Multinode-Hochverfügbarkeit mit zwei Knoten

Redundanzgruppen für Services

Eine Services Redundanz-Gruppe (SRG) ist eine Failover-Einheit in einem Multinode-Setup mit hoher Verfügbarkeit. Es gibt zwei Arten von SRGs:

• SRG0: Verwaltet Sicherheitsservices von Layer 4-Layer 7 mit Ausnahme von IPsec-VPN-Services. Das SRG0 arbeitet zu jedem Zeitpunkt auf beiden Knoten im aktiven Modus. Auf SRG0 muss jede Sicherheitssitzung den Knoten in einem symmetrischen Datenstrom durchlaufen. Die Sicherung dieser Datenströme ist vollständig mit dem anderen Knoten synchronisiert.
• SRG1+: Verwaltet IPsec-Services und virtuelle IPs für den Hybrid- und Standard-Gateway-Modus, die auf dem anderen Knoten gesichert werden. Das SRG1 arbeitet auf einem Knoten im aktiven Modus und auf einem anderen Knoten im Backup-Knoten.

Abbildung 8 zeigt SRG0 und SRG1 in einem Multinode-Setup mit hoher Verfügbarkeit.

Abbildung 8: Unterstützung für ein einzelnes SRG in Multinode-Hochverfügbarkeit (Active-Backup-Modus)

Abbildung 9 zeigt SRG0 und SRG1+ in einem Multinode-Setup mit hoher Verfügbarkeit.

Abbildung 9: Multi-SRG-Unterstützung in Multinode-Hochverfügbarkeit (Aktiv-Aktiv-Modus)

Ab Junos OS Version 22.4R1 können Sie Multinode-Hochverfügbarkeit so konfigurieren, dass sie im Aktiv-Aktiv-Modus mit Unterstützung mehrerer SRG1s (SRG1+) betrieben wird. In diesem Modus bleiben einige SRGs auf einem Knoten und einige SRGs auf einem anderen Knoten aktiv. Eine bestimmte SRG arbeitet immer im aktiven Backup-Modus; Es arbeitet auf einem Knoten im aktiven Modus und auf einem anderen Knoten im Backup-Modus. In diesem Fall können beide Knoten über die aktiven SRG1-Weiterleitungs-Stateful-Services verfügen. Jedem Knoten ist ein anderer Satz von Floating-IP-Adressen zugewiesen, die SRG1+ zugewiesen sind.

Tabelle 1 erläutert das Verhalten von SRGs in einem Multinode-Setup mit hoher Verfügbarkeit.

Ab Junos OS Version 23.4R1 wird das Multinode-Hochverfügbarkeitssetup in einem kombinierten Modus ausgeführt. Sie müssen das System nicht neu starten, wenn Sie SRG-Konfigurationen (SRG0 oder SRG1+) hinzufügen oder löschen.

Aktivitätsbestimmung und -durchsetzung

In einem Multinode-Setup mit hoher Verfügbarkeit wird die Aktivität auf Serviceebene und nicht auf Knotenebene bestimmt. Der Aktiv-/Backup-Status befindet sich auf SRG-Ebene, und der Datenverkehr wird zur aktiven SRG geleitet. SRG0 bleibt auf beiden Knoten aktiv, während SRG1 in jedem Knoten aktiv oder im Backup-Zustand verbleiben kann

Wenn Sie möchten, dass ein bestimmter Knoten beim Booten als aktiver Knoten übernimmt, können Sie einen der folgenden Schritte ausführen:

• Konfigurieren Sie die vorgeschalteten Router so, dass sie Einstellungen für den Pfad enthalten, in dem sich der Knoten befindet.
• Konfigurieren Sie die Aktivitätspriorität.
• Erlauben Sie dem Knoten mit einer höheren Knoten-ID (falls die beiden oben genannten Optionen nicht konfiguriert sind), die aktive Rolle zu übernehmen.

