适用于 SRX 系列防火墙的高可用性设计
WAN 设计最重要的考虑因素之一是高可用性。高可用性通过最大限度地提高可用性并增加不同站点内和跨站点的冗余,确保业务连续性和灾难恢复。
瞻®博网络 SRX 系列防火墙高可用性 (HA) 设计示例适用于希望在边缘部署高可用性瞻博网络 SRX 系列防火墙的管理员,但不适用于白盒设置。
在本文档中,您将找到使用 SRX 系列防火墙设置高度可用的中心辐射型部署的分步指南。由于此高可用性部署基于 瞻博网络® Mist WAN 保证 配置中引用的配置构建,因此您需要先使用这些设置配置您的网络。在此示例中,您将了解如何在 HA 群集配置中设置 SRX 系列防火墙。
概述
您将部署一个高度可用的中心辐射型设备,如 图 1 所示。在这里,我们看到了本 HA 设计指南所用的 SRX 系列高可用性瞻博网络 Mist WAN 保证拓扑。
开始之前,请确保已设置《瞻博网络 WAN 保证配置指南》中所述的拓扑。
拓扑使用一个独立的分支和一个高可用性群集设置,另一端使用高可用性的集线器群集设置。
用于 WAN 边缘部署的受支持的 SRX 系列高可用性群集需要针对分支或中心设置的本地第 2 层邻接。
准备工作
- 了解如何使用 SRX 系列防火墙配置高可用性群集。
- 您将需要一个由设备类型定义的专用高可用性控制接口。此接口通常使用两台设备之间的跳线连接。HA 控制接口必须使用相同的端口。要了解设备支持的端口,请参阅 了解 SRX 系列机箱群集插槽编号以及物理端口和逻辑接口命名。
WAN 边缘配置可能会自动选择 HA 控制接口旁边的交换矩阵接口。有关详细信息, 请登录 https://manage.mist.com 并参考文档。
- 您将需要一个专用的交换矩阵-数据接口。此接口通常使用两台设备之间的可修补器进行连接。对于 WAN 边缘配置,不支持将任何端口选择为交换矩阵端口。建议使用控制端口旁边的端口。另请参阅机 箱群集交换矩阵接口。
- 与虚拟机箱类似,在机箱群集形成后,辅助节点上的端口会重新编号。
- 构建群集始终涉及配置两个节点,并在初始命令出现问题后重新启动它们以构建群集。请参阅 示例:设置机箱群集中安全设备的节点 ID 和群集 ID 。
HA 群集的接口详细信息
以下示例显示了机箱群集配置的接口使用情况。
在下面的列表中,只有 WAN1、WAN0 和 LAN1 不与其他不可更改的 WAN1、WAN 和 LAN1 不冲突。
Primary Node0 Interface Table Device MGMT (fxp0) HA Control Fabric Data WAN0 ZTP-IF WAN1 LAN1 LAN2 optional vSRX-N0 Mgmt em0 ge-0/0/0 ge-0/0/1 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX300-N0 ge-0/0/0 ge-0/0/1 ge-0/0/2 ge-0/0/7 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX320-N0 ge-0/0/0 ge-0/0/1 ge-0/0/2 ge-0/0/7 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX340-N0 Mgmt ge-0/0/1 ge-0/0/2 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX345-N0 Mgmt ge-0/0/1 ge-0/0/2 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX380-N0 Mgmt ge-0/0/1 ge-0/0/2 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX550-N0 Mgmt ge-0/0/1 ge-0/0/2 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX1500-N0 Mgmt ha_control ge-0/0/1 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX4100-N0 Mgmt ha_control ha_data xe-0/0/0 xe-0/0/3 xe-0/0/4 xe-0/0/5 SRX4200-N0 Mgmt ha_control ha_data xe-0/0/0 xe-0/0/3 xe-0/0/4 xe-0/0/5 SRX4600-N0 Mgmt ha_control ha_data xe-1/0/0 xe-1/0/3 xe-1/0/4 xe-1/0/5
