Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在混合部署中配置多节点高可用性

阅读本主题可了解如何在 SRX 系列防火墙上配置多节点高可用性解决方案。该示例介绍了当 SRX 系列防火墙一端连接到路由器,另一端连接到交换机时在主动/备份模式下的配置。

概述

在混合部署中,参与的 SRX 系列防火墙作为独立节点,一端是路由网络,另一端是本地连接的网络。加密的逻辑机箱间链路 (ICL) 通过路由网络连接节点。

在多节点高可用性中,活动性在服务冗余组 (SRG) 级别确定。SRG1 处于活动状态的 SRX 系列防火墙负责托管浮动 IP 地址,并使用浮动 IP 地址将流量引导至浮动 IP 地址。在故障转移期间,浮动 IP 地址从旧的主动节点移动到新的主动节点,并继续通信客户端设备。

注意:

从 Junos OS 22.3R1 版开始,我们支持在多节点高可用性解决方案中使用双节点配置。

在此示例中,您将在 SRX 系列防火墙之间建立高可用性,并通过启用 HA 链路加密来保护隧道流量。

要求

此示例使用以下硬件和软件组件:

  • 两个 SRX 系列防火墙或 vSRX 虚拟防火墙实例
  • 一端是瞻博网络 (R) MX960 通用路由平台
  • 另一端的瞻博网络 (R) EX9214 以太网交换机
  • Junos OS 22.3R1 版

拓扑学

图 1 显示了此示例中使用的拓扑。

图 1:混合网络 Multinode High Availability In Hybrid Network中的多节点高可用性

如拓扑所示,两个 SRX 系列防火墙分别连接到网络的不信任侧和交换机信任侧。节点使用网络上的可路由 IP 地址(浮动 IP 地址)相互通信。环路接口用于托管 SRX 系列和上游路由器上的 IP 地址。

通常,您可以使用聚合以太网 (AE) 或 SRX 系列防火墙上的收入以太网端口来设置 ICL 连接。在此示例中,我们使用了 ICL 的 GE 端口。我们还为 ICL 路径配置了一个路由实例,以确保最大程度的分段。

在典型的高可用性部署中,网络的北向和南向两侧有多个路由器和交换机。在本示例中,我们使用一台路由器和一台交换机。

您将执行以下任务来构建多节点高可用性设置:

  • 通过分配 ID 将一对 SRX 系列防火墙配置为本地和对等节点。
  • 配置服务冗余组 (SRG)。
  • 配置环路接口 (lo0.0) 以在第 3 层承载浮动 IP 地址。
  • 配置虚拟 IP 地址,以便确定第 2 层端的主动性并实施。
  • 配置主动性实施所需的信号路由,并将其与路由存在策略一起使用。
  • 使用 IKEv2 为高可用性 (ICL) 流量配置 VPN 配置文件。
  • 配置 BFD 监控选项。
  • 配置路由策略和路由选项。
  • 配置适当的安全策略来管理网络中的流量。
  • 根据您的网络要求配置无状态防火墙过滤和服务质量 (QoS)。

  • 根据您的网络要求配置接口和区域。您必须允许在与 ICL 关联的安全区域中使用用于链路加密的 IKE 和用于配置同步的 SSH 等服务作为主机入站系统服务。

在此示例中,您在 SRX-1 和 SRX-2 上使用静态路由,并将这些路由播发到 BGP 中,以添加指标以确定首选路径中的 SRX 系列防火墙。或者,您可以使用 SRX 系列防火墙上的路由反射器通告通过 BGP 获知的路由,并相应地配置路由策略以匹配 BGP。

您可以在 SRG0 和 SRG1 上配置以下选项:

  • SRG1:主动/备用信号路由、部署类型、主动性优先级、抢占、虚拟 IP 地址(对于默认网关部署)、主动性 在备份时探测和处理数据包。

  • SRG1:SRG1 上的 BFD 监控、IP 监控和接口监控选项。

  • SRG0:故障时关闭和故障时安装路由选项。

    在 SRG1 下配置监控(BFD 或 IP 或接口)选项时,建议不要在 SRG0 下配置故障时关机选项。

对于机箱间链路 (ICL),我们建议进行以下配置设置:

