用例和参考架构 |瞻博网络

解决方案功能元素

瞻博网络异机安全服务解决方案架构包括两个主要功能块：

由独立 vSRX 虚拟网络组成SRX4600或同一设备的冗余对组成。本节重点介绍独立用例，前一节分享有关冗余解决方案架构的详细信息。

作为负载平衡器路由器的 MX 系列路由器 - 瞻博网络 MX 系列路由器为托管 vSRX 或 SRX4600 的服务器提供 100G 或 400G 接口，从而形成服务复合体。接入端和互联网端对等互连（参见图 1 作为参考）均通过用于高吞吐量的 MX 系列路由器专用端口实现。

图 1：横向扩展解决方案功能块 Scale-Out Solution Functional Blocks

使用全新的 Trio 6 MX10004 和 10008 系统时，每个插槽的容量高达 9.6 Tbps，而紧凑的 MX304 系统则每个插槽的容量高达 4.8 Tbps，从而实现了大量的 100G 端口。MX304 路由器可以在模块化MX10000系统中提供多达 48 个 100G 接口和一个 LC9600 线卡，多达 96 个 100G 端口。

为优化端口使用率，建议实施包含两台（或更多）QFX 系列交换机的中间分布层，以将多个 SRX/vSRX 系列防火墙节点聚合到 MX 系列路由器上的捆绑 400GE 链路中。

如果安全元素可以选择 vSRX 防火墙，则可以在 KVM 或 VMware 虚拟网络功能的基础上部署，在开放计算服务器上运行。您可以根据指定的服务器规格（CPU 内核、内存、Linux作系统、KVM 版本）自带服务器。有关服务器规格的更多信息，请参阅参考中的 vSRX 服务器规格。

vSRX 是在 KVM 或 VMware 虚拟机管理程序上运行的虚拟网络功能（VNF），具有按内核数（最多 32 个）和内存（最多 64G）分配的灵活计算服务器。在网络方面，vSRX 可以将 virtio 或 SR-IOV 与智能 NIC（如 Mellanox ConnectX-6）结合使用。

一个完整的异机解决方案需要在三个基础层实施：数据层、控制层和管理层。此解决方案可在两个方向上一致地通过服务综合体，满足高可用性要求，并简化多个系统的运维和管理。

对于此 JVD，带有 BFD 的外部 BGP （eBGP）协议可在综合体的网络元素之间提供路由和控制功能，同时通过两种方法实现负载平衡：

具有一致散列（CHASH）的等价多路径（ECMP）负载平衡功能
MX 系列路由器上基于 RE 的流量负载均衡器功能（TLB）

MX 系列路由器上使用两个路由实例（接入和互联网），以便与 SP 网络基础架构和安全节点的相应网络分段对等。eBGP 支持可扩展且灵活地交换接入和互联网端路由的路由信息（参见图 2）。故障检测基于定时器低至 100ms 的 BFD，可实现快速重新收敛以及 ECMP 负载平衡的快速自动调整。

为了在未来的应用（如托管企业防火墙服务）中保持更高级别的安全性（在这些应用中，将路由注入安全层是首选），具有 BFD 保护的静态路由是首选的控制和流量分配方法。

接入端流量基于 ECMP 在服务节点之间动态地均衡负载，源 IPv4 或 IPv6 地址采用一致的散列。对于互联网侧的 CGNAT 和 SFW，需要 eBGP 路由和 BFD 故障检测。基于目的地的 IPv4 或 IPv6 ECMP 一致性散列（CHASH）在互联网端与无 NAT 的状态防火墙服务一起使用。

从本质上讲，在发生服务节点故障或向综合体添加新服务节点时，带有 CHASH 的 ECMP 可限制对现有流量的影响。在服务节点发生故障时，受影响的事件流将被重新散列和重新平衡，而在添加新服务模式时，来自集群中每个成员的有限等量流将在群集中的新成员中重新散列和重新平衡，从而限制影响，同时保持成本相等的负载平衡。

