Multinode-Hochverfügbarkeitsservices

Zustandslose Services der Steuerungsebene

SRG0 verwaltet Services ohne Status der Steuerungsebene, wie z. B. Anwendungssicherheit, IDP, Inhaltssicherheit, Firewall, NAT, Richtlinien, ALG usw. Ein Failover für diese Services ist nur auf Data Plane-Ebene erforderlich, und einige dieser Services werden weitergeleitet (sie werden nicht auf dem Gerät beendet, außer NAT, Firewall-Authentifizierung).

SRG0 bleibt auf beiden Knoten aktiv und leitet Datenverkehr von beiden Knoten weiter. Diese Funktionen funktionieren unabhängig voneinander auf beiden Firewalls der SRX-Serie in Multinode-Hochverfügbarkeit.

So konfigurieren Sie die zustandslosen Dienste der Steuerungsebene:

• Konfigurieren Sie die Funktionen so, wie Sie sie auf einer eigenständigen Firewall der SRX-Serie konfigurieren.
• Installieren Sie dieselbe Junos OS-Version auf den teilnehmenden Sicherheitsgeräten (Junos OS Version 22.3R1 oder höher)
• Installieren Sie identische Lizenzen auf beiden Knoten.
• Laden Sie dieselben Versionen des Anwendungssignaturpakets oder IPS-Pakets herunter und installieren Sie sie auf beiden Knoten (wenn Sie Anwendungssicherheit und IDP verwenden).
• Konfigurieren Sie bedingte Routenankündigung, Routing-Richtlinie und statische Routen nach Ihren Anforderungen.
• Bei der Hochverfügbarkeit mit mehreren Knoten erfolgt die Konfigurationssynchronisierung nicht standardmäßig. Sie müssen Anwendungen als Teil von Gruppen konfigurieren und dann die Konfiguration mithilfe der peer synchronization Option synchronisieren oder die Konfiguration auf jedem Knoten separat verwalten.

Network Address Translation

Services wie Firewall, ALG, NAT haben keinen Control Plane-Status. Für solche Dienste muss nur der Data Plane-Status über die Knoten hinweg synchronisiert werden.

In einer Hochverfügbarkeitseinrichtung mit mehreren Knoten verarbeitet jeweils ein Gerät eine NAT-Sitzung, und das andere Gerät übernimmt die aktive Rolle, wenn ein Failover erfolgt. Daher bleibt eine Sitzung auf einem Gerät aktiv, und auf dem anderen Gerät befindet sich die Sitzung im Warmzustand (Standby), bis ein Failover erfolgt.

NAT-Sitzungen und ALG-Statusobjekte werden zwischen den Knoten synchronisiert. Wenn ein Knoten ausfällt, verarbeitet der zweite Knoten weiterhin den Datenverkehr für die synchronisierten Sitzungen vom ausgefallenen Gerät, einschließlich NAT-Übersetzungen.

Sie müssen auf beiden Firewalls der SRX-Serie NAT-Regeln und -Pools mit denselben Parametern erstellen. Um den Antwortpfad für den NAT-Datenverkehr (der zur IP-Adresse des NAT-Pools bestimmt ist) zur richtigen Firewall der SRX-Serie (aktives Gerät) zu leiten, müssen Sie über die erforderliche Routing-Konfiguration sowohl auf aktiven als auch auf Backup-Geräten verfügen. Das heißt, in der Konfiguration muss angegeben werden, welche Routen über die Routing-Protokolle zu den benachbarten Routing-Geräten angekündigt werden. Dementsprechend müssen Sie auch die Richtlinienoption und die Routenkonfiguration konfigurieren.

Wenn Sie NAT-spezifische Betriebsbefehle auf beiden Geräten ausführen, wird dieselbe Ausgabe angezeigt. Es kann jedoch Fälle geben, in denen die internen numerischen IDs der NAT-Regel/-Pools zwischen den Knoten unterschiedlich sein können. Unterschiedliche numerische IDs wirken sich beim Failover nicht auf die Sitzungssynchronisierung/NAT-Übersetzungen aus.