In einer Multinode-Konfiguration mit hoher Verfügbarkeit kündigen beide Firewalls der SRX-Serie zunächst die Route für die Floating-IP-Adresse an die vorgeschalteten Router an. Es gibt keine bestimmte Präferenz zwischen den beiden Pfaden, die von Firewalls der SRX-Serie angekündigt werden. Der Router kann jedoch abhängig von den konfigurierten Metriken seine eigenen Präferenzen auf einem der Pfade haben.

Abbildung 10 stellt die Abfolge von Ereignissen für die Aktivitätsbestimmung und die Aktivitätsdurchsetzung dar.

Abbildung 10: Aktivitätsbestimmung und -durchsetzung

1. Beim Hochfahren wechseln die Geräte in den Hold-Zustand und beginnen kontinuierlich mit der Prüfung. Die Geräte verwenden die Floating-IP-Adresse (Quell-IP-Adresse mit Aktivitätsprobe) als Quell-IP-Adresse und IP-Adressen der vorgeschalteten Router als Ziel-IP-Adresse für die Probe, die die Aktivität bestimmt.

2. Der Router, auf dem die Ziel-IP-Adresse der Sonde gehostet wird, antwortet der Firewall der SRX-Serie, die auf seinem bevorzugten Routing-Pfad verfügbar ist. Im folgenden Beispiel erhält SRX-1 die Antwort vom vorgeschalteten Router.

   Abbildung 11: Aktivitätsbestimmung und -durchsetzung

3. SRX-1 befördert sich selbst in die aktive Rolle, seit es die Antwort auf die Sonde erhalten hat. SRX-1 teilt dem anderen Gerät seinen Rollenwechsel mit und übernimmt die aktive Rolle.

4. Nachdem die Aktivität bestimmt wurde, wird der aktive Knoten (SRX-1):

   • Hostet die zugewiesene Floating-IP-Adresse.
   • Kündigt den Pfad mit hoher Präferenz für benachbarte BGP-Nachbarn an.
   • Kündigt weiterhin den aktiven (höheren) Präferenzpfad für alle Remote- und lokalen Routen an, um den Datenverkehr zu zeichnen.
   • Benachrichtigt den anderen Knoten über die ICL über den aktiven Knotenstatus.

5. Das andere Gerät (SRX-2) beendet die Sondierung und übernimmt die Backup-Rolle. Der Backup-Knoten kündigt die standardmäßige (niedrigere) Priorität an und stellt so sicher, dass die Upstream-Router keine Pakete an den Backup-Knoten weiterleiten.

Das Multinode-Hochverfügbarkeits-Modul fügt der Routing-Tabelle aktive und Backup-Signalrouten für die SRG hinzu, wenn der Knoten in die aktive Rolle wechselt. Bei Knotenausfällen fällt die ICL aus und der aktuell aktive Knoten gibt seine aktive Rolle frei und entfernt die aktive Signalroute. Jetzt erkennt der Backup-Knoten den Zustand durch seine Sonden und wechselt in die aktive Rolle. Die Routenpräferenz wird getauscht, sodass der gesamte Datenverkehr zum neuen aktiven Knoten geleitet wird.

Der Switch in der Anzeige für die Routenpräferenz ist Teil der Routing-Richtlinien, die auf Firewalls der SRX-Serie konfiguriert sind. Sie müssen die Routing-Richtlinie so konfigurieren, dass die aktive Signalroute in die if-route-exists Bedingung einbezogen wird.

• Für Standard-Gateway-Bereitstellungen
• Für Hybrid-Bereitstellungen
• Aktivitätspriorität und Vorrang
• Konfigurieren der Einstellungen für die Aktivitätssonde

Ausfallsicherheit und Failover

Die Multinode-Hochverfügbarkeitslösung unterstützt Redundanz auf Serviceebene. Service-Level-Redundanz minimiert den Aufwand für die Synchronisierung der Steuerungsebene über die Knoten hinweg.

