Bereiten Sie Ihre Umgebung auf die Bereitstellung mit hoher Verfügbarkeit mit mehreren Knoten vor
Dieses Thema enthält Details zum Vorbereiten der Umgebung für die Multinode-Hochverfügbarkeits-Bereitstellung.
- Gerätemodell
- Software-Version
- Neuestes Junos IKE Paket
- Software-Lizenzen
- Barrierefreiheit des Netzwerks
- Berücksichtigung von IP-Adressen
Gerätemodell
Bei Multinode-Hochverfügbarkeit müssen Sie dasselbe Firewall-Modell der SRX-Serie wie Ihre Knoten verwenden. Wenn Sie beispielsweise den SRX5600 als einen Knoten verwenden, müssen Sie einen anderen SRX5600 als anderen Knoten verwenden
Stellen Sie bei Geräten der SRX5000-Reihe sicher, dass SPCs, NPCs und IOCs dieselbe Steckplatzplatzierung und denselben Typ haben.
Eine vollständige Liste der unterstützten Features und Plattformen finden Sie unter Multinode-Hochverfügbarkeit im Feature-Explorer.
Software-Version
Installieren Sie die kompatible Version von Junos OS auf den teilnehmenden Sicherheitsgeräten.
Neuestes Junos IKE Paket
Sie müssen das IKE-Paket installieren, um die ICL-Verschlüsselung in der Multinode-Lösung mit hoher Verfügbarkeit zu aktivieren.
Wenn Ihre Firewall der SRX-Serie hochgefahren wird, wird standardmäßig die alte IKE-Architektur ausgeführt. Um die neue IKE-Architektur zu aktivieren, müssen Sie das neue Junos IKE-Paket installieren. Dies ist ein optionales Paket, das im Junos OS-Software-Download-Image enthalten ist.
Verwenden Sie den folgenden Befehl, um das IKE-Paket zu installieren:
user@host> request system software add optional://junos-ike.tgz
Nachdem Sie das Junos IKE-Paket installiert haben, wird das Junos IKE-Paket für nachfolgende Software-Upgrades der Instanz automatisch von den neuen Junos OS-Versionen aktualisiert, die auf Ihrem Gerät installiert sind.
Software-Lizenzen
Für die Multinode-Hochverfügbarkeitsfunktion benötigen Sie keine spezielle Lizenz. Lizenzen sind jedoch für jede SRX-Serie einzigartig und können nicht zwischen den Knoten in einer Multinode-Hochverfügbarkeitskonfiguration gemeinsam genutzt werden. Daher müssen Sie auf beiden Knoten identische Lizenzen verwenden. Wenn nicht beide Firewalls der SRX-Serie über einen identischen Lizenzsatz verfügen, ist das System nicht für die Bereitstellung bereit.
Barrierefreiheit des Netzwerks
Beide Knoten im Multinode-Hochverfügbarkeits-Setup müssen in der Lage sein, sich über den ICL-Pfad zu erreichen. Dieser Pfad verwendet (unabhängig davon, ob die ICL verschlüsselt ist oder nicht) IP-Adresse, Protokoll und Portdetails. Sie müssen sicherstellen, dass diese Kommunikation zwischen den Knoten zulässig ist, wenn eine Firewall oder eine andere Überprüfung vorhanden ist.
Die Floating-IP-Adresse, die Sie für jeden Knoten verwenden, muss eine routingfähige IP (logischer gerouteter Pfad) über das Netzwerk sein.
Wir empfehlen, die ICL an die Loopback-Schnittstelle (lo0) oder eine aggregierte Ethernet-Schnittstelle (ae0) zu binden und über mehr als eine physische Verbindung (LAG/LACP) zu verfügen, die Pfadvielfalt für höchste Ausfallsicherheit gewährleistet. Sie können auch einen Revenue Ethernet-Port der Firewalls der SRX-Serie verwenden, um eine ICL-Verbindung einzurichten. Stellen Sie sicher, dass Sie den Transitdatenverkehr in Umsatzschnittstellen vom Datenverkehr mit hoher Verfügbarkeit (Hohe Verfügbarkeit) trennen.
Berücksichtigung von IP-Adressen
Tabelle 1 enthält Details zur Unterstützung von IPv4- und IPv6-Adressen für Multinode-Bereitstellungen mit hoher Verfügbarkeit.
| MNHA-Bereitstellungstyp | Layer 3-Netzwerk (Router an beiden Enden) | Hybridnetzwerk (Router an einem Ende und Switch am anderen Ende) | Standard-Gateway (Switches an beiden Enden) |
|---|---|---|---|
| IPv4- und IPv6-Adressen für die IP-Überwachung |
Nein | Nein | Nein |
| IPv4- und IPv6-Adressen für die Aktivitätsprüfung |
Nein | Nein | Nein |
| Virtuelle IPv4- und IPv6-Adressen |
Nicht zutreffend | Nein | Nein |
Unterstützung für die Konfiguration von IPv6-Adressen für die Optionen Active Signal Route, Backup Signal Route und Install on Failure Route unter Services-Redundanz-Group configurations in Ihrem MNHA-Setup.
Konfigurieren Sie nur eine VIP pro logischer Schnittstelle (IFL) in einem Multinode-Setup mit hoher Verfügbarkeit. Unterstützung für die Verwendung mehrerer VIPs oder Dual-Stack ist nicht verfügbar.
Verwenden von IP-Adresspools in einer Multinode-Hochverfügbarkeitskonfiguration
Wenn Sie mehrere SRGs (Aktiv-Aktiv-Modus) in Multinode-Hochverfügbarkeit konfigurieren, stellen Sie sicher, dass sich die von SRGs in einem Zugriffsprofil verwendeten Adresspools nicht überschneiden dürfen. Stellen Sie außerdem sicher, dass die Adresse und der Adresspool, die auf dem RADIUS-Server für die mit verschiedenen SRGs verbundenen Hosts konfiguriert sind, eindeutig sein müssen.
Beispiel: Das folgende Beispiel zeigt Adresspool-Konfigurationen mit Zugriffsprofil localpool bzw localpool2 . für SRG1 und SRG2:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
In diesem Beispiel befinden sich die Redundanzgruppen für Services – SRG1 und SRG2 – im selben Netzwerk (192.0.2.0/24). IP-Adressen in Adresspools werden jedoch verteilt, um Überschneidungen zu vermeiden (192.0.2.1/24—192.0.2.127 für SRG1 und 192.0.2.128—192.0.2.255 für SRG2).
Ebenso müssen Sie eindeutige IP-Adressen und Adresspools für Benutzerkonfigurationen auf dem RADIUS-Server verwenden.
Falls Sie in zwei SRGs dieselbe Adresse für Hosts zuweisen, löscht Multinode High Availability den neuen Host und stoppt die IKE-Verhandlungen mit der folgenden Meldung:
AUTHENTICATION_FAILED as the AUTH response
Das Systemprotokoll zeigt die folgende Meldung an:
Duplicate assigned IPv4 received, delete new peer
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.