配置机箱群集并重新启动两个节点后,第二个节点(节点 1)将对其接口重新进行编号,如以下示例所示。在 Juniper Mist 门户中配置第二个 WAN/LAN 接口时,必须使用接口编号。
Secondary Node1 Interface Table RENUMBERING Device MGMT (fxp0) HA Control Fabric Data WAN0 ZTP-IF WAN1 LAN1 LAN2 optional vSRX-N1 Mgmt em0 ge-7/0/0 ge-7/0/1 ge-7/0/3 ge-7/0/4 ge-7/0/5 SRX300-N1 ge-1/0/0 ge-1/0/1 ge-1/0/2 ge-1/0/7 ge-1/0/3 ge-1/0/4 ge-1/0/5 SRX320-N1 ge-3/0/0 ge-3/0/1 ge-3/0/2 ge-3/0/7 ge-3/0/3 ge-3/0/4 ge-3/0/5 SRX340-N1 Mgmt ge-5/0/1 ge-5/0/2 ge-5/0/0 ge-5/0/3 ge-5/0/4 ge-5/0/5 SRX345-N1 Mgmt ge-5/0/1 ge-5/0/2 ge-5/0/0 ge-5/0/3 ge-5/0/4 ge-5/0/5 SRX380-N1 Mgmt ge-5/0/1 ge-5/0/2 ge-5/0/0 ge-5/0/3 ge-5/0/4 ge-5/0/5 SRX550-N1 Mgmt ge-9/0/1 ge-9/0/2 ge-9/0/0 ge-9/0/3 ge-9/0/4 ge-9/0/5 SRX1500-N1 Mgmt ha_control ge-7/0/1 ge-7/0/0 ge-7/0/3 ge-7/0/4 ge-7/0/5 SRX4100-N1 Mgmt ha_control ha_data xe-7/0/0 xe-7/0/3 xe-7/0/4 xe-7/0/5 SRX4200-N1 Mgmt ha_control ha_data xe-7/0/0 xe-7/0/3 xe-7/0/4 xe-7/0/5 SRX4600-N1 Mgmt ha_control ha_data xe-8/0/0 xe-8/0/3 xe-8/0/4 xe-8/0/5
HA 接口
HA 网络中的每个路径和节点都需要自己指定的 WAN 接口。这可以确保主动/主动使用,这意味着这些接口在任何情况下都能保持活动和参与。WAN 接口既可以包含静态 IP 地址,也可以链接到 DHCP-Lease,使您可以灵活地管理它们。
在某些情况下,您可能只能使用一个 WAN IP 地址,特别是对于 MPLS 网络。在这些情况下,您可以将接口配置为两个节点之间的共享 VRRP 接口。这将设置链路的主动/被动使用,保持平衡并确保连续性。第二个节点的第二个 IP 地址可进一步提高设置的性能。
配置高可用性
您应该已配置 网络、 应用程序、 站点、 变量、 中心配置文件 和 WAN 边缘模板。如果您不熟悉这些步骤,请先遵循Mist WAN 配置指南,然后再继续执行 HA 设计指南。请参阅 WAN 保证配置概述。
以下步骤概述了创建高可用性群集的过程。
创建新的中心配置文件
现在是时候在高可用性 Hub 中添加第二个节点了。在下一步中,您将通过克隆现有配置文件来创建新的 Hub 配置文件。然后,您将修改克隆以满足 HA 中心的新要求。
创建分支模板
我们的 HA Hub 就位后,是时候创建匹配的分支模板了,一个分支为独立模板,另一个分支为高可用性群集设置。我们通过克隆现有分支模板,然后修改克隆的模板来创建新的分支模板。在此示例中,我们克隆名为“Spokes”的现有模板。
创建第二个分支模板
现在是时候为冗余分支节点克隆 WAN 边缘模板了。
载入设备
我们假设您的 SRX 系列 防火墙已上线至 Juniper Mist™ 云。我们还假定布线等物理连接已就位,并且您正在使用有效的接口来实现高可用性。属于高可用性群集的所有设备都以独立模式启动,Mist云门户配置使设备能够在群集模式下运行。
您可以 声明 或 采用 以将设备载入组织清单。有关在 Mist 云中启动并运行 SRX 系列 防火墙的详细信息,请参阅 云就绪 SRX 防火墙。
更换高可用性群集中的 SRX 系列防火墙节点
您可以通过几个简单步骤从高可用性群集设置中更换 SRX 系列防火墙设备。
从群集中更换 SRX 系列防火墙节点之前,必须:
- 从要更换的节点上拔下群集交换矩阵电缆,并将其连接到新的替换节点。
- 确保更换的 SRX 系列防火墙与要更换的设备型号相同,并且具有相同的 Junos OS 版本。
更换独立的 SRX 系列防火墙
您可以将已连接或断开连接的 SRX 系列防火墙更换为其他相同型号的 SRX 系列防火墙。