AUF DIESER SEITE
Beispiel: Konfigurieren von Hochverfügbarkeit mit mehreren Knoten in einer Hybridbereitstellung
In diesem Thema erfahren Sie, wie Sie die Hochverfügbarkeitslösung mit mehreren Knoten auf Firewalls der SRX-Serie konfigurieren. Das Beispiel zeigt die Konfiguration im Aktiv/Backup-Modus, wenn Firewalls der SRX-Serie auf der einen Seite mit einem Router und Switch auf der anderen Seite verbunden sind.
Überblick
In einer hybriden Bereitstellung arbeiten die teilnehmenden Firewalls der SRX-Serie als unabhängige Knoten in einem gemischten Modus aus gerouteten Netzwerken auf der einen Seite und lokal verbundenen Netzwerken auf der anderen Seite. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk.
Bei der Hochverfügbarkeit mit mehreren Knoten wird die Aktivität auf der Ebene der Dienstredundanzgruppe (Services Redundancy Group, SRG) bestimmt. Die Firewall der SRX-Serie, auf der das SRG1 aktiv ist, hostet die Floating-IP-Adresse und leitet den Datenverkehr mithilfe der Floating-IP-Adresse dorthin weiter. Während eines Failovers wird die Floating-IP-Adresse vom alten aktiven Knoten auf den neuen aktiven Knoten verschoben und setzt die Kommunikation mit den Clientgeräten fort.
Ab Junos OS Version 22.3R1 unterstützen wir eine Konfiguration mit zwei Knoten in der Multinode-Hochverfügbarkeitslösung.
In diesem Beispiel stellen Sie Hochverfügbarkeit zwischen den Firewalls der SRX-Serie her und sichern den Tunneldatenverkehr, indem Sie die HA-Link-Verschlüsselung aktivieren.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
- Zwei Instanzen der Firewalls der SRX-Serie oder virtuelle Firewall vSRX
- Eine universelle Routing-Plattform MX960 von Juniper Networks(R) an einem Ende
- Ein Ethernet-Switch EX9214 von Juniper Networks am anderen Ende
- Junos OS Version 22.3R1
Topologie
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
Wie in der Topologie dargestellt, sind zwei Firewalls der SRX-Serie mit Routern auf der nicht vertrauenswürdigen Seite und mit einer Switch-Vertrauensseite des Netzwerks verbunden. Die Knoten kommunizieren untereinander mit einer routingfähigen IP-Adresse (Floating IP-Adresse) über das Netzwerk. Loopback-Schnittstellen werden verwendet, um die IP-Adressen auf Routern der SRX-Serie und vorgeschalteten Routern zu hosten.
Im Allgemeinen können Sie aggregiertes Ethernet (AE) oder einen umsatzsteigernden Ethernet-Port an den Firewalls der SRX-Serie verwenden, um eine ICL-Verbindung einzurichten. In diesem Beispiel haben wir GE-Ports für die ICL verwendet. Wir haben auch eine Routing-Instanz für den ICL-Pfad konfiguriert, um eine maximale Segmentierung zu gewährleisten. In einer typischen Hochverfügbarkeitsbereitstellung befinden sich mehrere Router und Switches auf der Nord- und der Südseite des Netzwerks. Für dieses Beispiel verwenden wir einen Router und einen Switch.
Sie führen die folgenden Aufgaben aus, um ein Setup für hohe Verfügbarkeit mit mehreren Knoten zu erstellen:
- Konfigurieren Sie ein Paar Firewalls der SRX-Serie als lokale und Peer-Knoten durch Zuweisen von IDs.
- Konfigurieren Sie Services Redundancy Groups (SRGs).
- Konfigurieren Sie eine Loopback-Schnittstelle (lo0.0), um eine Floating-IP-Adresse auf der Layer-3-Seite zu hosten.
- Konfigurieren Sie virtuelle IP-Adressen für die Ermittlung und Durchsetzung der Aktivität auf der Layer 2-Seite.
- Konfigurieren Sie eine Signalroute, die für die Erzwingung der Aktivität erforderlich ist, und verwenden Sie sie zusammen mit der Richtlinie route exists.
- Konfigurieren Sie mithilfe von IKEv2 ein VPN-Profil für den ICL-Datenverkehr (High Availability).
- Konfigurieren Sie die BFD-Überwachungsoptionen.
- Konfigurieren Sie eine Routing-Richtlinie und Routing-Optionen.
- Konfigurieren Sie geeignete Sicherheitsrichtlinien, um den Datenverkehr in Ihrem Netzwerk zu verwalten.
-
Konfigurieren Sie zustandslose Firewall-Filterung und Quality of Service (QoS) gemäß Ihren Netzwerkanforderungen.
-
Konfigurieren Sie Schnittstellen und Zonen entsprechend Ihren Netzwerkanforderungen. Sie müssen Services wie IKE für die Linkverschlüsselung und SSH für die Konfigurationssynchronisierung als Host-Eingangssystemdienste in der Sicherheitszone zulassen, die der ICL zugeordnet ist.
