Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

示例:在第 3 层网络中配置多节点高可用性

总结 阅读本主题,了解如何在 SRX 系列防火墙上配置多节点高可用性解决方案。该示例介绍了当 SRX 系列防火墙连接到两端路由器时主动/备份模式下的配置。

概述

在多节点高可用性中,参与的 SRX 系列防火墙在第 3 层网络中作为独立节点运行。节点连接到属于不同网络的相邻基础设施。加密的逻辑机箱间链路 (ICL) 通过路由网络连接节点。参与节点相互备份,以确保在发生系统或硬件故障时快速同步故障转移。

在多节点高可用性中,活动性是在服务冗余组 (SRG) 级别确定的。SRG1 处于活动状态的 SRX 系列防火墙托管浮动 IP 地址,并使用浮动 IP 地址将流量引导至该地址。在故障转移期间,浮动 IP 地址从旧的主动节点移动到新的主动节点,并继续通信客户端设备。

注意:

我们支持多节点高可用性解决方案中的双节点配置。

要求

此示例使用以下硬件和软件组件:

  • 两个 SRX 系列防火墙或 vSRX 虚拟防火墙实例

  • 两个瞻博网络 MX960 通用路由平台

  • Junos OS 版本 22.3R1

拓扑

图 1 显示了此示例中使用的拓扑。

图 1:第 3 层网络中 Multinode High Availability in Layer 3 Network的多节点高可用性

如拓扑所示,两个 SRX 系列防火墙连接到信任端和不信任端的相邻路由器,形成 BGP 邻居关系。加密的逻辑机箱间链路 (ICL) 通过路由网络连接节点。节点使用网络上的可路由 IP 地址(浮动 IP 地址)相互通信。环路接口用于托管 SRX 系列和路由器上的 IP 地址。

通常,您可以使用 SRX 系列防火墙上的聚合以太网 (AE) 或收入以太网端口来设置 ICL 连接。在此示例中,我们将 GE 端口用于 ICL。我们还为 ICL 路径配置了一个路由实例,以确保最大程度的分段。

在典型的高可用性部署中,网络的北向和南向端有多个路由器和交换机。在本例中,我们在 SRX 系列防火墙的两端使用两台路由器。

在此示例中,您将在 SRX 系列防火墙之间建立高可用性,并通过启用 HA 链路加密来保护隧道流量。

您将执行以下任务来构建多节点高可用性设置:

  • 通过分配 ID 将一对 SRX 系列防火墙配置为本地和对等节点。
  • 配置服务冗余组。
  • 配置环路接口 (lo0.0) 来托管浮动 IP 地址。
  • 配置 IP 探测以进行主动性确定和实施
  • 配置主动实施所需的信号路由,并将其与路由存在策略一起使用。
  • 使用 IKEv2 为高可用性 (ICL) 流量配置 VPN 配置文件。
  • 配置 BFD 监控选项
  • 配置路由策略和路由选项
  • 配置适当的安全策略以管理网络中的流量
  • 根据您的网络要求配置无状态防火墙过滤和服务质量 (QoS)。

  • 根据您的网络要求配置接口和区域。您必须允许用于链路加密的 IKE 和用于配置同步的 SSH 等服务作为与 ICL 关联的安全区域上的主机入站系统服务。

在此示例中,您在 SRX-1 和 SRX-2 上使用静态路由,并将这些路由播发到 BGP 中以添加指标以确定哪个 SRX 系列防火墙位于首选路径中。或者,您可以使用 SRX 系列防火墙上的路由反射器通告通过 BGP 获知的路由,并相应地配置路由策略以匹配 BGP。

您可以在 SRG0 和 SRG1 上配置以下选项:

  • SRG1:主动/备份信号路由、部署类型、主动性优先级、抢占、虚拟 IP 地址(对于默认网关部署)、主动性探测和备份时处理数据包。

  • SRG1:SRG1 上的 BFD 监控、IP 监控和接口监控选项。

  • SRG0:失败时关闭,故障时安装路由选项。

    在 SRG1 下配置监控(BFD 或 IP 或接口)选项时,建议不要在 SRG0 下配置故障时关机选项。

对于机箱间链路 (ICL),我们建议使用以下配置设置:

  • 使用聚合以太网接口 (ae0) 或任何收益以太网接口的环路 (lo0) 接口建立 ICL。请勿使用 SRX 系列防火墙提供的专用 HA 端口(控制和结构端口)。
  • 将 MTU 设置为 1514
  • 允许在与用于 ICL 的接口关联的安全区域上提供以下服务
    • IKE、高可用性、SSH

    • 协议取决于所需的路由协议。

    • BFD 用于监控相邻路由。

从 st0.16000 到 st0.16385 的安全隧道接口 (st0) 是为多节点高可用性保留的。这些接口不是用户可配置的接口。只能使用 st0.0 到 st0.15999 之间的接口。

配置

开始之前

SRX 系列防火墙多节点高可用性配置需要 Junos IKE 软件包。此软件包可作为默认软件包提供,也可作为 SRX 系列防火墙上的可选软件包提供。有关详细信息,请参阅 对 Junos IKE 包的支持

如果默认情况下未在 SRX 系列防火墙上安装软件包,请使用以下命令进行安装。您需要此步骤才能进行 ICL 加密。

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

这些配置是从实验室环境中捕获的,仅供参考。实际配置可能因环境的特定要求而异。

在 SRX-1 设备上

在 SRX-2 设备上

以下部分显示了在网络中设置多节点高可用性设置所需的路由器上的配置片段。

路由器 (VMX-1)

路由器 (VMX-2)

配置

分步过程

我们将通过分步过程展示 SRX-1 的配置。

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 配置接口。

    我们使用 ge-0/0/3 和 ge-0/0/4 接口连接到上游和下游路由器,并使用 ge-0/0/2 接口设置 ICL。

  2. 配置环路接口。

    分配给环路接口的 IP 地址 (10.11.0.1) 将用作浮动 IP 地址。

    使用环路接口可确保在任何给定点,来自相邻路由器的流量都将被引导至浮动 IP 地址(即流向活动节点)。

  3. 配置安全区域,为区域分配接口,并为安全区域指定允许的系统服务。

    分别为接口 ge-0/0/3 和 ge-0/0/4 分配信任区域和不信任区域。将 lo0.0 接口分配给不信任区域,以便通过公共 IP 网络进行连接。将接口 ge-0/0/2 分配给 halink 区域。您可以使用此区域设置 ICL。

  4. 配置路由选项。

  5. 配置本地节点和对等节点详细信息,例如节点 ID、本地节点和对等节点的 lP 地址以及对等节点的接口。

    您将使用 ge-0/0/2 接口通过 ICL 与对等节点进行通信。

  6. 将 IPsec VPN 配置文件IPSEC_VPN_ICL附加到对等节点。

    您需要使用此配置在节点之间建立安全的 ICL 链路。

  7. 为对等节点配置双向转发检测 (BFD) 协议选项。

  8. 将对等节点 ID 2 关联到服务冗余组 0 (SRG0)。

  9. 配置服务冗余组 1 (SRG1)。

    在此步骤中,您将部署类型指定为路由,因为您要在第 3 层网络中设置多节点高可用性。

    .

  10. 设置 SRG1 的活动性确定参数。

    使用浮动 IP 地址作为源 IP 地址 (10.11.0.1),使用上游路由器的 IP 地址作为活动性确定探测的目标 IP 地址 (10.111.0.1)。

    您最多可以配置 64 个 IP 地址,用于 IP 监控和主动性探测。总共 64 个 IP 地址是 IPv4 和 IPv6 地址数量之和)

  11. 配置 SRG1 的 BFD 监控参数以检测网络中的故障。

  12. 配置主动实施所需的活动信号路由。

    在此步骤中,活动 SRX 系列防火墙使用 IP 地址 10.39.1.1 创建路由,备份 SRX 系列防火墙根据配置创建 IP 地址为 10.39.1.2 的路由。在此示例中,SRX-1 上的策略匹配 10.39.1.1(自其活动以来),并使用指标 10 将其设置为首选的静态/直接路由通告。SRX-2 上的策略在 10.39.1.2 上匹配(自备份以来),并使用指标 20 通告静态/直接路由,使其不太受欢迎。

    您分配的活动信号路由 IP 地址用于路由首选项通告。

    注意:您必须在策略选项语句中指定活动信号路由以及路由存在策略。配置 active-signal-route with if-route-exists 条件时,HA 模块会将此路由添加到路由表中。
  13. 配置策略选项。