Nachdem das Multinode-Hochverfügbarkeits-Setup die Aktivität bestimmt hat, handelt es den nachfolgenden Hochverfügbarkeitsstatus (Hohe Verfügbarkeit) über die ICL aus. Der Backup-Knoten sendet ICMP-Sondierungen über die Floating-IP-Adresse. Wenn die ICL aktiv ist, erhält der Knoten die Antwort auf seine Probe und bleibt als Backup-Knoten erhalten. Wenn der ICL ausgefallen ist und keine Sondierungsreaktion erfolgt, geht der Backup-Knoten in den aktiven Knoten über.

Das SRG1 des vorherigen Backup-Knotens wechselt nun in den aktiven Zustand und arbeitet nahtlos weiter. Wenn der Übergang erfolgt, wird die Floating-IP-Adresse dem aktiven SRG1 zugewiesen. Auf diese Weise schwebt die IP-Adresse zwischen dem aktiven und dem Backup-Knoten und bleibt für alle verbundenen Hosts erreichbar. So fließt der Verkehr ohne Unterbrechung weiter.

Services, wie z. B. IPsec-VPN, die sowohl den Status der Control Plane als auch der Data Plane erfordern, werden über die Knoten hinweg synchronisiert. Wenn ein aktiver Knoten für diese Servicefunktion ausfällt, führen sowohl die Steuerungsebene als auch die Datenebene gleichzeitig ein Failover zum Sicherungsknoten durch.

Die Knoten verwenden die folgenden Nachrichten, um Daten zu synchronisieren:

• Routing-Engine zu Routing-Engine Steueranwendungsnachrichten
• Meldungen zur Konfiguration der Routing-Engine
• Data Plane RTO-Nachrichten

Interchassis Link (ICL)-Verschlüsselung

Bei der Multinode-Hochverfügbarkeit kommunizieren der aktive und der Backup-Knoten miteinander über einen Interchassis-Link (ICL), der über ein geroutetes Netzwerk oder direkt verbunden ist. Die ICL ist eine logische IP-Verbindung, die über IP-Adressen aufgebaut wird, die im Netzwerk routingfähig sind.

Knoten verwenden die ICL, um die Zustände der Steuerungsebene und der Datenebene zwischen ihnen zu synchronisieren. Die ICL-Kommunikation kann über ein gemeinsam genutztes oder nicht vertrauenswürdiges Netzwerk laufen, und Pakete, die über ICL gesendet werden, können einen Pfad durchlaufen, der nicht immer vertrauenswürdig ist. Daher müssen Sie die Pakete, die die ICL durchlaufen, sichern, indem Sie den Datenverkehr mithilfe von IPsec-Standards verschlüsseln.

IPsec schützt den Datenverkehr durch den Aufbau eines Verschlüsselungs-Tunnels für die ICL. Wenn Sie Hohe Verfügbarkeit Linkverschlüsselung anwenden, fließt der Hohe Verfügbarkeit Datenverkehr zwischen den Knoten nur durch die sichere, verschlüsselte Tunnel. Ohne Linkverschlüsselung mit hoher Verfügbarkeit ist die Kommunikation zwischen den Knoten möglicherweise nicht sicher.

So verschlüsseln Sie den Link für die Hohe Verfügbarkeit für die ICL:

• Installieren Sie das Junos IKE-Paket mit dem folgenden Befehl auf Ihrer Firewall der SRX-Serie:

  request system software add optional://junos-ike.tgz .

• Konfigurieren Sie ein VPN-Profil für den Hohe Verfügbarkeit Datenverkehr, und wenden Sie das Profil auf beide Knoten an. Der IPsec-Tunnel, der zwischen den Firewalls der SRX-Serie ausgehandelt wird, verwendet das IKEv2-Protokoll.

• Stellen Sie sicher, dass Sie die Anweisung ha-link-encryption in Ihre IPsec-VPN-Konfiguration aufgenommen haben. Beispiel: user@host# set security ipsec vpn vpn-name ha-link-encryption.

Für die Einrichtung einer ICL empfehlen wir Folgendes:

• Verwenden Sie Ports und Netzwerke, die weniger wahrscheinlich gesättigt sind.

