Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

示例:在混合部署中配置多节点高可用性

总结 阅读本主题,了解如何在 SRX 系列防火墙上配置多节点高可用性解决方案。该示例介绍了当 SRX 系列防火墙一端连接到路由器,另一端交换机时主动/备份模式下的配置。

概述

在混合部署中,参与的 SRX 系列防火墙作为独立节点以混合模式运行,一端是路由网络,另一端是本地连接网络。加密的逻辑机箱间链路 (ICL) 通过路由网络连接节点。

在多节点高可用性中,活动性是在服务冗余组 (SRG) 级别确定的。SRG1 处于活动状态的 SRX 系列防火墙托管浮动 IP 地址,并使用浮动 IP 地址将流量引导至该地址。在故障转移期间,浮动 IP 地址从旧的主动节点移动到新的主动节点,并继续通信客户端设备。

注意:

从 Junos OS 版本 22.3R1 开始,我们支持多节点高可用性解决方案中的双节点配置。

在此示例中,您将在 SRX 系列防火墙之间建立高可用性,并通过启用 HA 链路加密来保护隧道流量。

要求

此示例使用以下硬件和软件组件:

  • 两个 SRX 系列防火墙或 vSRX 虚拟防火墙实例
  • 一端是瞻博网络 MX960 通用路由平台
  • 另一端的瞻博网络 EX9214 以太网交换机
  • Junos OS 版本 22.3R1

拓扑

图 1 显示了此示例中使用的拓扑。

图 1:混合网络中 Multinode High Availability In Hybrid Network的多节点高可用性

如拓扑所示,两个 SRX 系列防火墙连接到网络的不信任侧路由器和交换机信任侧。节点使用网络上的可路由 IP 地址(浮动 IP 地址)相互通信。环路接口用于托管 SRX 系列和上游路由器上的 IP 地址。

通常,您可以使用 SRX 系列防火墙上的聚合以太网 (AE) 或收入以太网端口来设置 ICL 连接。在此示例中,我们将 GE 端口用于 ICL。我们还为 ICL 路径配置了一个路由实例,以确保最大程度的分段。

在典型的高可用性部署中,网络的北向和南向端有多个路由器和交换机。在本例中,我们使用一台路由器和一台交换机。

您将执行以下任务来构建多节点高可用性设置:

  • 通过分配 ID 将一对 SRX 系列防火墙配置为本地和对等节点。
  • 配置服务冗余组 (SRG)。
  • 配置环路接口 (lo0.0) 以在第 3 层端托管浮动 IP 地址。
  • 配置虚拟 IP 地址,以便在第 2 层端确定和实施活动性。
  • 配置主动实施所需的信号路由,并将其与路由存在策略一起使用。
  • 使用 IKEv2 为高可用性 (ICL) 流量配置 VPN 配置文件。
  • 配置 BFD 监控选项。
  • 配置路由策略和路由选项。
  • 配置适当的安全策略来管理网络中的流量。

  • 根据您的网络要求配置无状态防火墙过滤和服务质量 (QoS)。

  • 根据您的网络要求配置接口和区域。您必须允许用于链路加密的 IKE 和用于配置同步的 SSH 等服务作为与 ICL 关联的安全区域上的主机入站系统服务。

在此示例中,您在 SRX-1 和 SRX-2 上使用静态路由,并将这些路由播发到 BGP 中以添加指标以确定哪个 SRX 系列防火墙位于首选路径中。或者,您可以使用 SRX 系列防火墙上的路由反射器通告通过 BGP 获知的路由,并相应地配置路由策略以匹配 BGP。

您可以在 SRG0 和 SRG1 上配置以下选项:

  • SRG1:主动/备份信号路由、部署类型、主动性优先级、抢占、虚拟 IP 地址(对于默认网关部署)、主动性探测和备份时处理数据包。

  • SRG1:SRG1 上的 BFD 监控、IP 监控和接口监控选项。

  • SRG0:失败时关闭,故障时安装路由选项。

    在 SRG1 下配置监控(BFD 或 IP 或接口)选项时,建议不要在 SRG0 下配置故障时关机选项。

对于机箱间链路 (ICL),我们建议使用以下配置设置:

  • 使用聚合以太网接口 (ae0) 或任何收益以太网接口的环路 (lo0) 接口建立 ICL。请勿使用 SRX 系列防火墙提供的专用 HA 端口(控制和结构端口)。
  • 将 MTU 设置为 1514
  • 允许在与用于 ICL 的接口关联的安全区域上提供以下服务

