AUF DIESER SEITE
Beispiel: Konfigurieren der Hochverfügbarkeit mit mehreren Knoten in einer Standard-Gatewaybereitstellung
In diesem Beispiel richten Sie Multinode-Hochverfügbarkeit zwischen Firewalls der SRX-Serie in einer Standard-Gateway-Bereitstellung (Layer 2-Netzwerk) ein.
Überblick
Bei der Multi-Node-Hochverfügbarkeit arbeiten die teilnehmenden Firewalls der SRX-Serie als unabhängige Knoten in einem Layer-2-Netzwerk. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk. Beteiligte Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles, synchronisiertes Failover zu gewährleisten.
Bei der Hochverfügbarkeit mit mehreren Knoten wird die Aktivität auf der Ebene der Dienstredundanzgruppe (Services Redundancy Group, SRG) bestimmt. Die Firewall der SRX-Serie, auf der das SRG1 aktiv ist, hostet die Floating-IP-Adresse und leitet den Datenverkehr mithilfe der Floating-IP-Adresse dorthin weiter. Während eines Failovers wird die Floating-IP-Adresse vom alten aktiven Knoten auf den neuen aktiven Knoten verschoben und setzt die Kommunikation mit den Clientgeräten fort.
Ab Junos OS Version 22.3R1 unterstützen wir eine Konfiguration mit zwei Knoten in der Multinode-Hochverfügbarkeitslösung.
Beginnen wir mit einem Überblick über die Topologie, die Sie in diesem Beispiel verwenden werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Zwei Instanzen der Firewalls der SRX-Serie oder virtuelle Firewall vSRX
-
Zwei Juniper Networks EX9214 Ethernet-Switches
-
Junos OS Version 22.3R1
Topologie
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
Wie in der Topologie dargestellt, sind zwei Firewalls der SRX-Serie mit Switches auf der Vertrauens- und nicht der Vertrauensseite verbunden. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk. Die Knoten kommunizieren untereinander mit einer routingfähigen IP-Adresse (Floating IP-Adresse) über das Netzwerk. Loopback-Schnittstellen werden verwendet, um die IP-Adressen auf Firewalls der SRX-Serie zu hosten.
Im Allgemeinen können Sie aggregiertes Ethernet (AE) oder einen umsatzsteigernden Ethernet-Port an den Firewalls der SRX-Serie verwenden, um eine ICL-Verbindung einzurichten. In diesem Beispiel haben wir GE-Ports für die ICL verwendet. Wir haben auch eine Routing-Instanz für den ICL-Pfad konfiguriert, um eine maximale Segmentierung zu gewährleisten.
In einer typischen Hochverfügbarkeitsbereitstellung befinden sich mehrere Router und Switches auf der Nord- und der Südseite des Netzwerks. Für dieses Beispiel verwenden wir zwei Switches auf beiden Seiten der Firewalls der SRX-Serie.
In diesem Beispiel verwenden Sie statische Routen auf SRX-1 und SRX-2 und kündigen diese Routen in BGP an, um die Metrik hinzuzufügen, mit der bestimmt wird, welche Firewall der SRX-Serie sich im bevorzugten Pfad befindet. Alternativ können Sie Routenreflektoren an der Firewall der SRX-Serie verwenden, um die über BGP erlernten Routen anzukündigen und die Routing-Richtlinie entsprechend so zu konfigurieren, dass sie auf BGP übereinstimmt.
Sie führen die folgenden Aufgaben aus, um ein Setup für hohe Verfügbarkeit mit mehreren Knoten zu erstellen:
- Konfigurieren Sie ein Paar Firewalls der SRX-Serie als lokale und Peer-Knoten durch Zuweisen von IDs.
- Konfigurieren Sie Services Redundancy Groups (SRGs).
- Konfigurieren Sie virtuelle IP-Adressen für die Ermittlung und Durchsetzung der Aktivität.
- Konfigurieren Sie mithilfe von IKEv2 ein VPN-Profil für den ICL-Datenverkehr (High Availability).
- Konfigurieren Sie geeignete Sicherheitsrichtlinien, um den Datenverkehr in Ihrem Netzwerk zu verwalten.
-
Konfigurieren Sie zustandslose Firewall-Filterung und Quality of Service (QoS) gemäß Ihren Netzwerkanforderungen.