    使用路由匹配条件 ()if-route-exists 配置活动信号路由 10.39.1.1。

  14. 配置安全策略。

    确保已根据网络要求配置安全策略。

  15. 根据您的要求配置 CA 证书。

  16. 定义多节点高可用性的互联网密钥交换 (IKE) 配置。IKE 配置定义用于建立安全连接的算法和密钥。

    对于多节点高可用性功能,必须将 IKE 版本配置为 v2-only

  17. 指定 IPsec 提议协议和加密算法。指定 IPsec 选项以在两个参与设备之间创建 IPsec 隧道,以保护 VPN 通信。

    指定该ha-link-encryption选项可加密 ICL,以保护节点之间的高可用性流量。

    机箱高可用性配置中必须提及 vpn_profile IPSEC_VPN_ICL相同的 VPN 名称。

  18. 配置 BFD 对等会话选项并指定活动检测计时器。

软件升级的配置选项(可选)

在多节点高可用性中,在软件升级期间,您可以通过更改路由来转移流量。使用以下步骤在故障配置时添加安装路由。在这里,流量仍可以通过节点,并且接口保持打开状态。

有关详细信息,请查看 多节点高可用性中的软件升级

  1. 为用于在升级期间转移流量的路由创建专用的自定义虚拟路由器。

  2. 为 SRG0 配置失败时安装路由语句。

    当节点发生故障时,路由表将安装语句中提到的路由。

  3. 创建一个匹配的路由策略,该策略将路由引用为具有属性的条件 route-exists

    示例:以下配置片段显示,您已将 SRG0 的 IP 地址为 10.39.1.3 的路由配置为故障路由上的安装。路由策略语句包含路由 10.39.1.3 作为条件, if-route-exists 策略语句将条件引用为匹配术语之一。

结果 (SRX-1)

在配置模式下,输入以下命令确认您的配置。

如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

结果 (SRX-2)

在配置模式下,输入以下命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

在安全设备上,您会收到以下消息,要求您重新启动设备:

user@host# commit
warning: High Availability Mode changed, please reboot the device to avoid undesirable behavior
commit complete

验证

确认配置工作正常。

检查多节点高可用性详细信息

目的

查看并验证安全设备上配置的多节点高可用性设置的详细信息。

行动

在操作模式下,运行以下命令:

在 SRX-1 上

在 SRX-2 上

意义

从命令输出中验证以下详细信息:

  • 本地节点和对等节点详细信息,例如 IP 地址和 ID。

  • 该字段 Encrypted: YES 表示流量受到保护。

  • 该字段 Deployment Type: ROUTING 表示第 3 层模式配置,即网络两端都有路由器。

  • 该字段 Services Redundancy Group: 1 指示该节点上 SRG1(活动或备份)的状态。

检查多节点高可用性对等节点状态

目的

查看并验证对等节点详细信息。

行动

在操作模式下,运行以下命令:

SRX-1

SRX-2

意义

从命令输出中验证以下详细信息:

  • 对等节点详细信息,例如使用的接口、IP 地址和 ID

  • 加密状态、连接状态和冷同步状态

  • 整个节点的数据包统计信息。

检查多节点高可用性服务冗余组

目的

验证 SRG 是否已配置且工作正常。

行动

在操作模式下,运行以下命令:

对于 SRG0:

对于 SRG1:

意义

从命令输出中验证以下详细信息:

  • 对等节点详细信息,例如部署类型、状态以及活动和备份信号路由。

  • 虚拟 IP 信息,例如 IP 地址和虚拟 MAC 地址。

  • IP 监控和 BFD 监控状态。

验证故障转移前后的多节点高可用性状态

目的

在多节点高可用性设置中检查故障转移前后节点状态的变化。

行动

要检查备份节点 (SRX-2) 上的多节点高可用性状态,请从操作模式运行以下命令:

在该 Services Redundancy Group: 1 部分下,您可以看到该 Status: BACKUP 字段。此字段值指示 SRG 1 的状态为备份。

在主动节点(SRX-1 设备)上启动故障切换,然后在备份节点(SRX-2 设备)上再次运行命令。

请注意,在该部分下Services Redundancy Group: 1,SRG1 的状态已从“备份”更改为“活动”。

您还可以在该 Peer Information 部分下查看对等节点详细信息。输出将显示对等方的状态为 备份