  • 使用环路 (lo0) 接口、聚合以太网接口 (ae0) 或任何有收入的以太网接口来建立 ICL。请勿使用专用 HA 端口(控制和交换矩阵端口)(如果 SRX 系列防火墙上可用)。
  • 设置 1514 的 MTU
  • 允许在与用于 ICL 的接口关联的安全区域上提供以下服务
    • IKE、高可用性、SSH

    • 协议取决于您需要的路由协议

    • BFD 监视相邻路由

配置

准备工作

SRX 系列防火墙需要 Junos IKE 软件包才能实现多节点高可用性配置。此软件包可作为默认软件包使用,也可以在 SRX 系列防火墙上作为可选软件包使用。有关详细信息,请参阅 对 Junos IKE 软件包的支持

如果默认情况下未在 SRX 系列防火墙上安装软件包,请使用以下命令进行安装。ICL 加密需要执行此步骤。

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit

这些配置是从实验室环境中捕获的,仅供参考。实际配置可能因环境的具体要求而异。

在 SRX-1 设备上

在 SRX-2 设备上

以下部分显示了在网络中设置多节点高可用性设置所需的路由器和交换机上的配置片段。

在路由器 (MX960) 上

在交换机上 (EX9214)

配置

分步过程

我们将在分步过程中展示 SRX-01 的配置。

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 配置接口。

    接口 ge-0/0/3 连接到交换机,ge-0/0/4 连接路由器,ge-0/0/2 接口用于 ICL。

  2. 配置环路接口。

    将 IP 地址 (10.11.0.1) 分配给环路接口。此 IP 地址充当浮动 IP 地址。

    使用环路接口可确保在任何给定点上,来自相邻路由器的流量都将引导到浮动 IP 地址(即活动节点)。

  3. 配置安全策略。

    确保您已根据网络要求配置了安全策略。在此示例中,您将配置一个策略以允许所有流量。

  4. 配置安全区域,为这些区域分配接口,并为安全区域指定允许的系统服务。

    将接口 ge-0/0/3 和 ge-0/0/4 分别分配给 trustuntrust 区域。将 lo0.0 接口分配给不信任区域,以通过公共 IP 网络进行连接。将接口 ge-0/0/2 分配给 halink 区域。您可以使用此区域来设置 ICL。

  5. 配置路由选项。

  6. 配置本地节点和对等节点详细信息,例如节点 ID、本地节点和对等节点的 lP 地址以及对等节点的接口。

    您将使用 ge-0/0/2 接口通过 ICL 与对等节点进行通信。

  7. 将 IPsec VPN 配置文件IPSEC_VPN_ICL附加到对等节点。

    您需要此配置才能在节点之间建立安全的 ICL 链路。

  8. 为对等节点配置双向转发检测 (BFD) 协议选项。

  9. 将对等节点 ID 2 与服务冗余组 0 (SRG0) 关联。

  10. 配置服务冗余组 1 (SRG1)。

    在此步骤中,您将部署类型指定为混合,因为您将在第 3 层和第 2 层网络中设置多节点高可用性。

    为 SRG1 分配虚拟 IP (VIP) 地址和接口。

  11. 配置 SRG1 的 IP 和 BFD 监控参数,以检查 IP 地址的可访问性并检测网络故障。

    您可以通过指定源和目标 IP 地址以及连接到对等设备的接口来配置 BFD 活跃度。

    对于 IP 监控,请指定用于连接相邻路由器和交换机的接口。
  12. 配置主动性实施所需的活动信号路由。

    在此步骤中,活动 SRX 系列防火墙将创建 IP 地址为 10.39.1.1 的路由,备份 SRX 系列防火墙将根据配置创建 IP 地址为 10.39.1.2 的路由。在此示例中,SRX-1 上的策略与 10.39.1.1 匹配(因为它处于活动状态),并使用指标 10 播发静态/直接路由,使其成为首选。SRX-2 上的策略与 10.39.1.2(自备份以来)匹配,并使用指标 20 播发静态/直接路由,因此不太受欢迎。