-
Konfigurieren Sie Schnittstellen und Zonen entsprechend Ihren Netzwerkanforderungen. Sie müssen Services wie IKE für die Linkverschlüsselung und SSH für die Konfigurationssynchronisierung als Host-Eingangssystemdienste in der Sicherheitszone zulassen, die der ICL zugeordnet ist.
Sie können die folgenden Optionen auf SRG0 und SRG1 konfigurieren:
-
SRG1: Aktive/Backup-Signalroute, Bereitstellungstyp, Aktivitätspriorität, Trennung, virtuelle IP-Adresse (für Standard-Gateway-Bereitstellungen), Aktivitätsprüfung und Prozesspaket bei der Sicherung.
-
SRG1: BFD-Überwachung, IP-Überwachung und Schnittstellenüberwachungsoptionen auf SRG1.
-
SRG0: Routenoptionen "Bei Ausfall herunterfahren" und "Bei Fehler installieren".
Wenn Sie Überwachungsoptionen (BFD oder IP oder Schnittstelle) unter SRG1 konfigurieren, wird empfohlen, die Option "Herunterfahren bei Fehler" nicht unter SRG0 zu konfigurieren.
Für Interchassis Link (ICL) empfehlen wir die folgenden Konfigurationseinstellungen:
- Verwenden Sie eine Loopback-Schnittstelle (lo0) unter Verwendung einer aggregierten Ethernet-Schnittstelle (ae0) oder eine beliebige Umsatz-Ethernet-Schnittstelle, um die ICL einzurichten. Verwenden Sie nicht die dedizierten HA-Ports (Kontroll- und Fabric-Ports), sofern diese an Ihrer Firewall der SRX-Serie verfügbar sind.
- Set MTU von 1514
- Lassen Sie die folgenden Services in der Sicherheitszone zu, die den für ICL verwendeten Schnittstellen zugeordnet ist
-
IKE, Hochverfügbarkeit, SSH
-
Protokolle hängen von den benötigten Routing-Protokollen ab
-
BFD zur Überwachung der benachbarten Trassen
-
Konfiguration
Vorbereitungen
Das Junos IKE-Paket ist für Ihre Firewalls der SRX-Serie für die Konfiguration mit hoher Verfügbarkeit mit mehreren Knoten erforderlich. Dieses Paket ist als Standardpaket oder als optionales Paket für Firewalls der SRX-Serie verfügbar. Weitere Informationen finden Sie unter Support für das Junos IKE-Paket .
Wenn das Paket nicht standardmäßig auf Ihrer Firewall der SRX-Serie installiert ist, verwenden Sie den folgenden Befehl, um es zu installieren. Sie benötigen diesen Schritt für die ICL-Verschlüsselung.
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Auf SRX-1-Gerät
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.22.0.1 set chassis high-availability peer-id 2 peer-ip 10.22.0.2 set chassis high-availability peer-id 2 interface ge-0/0/2.0 set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 2 set chassis high-availability services-redundancy-group 1 deployment-type switching set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.2.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 virtual-ip 2 use-virtual-mac set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set interfaces ge-0/0/3 description "trust" unit 0 family inet address 10.1.0.1/16 set interfaces ge-0/0/4 description "untrust" unit 0 family inet address 10.2.0.1/16 set interfaces ge-0/0/2 description "ha_link" unit 0 family inet address 10.22.0.1/24 set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.1/32 set routing-options autonomous-system 65000 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4 set security zones security-zone untrust interfaces lo0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3 set security zones security-zone halink host-inbound-traffic system-services ike set security zones security-zone halink host-inbound-traffic system-services ping set security zones security-zone halink host-inbound-traffic system-services high-availability set security zones security-zone halink host-inbound-traffic system-services ssh set security zones security-zone halink host-inbound-traffic protocols bfd set security zones security-zone halink host-inbound-traffic protocols bgp set security zones security-zone halink interfaces ge-0/0/2 set security policies default-policy permit-all set system services netconf ssh
Auf SRX-2-Gerät
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.22.0.2 set chassis high-availability peer-id 1 peer-ip 10.22.0.1 set chassis high-availability peer-id 1 interface ge-0/0/2.0 set chassis high-availability peer-id 1 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 1 set chassis high-availability services-redundancy-group 1 deployment-type switching set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.2.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 set chassis high-availability services-redundancy-group 1 activeness-priority 1 set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set interfaces ge-0/0/3 description "trust" unit 0 family inet address 10.1.0.2/16 set interfaces ge-0/0/4 description "untrust" unit 0 family inet address 10.2.0.2/16 set interfaces ge-0/0/2 description "ha_link" unit 0 family inet address 10.22.0.2/24 set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.1/32 set routing-options autonomous-system 65000 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4 set security zones security-zone untrust interfaces lo0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3 set security zones security-zone halink host-inbound-traffic system-services ike set security zones security-zone halink host-inbound-traffic system-services ping set security zones security-zone halink host-inbound-traffic system-services high-availability set security zones security-zone halink host-inbound-traffic system-services ssh set security zones security-zone halink host-inbound-traffic protocols bfd set security zones security-zone halink host-inbound-traffic protocols bgp set security zones security-zone halink interfaces ge-0/0/2 set security policies default-policy permit-all set system services netconf ssh
In den folgenden Abschnitten werden Konfigurationsausschnitte auf den Switches gezeigt, die für die Einrichtung von Multinode High Availability im Netzwerk erforderlich sind.