    • IKE、高可用性、SSH

    • 协议取决于您需要的路由协议

    • 用于监控相邻路由的 BFD

配置

开始之前

SRX 系列防火墙多节点高可用性配置需要 Junos IKE 软件包。此软件包可作为默认软件包提供,也可作为 SRX 系列防火墙上的可选软件包提供。有关详细信息,请参阅 对 Junos IKE 包的支持

如果默认情况下未在 SRX 系列防火墙上安装软件包,请使用以下命令进行安装。您需要此步骤才能进行 ICL 加密。

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

这些配置是从实验室环境中捕获的,仅供参考。实际配置可能因环境的特定要求而异。

在 SRX-1 设备上

在 SRX-2 设备上

以下部分显示了在网络中设置多节点高可用性设置所需的路由器和交换机上的配置片段。

在路由器上 (MX960)

在交换机上 (EX9214)

配置

分步过程

我们将通过分步过程展示 SRX-01 的配置。

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 配置接口。

    接口 ge-0/0/3 连接到交换机,ge-0/0/4 连接路由器,ge-0/0/2 接口用于 ICL。

  2. 配置环路接口。

    将 IP 地址 (10.11.0.1) 分配给环路接口。此 IP 地址充当浮动 IP 地址。

    使用环路接口可确保在任何给定点,来自相邻路由器的流量都将被引导至浮动 IP 地址(即流向活动节点)。

  3. 配置安全策略。

    确保已根据网络要求配置安全策略。在此示例中,您将配置一个策略以允许所有流量。

  4. 配置安全区域,为区域分配接口,并为安全区域指定允许的系统服务。

    将接口 ge-0/0/3 和 ge-0/0/4 分别分配给 trustuntrust 区域。将 lo0.0 接口分配给不信任区域,以便通过公共 IP 网络进行连接。将接口 ge-0/0/2 分配给 halink 区域。您可以使用此区域设置 ICL。

  5. 配置路由选项。

  6. 配置本地节点和对等节点详细信息,例如节点 ID、本地节点和对等节点的 lP 地址以及对等节点的接口。

    您将使用 ge-0/0/2 接口通过 ICL 与对等节点进行通信。

  7. 将 IPsec VPN 配置文件IPSEC_VPN_ICL附加到对等节点。

    您需要使用此配置在节点之间建立安全的 ICL 链路。

  8. 为对等节点配置双向转发检测 (BFD) 协议选项。

  9. 将对等节点 ID 2 关联到服务冗余组 0 (SRG0)。

  10. 配置服务冗余组 1 (SRG1)。

    在此步骤中,您将部署类型指定为混合,因为您要在第 3 层和第 2 层网络中设置多节点高可用性。

    为 SRG1 分配虚拟 IP (VIP) 地址和接口。

  11. 为 SRG1 配置 IP 和 BFD 监控参数,以检查 IP 地址的可访问性并检测网络中的故障。

    您可以通过指定源和目标 IP 地址以及连接到对等设备的接口来配置 BFD 实时性。

    对于 IP 监控,请指定用于连接相邻路由器和交换机的接口。

  12. 配置主动实施所需的活动信号路由。

    在此步骤中,活动 SRX 系列防火墙使用 IP 地址 10.39.1.1 创建路由,备份 SRX 系列防火墙根据配置创建 IP 地址为 10.39.1.2 的路由。在此示例中,SRX-1 上的策略匹配 10.39.1.1(自其活动以来),并使用指标 10 将其设置为首选的静态/直接路由通告。SRX-2 上的策略在 10.39.1.2 上匹配(自备份以来),并使用指标 20 通告静态/直接路由,使其不太受欢迎。

    您分配的活动信号路由 IP 地址用于路由首选项通告。

    注意:您必须在策略选项语句中指定活动信号路由以及路由存在策略。配置 active-signal-route with if-route-exists 条件时,HA 模块会将此路由添加到路由表中。

  13. 配置策略选项。

  14. 配置 BFD 对等会话选项并指定活动检测计时器。

  15. 根据您的要求配置 CA 证书。

  16. 定义多节点高可用性的互联网密钥交换 (IKE) 配置。IKE 配置定义用于建立安全连接的算法和密钥。

    对于多节点高可用性功能,必须将 IKE 版本v2-only配置为 。

  17. 指定 IPsec 提议协议和加密算法。指定 IPsec 选项以在两个参与设备之间创建 IPsec 隧道,以保护 VPN 通信。

    机箱高可用性配置中必须提及 vpn_profile IPSEC_VPN_ICL相同的 VPN 名称。指定该 ha-link-encryption 选项可加密 ICL,以保护节点之间的高可用性流量。

