upstream para incluir preferências pelo caminho onde o nó está localizado.
  • Configure a prioridade de ativação.
  • Permita que o nó com ID de nó mais alto (caso as duas opções acima não estiverem configuradas) assumam a função ativa.

Em uma configuração multinode de alta disponibilidade, ambos os firewalls da Série SRX anunciam inicialmente a rota para o endereço IP flutuante para os roteadores upstream. Não há uma preferência específica entre os dois caminhos anunciados pelos firewalls da Série SRX. No entanto, o roteador pode ter suas próprias preferências em um dos caminhos, dependendo das métricas configuradas.

A Figura 12 representa a sequência de eventos para determinação da ativação e aplicação da ativação.

Figura 12: Determinação e aplicação da ativação Activeness Determination and Enforcement
  1. No boot, os dispositivos entram no estado de espera e começam a sondar continuamente. Os dispositivos usam o endereço IP flutuante (endereço IP de origem de sondagem de ativação) como endereço IP de origem e endereços IP dos roteadores upstream como endereço IP de destino para a sondagem de determinação de ativação.

  2. O roteador que hospeda o endereço IP de destino da sonda responde ao firewall da Série SRX que está disponível em seu caminho de roteamento preferido. No exemplo a seguir, o SRX-1 recebe a resposta do roteador upstream.

    Figura 13: Determinação e aplicação da ativação Activeness Determination and Enforcement

  3. O SRX-1 se promove para o papel ativo desde que recebeu a resposta da sonda. O SRX-1 comunica sua mudança de função para o outro dispositivo e assume a função ativa.

  4. Após a ativação ser determinada, o nó ativo (SRX-1):

    • Hospeda o endereço IP flutuante atribuído a ele.
    • Anuncia o caminho de alta preferência para vizinhos BGP adjacentes.
    • Continua anunciando o caminho de preferência ativo (superior) para todas as rotas remotas e locais para atrair o tráfego.
    • Notifica o status de nó ativo para o outro nó por meio da ICL.

  5. O outro dispositivo (SRX-2) para de sondar e assume a função de backup. O nó de backup anuncia a prioridade padrão (menor), garantindo que os roteadores upstream não encaminhem nenhum pacote para o nó de backup.

O módulo multinodo de alta disponibilidade adiciona rotas de sinal ativas e de backup para o SRG à tabela de roteamento quando o nó se move para a função ativa. Em caso de falhas de nó, a ICL cai e o nó ativo atual libera sua função ativa e remove a rota de sinal ativa. Agora, o nó de backup detecta a condição por meio de suas sondas e faz a transição para a função ativa. A preferência de rota é trocada para conduzir todo o tráfego em direção ao novo nó ativo.

O switch no anúncio de preferência de rota faz parte das políticas de roteamento configuradas em firewalls da Série SRX. Você deve configurar a política de roteamento para incluir a rota de sinal ativa com a if-route-exists condição.

Para implantações de gateway padrão

Se ambos os nós estiverem inicializando ao mesmo tempo, o sistema multinodo de alta disponibilidade usa o valor de prioridade configurado de um SRG para determinar a ativação. A aplicação da ativação ocorre quando o nó com um SRG1+ ativo possui o endereço IP virtual (VIP) e o endereço MAC virtual (VMAC). Essa ação aciona o Gratuitous ARP (GARP) em direção aos switches de ambos os lados e resulta na atualização das tabelas MAC nos switches.

Para implantações híbridas

A aplicação da ativação ocorre no lado da Camada 3, quando a rota de sinal configurada aplica a ativação com os anúncios de rota correspondentes. No lado da Camada 2, o firewall da Série SRX aciona um ARP gratuito (GARP) para a camada do switch e possui os endereços VIP e VMAC

Quando o failover acontece e o nó de backup antigo faz a transição para a função ativa, a preferência de rota é trocada para levar todo o tráfego até o novo nó ativo.

Prioridade e preempção da ativa

Configure a prioridade de preempção (1-254) para SRG1+. Você deve configurar o valor de preempção em ambos os nós. A opção preempcional garante que o tráfego sempre recai sobre o nó especificado, quando o nó se recupera de um failover.