On-Switch (Ethernet-Switch EX9214)
set interfaces ge-0/0/2 description lan set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 description lan unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 description lan unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members lan set vlans lan vlan-id 1001
On-Switch (Ethernet-Switch EX9214)
set interfaces ge-0/0/2 description lan set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 description lan unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 description lan unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members lan set vlans lan vlan-id 1001
Konfiguration
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
-
Konfigurieren von Schnittstellen.
[edit] user@host# set interfaces ge-0/0/3 description "trust" unit 0 family inet address 10.1.0.1/16 user@host# set interfaces ge-0/0/4 description "untrust" unit 0 family inet address 10.2.0.1/16 user@host# set interfaces ge-0/0/2 description "ha_link" unit 0 family inet address 10.22.0.1/24
Wir verwenden die Schnittstellen ge-0/0/3 und ge-0/0/4 für die Verbindung zu den Switches und die ge-0/0/2-Schnittstelle für ICL.
-
Konfigurieren Sie die Loopback-Schnittstelle.
[edit] user@host# set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.1/32
Weisen Sie der Loopback-Schnittstelle die IP-Adresse (10.11.0.1) zu. Diese IP-Adresse fungiert als Floating-IP-Adresse.
Durch die Verwendung der Loopback-Schnittstelle wird sichergestellt, dass der Datenverkehr von den benachbarten Geräten jederzeit in Richtung der Floating-IP-Adresse (d. h. zum aktiven Knoten) geleitet wird.
- Konfigurieren Sie die Sicherheitsrichtlinie.
[edit] user@host# set security policies default-policy permit-all
Stellen Sie sicher, dass Sie Sicherheitsrichtlinien gemäß Ihren Netzwerkanforderungen konfiguriert haben. In diesem Beispiel konfigurieren Sie eine Richtlinie, um den gesamten Datenverkehr zuzulassen.
-
Konfigurieren Sie Sicherheitszonen, weisen Sie den Zonen Schnittstellen zu und geben Sie die zulässigen Systemdienste für die Sicherheitszonen an.
[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services ike user@host# set security zones security-zone untrust host-inbound-traffic system-services ping user@host# set security zones security-zone untrust host-inbound-traffic protocols bfd user@host# set security zones security-zone untrust host-inbound-traffic protocols bgp user@host# set security zones security-zone untrust interfaces ge-0/0/4 user@host# set security zones security-zone untrust interfaces lo0.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/3 user@host# set security zones security-zone halink host-inbound-traffic system-services ike user@host# set security zones security-zone halink host-inbound-traffic system-services ping user@host# set security zones security-zone halink host-inbound-traffic system-services high-availability user@host# set security zones security-zone halink host-inbound-traffic system-services ssh user@host# set security zones security-zone halink host-inbound-traffic protocols bfd user@host# set security zones security-zone halink host-inbound-traffic protocols bgp user@host# set security zones security-zone halink interfaces ge-0/0/2
Weisen Sie die Schnittstellen ge-0/0/3 und ge-0/0/4 den Trust- bzw. Untrust-Zonen zu. Weisen Sie die lo0.0-Schnittstelle der nicht vertrauenswürdigen Zone zu, um eine Verbindung über das öffentliche IP-Netzwerk herzustellen. Weisen Sie die Schnittstelle ge-0/0/2 der Halink-Zone zu. Sie verwenden diese Zone, um die ICL einzurichten.