In diesem Beispiel verwenden Sie statische Routen auf SRX-1 und SRX-2 und kündigen diese Routen in BGP an, um die Metrik hinzuzufügen, mit der bestimmt wird, welche Firewall der SRX-Serie sich im bevorzugten Pfad befindet. Alternativ können Sie Routenreflektoren an den Firewalls der SRX-Serie verwenden, um die über BGP erlernten Routen anzukündigen und die Routing-Richtlinie entsprechend auf BGP zu konfigurieren.
Sie können die folgenden Optionen auf SRG0 und SRG1 konfigurieren:
-
SRG1: Aktive/Backup-Signalroute, Bereitstellungstyp, Aktivitätspriorität, Trennung, virtuelle IP-Adresse (für Standard-Gateway-Bereitstellungen), Aktivitätsprüfung und Prozesspaket bei der Sicherung.
-
SRG1: BFD-Überwachung, IP-Überwachung und Schnittstellenüberwachungsoptionen auf SRG1.
-
SRG0: Routenoptionen "Bei Ausfall herunterfahren" und "Bei Fehler installieren".
Wenn Sie Überwachungsoptionen (BFD oder IP oder Schnittstelle) unter SRG1 konfigurieren, wird empfohlen, die Option "Herunterfahren bei Fehler" nicht unter SRG0 zu konfigurieren.
Für Interchassis Link (ICL) empfehlen wir die folgenden Konfigurationseinstellungen:
- Verwenden Sie eine Loopback-Schnittstelle (lo0) unter Verwendung einer aggregierten Ethernet-Schnittstelle (ae0) oder eine beliebige Umsatz-Ethernet-Schnittstelle, um die ICL einzurichten. Verwenden Sie nicht die dedizierten HA-Ports (Kontroll- und Fabric-Ports), sofern diese an Ihrer Firewall der SRX-Serie verfügbar sind.
- Set MTU von 1514
- Lassen Sie die folgenden Services in der Sicherheitszone zu, die den für ICL verwendeten Schnittstellen zugeordnet ist
-
IKE, Hochverfügbarkeit, SSH
-
Protokolle hängen vom benötigten Routing-Protokoll ab
-
BFD zur Überwachung der benachbarten Trassen
-
Konfiguration
Vorbereitungen
Das Junos IKE-Paket ist für Ihre Firewalls der SRX-Serie für die Konfiguration mit hoher Verfügbarkeit mit mehreren Knoten erforderlich. Dieses Paket ist als Standardpaket oder als optionales Paket für Firewalls der SRX-Serie verfügbar. Weitere Informationen finden Sie unter Support für das Junos IKE-Paket .
Wenn das Paket nicht standardmäßig auf Ihrer Firewall der SRX-Serie installiert ist, verwenden Sie den folgenden Befehl, um es zu installieren. Sie benötigen diesen Schritt für die ICL-Verschlüsselung.
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Auf SRX-1-Gerät
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.22.0.1 set chassis high-availability peer-id 2 peer-ip 10.22.0.2 set chassis high-availability peer-id 2 interface ge-0/0/2.0 set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 2 set chassis high-availability services-redundancy-group 1 deployment-type hybrid set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 src-ip 10.2.0.1 set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 session-type singlehop set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4.0 set security zones security-zone untrust interfaces lo0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone halink host-inbound-traffic system-services ike set security zones security-zone halink host-inbound-traffic system-services ping set security zones security-zone halink host-inbound-traffic system-services high-availability set security zones security-zone halink host-inbound-traffic system-services ssh set security zones security-zone halink host-inbound-traffic protocols bfd set security zones security-zone halink host-inbound-traffic protocols bgp set security zones security-zone halink interfaces ge-0/0/2.0 set interfaces ge-0/0/2 description ha_link set interfaces ge-0/0/2 unit 0 family inet address 10.22.0.1/24 set interfaces ge-0/0/3 description trust set interfaces ge-0/0/3 unit 0 family inet address 10.1.0.1/16 set interfaces ge-0/0/4 description untrust set interfaces ge-0/0/4 unit 0 family inet address 10.2.0.1/16 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.0.2/32 set interfaces lo0 unit 0 family inet address 10.11.0.3/32 set policy-options policy-statement mnha-route-policy term 1 from protocol static set policy-options policy-statement mnha-route-policy term 1 from protocol direct set policy-options policy-statement mnha-route-policy term 1 from condition active_route_exists set policy-options policy-statement mnha-route-policy term 1 then metric 10 set policy-options policy-statement mnha-route-policy term 1 then accept set policy-options policy-statement mnha-route-policy term 2 from protocol static set policy-options policy-statement mnha-route-policy term 2 from protocol direct set policy-options policy-statement mnha-route-policy term 2 from condition backup_route_exists set policy-options policy-statement mnha-route-policy term 2 then metric 20 set policy-options policy-statement mnha-route-policy term 2 then accept set policy-options policy-statement mnha-route-policy term 3 from protocol static set policy-options policy-statement mnha-route-policy term 3 from protocol direct set policy-options policy-statement mnha-route-policy term 3 then metric 30 set policy-options policy-statement mnha-route-policy term 3 then accept set policy-options policy-statement mnha-route-policy term default then reject set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table inet.0 set protocols bgp group untrust type internal set protocols bgp group untrust local-address 10.2.0.1 set protocols bgp group untrust export mnha-route-policy set protocols bgp group untrust local-as 65000 set protocols bgp group untrust bfd-liveness-detection minimum-interval 500 set protocols bgp group untrust bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group untrust bfd-liveness-detection multiplier 3 set protocols bgp group untrust neighbor 10.2.0.2 set routing-options autonomous-system 65000 set routing-options static route 10.4.0.0/16 next-hop 10.2.0.2 set routing-options static route 10.111.0.2/32 next-hop 10.2.0.2
Auf SRX-2-Gerät