Você pode configurar a prioridade e a preempção da ativa para um SRG1+ como na amostra a seguir:

Veja a configuração de alta disponibilidade multinodo em uma rede de camada 3 para o exemplo de configuração completo.

Enquanto os nós puderem se comunicar entre si através da ICL, a prioridade de ativação é honrada.

Configuração das configurações da sondagem de ativação

A partir do Junos OS 22.4R1, gateway padrão (comutação) e em implantações híbridas de alta disponibilidade multinodo, você pode configurar opcionalmente parâmetros de sondagem de ativação usando as seguintes declarações:

O intervalo da sonda define o período de tempo entre as sondas enviadas para os endereços IP de destino. Você pode definir o intervalo da sonda como 1000 milissegundos.

O valor do multiplicador determina o período de tempo, após o qual o nó de backup faz a transição para o estado ativo, se o nó de backup não receber resposta às sondas de ativação do nó de peer.

O padrão é 2, e o valor mínimo é 2, e o máximo é 15.

Exemplo: se você configurar o valor do multiplicador para dois, o nó de backup fará a transição para o estado ativo se não receber uma resposta à solicitação de sondagem de ativação do nó de peer após dois segundos.

Você pode configurar multiplier e minimal-interval em implantações híbridas e de comutação.

Em implantações de modo híbrido, se você tiver configurado os detalhes de IP de destino da sonda para determinação da ativação (usando a activeness-probe dest-ip declaração), então não configure os valores e minimal-interval os multiplier valores. Configure esses parâmetros quando estiver usando a sondagem de ativação baseada em VIP.

Resiliência e failover

A solução multinodo de alta disponibilidade oferece suporte a redundância no nível de serviço. A redundância de nível de serviço minimiza o esforço necessário para sincronizar o plano de controle em todos os nós.

Após a configuração de alta disponibilidade multinodo determinar a ativação, ele negocia o estado subsequente de alta disponibilidade (HA) por meio da ICL. O nó de backup envia sondas ICMP usando o endereço IP flutuante. Se a ICL estiver ativa, o nó recebe a resposta à sua sonda e permanece como o nó de backup. Se a ICL estiver baixa e não houver resposta à sonda, o nó de backup faz a transição para o nó ativo.

O SRG1 do nó de backup anterior agora faz a transição para o estado ativo e continua operando perfeitamente. Quando a transição acontece, o endereço IP flutuante é atribuído ao SRG1 ativo. Dessa forma, o endereço IP flutua entre os nós ativos e de backup e permanece acessível a todos os hosts conectados. Assim, o tráfego continua fluindo sem qualquer interrupção.

Serviços, como a VPN IPsec, que exigem estados de plano de controle e plano de dados são sincronizados entre os nós. Sempre que um nó ativo falha nessa função de serviço, tanto o plano de controle quanto o plano de dados falham no nó de backup ao mesmo tempo.

Os nós usam as seguintes mensagens para sincronizar dados:

  • Mensagens de aplicativo de controle do mecanismo de roteamento para roteamento
  • Mensagens relacionadas à configuração do mecanismo de roteamento
  • Mensagens de RTO de plano de dados

Criptografia do link de interchassis (ICL)

Em multinodos de alta disponibilidade, os nós ativos e de backup comunicam-se entre si usando um link de interchasse (ICL) conectado em uma rede roteada ou conectado diretamente. O ICL é um enlace IP lógico e está estabelecido usando endereços IP que são roteáveis na rede.

Nós usam a ICL para sincronizar os estados de plano de controle e plano de dados entre eles. A comunicação da ICL pode passar por uma rede compartilhada ou não confiável e os pacotes enviados pela ICL podem percorrer um caminho que nem sempre é confiável. Portanto, você deve proteger os pacotes que atravessam a ICL criptografando o tráfego usando padrões IPsec.

O IPsec protege o tráfego estabelecendo um túnel de criptografia para a ICL. Quando você aplica a criptografia de enlace de HA, o tráfego de HA flui entre os nós apenas através do túnel seguro e criptografado. Sem criptografia de enlaces HA, a comunicação entre os nós pode não ser segura.