• Keine Verwendung der dedizierten Ports für hohe Verfügbarkeit (Kontroll- und Fabric-Ports, sofern auf Ihrer Firewall der SRX-Serie verfügbar)

• Die ICL ist an die Loopback-Schnittstelle (lo0) oder eine aggregierte Ethernet-Schnittstelle (ae0) gebunden und verfügt über mehr als eine physische Verbindung (LAG/LACP), die Pfadvielfalt für höchste Ausfallsicherheit gewährleistet.

• Sie können einen Revenue-Ethernet-Port der Firewalls der SRX-Serie verwenden, um eine ICL-Verbindung einzurichten. Stellen Sie sicher, dass Sie den Transitdatenverkehr in Umsatzschnittstellen vom Datenverkehr mit hoher Verfügbarkeit (Hohe Verfügbarkeit) trennen.

• Es wurden Validierungsprüfungen eingeführt, um die Konfiguration von Tunnel-MTU für Tunnel mit hoher Verfügbarkeit in einem Multinode-Hochverfügbarkeits-Setup einzuschränken. Die Validierungsprüfung stellt sicher, dass die End-to-End-MTU für Verbindungen mit hoher Verfügbarkeit (Hohe Verfügbarkeit mit IPv6-Verschlüsselung) die Mindestanforderung von 2000 Byte erfüllt, was zur Aufrechterhaltung einer optimalen Leistung und Zuverlässigkeit während des Betriebs mit hoher Verfügbarkeit beiträgt.

  Wenn Ihre Konfiguration beispielsweise die folgende Zeilengruppe enthält, in der Tunnel-mtu kleiner als 2000 ist, erhalten Sie einen Commit-Check-Fehler: user@host# set security ipsec vpn L3HA_IPSEC_VPN Tunnel-mtu <Bytes>

Weitere Informationen finden Sie unter Konfigurieren der Multinode-Hochverfügbarkeit .

PKI-basierte Linkverschlüsselung für ICL

Ab Junos OS Version 22.3R1 unterstützen wir PKI-basierte Link-Verschlüsselung für Interchassis Link (ICL) in Multinode High Availability. Im Rahmen dieser Unterstützung können Sie jetzt knotenspezifische PKI-Objekte wie lokale Schlüsselpaare, lokale Zertifikate und Zertifikatsignieranforderungen auf beiden Knoten generieren und speichern. Die Objekte sind spezifisch für lokale Knoten und werden an den spezifischen Speicherorten auf beiden Knoten gespeichert.

Die lokalen Knotenobjekte ermöglichen es Ihnen, zwischen PKI-Objekten, die für die ICL-Verschlüsselung verwendet werden, und PKI-Objekten, die für IPsec-VPN-Tunnel verwendet werden, die zwischen zwei Endpunkten erstellt werden, zu unterscheiden.

Sie können die folgenden Befehle verwenden, die auf dem lokalen Knoten ausgeführt werden, um mit knotenspezifischen PKI-Objekten zu arbeiten.

Wenn Sie auf Ihrem Sicherheitsgerät in Multinode-Hochverfügbarkeit die Option für die automatische erneute Registrierung konfiguriert haben und die ICL zum Zeitpunkt des Triggers für die erneute Registrierung ausfällt, beginnen beide Geräte, dasselbe Zertifikat separat beim CA-Server zu registrieren und dieselbe CRL-Datei herunterzuladen. Sobald Multinode High Availability die ICL wieder einrichtet, verwendet das Setup nur noch ein lokales Zertifikat. Sie müssen die Zertifikate vom aktiven Knoten mit dem Sicherungsknoten synchronisieren, indem Sie den user@host> request security pki sync-from-peer Befehl auf dem Sicherungsknoten verwenden.

Wenn Sie die Zertifikate nicht synchronisieren, bleibt das Problem des Zertifikatkonflikts zwischen den Peer-Knoten bis zur nächsten erneuten Registrierung bestehen.

Optional können Sie TPM (Trusted Platform Modul) auf beiden Knoten aktivieren, bevor Sie Schlüsselpaare auf den Knoten generieren. Siehe Verwenden des Moduls einer vertrauenswürdigen Plattform zum Binden von Geheimnissen auf Geräten der SRX-Serie.