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.22.0.2 set chassis high-availability peer-id 1 peer-ip 10.22.0.1 set chassis high-availability peer-id 1 interface ge-0/0/2.0 set chassis high-availability peer-id 1 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 1 set chassis high-availability services-redundancy-group 1 deployment-type hybrid set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.3.0.2 src-ip 10.3.0.1 set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.3.0.2 session-type singlehop set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.3.0.2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 set chassis high-availability services-redundancy-group 1 activeness-priority 1 set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4.0 set security zones security-zone untrust interfaces lo0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone halink host-inbound-traffic system-services ike set security zones security-zone halink host-inbound-traffic system-services ping set security zones security-zone halink host-inbound-traffic system-services high-availability set security zones security-zone halink host-inbound-traffic system-services ssh set security zones security-zone halink host-inbound-traffic protocols bfd set security zones security-zone halink host-inbound-traffic protocols bgp set security zones security-zone halink interfaces ge-0/0/2.0 set interfaces ge-0/0/2 description ha_link set interfaces ge-0/0/2 unit 0 family inet address 10.22.0.2/24 set interfaces ge-0/0/3 description trust set interfaces ge-0/0/3 unit 0 family inet address 10.1.0.2/16 set interfaces ge-0/0/4 description untrust set interfaces ge-0/0/4 unit 0 family inet address 10.3.0.1/16 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.0.2/32 set interfaces lo0 unit 0 family inet address 10.11.0.3/32 set policy-options route-filter-list loopback 10.11.0.0/24 orlonger set policy-options route-filter-list ipsec 10.4.0.0/16 orlonger set policy-options policy-statement mnha-route-policy term 1 from protocol static set policy-options policy-statement mnha-route-policy term 1 from protocol direct set policy-options policy-statement mnha-route-policy term 1 from condition active_route_exists set policy-options policy-statement mnha-route-policy term 1 then metric 10 set policy-options policy-statement mnha-route-policy term 1 then accept set policy-options policy-statement mnha-route-policy term 2 from protocol static set policy-options policy-statement mnha-route-policy term 2 from protocol direct set policy-options policy-statement mnha-route-policy term 2 from condition backup_route_exists set policy-options policy-statement mnha-route-policy term 2 then metric 20 set policy-options policy-statement mnha-route-policy term 2 then accept set policy-options policy-statement mnha-route-policy term 3 from protocol static set policy-options policy-statement mnha-route-policy term 3 from protocol direct set policy-options policy-statement mnha-route-policy term 3 then metric 35 set policy-options policy-statement mnha-route-policy term 3 then accept set policy-options policy-statement mnha-route-policy term default then reject set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table inet.0 set protocols bgp group untrust type internal set protocols bgp group untrust local-address 10.3.0.1 set protocols bgp group untrust export mnha-route-policy set protocols bgp group untrust local-as 65000 set protocols bgp group untrust bfd-liveness-detection minimum-interval 500 set protocols bgp group untrust bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group untrust bfd-liveness-detection multiplier 3 set protocols bgp group untrust neighbor 10.3.0.2 set routing-options autonomous-system 65000 set routing-options static route 10.4.0.0/16 next-hop 10.3.0.2 set routing-options static route 10.111.0.2/32 next-hop 10.3.0.2
In den folgenden Abschnitten werden Konfigurationsausschnitte für den Router und den Switch gezeigt, die für die Einrichtung der Hochverfügbarkeit mit mehreren Knoten im Netzwerk erforderlich sind.
Auf dem Router (MX960)
set interfaces ge-0/0/0 description HA set interfaces ge-0/0/0 unit 0 family inet address 10.2.0.2/16 set interfaces ge-0/0/1 description HA set interfaces ge-0/0/1 unit 0 family inet address 10.3.0.2/16 set interfaces ge-0/0/2 description trust set interfaces ge-0/0/2 unit 0 family inet address 10.4.0.1/16 set interfaces lo0 description loopback set interfaces lo0 unit 0 family inet address 10.111.0.2/32 primary set interfaces lo0 unit 0 family inet address 10.111.0.2/32 preferred set routing-options autonomous-system 65000 set protocols bgp group mnha_r0 type internal set protocols bgp group mnha_r0 local-address 10.2.0.2 set protocols bgp group mnha_r0 local-as 65000 set protocols bgp group mnha_r0 bfd-liveness-detection minimum-interval 500 set protocols bgp group mnha_r0 bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group mnha_r0 bfd-liveness-detection multiplier 3 set protocols bgp group mnha_r0 neighbor 10.2.0.1 set protocols bgp group mnha_r0_b type internal set protocols bgp group mnha_r0_b local-address 10.3.0.2 set protocols bgp group mnha_r0_b local-as 65000 set protocols bgp group mnha_r0_b bfd-liveness-detection minimum-interval 500 set protocols bgp group mnha_r0_b bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group mnha_r0_b bfd-liveness-detection multiplier 3 set protocols bgp group mnha_r0_b neighbor 10.3.0.1
Auf dem Switch (EX9214)
set interfaces ge-0/0/0 description lan set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/1 description lan set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/2 description lan set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members lan set vlans lan vlan-id 1001
Konfiguration
Schritt-für-Schritt-Anleitung
Wir zeigen die Konfiguration von SRX-01 in der Schritt-für-Schritt-Anleitung.
