为多节点高可用性部署准备环境
本主题提供为多节点高可用性部署准备环境的详细信息。
设备型号
在多节点高可用性中,您必须使用与节点相同的 SRX 系列防火墙型号。例如,如果将SRX5600用作一个节点,则必须使用另一个SRX5600作为另一个节点
如果是SRX5000系列设备,请确保 SPC、NPC 和 IOC 具有相同的插槽位置和类型。
我们在以下设备上支持多节点高可用性:
- SRX5800、SRX5600 SRX5400运行 Junos OS 20.4R1 或更高版本的以下组件:
-
-
服务处理卡 SPC3
-
I/O 卡 IOC3
-
交换机控制板 SCB3 和 SCB4
-
路由引擎 RE3
-
- 运行 Junos OS 22.3R1 或更高版本的SRX4600、SRX4200、SRX4100和SRX1500
- 运行 Junos OS 23.4R1 或更高版本的SRX2300和SRX1600
- SRX4300运行 Junos OS 24.2R1 或更高版本
- 运行 Junos OS 22.3R1 或更高版本的 vSRX 虚拟防火墙
软件版本
在参与的安全设备上安装 Junos OS 的兼容版本。
最新 Junos IKE 软件包
必须安装 IKE 包才能在多节点高可用性解决方案中启用 ICL 加密。
默认情况下,SRX 系列防火墙启动时,将执行传统的 IKE 架构。要启用新的 IKE 架构,必须安装新的 Junos IKE 软件包。这是 Junos OS 软件下载映像中包含的可选软件包。
使用以下命令安装 IKE 软件包:
user@host> request system software add optional://junos-ike.tgz
安装 Junos IKE 软件包后,对于实例的后续软件升级,Junos IKE 软件包将从设备上安装的新 Junos OS 版本自动升级。
软件许可证
多节点高可用性功能不需要任何特定许可证。但是,许可证对于每个 SRX 系列都是唯一的,不能在多节点高可用性设置中的节点之间共享。因此,您必须在两个节点上使用相同的许可证。如果两个 SRX 系列防火墙没有一组相同的许可证,则系统尚未准备好进行部署。
网络可访问性
多节点高可用性设置中的两个节点必须能够使用 ICL 路径相互访问。此路径使用(无论 ICL 是否加密)IP 地址、协议和端口详细信息。如果进行了任何防火墙或其他检查,则必须确保在节点之间允许此通信。
用于每个节点的浮动 IP 地址必须是网络中可路由的 IP(逻辑路由路径)。
我们建议将 ICL 绑定到环路接口 (lo0) 或聚合以太网接口 (ae0),并具有多个物理链路 (LAG/LACP),以确保路径多样性以实现最高弹性。您还可以使用 SRX 系列防火墙上的收益以太网端口设置 ICL 连接。确保将收入接口中的传输流量与高可用性 (HA) 流量分开。
IP 地址注意事项
表 1 提供了有关多节点高可用性部署的 IPv4 和 IPv6 地址支持的详细信息。
| MNHA 部署类型 | 第 3 层网络(两端路由器) | 混合网络(一端路由器,另一端交换机) | 默认网关(两端交换机) |
|---|---|---|---|
| 用于 IP 监控的 IPv4 和 IPv6 地址 |
是的 | 是的 | 是的 |
| 用于主动性探测的 IPv4 和 IPv6 地址 |
是的 | 是的 | 是的 |
| 虚拟 IPv4 和 IPv6 地址 |
不適用 | 是的 | 是的 |
在多节点高可用性设置中,每个逻辑接口 (IFL) 仅配置一个 VIP。不支持使用多个 VIP 或双堆栈。
在多节点高可用性配置中使用 IP 地址池
在多节点高可用性中配置多个 SRG(主动-主动模式)时,请确保访问配置文件中 SRG 使用的地址池不得重叠。此外,请确保在 RADIUS 服务器中为连接到不同 SRG 的主机配置的地址和地址池必须是唯一的。
示例:以下示例分别显示了具有访问配置文件 localpool 以及 localpool2 SRG1 和 SRG2 的地址池配置:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
在此示例中,服务冗余组(SRG1 和 SRG2)位于同一网络 (192.0.2.0/24) 中。但是,分配地址池中的 IP 地址以避免重叠(SRG1 为 192.0.2.1/24 - 192.0.2.127,SRG2 为 192.0.2.128 - 192.0.2.255)。
同样,您必须对 RADIUS 服务器中的用户配置使用唯一的 IP 地址和地址池。
如果为两个 SRG 中的主机分配相同的地址,则多节点高可用性将删除新主机并停止 IKE 协商,并显示以下消息:
AUTHENTICATION_FAILED as the AUTH response
系统日志显示以下消息:
Duplicate assigned IPv4 received, delete new peer