ICMP-basierte Split-Brain-Sondierung

Stellen Sie sich ein Szenario vor, in dem zwei Geräte der SRX-Serie Teil einer Multinode-Hochverfügbarkeitseinrichtung sind. Betrachten wir SRX-1 als lokalen Knoten und SRX-2 als Remote-Knoten. Der lokale Knoten hat derzeit eine aktive Rolle und hostet eine schwebende IP-Adresse, um den Datenverkehr dorthin zu lenken. Der vorgeschaltete Router hat einen Pfad mit höherer Priorität für den lokalen Knoten.

Wenn der ICL zwischen den Knoten ausfällt, initiieren beide Knoten eine Probe, die zur Bestimmung der Aktivität (ICMP-Sonde) führt. Die Knoten verwenden die Floating-IP-Adresse (Activeness Determination IP-Adresse) als Quell-IP-Adresse und IP-Adressen der vorgeschalteten Router als Ziel-IP-Adresse für die Sonden.

Fall 1: Wenn der aktive Knoten aktiv ist

Abbildung 12: Der aktive Knoten ist aktiv und ICL ist ausgefallen

• Der vorgeschaltete Router, der die Ziel-IP-Adresse der Sonde hostet, empfängt die ICMP-Tests von beiden Knoten.
• Der vorgeschaltete Router antwortet nur auf den aktiven Knoten. da die Konfiguration einen höheren Präferenzpfad für den aktiven Knoten aufweist
• Der aktive Knoten behält die aktive Rolle.

Wenn der aktive Knoten ausgefallen ist:

Abbildung 13: Der aktive Knoten ist ausgefallen und ICL ist ausgefallen

• Der Remote-Knoten startet die Sonden zur Aktivitätsbestimmung neu.
• Der Router, auf dem die Ziel-IP-Adresse der Sonde gehostet wird, hat seinen höheren Präferenzpfad (des früheren aktiven Knotens) verloren und antwortet dem Remote-Knoten.
• Das Testergebnis ist ein Erfolg für den Remoteknoten, und der Remoteknoten geht in den aktiven Zustand über.
• Wie in den oben genannten Fällen gezeigt, stellen Sonden zur Aktivitätsbestimmung und die Konfiguration einer höheren Pfadpräferenz im vorgeschalteten Router sicher, dass ein Knoten immer in der aktiven Rolle bleibt und ein Split-Brain verhindert wird.

BFD-basierte Split-Brain-Sondierung

In Junos OS Version 23.4R1 unterstützen wir BFD-basiertes Split-Brain-Probing für Standard-Gateways und den Hybrid-Modus von Bereitstellungen für Multinode-Hochverfügbarkeit.

Ein ICL-Ausfall (Interchassis Link) kann oft auf zwei Schlüsselfaktoren zurückgeführt werden: Netzwerkunterbrechungen oder inkonsistente Konfigurationen. Sie können den Aktivitätstest verwenden, um den Knoten zu bestimmen, der für jedes SRG1+ eine aktive Rolle übernehmen kann. Basierend auf dem Testergebnis geht einer der Knoten in den aktiven Zustand über, und diese Aktion verhindert das Spilt-Brain-Szenario.

Mit der BFD-basierten Split-Brain-Sondierung können Sie jetzt die Sonden genauer steuern, da Sie die Schnittstelle, das minimale Intervall und die Multiplikatoren definieren können. Bei der BFD-basierten Split-Brain-Sondierung beginnt die Sondierung sofort, nachdem ein SRG konfiguriert wurde und seine Funktion aufnimmt. Bei der standardmäßigen ICMP-basierten Split-Brain-Sondierung beginnt die Sondierung erst, nachdem die ICL-Verbindung unterbrochen wurde.

Im Vergleich dazu ist die BFD-basierte Sondierung auf folgende Weise viel proaktiver, um eine schnellere Reaktion zu gewährleisten und Split-Brain-Szenarien zu verhindern:

• Die Sondierungsinitiierungen posten direkt eine SRG-Konfiguration.