Firewall-Benutzerauthentifizierung

Mit der Firewall-Authentifizierung können Sie Benutzer einzeln oder in Gruppen einschränken oder zulassen. Benutzer können mit einer lokalen Kennwortdatenbank oder mit einer externen Kennwortdatenbank authentifiziert werden.

Multinode-Hochverfügbarkeit unterstützt die folgenden Authentifizierungsmethoden:

• Pass-Through-Authentifizierung
• Pass-Through mit Web-Umleitungsauthentifizierung
• Webauthentifizierung

Bei der Firewall-Benutzerauthentifizierung handelt es sich um einen Dienst mit einem aktiven Control Plane-Status, der eine Synchronisierung der Control- und Data Plane-Zustände über die Knoten hinweg erfordert. Bei der Einrichtung von Multinode-Hochverfügbarkeit funktioniert die Firewall-Benutzerauthentifizierungsfunktion unabhängig voneinander auf beiden Firewalls der SRX-Serie und synchronisiert die Authentifizierungstabelle zwischen den Knoten. Wenn sich ein Benutzer erfolgreich authentifiziert hat, wird der Authentifizierungseintrag mit dem anderen Knoten synchronisiert und ist auf beiden Knoten sichtbar, wenn Sie show command ausführen (Beispiel: show security firewall-authentication users ).

Anmerkung:

Stellen Sie beim Synchronisieren der Konfiguration zwischen Knoten sicher, dass die Details zu Authentifizierung, Richtlinie, Quellzone und Zielzone auf beiden Knoten übereinstimmen. Wenn Sie die gleiche Reihenfolge in Ihrer Konfiguration beibehalten, wird eine erfolgreiche Synchronisierung der Authentifizierungseinträge auf beiden Knoten sichergestellt.

Wenn Sie einen Authentifizierungseintrag in einem Knoten mit der Anweisung clear security user-identification local-authentication-table löschen, stellen Sie sicher, dass Sie den Authentifizierungseintrag auch im anderen Knoten löschen.

Wenden Sie die gleiche Vorgehensweise auch bei einer asymmetrischen Datenverkehrskonfiguration an.

Multinode-Hochverfügbarkeit unterstützt den Juniper Identity Management Service (JIMS) beim Abrufen von Benutzeridentitätsinformationen. Jeder Knoten holt sich die Authentifizierungseinträge vom JIMS-Server und verarbeitet sie unabhängig voneinander. Aus diesem Grund müssen Sie die Befehle zur Firewall-Benutzerauthentifizierung auf jedem Knoten separat ausführen. Wenn Sie z. B. die Authentifizierungseinträge mit den show-Befehlen anzeigen, zeigt jeder Knoten nur die Authentifizierungseinträge an, die er gerade verarbeitet (als ob er unabhängig voneinander im Standalone-Modus arbeiten würde:

• show services user-identification authentication-table
• show service user-identification identity-management

Konfigurationssynchronisierung zwischen Hochverfügbarkeitsknoten mit mehreren Knoten

Bei der Multinode-Hochverfügbarkeit fungieren zwei Firewalls der SRX-Serie als unabhängige Geräte. Diese Geräte haben einen eindeutigen Hostnamen und die IP-Adresse auf der fxp0-Schnittstelle. Sie können zustandslose Dienste der Steuerungsebene, wie ALG, Firewall oder NAT, unabhängig voneinander auf diesen Geräten konfigurieren. Knotenspezifische Pakete werden immer auf den jeweiligen Knoten verarbeitet.