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
-
Konfigurieren von Schnittstellen.
[edit] user@host# set interfaces ge-0/0/3 description "trust" unit 0 family inet address 10.1.0.1/16 user@host# set interfaces ge-0/0/4 description "untrust" unit 0 family inet address 10.2.0.1/16 user@host# set interfaces ge-0/0/2 description "ha_link" unit 0 family inet address 10.22.0.1/24
Die Schnittstellen ge-0/0/3 verbinden den Switch, ge-0/0/4 verbindet den Router und die ge-0/0/2-Schnittstelle wird für die ICL verwendet.
-
Konfigurieren Sie die Loopback-Schnittstellen.
[edit] user@host# set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.1/32 user@host# set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.2/32 user@host# set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.3/32
Weisen Sie der Loopback-Schnittstelle die IP-Adresse (10.11.0.1) zu. Diese IP-Adresse fungiert als Floating-IP-Adresse.
Durch die Verwendung der Loopback-Schnittstelle wird sichergestellt, dass der Datenverkehr von den benachbarten Routern jederzeit in Richtung der Floating-IP-Adresse (d. h. zum aktiven Knoten) geleitet wird.
- Konfigurieren Sie die Sicherheitsrichtlinien.
[edit] user@host# set security policies default-policy permit-all user@host# set security policies global policy All match source-address any user@host# set security policies global policy All match destination-address any user@host# set security policies global policy All match application any user@host# set security policies global policy All then permit
Stellen Sie sicher, dass Sie Sicherheitsrichtlinien gemäß Ihren Netzwerkanforderungen konfiguriert haben. In diesem Beispiel konfigurieren Sie eine Richtlinie, um den gesamten Datenverkehr zuzulassen.
-
Konfigurieren Sie Sicherheitszonen, weisen Sie den Zonen Schnittstellen zu und geben Sie die zulässigen Systemdienste für die Sicherheitszonen an.
[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services ike user@host# set security zones security-zone untrust host-inbound-traffic system-services ping user@host# set security zones security-zone untrust host-inbound-traffic protocols bfd user@host# set security zones security-zone untrust host-inbound-traffic protocols bgp user@host# set security zones security-zone untrust interfaces ge-0/0/4 user@host# set security zones security-zone untrust interfaces lo0.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/3 user@host# set security zones security-zone halink host-inbound-traffic system-services ike user@host# set security zones security-zone halink host-inbound-traffic system-services ping user@host# set security zones security-zone halink host-inbound-traffic system-services high-availability user@host# set security zones security-zone halink host-inbound-traffic system-services ssh user@host# set security zones security-zone halink host-inbound-traffic protocols bfd user@host# set security zones security-zone halink host-inbound-traffic protocols bgp user@host# set security zones security-zone halink interfaces ge-0/0/2
Weisen Sie die Schnittstellen ge-0/0/3 und ge-0/0/4 jeweils den
trustuntrustZonen und zu. Weisen Sie die lo0.0-Schnittstelle der nicht vertrauenswürdigen Zone zu, um eine Verbindung über das öffentliche IP-Netzwerk herzustellen. Weisen Sie die Schnittstelle ge-0/0/2 der Halink-Zone zu. Sie verwenden diese Zone, um die ICL einzurichten. -
Konfigurieren von Routing-Optionen.
[edit] user@host# set routing-options autonomous-system 65000 user@host# set routing-options static route 10.4.0.0/16 next-hop 10.2.0.2 user@host# set routing-options static route 10.111.0.2 next-hop 10.2.0.2
-
Konfigurieren Sie sowohl Details zum lokalen Knoten als auch zum Peerknoten, z. B. Knoten-ID, lP-Adressen des lokalen Knotens und des Peerknotens sowie die Schnittstelle für den Peerknoten.
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.22.0.1 user@host# set chassis high-availability peer-id 2 peer-ip 10.22.0.2 user@host# set chassis high-availability peer-id 2 interface ge-0/0/2.0
Sie verwenden die ge-0/0/2-Schnittstelle für die Kommunikation mit dem Peerknoten über die ICL.
-
Fügen Sie das IPsec-VPN-Profil IPSEC_VPN_ICL an den Peerknoten an.
[edit] user@host# set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL
Sie benötigen diese Konfiguration, um eine sichere ICL-Verbindung zwischen den Knoten herzustellen.
-
Konfigurieren Sie BFD-Protokolloptionen (Bidirectional Forwarding Detection) für den Peerknoten.
[edit] user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
Ordnen Sie die Peerknoten-ID 2 der Dienstredundanzgruppe 0 (SRG0) zu.