-
Konfigurieren von Routing-Optionen.
[edit] user@host# set routing-options autonomous-system 65000
-
Konfigurieren Sie sowohl Details zum lokalen Knoten als auch zum Peerknoten, z. B. Knoten-ID, lP-Adressen des lokalen Knotens und des Peerknotens sowie die Schnittstelle für den Peerknoten.
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.22.0.1 user@host# set chassis high-availability peer-id 2 peer-ip 10.22.0.2 user@host# set chassis high-availability peer-id 2 interface ge-0/0/2.0
Sie verwenden die ge-0/0/2-Schnittstelle für die Kommunikation mit dem Peerknoten über die ICL.
-
Fügen Sie das IPsec-VPN-Profil IPSEC_VPN_ICL an den Peerknoten an.
[edit] user@host# set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL
Sie benötigen diese Konfiguration, um eine sichere ICL-Verbindung zwischen den Knoten herzustellen.
-
Konfigurieren Sie BFD-Protokolloptionen (Bidirectional Forwarding Detection) für den Peerknoten.
[edit] user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
Ordnen Sie die Peerknoten-ID 2 der Dienstredundanzgruppe 0 (SRG0) zu.
[edit] user@host# set chassis high-availability services-redundancy-group 0 peer-id 2
-
Konfigurieren Sie die Dienstredundanzgruppe 1 (SRG1).
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type switching user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.2.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface ge-0/0/4.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 use-virtual-mac
Weisen Sie SRG1 eine virtuelle IP-Adresse (VIP) und eine Schnittstelle zu.
Anmerkung: Die Konfiguration deruse-virtual-macOption ist in den meisten Fällen die empfohlene Option, es sei denn, die umgebende Infrastruktur würde neben der lokalen MAC-Adresse auch keine bewegliche virtuelle MAC-Adresse unterstützen, die an einem Port aktiv ist. -
Konfigurieren Sie IP- und BFD-Überwachungsparameter für SRG1, um die Erreichbarkeit einer IP-Adresse zu überprüfen und Ausfälle im Netzwerk zu erkennen.
[edit] user@host# set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 user@host# set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 user@host# set chassis high-availability services-redundancy-group 1 preemption
-
Konfigurieren Sie eine aktive Signalroute, die für die Erzwingung der Aktivität erforderlich ist.
[edit] user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
Die IP-Adresse der aktiven Signalroute, die Sie zuweisen, wird für die Ankündigung von Routenpräferenzen verwendet. Sie müssen die aktive Signalroute zusammen mit der
route-existsRichtlinie in derpolicy-optionsAnweisung angeben. -
Definieren Sie die IKE-Konfiguration (Internet Key Exchange) für die Hochverfügbarkeit mit mehreren Knoten. Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen einer sicheren Verbindung verwendet werden.
[edit] user@host# set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel user@host# set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys user@host# set security ike proposal MNHA_IKE_PROP dh-group group14 user@host# set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 user@host# set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc user@host# set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 user@host# set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel user@host# set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP user@host# set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" user@host# set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL user@host# set security ike gateway MNHA_IKE_GW version v2-only
Für die Funktion "Multinode-Hochverfügbarkeit" müssen Sie die IKE-Version wie folgt konfigurieren:
v2-only -
Geben Sie das IPsec-Vorschlagsprotokoll und den Verschlüsselungsalgorithmus an. Geben Sie IPsec-Optionen an, um einen IPsec-Tunnel zwischen zwei Teilnehmergeräten zu erstellen, um die VPN-Kommunikation zu sichern.
[edit] user@host# set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel user@host# set security ipsec proposal MNHA_IPSEC_PROP protocol esp user@host# set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm user@host# set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 user@host# set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel user@host# set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP user@host# set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption user@host# set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW user@host# set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL
Wenn Sie diese
ha-link-encryptionOption angeben, wird die ICL verschlüsselt, um den Datenverkehrsfluss mit hoher Verfügbarkeit zwischen den Knoten zu sichern.Derselbe VPN-Name, für vpn_profile den IPSEC_VPN_ICL in der Chassis-Hochverfügbarkeitskonfiguration angegeben werden muss.