• Wenn sowohl ICL BFD als auch Split-Brain-Sonde gleichzeitig ausfallen, übernimmt der Backup-Knoten sofort die aktive Rolle und übernimmt die VIP.

Dies gewährleistet eine schnellere Reaktion, um Split-Brain-Szenarien zu verhindern.

• Wie funktioniert es?
• Unterschied zwischen ICMP-basierter und BFD-basierter Sondierung

show chassis 
high-availability services-redundancy-group 1 
activeness-probe
dest-ip {
    192.168.21.1; 
    src-ip 192.168.21.2;
    }

show chassis 
high-availability services-redundancy-group 1 
activeness-probe
bfd-liveliness {
    source-ip 192.168.21.1; (inet address of the local SRX sub interface) 
    destination-ip 192.168.21.2; (inet address of the peers SRX sub interface) 
    interface xe-0/0/1.0;     
}

Die folgende Abbildung zeigt Konfigurationsoptionen für ICMP-basierte Sondierung und BFD-basierte Sondierung für die Split-Brain-Erkennung.

Abbildung 14: Konfiguration der Aktivitätssonden für ICMP-basierte und BFD-basierte Sondierung

In Hybrid-Modus- und Standard-Gatewaybereitstellungen können Sie das Intervall und den Schwellenwert für den Aktivitätstest auf den folgenden zwei Ebenen konfigurieren:

• Globale Ebene, die auf ICMP-basierte Split-Brain-Sondierung anwendbar ist

• BFD-Lebendigkeitsgrad, der spezifisch für die BFD-Split-Brain-Sonde ist. Wenn Sie BFD-basierte Tests konfigurieren, konfigurieren Sie nicht global minimum-interval und multiplier options under activeness-probe statement.

Um den Aktivitätstest für Standardgatewaybereitstellungen zu konfigurieren, verwenden Sie die primäre virtuelle IP-Adressschnittstelle (VIP1) auf beiden Knoten (lokal und Peer), um Ihren Aktivitätstest einzurichten. Die Ziel-IP stammt vom Peer-Knoten und die Quell-IP von Ihrem lokalen Knoten. Beide VIPs müssen denselben Indexwert haben. Bei den IP-Adressen muss es sich um die Inet-Adressen handeln, die der LAN-Schnittstelle der Firewall der SRX-Serie zugewiesen sind.

Split-Brain-Probeing konfigurieren

• Beispielkonfiguration
• Verifizierung

Abbildung 15: Multinode-Hochverfügbarkeitskonfiguration für Split-Brain-Probeing

Betrachten wir SRX-1 als lokalen Knoten und SRX-2 als Remote-Knoten. Der lokale Knoten ist derzeit in aktiver Rolle, und der vorgeschaltete Router hat einen Pfad mit höherer Priorität für den lokalen Knoten.

Für den Aktivitätstest müssen Sie die folgenden Optionen konfigurieren:

• Quell-IP-Adresse: Verwenden Sie die virtuelle IP-Adresse 1 (VIP1) von SRG1 des lokalen Knotens.

• Ziel-IP-Adresse: Verwenden Sie die VIP1 von SRG1 des Peer-Knotens.

• Schnittstelle: Mit VIP1 verknüpfte Schnittstelle

Weisen Sie in diesem Beispiel eine virtuelle IP-Adresse (VIP) (192.168.21.1) und eine Schnittstelle xe-0/0/1.0 für BFD-Lebendigkeit zu. Hier konfigurieren Sie BFD-basierte Split-Brain-Sondierung, indem Sie Quell- und Ziel-IP-Adressen und die Schnittstelle angeben.

Die Knoten verwenden die Familien-Inet-Adresse der Schnittstelle, die der virtuellen IP-Adresse (VIP1) von SRG1 zugeordnet ist.

Beide Knoten initiieren eine Sondierung zur Bestimmung der Aktivität (BFD-basierte Sonde), sobald die SRGs in Betrieb genommen werden.