[edit] user@host# set chassis high-availability services-redundancy-group 0 peer-id 2
-
Konfigurieren Sie die Dienstredundanzgruppe 1 (SRG1).
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type hybrid user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac
Weisen Sie SRG1 eine virtuelle IP-Adresse (VIP) und eine Schnittstelle zu.
-
Konfigurieren Sie IP- und BFD-Überwachungsparameter für SRG1, um die Erreichbarkeit einer IP-Adresse zu überprüfen und Ausfälle im Netzwerk zu erkennen.
[edit] user@host# set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 user@host# set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 user@host# set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 src-ip 10.2.0.1 user@host# set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 session-type singlehop user@host# set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 interface ge-0/0/4.0
Sie können die BFD-Lebendigkeit konfigurieren, indem Sie Quell- und Ziel-IP-Adressen und die Schnittstelle angeben, die mit dem Peer-Gerät verbunden ist.
Geben Sie für die IP-Überwachung die Schnittstellen an, die für die Verbindung des benachbarten Routers und Switches verwendet werden. -
Konfigurieren Sie eine aktive Signalroute, die für die Erzwingung der Aktivität erforderlich ist.
[edit] user@host# set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 user@host# set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 user@host# set chassis high-availability services-redundancy-group 1 preemption user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
Die IP-Adresse der aktiven Signalroute, die Sie zuweisen, wird für die Ankündigung von Routenpräferenzen verwendet.
Anmerkung: Sie müssen die aktive Signalroute zusammen mit der route-exists-Richtlinie in der policy-options-Anweisung angeben. Wenn Sie dieactive-signal-routewith-Bedingungif-route-existskonfigurieren, fügt das HA-Modul diese Route der Routing-Tabelle hinzu. -
Konfigurieren von Richtlinienoptionen.
[edit] user@host# set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1 table inet.0 user@host# set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2 table inet.0 user@host# set policy-options policy-statement mnha-route-policy term 1 from protocol static user@host# set policy-options policy-statement mnha-route-policy term 1 from protocol direct user@host# set policy-options policy-statement mnha-route-policy term 1 from condition active_route_exists user@host# set policy-options policy-statement mnha-route-policy term 1 then accept metric 10 user@host# set policy-options policy-statement mnha-route-policy term 2 from protocol static user@host# set policy-options policy-statement mnha-route-policy term 2 from protocol direct user@host# set policy-options policy-statement mnha-route-policy term 2 from condition backup_route_exists user@host# set policy-options policy-statement mnha-route-policy term 2 then accept metric 20 user@host# set policy-options policy-statement mnha-route-policy term 3 from protocol static user@host# set policy-options policy-statement mnha-route-policy term 3 from protocol direct user@host# set policy-options policy-statement mnha-route-policy term 3 then accept metric 30 user@host# set policy-options policy-statement mnha-route-policy term default then reject
-
Konfigurieren Sie BFD-Peering-Sitzungsoptionen und legen Sie Live-Erkennungs-Timer fest.
[edit] user@host# set protocols bgp group untrust type internal user@host# set protocols bgp group untrust local-address 10.2.0.1 user@host# set protocols bgp group untrust export mnha-route-policy user@host# set protocols bgp group untrust neighbor 10.2.0.2 user@host# set protocols bgp group untrust bfd-liveness-detection minimum-interval 500 user@host# set protocols bgp group untrust bfd-liveness-detection minimum-receive-interval 500 user@host# set protocols bgp group untrust bfd-liveness-detection multiplier 3 user@host# set protocols bgp group untrust local-as 65000
-
Definieren Sie die IKE-Konfiguration (Internet Key Exchange) für die Hochverfügbarkeit mit mehreren Knoten. Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen einer sicheren Verbindung verwendet werden.
[edit] user@host# set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel user@host# set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys user@host# set security ike proposal MNHA_IKE_PROP dh-group group14 user@host# set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 user@host# set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc user@host# set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 user@host# set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel user@host# set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP user@host# set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" user@host# set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL user@host# set security ike gateway MNHA_IKE_GW version v2-only
v2-onlykonfigurieren. -
Geben Sie das IPsec-Vorschlagsprotokoll und den Verschlüsselungsalgorithmus an. Geben Sie IPsec-Optionen an, um einen IPsec-Tunnel zwischen zwei Teilnehmergeräten zu erstellen, um die VPN-Kommunikation zu sichern.
[edit] user@host# set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel user@host# set security ipsec proposal MNHA_IPSEC_PROP protocol esp user@host# set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm user@host# set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 user@host# set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel user@host# set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP user@host# set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption user@host# set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW user@host# set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL
Derselbe VPN-Name IPSEC_VPN_ICL der vpn_profile in der Chassis-Hochverfügbarkeitskonfiguration angegeben werden muss. Wenn Sie diese
ha-link-encryptionOption angeben, wird die ICL verschlüsselt, um den Datenverkehrsfluss mit hoher Verfügbarkeit zwischen den Knoten zu sichern.