Para criptografar o link HA para a ICL:

  • Instale o pacote Junos IKE em seu firewall da Série SRX usando o seguinte comando:

    request system software add optional://junos-ike.tgz .

  • Configure um perfil de VPN para o tráfego HA e aplique o perfil para ambos os nós. O túnel IPsec negociado entre os firewalls da Série SRX usa o protocolo IKEv2.

  • Certifique-se de ter incluído a declaração ha-link-criptografia em sua configuração de VPN IPsec. Exemplo: user@host# definir segurança ipsec vpn vpn-name ha-link-criptografia.

Recomendamos seguir a configuração de uma ICL:

  • Use portas e redes que são menos propensas a serem saturadas
  • Para não usar as portas HA dedicadas (portas de controle e malha, se disponíveis em seu firewall da Série SRX)

  • Conecte o ICL à interface de loopback (lo0) ou a uma interface Ethernet agregada (ae0) e tenha mais de um link físico (LAG/LACP) que garante a diversidade de caminhos para maior resiliência.

  • Você pode usar uma porta Ethernet de receita nos firewalls da Série SRX para configurar uma conexão ICL. Certifique-se de separar o tráfego de trânsito em interfaces de receita do tráfego de alta disponibilidade (HA).

Veja configurando a alta disponibilidade multinodo para obter mais detalhes.

Criptografia de link baseada em PKI para ICL

A partir do Junos OS Release 22.3R1, oferecemos suporte à criptografia de link baseada em PKI para link de interchassis (ICL) em alta disponibilidade multinodo. Como parte desse suporte, agora você pode gerar e armazenar objetos PKI específicos de nós, como keypairs locais, certificados locais e solicitações de assinatura de certificados em ambos os nós. Os objetos são específicos para nós locais e são armazenados nos locais específicos em ambos os nós.

Os objetos locais de nó permitem que você distingue entre objetos PKI que são usados para criptografia ICL e objetos PKI usados para túnel VPN IPsec criado entre dois endpoints.

Você pode usar os seguintes comandos executados em nó local para trabalhar com objetos PKI específicos de nós.

Tabela 4: Comandos para objetos PKI específicos para nós
Gerando um par de chave privada/pública para um nó local

solicitar segurança pki nó-local gerar-key-pair

Geração e inscrição de um certificado digital local em um nó local
Certificados claros específicos para nós
Exibir certificados locais e solicitações de certificados específicos para nós.

Em seu dispositivo de segurança em Multinode High Availability, se você tiver configurado a opção de recadastramento automático e se a ICL cair no momento da rematrícula, ambos os dispositivos começam a inscrever o mesmo certificado separadamente com o servidor CA e baixam o mesmo arquivo CRL. Uma vez que a alta disponibilidade multinodo restabeleça a ICL, a configuração usa apenas um certificado local. Você deve sincronizar os certificados do nó ativo ao nó de backup usando o user@host> request security pki sync-from-peer comando no nó de backup.

Se você não sincronizar os certificados, o problema de incompatibilidade do certificado entre nós de pares persiste até a próxima rematrícula.

Opcionalmente, você pode habilitar o TPM (módulo de plataforma confiável) em ambos os nós antes de gerar quaisquer keypairs nos nós. Veja usando módulo de plataforma confiável para vincular segredos em dispositivos da Série SRX.

Detecção e prevenção de cérebros divididos

A detecção de cérebro dividido ou conflito de ativação acontece quando a ICL entre dois nós de alta disponibilidade multinodo está baixa e ambos os nós não podem mais alcançar uns aos outros para reunir o status de nó de peer.

Sondagem split-brain baseada em ICMP

Considere um cenário em que dois dispositivos da Série SRX fazem parte da configuração de alta disponibilidade multinodo. Vamos considerar o SRX-1 como nó local e nó remoto SRX-2. O nó local está atualmente em função ativa e hospedando endereço IP flutuante para direcionar o tráfego em direção a ele. O roteador upstream tem um caminho de maior prioridade para o nó local.

Quando a ICL entre os nós cai, ambos os nós iniciam uma sonda de determinação de ativação (sonda ICMP). Os nós usam o endereço IP flutuante (endereço IP de determinação de ativação) como endereço IP de origem e endereços IP dos roteadores upstream como endereço IP de destino para as sondas.