Konfigurationsoptionen für Software-Upgrades
Bei Multinode-Hochverfügbarkeit können Sie während eines Softwareupgrades den Datenverkehr umleiten, indem Sie Schnittstellen auf dem Knoten schließen. Hier kann der Datenverkehr nicht durch die Knoten geleitet werden. Weitere Informationen finden Sie unter Softwareupgrade in Multinode-Hochverfügbarkeit .
- Konfigurieren Sie alle Datenverkehrsschnittstellen unter der Option "Shutdown-on-failure".
user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure <interface-name>
[edit] user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure ge-0/0/3 user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure ge-0/0/4
VORSICHT:Verwenden Sie keine Schnittstellen, die dem Interchassis-Link (ICL) zugewiesen sind.
Ergebnisse (SRX-1)
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show chassis high-availability
local-id 1 local-ip 10.22.0.1;
peer-id 2 {
peer-ip 10.22.0.2;
interface ge-0/0/2.0;
vpn-profile IPSEC_VPN_ICL;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 0 {
peer-id {
2;
}
}
services-redundancy-group 1 {
deployment-type switching;
peer-id {
2;
}
virtual-ip 1 {
ip 10.1.0.200/16;
interface ge-0/0/3.0;
use-virtual-mac;
}
virtual-ip 2 {
ip 10.2.0.200/16;
interface ge-0/0/4.0;
use-virtual-mac;
}
monitor {
interface {
ge-0/0/3;
ge-0/0/4;
}
}
preemption;
activeness-priority 200;
}
[edit]
user@host# show security ike
proposal MNHA_IKE_PROP {
description mnha_link_encr_tunnel;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy MNHA_IKE_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IKE_PROP ;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway MNHA_IKE_GW {
ike-policy MNHA_IKE_POL ;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal MNHA_IPSEC_PROP {
description mnha_link_encr_tunnel;
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy MNHA_IPSEC_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IPSEC_PROP;
}
vpn IPSEC_VPN_ICL {
ha-link-encryption;
ike {
gateway MNHA_IKE_GW;
ipsec-policy MNHA_IPSEC_POL;
}
}
[edit] user@host# show routing-options autonomous-system 65000;
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/4.0;
lo0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone halink {
host-inbound-traffic {
system-services {
ike;
ping;
high-availability;
ssh;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
ge-0/0/2 {
description ha_link;
unit 0 {
family inet {
address 10.22.0.1/24;
}
}
}
ge-0/0/3 {
description trust;
unit 0 {
family inet {
address 10.1.0.1/16;
}
}
}
ge-0/0/4 {
description untrust;
unit 0 {
family inet {
address 10.2.0.1/16;
}
}
}
lo0 {
description untrust;
unit 0 {
family inet {
address 10.11.0.1/32;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Ergebnisse (SRX-2)
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show chassis high-availability
local-id 2 local-ip 10.22.0.2;
peer-id 1 {
peer-ip 10.22.0.1;
interface ge-0/0/2.0;
vpn-profile IPSEC_VPN_ICL;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 0 {
peer-id {
1;
}
}
services-redundancy-group 1 {
deployment-type switching;
peer-id {
1;
}
virtual-ip 1 {
ip 10.1.0.200/16;
interface ge-0/0/3.0;
}
virtual-ip 2 {
ip 10.2.0.200/16;
interface ge-0/0/4.0;
}
monitor {
interface {
ge-0/0/3;
ge-0/0/4;
}
}
activeness-priority 1;
}
[edit]
user@host# show security ike
proposal MNHA_IKE_PROP {
description mnha_link_encr_tunnel;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy MNHA_IKE_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IKE_PROP ;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway MNHA_IKE_GW {
ike-policy MNHA_IKE_POL ;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal MNHA_IPSEC_PROP {
description mnha_link_encr_tunnel;
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy MNHA_IPSEC_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IPSEC_PROP;
}
vpn IPSEC_VPN_ICL {
ha-link-encryption;
ike {
gateway MNHA_IKE_GW;
ipsec-policy MNHA_IPSEC_POL;
}
}
[edit] user@host# show routing-options autonomous-system 65000;
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/4.0;
lo0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone halink {
host-inbound-traffic {
system-services {
ike;
ping;
high-availability;
ssh;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