Konfigurationsoptionen für Software-Upgrades
Bei Multinode-Hochverfügbarkeit können Sie während eines Softwareupgrades den Datenverkehr umleiten, indem Sie Schnittstellen auf dem Knoten schließen. Hier kann der Datenverkehr nicht durch die Knoten geleitet werden. Weitere Informationen finden Sie unter Softwareupgrade in Multinode-Hochverfügbarkeit .
- Konfigurieren Sie alle Datenverkehrsschnittstellen unter der Option "Shutdown-on-failure".
user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure <interface-name>
[edit] user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure ge-0/0/3 user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure ge-0/0/4
VORSICHT:Verwenden Sie keine Schnittstellen, die dem Interchassis-Link (ICL) zugewiesen sind.
Ergebnisse (SRX-1)
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show chassis high-availability
local-id 1 local-ip 10.22.0.1;
peer-id 2 {
peer-ip 10.22.0.2;
interface ge-0/0/2.0;
vpn-profile IPSEC_VPN_ICL;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 0 {
peer-id {
2;
}
}
services-redundancy-group 1 {
deployment-type hybrid;
peer-id {
2;
}
virtual-ip 1 {
ip 10.1.0.200/16;
interface ge-0/0/3.0;
}
monitor {
bfd-liveliness 10.2.0.2 {
src-ip 10.2.0.1;
session-type singlehop;
interface ge-0/0/4.0;
}
interface {
ge-0/0/3;
ge-0/0/4;
}
}
active-signal-route {
10.39.1.1;
}
backup-signal-route {
10.39.1.2;
}
preemption;
activeness-priority 200;
}
[edit]
user@host# show security ike
proposal MNHA_IKE_PROP {
description mnha_link_encr_tunnel;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy MNHA_IKE_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IKE_PROP ;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway MNHA_IKE_GW {
ike-policy MNHA_IKE_POL ;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal MNHA_IPSEC_PROP {
description mnha_link_encr_tunnel;
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy MNHA_IPSEC_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IPSEC_PROP;
}
vpn IPSEC_VPN_ICL {
ha-link-encryption;
ike {
gateway MNHA_IKE_GW;
ipsec-policy MNHA_IPSEC_POL;
}
}
[edit]
user@host# show policy-options
policy-statement mnha-route-policy {
term 1 {
from {
protocol [ static direct ];
condition active_route_exists;
}
then {
metric 10;
accept;
}
}
term 2 {
from {
protocol [ static direct ];
condition backup_route_exists;
}
then {
metric 20;
accept;
}
}
term 3 {
from protocol [ static direct ];
then {
metric 30;
accept;
}
}
term default {
then reject;
}
}
condition active_route_exists {
if-route-exists {
address-family {
inet {
10.39.1.1/32;
table inet.0;
}
}
}
}
condition backup_route_exists {
if-route-exists {
address-family {
inet {
10.39.1.2/32;
table inet.0;
}
}
}
}
user@host# show routing-options
autonomous-system 65000;
static {
route 10.4.0.0/16 next-hop 10.2.0.2;
route 10.111.0.2/32 next-hop 10.2.0.2;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/4.0;
lo0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone halink {
host-inbound-traffic {
system-services {
ike;
ping;
high-availability;
ssh;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
ge-0/0/2 {
description ha_link;
unit 0 {
family inet {
address 10.22.0.1/24;
}
}
}
ge-0/0/3 {
description trust;
unit 0 {
family inet {
address 10.1.0.1/16;
}
}
}
ge-0/0/4 {
description untrust;
unit 0 {
family inet {
address 10.2.0.1/16;
}
}
}
lo0 {
description untrust;
unit 0 {
family inet {
address 10.11.0.1/32;
address 10.11.0.2/32;
address 10.11.0.3/32;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Ergebnisse (SRX-2)
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show chassis high-availability
local-id 2 local-ip 10.22.0.2;
peer-id 1 {
peer-ip 10.22.0.1;
interface ge-0/0/2.0;
vpn-profile IPSEC_VPN_ICL;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 0 {
peer-id {
1;
}
}
services-redundancy-group 1 {
deployment-type hybrid;
peer-id {
1;
}
virtual-ip 1 {
ip 10.1.0.200/16;
interface ge-0/0/3.0;
use-virtual-mac;
}
monitor {
bfd-liveliness 10.3.0.2 {
src-ip 10.3.0.1;
session-type singlehop;
interface ge-0/0/4.0;
}
interface {
ge-0/0/3;
ge-0/0/4;
}
}
active-signal-route {
10.39.1.1;
}
backup-signal-route {
10.39.1.2;
}
activeness-priority 1;
}
[edit]
user@host# show security ike
proposal MNHA_IKE_PROP {
description mnha_link_encr_tunnel;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy MNHA_IKE_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IKE_PROP ;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway MNHA_IKE_GW {
ike-policy MNHA_IKE_POL ;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal MNHA_IPSEC_PROP {
description mnha_link_encr_tunnel;
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy MNHA_IPSEC_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IPSEC_PROP;
}
vpn IPSEC_VPN_ICL {
ha-link-encryption;
ike {
gateway MNHA_IKE_GW;
ipsec-policy MNHA_IPSEC_POL;
}
}
[edit]
user@host# show policy-options
route-filter-list loopback {
10.11.0.0/24 orlonger;
}
route-filter-list ipsec {
10.4.0.0/16 orlonger;
}
policy-statement mnha-route-policy {
term 1 {
from {
protocol [ static direct ];
condition active_route_exists;
}
then {
metric 10;
accept;