软件升级的配置选项

在多节点高可用性中,在软件升级期间,您可以通过关闭节点上的接口来转移流量。在这里,流量无法通过节点。有关详细信息,请查看 多节点高可用性中的软件升级

  1. 在“故障时关闭”选项下配置所有流量接口。 例子:
    谨慎:

    请勿使用为机箱间链路 (ICL) 分配的接口。

结果 (SRX-1)

在配置模式下,输入以下命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

结果 (SRX-2)

在配置模式下,输入以下命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

在安全设备上,您会收到以下消息,要求您重新启动设备:

验证

确认配置工作正常。

检查多节点高可用性详细信息

目的

查看并验证安全设备上配置的多节点高可用性设置的详细信息。

行动

在操作模式下,运行以下命令:

在 SRX-1 上

在 SRX-2 上

意义

从命令输出中验证以下详细信息:

  • 本地节点和对等节点详细信息,例如 IP 地址和 ID。

  • 该字段 Encrypted: YES 表示流量受到保护。

  • 该字段 Deployment Type: HYBRID 表示混合模式配置,即网络的一侧有路由器,另一侧有交换机。

  • 该字段 Services Redundancy Group: 1 指示该节点上 SRG1(活动或备份)的状态。

检查多节点高可用性对等节点状态

目的

查看并验证对等节点详细信息。

行动

在操作模式下,运行以下命令:

SRX-1

SRX-2

意义

从命令输出中验证以下详细信息:

  • 对等节点详细信息,例如使用的接口、IP 地址和 ID

  • 加密状态、连接状态和冷同步状态

  • 整个节点的数据包统计信息。

检查多节点高可用性服务冗余组

目的

验证 SRG 是否已配置且工作正常。

行动

在操作模式下,运行以下命令:

对于 SRG0:

对于 SRG1:

意义

从命令输出中验证以下详细信息:

  • 对等节点详细信息,例如部署类型、状态以及活动和备份信号路由。

  • 虚拟 IP 信息,例如 IP 地址和虚拟 MAC 地址。

  • IP 监控和 BFD 监控状态。

验证故障转移前后的多节点高可用性状态

目的

在多节点高可用性设置中检查故障转移前后节点状态的变化。

行动

要检查备份节点 (SRX-2) 上的多节点高可用性状态,请从操作模式运行以下命令:

在该 Services Redundancy Group: 1 部分下,您可以看到该 Status: BACKUP 字段。此字段值指示 SRG 1 的状态为备份。

在主动节点(SRX-1 设备)上启动故障切换,然后在备份节点 (SRX-2) 上再次运行命令。

请注意,在该部分下Services Redundancy Group: 1,SRG1 的状态已从“备份”更改为“活动”。

您还可以在该 Peer Information 部分下查看对等节点详细信息。输出将显示对等方的状态为 备份

验证机箱间链路 (ICL) 加密状态

目的

验证机箱间链路 (ICL) 状态。

行动

在操作模式下,运行以下命令:

意义

命令输出提供以下信息:

  • 本地网关和远程网关详细信息。

  • PIC 中每个线程的 IPsec SA 对。

  • HA 链路加密模式(如下行所示):

  • 使用的身份验证和加密算法

谨慎:

命令输出中显示的 IP 范围 (180.100.1.x) 用作 ICL IPsec 流量选择器。系统会动态分配此 IP 范围,切勿更改或修改它。此外,将自动为更广泛的 180.x.x.x IP 范围启用 BFD(双向转发检测)。

验证链路加密隧道统计信息

目的

验证主动节点和备份节点上的链路加密隧道统计信息。

行动

在操作模式下,运行以下命令:

意义

如果您在 VPN 中看到数据包丢失问题,可以多次运行该 show security ipsec statistics ha-link-encryption 命令以验证加密和解密数据包计数器是否在递增。还应检查其他错误计数器是否也在递增。

使用该 show security ike active-peer ha-link-encryption 命令显示活动对等节点上 ICL 的详细信息。

使用该 clear security ipsec statistics ha-link-encryption 命令清除所有 IPsec 统计信息。

参见