Caso 1: se o nó ativo estiver ativo ativa

Figura 14: o nó ativo está em alta e a ICL está baixa Active Node is Up and ICL is Down
  • O roteador upstream, que hospeda o endereço IP de destino da sonda, recebe as sondas ICMP de ambos os nós.
  • O roteador upstream responde apenas ao nó ativo; porque sua configuração tem um caminho de preferência mais alto para o nó ativo
  • O nó ativo mantém a função ativa.

Se o nó ativo estiver desativado:

Figura 15: o nó ativo está desativado e a ICL está baixa Active Node is Down and ICL is Down
  • O nó remoto reinicia as sondas de determinação de ativação.
  • O roteador que hospeda o endereço IP de destino da sonda perdeu seu caminho de preferência mais alto (do antigo nó ativo) e responde ao nó remoto.
  • O resultado da sonda é um sucesso para o nó remoto e as transições de nó remoto para o estado ativo.
  • Como demonstrado nos casos acima, as sondas de determinação de ativação e a configuração de maior preferência de caminho no roteador upstream garantem que um nó sempre permaneça na função ativa e evita que o cérebro dividido ocorra.

Sondagem de cérebro dividido baseada em BFD

No Junos OS Release 23.4R1, oferecemos suporte a sondagem split-brain baseada em BFD para implantações de gateway padrão e híbridas para alta disponibilidade multinodo.

A falha no Link de Interchassis (ICL) pode muitas vezes ser atribuída a dois fatores-chave: interrupções de rede ou configurações inconsistentes. Você pode usar a sonda de ativação para determinar o nó que pode assumir uma função ativa para cada SRG1+. Com base no resultado da sonda, um dos nós faz transições para o estado ativo e essa ação evita cenários cerebrais derramados.

Com a sondagem de cérebro dividido baseada em BFD, agora você pode ter mais controle granular nas sondas, pois pode definir a interface, o intervalo mínimo e os multiplicadores. Na sondagem de cérebro dividido baseada em BFD, a sondagem começa imediatamente após a configuração de um SRG e começa a funcionar. Na sondagem de cérebro dividido baseada em ICMP padrão, a sondagem só começa depois que o link ICL cai.

Em comparação, a sondagem baseada em BFD é muito mais proativa das seguintes maneiras para garantir uma resposta mais rápida para evitar cenários de cérebro dividido:

  • A sondagem inicia diretamente a publicação de uma configuração de SRG.

  • Se tanto a ICL BFD quanto a sonda split-brain quebrarem ao mesmo tempo, o nó de backup assume imediatamente o papel ativo e assume o VIP.

Isso garante uma resposta mais rápida para evitar cenários de cérebro dividido.

Como funciona?

Quando a ICL está baixa e ambos os dispositivos estão começando, os nós inicialmente entram em um estado HOLD e esperam que o nó peer apareça e se conecte. Por qualquer motivo, se o outro nó não aparecer, o sistema inicia sondas cerebrais divididas nos endereços IP hospedados em diferentes dispositivos na rede. Se o processo for concluído com sucesso, um nó faz a transição para o ativo e o outro para o backup. Antes do sucesso da sondagem, se ocorrer alguma falha no monitoramento de caminhos/falha no monitor interno do hardware, ambos os nós ficarão iniligíveis para evitar um cenário de cérebro dividido.

Se a sonda split-brain falhar por qualquer motivo, os nós permanecerão no estado HOLD e continuarão sondando. O IP da sonda split-brain deve estar sempre disponível na rede. Com exceção do IPsec, todos os outros tráfegos de aplicativos não sofrerão perdas no SRX enquanto o roteamento estiver disponível, mesmo no estado HOLD.

Quando ambos os nós estiverem em hold ou em estado de inelegibilidade, nenhum tráfego será encaminhado até que o nó se torne ativo/backup novamente.