    您分配的活动信号路由 IP 地址用于路由优先级播发。

    注意:您必须在 policy-options 语句中指定活动信号路由以及 route-exists 策略。配置 active-signal-route with if-route-exists 条件时,HA 模块会将此路由添加到路由表中。
  13. 配置策略选项。

  14. 配置 BFD 对等会话选项并指定活体检测计时器。

  15. 根据您的要求配置 CA 证书。

  16. 为多节点高可用性定义互联网密钥交换 (IKE) 配置。IKE 配置定义用于建立安全连接的算法和密钥。

    对于多节点高可用性功能,必须将 IKE 版本配置为 v2-only
  17. 指定 IPsec 提议协议和加密算法。指定 IPsec 选项以在两个参与设备之间创建 IPsec 隧道以保护 VPN 通信。

    在机箱高可用性配置中必须提及 vpn_profile 相同的 VPN 名称IPSEC_VPN_ICL。指定 ha-link-encryption 选项可对 ICL 进行加密,以保护节点之间的高可用性流量。

软件升级的配置选项

在多节点高可用性中,在软件升级期间,您可以通过关闭节点上的接口来转移流量。在这里,流量无法通过节点。有关详细信息,请检查 多节点高可用性中的软件升级

  1. 在“故障时关闭”选项下配置所有流量接口。 例:
    谨慎:

    请勿使用为机箱间链路 (ICL) 分配的接口。

结果 (SRX-1)

在配置模式下,输入以下命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

结果 (SRX-2)

在配置模式下,输入以下命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

在您的安全设备上,您将收到以下消息,要求您重新启动设备:

验证

确认配置工作正常。

检查多节点高可用性详细信息

目的

查看并验证安全设备上配置的多节点高可用性设置的详细信息。

行动

在操作模式下,运行以下命令:

在 SRX-1 上

在 SRX-2 上

意义

从命令输出中验证以下详细信息:

  • 本地节点和对等节点详细信息,例如 IP 地址和 ID。

  • 该字段 Encrypted: YES 表示流量受到保护。

  • 字段 Deployment Type: HYBRID 表示混合模式配置,即网络的一端有路由器,另一端有交换机。

  • 该字段 Services Redundancy Group: 1 表示该节点上 SRG1(ACTIVE 或 BACKUP)的状态。

检查多节点高可用性对等节点状态

目的

查看并验证对等节点详细信息。

行动

在操作模式下,运行以下命令:

SRX-1

SRX-2

意义

从命令输出中验证以下详细信息:

  • 对等节点详细信息,例如使用的接口、IP 地址和 ID

  • 加密状态、连接状态、冷同步状态

  • 跨节点的数据包统计信息。

检查多节点高可用性服务冗余组

目的

验证 SRG 是否已配置并正常工作。

行动

在操作模式下,运行以下命令:

对于 SRG0:

对于 SRG1:

意义

从命令输出中验证以下详细信息:

  • 对等节点详细信息,例如部署类型、状态以及活动和备用信号路由。

  • 虚拟 IP 信息,例如 IP 地址和虚拟 MAC 地址。

  • IP 监控和 BFD 监控状态。

验证故障切换前后的多节点高可用性状态

目的

在多节点高可用性设置中检查故障转移前后的节点状态变化。

行动

要检查备份节点 (SRX-2) 上的多节点高可用性状态,请在操作模式下运行以下命令:

在该 Services Redundancy Group: 1 部分下,您可以看到该 Status: BACKUP 字段。此字段值表示 SRG 1 的状态为备份。

在活动节点(SRX-1 设备)上启动故障切换,然后在备份节点 (SRX-2) 上再次运行命令。

请注意,在该Services Redundancy Group: 1部分下,SRG1 的状态已从 BACKUP 更改为 ACTIVE。

您还可以在该Peer Information部分下查看对等节点详细信息。输出将对等方的状态显示为 BACKUP。