图 2：基于 CHASH 的网络架构 CHASH Based Network Architecture

通过此架构，您可以通过数十个服务节点（SRX 系列防火墙 /vSRX）来扩展服务综合体，从而有效地平衡服务节点之间的流量负载平衡，并最大程度地减少由于单个节点故障造成的影响（爆发半径）。MX 系列路由器上的 eBGP 路由可根据需要从互联网表扩展到数百万条路由，并且轻松超越互联网表。

解决方案部署方案

按照建议的解决方案架构，可以考虑几种部署方案，其中 MX 系列路由器和 SRX 系列防火墙以独立或冗余对连接（请参阅拓扑）。该架构使用网络冗余机制在 MX 转发层和 SRX 系列防火墙服务层（MNHA，又名 L3 群集，将在后面的文档中介绍）之间提供流量弹性。在带有 ECMP 的双 MX 上，服务冗余守护程序（SRD）用于监控故障事件，以触发到第二个 MX 系列路由器的故障切换。请注意，TLB 不需要这样做。此外，当发生任何其他故障时，BFD 协议还可用于在路由上实现更快的故障切换机制。如果 SRX 系列防火墙 MNHA 在两个节点之间提供会话同步（有状态会话），则现有流量和隧道可以不间断地继续运行。

下图显示了此 JVD 涵盖的四种主要拓扑结构，它们将独立/双 MX 与独立/MNHA 相结合（适用于 SRX 系列防火墙），每种拓扑都基于特定的负载平衡机制（ECMP 或 TLB）。第一种拓扑结构使用三个 SRX 系列防火墙，其他拓扑结构则将它们加倍为三对。

图 3：经过验证的拓扑 Validated Topologies

每种架构选择都需要进行许多权衡。通常，随着冗余的增加，复杂性也会增加。例如，SRX 系列防火墙 MNHA 对引入了一些要求，如用于 HA 通信的网络链路。此外，还取决于 MX 系列路由器上使用的负载平衡方法（即 ECMP、CHASH 或 TLB）。这种拓扑结构选择涵盖了从简单冗余到更多冗余方案的最重要注意事项。

ECMP CHASH 简单易用，利用标准协议和众所周知的 ECMP 机制，对于某些服务提供商或企业网络运维部门来说，这可能是一个更可取的选择，尽管这种方法在故障转移功能方面受到限制。
TLB 具有负载平衡功能（在发布此 JVD 时），它利用服务进行负载平衡，提供更好的冗余功能，并且可以与不同的本地组相乘。当您需要在同一架构上组合不同的用例时，它会很有用。此方法可能不向后兼容较旧的 Junos 版本。

表 1：经验证的功能组合
负载均衡方法	Junos for MX	MX 路由器数量	安全功能	MNHA 群集模式下的 SRX	独立模式下的 SRX
ECMP 与 CHASH	23.4R2	单个 MX	SFW/CGNAT	不	是的
ECMP 与 CHASH	23.4R2	双 MX （SRD）	SFW/CGNAT	是的	不
流量负载平衡器 [TLB]	23.4R2	单个 MX	SFW/CGNAT	是的	是的
流量负载平衡器 [TLB]	23.4R2	支持运行状况检查的双 MX	SFW/CGNAT	是的	是的

请注意，横向扩展解决方案仅在组件之间使用标准机制和协议，不需要任何特殊的专有协议。例外情况是负载平衡在内部的实现方式（MX 系列路由器如何处理和分配会话）。从网络角度来看，该解决方案使用标准协议。

以下是一些可能有助于您选择部署方法的建议。

部署方案 1 – ECMP CHASH – 具有横向扩展独立 SRX 的单个 MX 路由器（多个独立的 SRX 系列防火墙）

此拓扑结构简单且冗余最少。MX 系列路由器通过冗余 RE、PSU 等提供弹性配置，但是，没有针对 MX 节点故障的保护。部署通过在两个剩余的安全节点之间重新分配流量来防止服务节点故障。尽管 SRX 系列防火墙之间没有会话同步，这会导致受影响流的恢复时间更长。

图 4：部署方案 1 – ECMP CHASH - 单个 MX、独立 SRX A computer network connection with a green rectangular object Description automatically generated with medium confidence

A computer network connection with a green rectangular object Description automatically generated with medium confidence