Nota:

  • O cérebro dividido é baseado nas sondas de ativação diferentes das sondas de monitor de caminho. Ele só é acionado quando o ICL/comunicação é quebrado nós b/w MNHA
  • Quando o enlace entre interchassis (ICL) entre nós é quebrado, ambos os nós iniciam sondas cerebrais divididas. O nó ativo mantém o domínio enquanto sua sonda não falhar. Recomenda-se hospedar o IP de sondagem em um caminho que garanta a acessibilidade contínua, desde que o nó da Série SRX seja saudável. Uma mudança de estado só é desencadeada se a sonda do nó ativo atual falhar e a sonda do nó de backup atual for bem sucedida.
  • Nos modos comutação e híbrido, o direcionamento de tráfego usa o IP virtual (VIP), que funciona apenas no estado ACTIVE. O sistema não deve permanecer no estado HOLD após o expirador de espera, pois sondará o peer MNHA para resolver a situação de cérebro dividido.

Diferença na sondagem baseada em ICMP e baseada em BFD

A tabela a seguir mostra diferenças na sondagem baseada em ICMP e sondagem baseada em BFD para detecção de cérebro dividido.

Tabela 5: Diferença na sondagem baseada em ICMP e baseada em BFD

Parâmetros

Sondagem baseada em ICMP

Sondagem baseada em BFD
Tipo de sondagem Pacote ICMP

Pacote BFD, BFD de salto único
Intervalo mínimo 1000 ms O intervalo mínimo de BFD do firewall da Série SRX depende da plataforma.

Por exemplo:

firewalls de linha SRX5000 com SPC3, o intervalo é de 100 ms.

SRX4200, o intervalo é de 300ms.
Sondas de nós de backup do SRG Sim Sim
Sondas de nó ativo SRG Não Sim
SRG split-brain resolvendo quando ICL para baixo Só quando a ICL cair. Depois que o SRG estiver configurado.
  Não é possível Possível

Opções de configuração

 
show chassis 
high-availability services-redundancy-group 1 
activeness-probe
dest-ip {
    192.168.21.1; 
    src-ip 192.168.21.2;
    }
 
show chassis 
high-availability services-redundancy-group 1 
activeness-probe
bfd-liveliness {
    source-ip 192.168.21.1; (inet address of the local SRX sub interface) 
    destination-ip 192.168.21.2; (inet address of the peers SRX sub interface) 
    interface xe-0/0/1.0;     
}

A figura a seguir mostra opções de configuração para sondagem baseada em ICMP e sondagem baseada em BFD para detecção de cérebro dividido.

Figura 16: Configuração de activeness-probes para sondagem baseada em ICMP e baseada em BFD Activeness-Probes Configuration for ICMP-Based and BFD-Based Probing
Nota:

A sondagem baseada em ICMP e as sondagens baseadas em BFD são mutuamente exclusivas.

No modo híbrido e implantações de gateway padrão, você pode configurar o intervalo e o limiar da sonda de ativação a seguir dois níveis:

  • Nível global aplicável à sondagem de cérebro dividido baseada em ICMP

  • Nível de BFD-Liveliness que é específico da sonda BFD split-brain. Ao configurar a sondagem baseada em BFD, não configure o global minimum-interval e multiplier as opções em activeness-probe declaração.

Para configurar a sonda de ativação para implantações de gateway padrão, use a interface de endereço virtual principal (VIP1) em ambos os nós (local e peer) para configurar sua sonda de ativação. O IP de destino é do nó peer, e o IP de origem é do seu nó local. Ambos os VIPs devem ter o mesmo valor de índice. Os endereços IP devem ser os endereços de inet atribuídos à interface LAN do firewall da Série SRX.

Configure a sondagem split-brain

Você pode configurar a sondagem de cérebro dividido em uma configuração de alta disponibilidade de nós multinodos das seguintes maneiras:

  • Roteamento e modo híbrido — Se você tiver configurado os detalhes de IP de destino da sonda para determinação da ativação (usando a activeness-probe dest-ip declaração), então não configure o multiplicador e os valores de intervalo mínimo. Configure esses parâmetros quando estiver usando a sondagem de ativação baseada em VIP.

  • Modo híbrido e comutação — sondagem split-brain de Camada 2 usando ICMP. Use o tipo de sonda ICMP e definir limite de intervalo e tempo limite usando a seguinte declaração:

  • Modo híbrido e comutação — sondagem split-brain de Camada 2 usando BFD. Use o tipo de sonda BFD e defina o limite de tempo limite que pode ser inferior a um segundo com base no intervalo mínimo de BFD configurado.