}
}
term 2 {
from {
protocol [ static direct ];
condition backup_route_exists;
}
then {
metric 20;
accept;
}
}
term 3 {
from protocol [ static direct ];
then {
metric 35;
accept;
}
}
term default {
then reject;
}
}
condition active_route_exists {
if-route-exists {
address-family {
inet {
10.39.1.1/32;
table inet.0;
}
}
}
}
condition backup_route_exists {
if-route-exists {
address-family {
inet {
10.39.1.2/32;
table inet.0;
}
}
}
}
[edit]
user@host# show routing-options
autonomous-system 65000;
static {
route 10.4.0.0/16 next-hop 10.3.0.2;
route 10.111.0.2/32 next-hop 10.3.0.2;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/4.0;
lo0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone halink {
host-inbound-traffic {
system-services {
ike;
ping;
high-availability;
ssh;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
[edit]
root@10.52.45.32# show interfaces
ge-0/0/2 {
description ha_link;
unit 0 {
family inet {
address 10.22.0.2/24;
}
}
}
ge-0/0/3 {
description trust;
unit 0 {
family inet {
address 10.1.0.2/16;
}
}
}
ge-0/0/4 {
description untrust;
unit 0 {
family inet {
address 10.3.0.1/16;
}
}
}
lo0 {
description untrust;
unit 0 {
family inet {
address 10.11.0.1/32;
address 10.11.0.2/32;
address 10.11.0.3/32;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
user@host# commit warning: High Availability Mode changed, please reboot the device to avoid undesirable behavior commit complete
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Details zur Hochverfügbarkeit mit mehreren Knoten überprüfen
- Überprüfen des Peer-Knotenstatus für Hochverfügbarkeit mit mehreren Knoten
- Überprüfen von Redundanzgruppen für Hochverfügbarkeitsdienste mit mehreren Knoten
- Überprüfen des Hochverfügbarkeitsstatus für mehrere Knoten vor und nach dem Failover
- Überprüfen des ICL-Verschlüsselungsstatus (Interchassis Link)
- Überprüfen der Tunnelstatistiken für die Linkverschlüsselung
Details zur Hochverfügbarkeit mit mehreren Knoten überprüfen
Zweck
Zeigen Sie die Details des Multinode-Hochverfügbarkeits-Setups an, das auf Ihrem Sicherheitsgerät konfiguriert ist, und überprüfen Sie sie.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
Auf SRX-1
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.22.0.1
HA Peer Information:
Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
Auf SRX-2
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: BACKUP
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
-
Details zum lokalen Knoten und Peerknoten, z. B. IP-Adresse und ID.
-
Das Feld
Encrypted: YESzeigt an, dass der Datenverkehr geschützt ist. -
Das Feld
Deployment Type: HYBRIDzeigt eine Konfiguration im Hybrid-Modus an, d. h., das Netzwerk verfügt über einen Router auf der einen und einen Switch auf der anderen Seite. -
Das Feld
Services Redundancy Group: 1gibt den Status von SRG1 (ACTIVE oder BACKUP) auf diesem Knoten an.
Überprüfen des Peer-Knotenstatus für Hochverfügbarkeit mit mehreren Knoten
Zweck
Zeigen Sie die Details des Peerknotens an, und überprüfen Sie sie.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
SRX-1-KARTON
user@host> user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16000
Internal Local-IP: 180.100.1.1
Internal Peer-IP: 180.100.1.2
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 3 2
SRG Status Ack 2 3
Attribute Msg 4 2
Attribute Ack 2 1
SRX-2
user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16000
Internal Local-IP: 180.100.1.2
Internal Peer-IP: 180.100.1.1
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 2 3
SRG Status Ack 3 2
Attribute Msg 3 1
Attribute Ack 1 2
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
-
Details des Peer-Knotens, z. B. verwendete Schnittstelle, IP-Adresse und ID
-
Verschlüsselungsstatus, Verbindungsstatus und Status der kalten Synchronisierung
-
Paketstatistiken für den Knoten.
Überprüfen von Redundanzgruppen für Hochverfügbarkeitsdienste mit mehreren Knoten
Zweck
Stellen Sie sicher, dass die SRGs konfiguriert sind und ordnungsgemäß funktionieren.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
Für SRG0:
user@host> show chassis high-availability services-redundancy-group 0
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
Für SRG1:
user@host> show chassis high-availability services-redundancy-group 1 >
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
Signal Route Info:
Active Signal Route:
IP: 10.39.1.1
Routing Instance: default
Status: INSTALLED
Backup Signal Route:
IP: 10.39.1.2
Routing Instance: default
Status: NOT INSTALLED
Virtual IP Info:
Index: 1
IP: 10.1.0.200/16
VMAC: N/A
Interface: ge-0/0/3.0
Status: INSTALLED
Split-brain Prevention Probe Info:
DST-IP: 10.1.0.200
Routing Instance: default
Status: NOT RUNNING
Result: N/A Reason: N/A
BFD Monitoring:
Status: UNKNOWN
SRC-IP: 10.2.0.2 DST-IP: 10.2.0.1
Routing Instance: default
Type: SINGLE-HOP
IFL Name: ge-0/0/4.0
State: INSTALLED
Interface Monitoring:
Status: UP
IF Name: ge-0/0/4 State: Up
IF Name: ge-0/0/3 State: Up
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
-
Details zum Peer-Knoten, z. B. Bereitstellungstyp, Status sowie aktive und Backup-Signalrouten.