ge-0/0/2 {
description ha_link;
unit 0 {
family inet {
address 10.22.0.2/24;
}
}
}
ge-0/0/3 {
description trust;
unit 0 {
family inet {
address 10.1.0.2/16;
}
}
}
ge-0/0/4 {
description untrust;
unit 0 {
family inet {
address 10.2.0.2/16;
}
}
}
lo0 {
description untrust;
unit 0 {
family inet {
address 10.11.0.1/32;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
user@host# commit warning: High Availability Mode changed, please reboot the device to avoid undesirable behavior commit complete
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Details zur Hochverfügbarkeit mit mehreren Knoten überprüfen
- Überprüfen des Peer-Knotenstatus für Hochverfügbarkeit mit mehreren Knoten
- Überprüfen von Redundanzgruppen für Hochverfügbarkeitsdienste mit mehreren Knoten
- Überprüfen des Hochverfügbarkeitsstatus für mehrere Knoten vor und nach dem Failover
- Überprüfen des ICL-Verschlüsselungsstatus (Interchassis Link)
- Überprüfen der Tunnelstatistiken für die Linkverschlüsselung
Details zur Hochverfügbarkeit mit mehreren Knoten überprüfen
Zweck
Zeigen Sie die Details des Multinode-Hochverfügbarkeits-Setups an, das auf Ihrem Sicherheitsgerät konfiguriert ist, und überprüfen Sie sie.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
Auf SRX-1
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.22.0.1
HA Peer Information:
Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Auf SRX-2
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
-
Details zum lokalen Knoten und Peerknoten, z. B. IP-Adresse und ID.
-
Das Feld
Encrypted: YESzeigt an, dass der Datenverkehr geschützt ist. -
Das Feld
Deployment Type: SWITCHINGgibt eine Konfiguration für den Standard-Gateway-Modus (Switching) an, d. h., das Netzwerk verfügt über Switches, die an beiden Enden angeschlossen sind (Layer-2-Netzwerk). -
Das Feld
Services Redundancy Group: 1gibt den Status von SRG1 (ACTIVE oder BACKUP) auf diesem Knoten an.
Überprüfen des Peer-Knotenstatus für Hochverfügbarkeit mit mehreren Knoten
Zweck
Zeigen Sie die Details des Peerknotens an, und überprüfen Sie sie.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
SRX-1-KARTON
user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16000
Internal Local-IP: 180.100.1.1
Internal Peer-IP: 180.100.1.2
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 3 4
SRG Status Ack 4 3
Attribute Msg 3 2
Attribute Ack 2 2
SRX-2
user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16000
Internal Local-IP: 180.100.1.2
Internal Peer-IP: 180.100.1.1
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 10 8
SRG Status Ack 8 8
Attribute Msg 8 4
Attribute Ack 4 4
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
-
Details zum Peer-Knoten, z. B. verwendete Schnittstelle, IP-Adresse und ID.
-
Verschlüsselungsstatus, Verbindungsstatus und Status der kalten Synchronisierung
-
Paketstatistiken für den Knoten.
Überprüfen von Redundanzgruppen für Hochverfügbarkeitsdienste mit mehreren Knoten
Zweck
Stellen Sie sicher, dass die SRGs konfiguriert sind und ordnungsgemäß funktionieren.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
Für SRG0:
user@host> show chassis high-availability services-redundancy-group 0
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
Für SRG1:
user@host> show chassis high-availability services-redundancy-group 1 >
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Virtual IP Info:
Index: 2
IP: 10.2.0.200/16
VMAC: N/A
Interface: ge-0/0/4.0
Status: INSTALLED
Index: 1
IP: 10.1.0.200/16
VMAC: N/A
Interface: ge-0/0/3.0
Status: INSTALLED
Split-brain Prevention Probe Info:
DST-IP: 10.1.0.200
Routing Instance: default
Status: NOT RUNNING
Result: N/A Reason: N/A
Interface Monitoring:
Status: UP
IF Name: ge-0/0/4 State: Up
IF Name: ge-0/0/3 State: Up
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
-
Details zum Peer-Knoten, z. B. Bereitstellungstyp, Status sowie aktive und Backup-Signalrouten.
-
Virtuelle IP-Informationen wie IP-Adresse und virtuelle MAC-Adresse.
-
IP-Überwachung und BFD-Überwachungsstatus.
Überprüfen des Hochverfügbarkeitsstatus für mehrere Knoten vor und nach dem Failover
Zweck
Überprüfen Sie die Änderung des Knotenstatus vor und nach dem Failover in einem Hochverfügbarkeits-Setup mit mehreren Knoten.