Die folgende Tabelle zeigt, wie die Multinode-Hochverfügbarkeitseinrichtung Split-Brain-Situationen mit BFD-basierter Sondierung löst, wenn der ICL ausgefallen ist. Abhängig von den Knotenzuständen und den Testergebnissen wählt das Multinode-Hochverfügbarkeitssystem den Knoten aus, der die aktive Rolle übernehmen soll.

Tabelle 4 zeigt, wie das Multinode-Hochverfügbarkeits-Setup Split-Brain-Situationen mit BFD-basierter Sondierung löst, wenn der ICL ausgefallen ist. Abhängig von den Knotenzuständen und den Testergebnissen wählt das Multinode-Hochverfügbarkeitssystem den Knoten aus, der die aktive Rolle übernehmen soll.

In diesem Beispiel gehen wir davon aus, dass SRG1 von Knoten 1 die höhere Aktivitätspriorität hat.

• Verwenden Sie den show chassis high-availability services-redundancy-group 1 Befehl, um den Typ der auf dem Gerät konfigurierten Split-Brain-Sonde anzuzeigen.

  (BFD-basiertes Probing) (ICMP-basiertes Probing)

• Verwenden Sie den show bfd session Befehl, um zu sehen, ob BFD-basierter Sondenstatus.

  Im Beispiel können Sie feststellen, dass die BFD-basierte Split-Brain-Sondierung für die Schnittstelle xe-0/0/1.0 ausgeführt wird.

• Verwenden Sie den show chassis high-availability services-redundancy-group 1 Befehl, um die Details von BFD-basierten Sonden abzurufen.

Unterstützung für logische Systeme und Mandantensysteme

Logische Systeme für Firewalls der SRX-Serie ermöglichen es Ihnen, ein einzelnes Gerät in sichere Kontexte zu partitionieren Ein Mandantensystem partitioniert die physische Firewall logisch in eine separate und isolierte logische Firewall.

Ein Mandantensystem partitioniert die physische Firewall logisch in eine separate und eine isolierte logische Firewall. Obwohl sie logischen Systemen ähneln, weisen Mandantensysteme eine viel höhere Skalierbarkeit und weniger Routingfunktionen auf.

Firewalls der SRX-Serie im Multinode-Setup mit hoher Verfügbarkeit unterstützen logische Systeme und Mandantensysteme in Services Redundanz-Gruppe 0 (SRG0).

Das Verhalten eines Multinode-Setups mit hoher Verfügbarkeit mit Firewalls der SRX-Serie, auf denen logische Systeme ausgeführt werden, ist das gleiche wie bei einem Setup, bei dem die Knoten der SRX-Serie keine logischen Systeme ausführen. Es gibt keinen Unterschied bei den Ereignissen, die ein Knoten-Failover auslösen. Insbesondere wenn die Schnittstellenüberwachung unter SRG0 aktiviert ist und eine Verbindung, die einem einzelnen logischen System zugeordnet ist (das überwacht wird), ausfällt, führt das Gerät ein Failover auf einen anderen Knoten durch. Dieses Failover erfolgt über Routenpräferenzankündigungen im Multinode-Hochverfügbarkeitssetup.

Bevor Sie die logischen oder Mandantensysteme einrichten, müssen Sie die Multinode-Hochverfügbarkeit konfigurieren. Jeder Knoten in der Hochverfügbarkeitseinrichtung muss über eine identische Konfiguration verfügen. Stellen Sie sicher, dass der Name, das Profil und die entsprechenden Sicherheitsfunktionen der logischen Systeme oder Mandantensysteme oder Schnittstellen innerhalb der logischen Systeme oder Mandantensysteme identisch sind. Alle logischen oder Mandantensystemkonfigurationen werden zwischen den beiden Knoten synchronisiert und repliziert.

Wenn Sie Firewalls der SRX-Serie mit logischen Systemen in einem Multinode-Hochverfügbarkeitsmodus verwenden, müssen Sie für jeden Knoten im Setup dieselbe Anzahl von Lizenzen erwerben und installieren.

Weitere Informationen finden Sie unter Benutzerhandbuch für logische Systeme und Mandantensysteme für Sicherheitsgeräte.