A Figura 17 mostra a topologia da amostra. Dois firewalls da Série SRX estão conectados a roteadores adjacentes no lado confiável e não confiáveis formando uma vizinha BGP. Um link de interchasse lógica (ICL) criptografado conecta os nós em uma rede roteada. Os nós se comunicam entre si usando um endereço IP roteável (endereço IP flutuante) na rede.

Figura 17: Configuração de alta disponibilidade multinodo para sondagem Multinode High Availability Configuration for Split-Brain Probing split-brain

Vamos considerar o SRX-1 como um nó local e SRX-2 como um nó remoto. O nó local está atualmente em função ativa e o roteador upstream tem um caminho de prioridade maior para o nó local.

Para a sondagem de ativação, você deve configurar as seguintes opções:

  • Endereço IP de origem: Use o endereço IP virtual 1 (VIP1) do SRG1 do nó local.

  • Endereço IP de destino: Use o VIP1 do SRG1 do nó peer.

  • Interface: Interface associada ao VIP1

Neste exemplo, atribua um endereço IP virtual (VIP) (192.168.21.1) e uma interface xe-0/0/1.0 para a livelines BFD. Aqui, você configura a sondagem split-brain baseada em BFD especificando endereços IP de origem e destino e a interface.

Os nós usam o endereço de inet da família da interface associada ao endereço IP virtual (VIP1) do SRG1.

Ambos os nós iniciam uma sonda de determinação de ativação (sonda baseada em BFD) assim que os SRGs começam a operar.

Nota:

Para sondagem de cérebro dividido baseada em BFD, você deve:

  • Configure endereços IP de origem e destino correspondentes para o mesmo SRG em ambos os nós.
  • Configure a opção activeness-priority de determinar nó ativo como resultado de sondagem de cérebro dividido.

A tabela a seguir mostra como a configuração de alta disponibilidade multinodo resolve a situação do cérebro dividido com sondagem baseada em BFD quando a ICL está baixa. Dependendo dos estados de nó e dos resultados da sondagem, o sistema multinodo de alta disponibilidade seleciona o nó para assumir a função ativa.

A Tabela 6 mostra como a configuração de alta disponibilidade multinodo resolve a situação de cérebro dividido com sondagem baseada em BFD quando a ICL está baixa. Dependendo dos estados de nó e dos resultados da sondagem, o sistema multinodo de alta disponibilidade seleciona o nó para assumir a função ativa.

Neste exemplo, assumimos que o SRG1 do nó 1 tem a maior prioridade de ativação.

Tabela 6: Determinação da ativação usando sondas split-brain e estados de nós
Estado do nó 1 Estado de sondagem de nós 1 Estado do nó 2 Estado de sondagem de nós 2 Transição de nós para SRG1 Active State
Ativo Abaixo Inelegível Sem sondagem Nó 1
Ativo Em cima Backup Em cima Nó 1
Ativo Em cima Ativo Em cima Nó 1 (Disjuntor de gravata)
Backup Abaixo Inelegível Sem sondagem Nó 1
Backup Em cima Backup Em cima Nó 1 (Disjuntor de gravata)
Backup Em cima Ativo Em cima Nó 2
Inelegível Sem sondagem Inelegível Sem sondagem Nem nó
Inelegível Sem sondagem Backup Abaixo Nó 2
Inelegível Sem sondagem Ativo Abaixo Nó 2

Configuração de amostra

Nó 1:

Nó 2:

Verificação

  • Use o show chassis high-availability services-redundancy-group 1 comando para ver o tipo de sonda split-brain configurada no dispositivo.

    (Sondagem baseada em BFD) (Sondagem baseada em ICMP)

  • Use o show bfd session comando para ver se o status da sondagem baseada em BFD.

    Na amostra, você pode notar que a sondagem de cérebro dividido baseada em BFD está sendo executada para interface xe-0/0/1,0.

  • Use o show chassis high-availability services-redundancy-group 1 comando para obter os detalhes das sondas baseadas em BFD.