Aktion
Führen Sie den folgenden Befehl im Betriebsmodus aus, um den Status der Hochverfügbarkeit von Multinode auf dem Backup-Knoten (SRX-2) zu überprüfen:
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Unter dem Services Redundancy Group: 1 Abschnitt können Sie das Status: BACKUP Feld sehen. Dieser Feldwert gibt an, dass der Status von SRG 1 Sicherung ist.
Initiieren Sie das Failover auf dem aktiven Knoten (SRX-1-Gerät) und führen Sie den Befehl auf dem Sicherungsknoten (SRX-2) erneut aus.
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: DOWN
Cold Sync Status: IN PROGRESS
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: ACTIVE
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Beachten Sie, dass sich in diesem Services Redundancy Group: 1 Abschnitt der Status von SRG1 von BACKUP in ACTIVE geändert hat.
Sie können auch Details zu Peerknoten in diesem Peer Information Abschnitt anzeigen. Die Ausgabe zeigt den Status des Peers als BACKUP an.
Überprüfen des ICL-Verschlüsselungsstatus (Interchassis Link)
Zweck
Überprüfen Sie den ICL-Status (Interchassis Link).
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
user@host> show security ipsec security-associations ha-link-encryption detail
ID: 495002 Virtual-system: root, VPN Name: IPSEC_VPN_ICL
Local Gateway: 10.22.0.1, Remote Gateway: 10.22.0.2
Traffic Selector Name: __IPSEC_VPN_ICL__multi_node__
Local Identity: ipv4(180.100.1.1-180.100.1.1)
Remote Identity: ipv4(180.100.1.2-180.100.1.2)
TS Type: traffic-selector
Version: IKEv2
PFS group: N/A
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.16000, Tunnel MTU: 0, Policy-name: MNHA_IPSEC_POL
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
HA Link Encryption Mode: Multi-Node
Location: FPC -, PIC -, KMD-Instance -
Anchorship: Thread -
Distribution-Profile: default-profile
Direction: inbound, SPI: 0x000afc7f, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1888 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1248 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 0
IKE SA Index: 4294966274
Direction: outbound, SPI: 0x000079a0, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1888 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1248 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 0
IKE SA Index: 4294966274
Bedeutung
Die Befehlsausgabe enthält die folgenden Informationen:
-
Details zum lokalen Gateway und zum Remote-Gateway.
-
Das IPsec-SA-Paar für jeden Thread in PIC.
-
HA-Link-Verschlüsselungsmodus (wie in der folgenden Zeile gezeigt):
HA Link Encryption Mode: Multi-Node -
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
Der in der Befehlsausgabe angezeigte IP-Bereich (180.100.1.x) dient als ICL-IPsec-Datenverkehrsselektor. Das System weist diesen IP-Bereich dynamisch zu, und es ist wichtig, ihn nicht zu ändern oder zu modifizieren. Zusätzlich wird BFD (Bidirectional Forwarding Detection) automatisch für den breiteren IP-Bereich 180.x.x.x aktiviert.
Überprüfen der Tunnelstatistiken für die Linkverschlüsselung
Zweck
Überprüfen Sie die Link-Encryption-Tunnelstatistiken sowohl auf aktiven als auch auf Backup-Knoten.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
user@host> show security ipsec statistics ha-link-encryption ESP Statistics: Encrypted bytes: 2455540 Decrypted bytes: 1186957 Encrypted packets: 22673 Decrypted packets: 22694 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Invalid SPI: 0, TS check fail: 0 Exceeds tunnel MTU: 0 Discarded: 0
Bedeutung
Wenn Sie Probleme mit Paketverlusten in einem VPN sehen, können Sie den show security ipsec statistics ha-link-encryption Befehl mehrmals ausführen, um zu überprüfen, ob die Zähler für verschlüsselte und entschlüsselte Pakete inkrementiert werden. Sie sollten auch überprüfen, ob die anderen Fehlerzähler inkrementiert werden.
Verwenden Sie den show security ike active-peer ha-link-encryption Befehl, um Details der ICL auf dem aktiven Peerknoten anzuzeigen.
Verwenden Sie den clear security ipsec statistics ha-link-encryption Befehl, um alle IPsec-Statistiken zu löschen.