不关心有状态故障切换的网络运营商可能希望通过添加更多 SRX 系列防火墙来增强安全服务容量。无论如何，应用程序会话可能是短暂的（例如，可以在应用程序级别处理冗余机制，因此不需要两个不同防火墙之间的会话同步）。

优点：每个单独的 SRX 系列防火墙都易于简化和扩展
缺点：无冗余

部署方案 2 – ECMP CHASH – 横向扩展的双 MX MNHA SRX 对（多对 SRX 系列防火墙）

此拓扑可在 MX 系列路由器和每个冗余 SRX 系列防火墙对上提供冗余。MX 系列路由器的冗余对使用 SRD 机制，用于监控网络的物理元素和/或 MX 系列路由器本身，以及可能需要触发到其他 MX 系列路由器故障切换的任何其他路由和系统事件。

图 5：拓扑 2 – ECMP CHASH - 具有 SRD、SRX MNHA 对 A diagram of a cloud computing system Description automatically generated

的双 MX

如果活动 MX 系列路由器检测到网络故障，第二台 MX 系列路由器将接管活动角色，然后所有流量都会重定向到此活动的 MX 系列路由器。这意味着流量将被发送到之前的备份 SRX 系列防火墙，成为 MNHA 对的主控设备。此架构一次只允许使用一对 SRX 系列防火墙，基本上是连接到同一 MX 系列路由器的 SRX 系列防火墙。但是，如果发生故障切换，流量将继续通过每个 MNHA 对的第二个节点。

在 SRX 系列防火墙端，MNHA 允许两个 SRX 系列防火墙处理和同步会话，并支持两个防火墙上请求的任何安全服务。由于此拓扑使用 SRG0 作为群集模式，因此在 MX 系列路由器检测到任何故障时（仅当 SRX 系列防火墙本身检测到故障时），无需将一个 SRX 系列防火墙故障转移到其他防火墙。会话同步允许来自 MX 路由器的任何流量（在 SRD 级别）处理现有会话以及进入该路由器的任何新会话的流量。

优点：每个 SRX 系列防火墙对都可实现简单的冗余和扩展
缺点：一次有一半的架构处于活动状态

部署方案 3 – TLB – 单个 MX 横向扩展的 MNHA SRX 对（多对 SRX 系列防火墙）

但是，此拓扑确实为 SRX 系列防火墙提供了冗余，但不为 MX 系列路由器提供冗余，尽管此拓扑可能在相应的插槽中安装了第二个路由引擎（RE），并且在这种情况下未使用两个 MX 机箱。

图 6：拓扑 3 – TLB - 单个 MX、SRX MNHA 对 A diagram of a bus

MNHA 在集群内提供会话同步，并帮助解决任何故障情况。

优点：每个 SRX 系列防火墙对的冗余和扩展
缺点：路由器上没有冗余（使用双 RE 除外）

部署方案 4 – TLB – 双 MX 横向扩展 MNHA SRX 对（多对 SRX 系列防火墙）

最后一种拓扑为 MX 系列路由器和 SRX 系列防火墙节点提供了最大的冗余，并利用了同时使用所有组件的优势。可以涵盖任何故障切换方案。

图 7：拓扑 4 – TLB - 双 MX、SRX MNHA 对 A diagram of a computer network Description automatically generated

MX 系列路由器可以处理两个路由器中任一路由器上的流量，而 SRX 系列防火墙可以在主动/备份角色或主动/主动角色中使用，同时使用两个节点。这增强了网络在正常运行期间的容量，但是在发生故障时，这会留下一个活动角色（考虑单个 MNHA 集群）。

每个 SRX 系列防火墙都连接到两个 MX 系列路由器。如果群集中的某个节点中的任何一个发生故障，则所有其他 SRX 系列防火墙对都可以独立于其他 SRX 系列防火墙对和 MX 系列路由器进行故障切换。

优点：MX 系列路由器和 SRX 系列防火墙对具有完全冗余和扩展功能。
缺点：如果直接连接，MX 系列路由器上会使用更多接口。然后，当 SRX 系列防火墙数量增加时，可选的分布层可以满足更多的连接需求。

本页内容