-
Virtuelle IP-Informationen wie IP-Adresse und virtuelle MAC-Adresse.
-
IP-Überwachung und BFD-Überwachungsstatus.
Überprüfen des Hochverfügbarkeitsstatus für mehrere Knoten vor und nach dem Failover
Zweck
Überprüfen Sie die Änderung des Knotenstatus vor und nach dem Failover in einem Hochverfügbarkeits-Setup mit mehreren Knoten.
Aktion
Führen Sie den folgenden Befehl im Betriebsmodus aus, um den Status der Hochverfügbarkeit von Multinode auf dem Backup-Knoten (SRX-2) zu überprüfen:
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: BACKUP
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Unter dem Services Redundancy Group: 1 Abschnitt können Sie das Status: BACKUP Feld sehen. Dieser Feldwert gibt an, dass der Status von SRG 1 Sicherung ist.
Initiieren Sie das Failover auf dem aktiven Knoten (SRX-1-Gerät) und führen Sie den Befehl auf dem Sicherungsknoten (SRX-2) erneut aus.
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: DOWN
Cold Sync Status: IN PROGRESS
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: ACTIVE
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Beachten Sie, dass sich in diesem Services Redundancy Group: 1 Abschnitt der Status von SRG1 von BACKUP in ACTIVE geändert hat.
Sie können auch Details zu Peerknoten in diesem Peer Information Abschnitt anzeigen. Die Ausgabe zeigt den Status des Peers als BACKUP an.
Überprüfen des ICL-Verschlüsselungsstatus (Interchassis Link)
Zweck
Überprüfen Sie den ICL-Status (Interchassis Link).
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
user@host> show security ipsec security-associations ha-link-encryption detail
ID: 495003 Virtual-system: root, VPN Name: IPSEC_VPN_ICL
Local Gateway: 10.22.0.1, Remote Gateway: 10.22.0.2
Traffic Selector Name: __IPSEC_VPN_ICL__multi_node__
Local Identity: ipv4(180.100.1.1-180.100.1.1)
Remote Identity: ipv4(180.100.1.2-180.100.1.2)
TS Type: traffic-selector
Version: IKEv2
PFS group: N/A
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.16000, Tunnel MTU: 0, Policy-name: MNHA_IPSEC_POL
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
HA Link Encryption Mode: Multi-Node
Location: FPC -, PIC -, KMD-Instance -
Anchorship: Thread -
Distribution-Profile: default-profile
Direction: inbound, SPI: 0x00022d84, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3395 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2794 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 0
IKE SA Index: 4294966277
Direction: outbound, SPI: 0x00028296, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3395 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2794 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 0
IKE SA Index: 4294966277
Bedeutung
Die Befehlsausgabe enthält die folgenden Informationen:
-
Details zum lokalen Gateway und zum Remote-Gateway.
-
Das IPsec-SA-Paar für jeden Thread in PIC.
-
HA-Link-Verschlüsselungsmodus (wie in der folgenden Zeile gezeigt):
HA Link Encryption Mode: Multi-Node -
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
Der in der Befehlsausgabe angezeigte IP-Bereich (180.100.1.x) dient als ICL-IPsec-Datenverkehrsselektor. Das System weist diesen IP-Bereich dynamisch zu, und es ist wichtig, ihn nicht zu ändern oder zu modifizieren. Zusätzlich wird BFD (Bidirectional Forwarding Detection) automatisch für den breiteren IP-Bereich 180.x.x.x aktiviert.
Überprüfen der Tunnelstatistiken für die Linkverschlüsselung
Zweck
Überprüfen Sie die Link-Encryption-Tunnelstatistiken sowohl auf aktiven als auch auf Backup-Knoten.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
user@host> show security ipsec statistics ha-link-encryption ESP Statistics: Encrypted bytes: 984248 Decrypted bytes: 462519 Encrypted packets: 9067 Decrypted packets: 8797 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Invalid SPI: 0, TS check fail: 0 Exceeds tunnel MTU: 0 Discarded: 0
Bedeutung
Wenn Sie Probleme mit Paketverlusten in einem VPN sehen, können Sie den show security ipsec statistics ha-link-encryption Befehl mehrmals ausführen, um zu überprüfen, ob die Zähler für verschlüsselte und entschlüsselte Pakete inkrementiert werden. Sie sollten auch überprüfen, ob die anderen Fehlerzähler inkrementiert werden.
Verwenden Sie den show security ike active-peer ha-link-encryption Befehl, um Details der ICL auf dem aktiven Peerknoten anzuzeigen.
Verwenden Sie den clear security ipsec statistics ha-link-encryption Befehl, um alle IPsec-Statistiken zu löschen.