Die folgenden Pakete/Dienste sind knotenspezifisch (lokal) in Multinode-Hochverfügbarkeit:

• Routing von Protokollpaketen zur Routing-Engine

• Managementdienste wie SNMP und Betriebsbefehle (show, request)

• Prozesse, wie z. B. der Authentifizierungsserviceprozess (authd), der in RADIUS- und LDAP-Server integriert ist

• ICL-Verschlüsselung, spezifische Tunnelsteuerung und Datenpakete

Die Konfigurationssynchronisierung in Multinode High Availability ist standardmäßig nicht aktiviert. Wenn Sie möchten, dass bestimmte Konfigurationen mit dem anderen Knoten synchronisiert werden, müssen Sie Folgendes tun:

• Konfigurieren Sie das Feature/die Funktion als Teil von groups
• Synchronisieren Sie die Konfiguration mit der [edit system commit peers-synchronize] Option

Wenn Sie die Konfigurationssynchronisierung (mithilfe der peers-synchronize Option) auf beiden Geräten in einer Hochverfügbarkeit mit mehreren Knoten aktivieren, werden die Konfigurationseinstellungen, die Sie auf einem Peer unter [Gruppen] konfigurieren, bei der Commit-Aktion automatisch mit dem anderen Peer synchronisiert.

Der lokale Peer, auf dem Sie die Anweisung peers-synchronize aktivieren, kopiert die Konfiguration und lädt sie auf den Remotepeer. Jeder Peer führt dann eine Syntaxprüfung für die Konfigurationsdatei durch, für die ein Commit ausgeführt wird. Wenn keine Fehler gefunden werden, wird die Konfiguration aktiviert und wird zur aktuellen Betriebskonfiguration auf beiden Peers.

Der folgende Konfigurationsausschnitt zeigt die VPN-Konfiguration unter avpn_config_group on host-mnha-01. Wir synchronisieren die Konfiguration mit dem anderen Peergerät host-mnha-02.

1. Konfigurieren Sie den Hostnamen und die IP-Adresse des teilnehmenden Peer-Geräts (host-mnha-02) sowie die Authentifizierungsdetails, und fügen Sie die peers-synchronization Anweisung hinzu.

2. Konfigurieren Sie die Gruppe (avpn_config_group) und geben Sie die Anwendungsbedingungen an (wenn die Peers host-mnha-01 und host-mnha-02)

3. Verwenden Sie den apply-groups Befehl im Stammverzeichnis der Konfiguration.

   Wenn Sie die Konfiguration bestätigen, prüft Junos den Befehl und fügt die richtige Gruppe passend zum Knotennamen zusammen.

4. Überprüfen Sie den Synchronisierungsstatus mit dem show configuration system Befehl aus dem Betriebsmodus.

   In der Befehlsausgabe werden die Details der Peer-Firewall der SRX-Serie unter der Option "Peers " angezeigt.

Anmerkung:

Die Konfigurationssynchronisierung erfolgt dynamisch und wenn eine Konfigurationsänderung vorgenommen wird, während nur ein Knoten verfügbar ist oder wenn die Konnektivität zwischen den Knoten unterbrochen ist, müssen Sie einen weiteren Commit ausstellen, um die Konfiguration mit dem anderen Knoten zu synchronisieren. Andernfalls führt dies zu inkonsistenten Konfigurationen zwischen den Knoten für die Anwendungen.

Anmerkung:

• Die Konfigurationssynchronisierung ist nicht zwingend erforderlich, damit Multinode High Availability funktioniert. Für eine einfache Konfigurationssynchronisierung empfehlen wir jedoch, die set system commit peers-synchronize Anweisung mit junos groups der Konfiguration in eine Richtung zu verwenden (z. B. Knoten 0 zu Knoten 1).
• Es wird empfohlen, eine Fxp0-Verbindung (Out-of-Band-Management) zu verwenden, um die Konfigurationssynchronisierung zwischen Knoten mit hoher Verfügbarkeit mit mehreren Knoten zu erstellen und allgemeine Konfigurationen zu verwalten.
• Wenn die Konfigurationssynchronisierung für IPsec nicht aktiviert ist, müssen Sie die Konfiguration zuerst auf dem Backup-Knoten und dann auf dem aktiven Knoten bestätigen.