Préparez votre environnement pour le déploiement de la haute disponibilité multi nodale
Cette rubrique fournit des détails pour préparer l’environnement pour le déploiement de la haute disponibilité multi nodale.
- Modèle de l’appareil
- Version du Logiciel
- Dernier package Junos IKE
- Licences de logiciels
- Accessibilité du réseau
- Prise en compte des adresses IP
Modèle de l’appareil
Dans la haute disponibilité multinodale, vous devez utiliser le même modèle de pare-feu SRX Series que vos nœuds. Par exemple, si vous utilisez le SRX5600 comme un nœud, vous devez utiliser un autre SRX5600 comme l’autre nœud
Dans le cas des appareils de la gamme SRX5000, assurez-vous que les SPC, les NPC et les IOC ont le même emplacement et le même type.
Pour obtenir la liste complète des fonctionnalités et plates-formes prises en charge, consultez Haute disponibilité multi nodale dans l’explorateur de fonctionnalités.
Version du Logiciel
Installez la version compatible de Junos OS sur les équipements de sécurité participants.
Dernier package Junos IKE
Vous devez installer le package IKE pour activer le chiffrement ICL dans la solution de haute disponibilité multi-nœuds.
Par défaut, lorsque votre pare-feu SRX Series démarre, l’architecture IKE héritée est exécutée. Pour activer la nouvelle architecture IKE, vous devez installer le nouveau package Junos IKE. Il s’agit d’un package optionnel inclus dans l’image de téléchargement du logiciel Junos OS.
Utilisez la commande suivante pour installer le package IKE :
user@host> request system software add optional://junos-ike.tgz
Après avoir installé le package Junos IKE, pour les mises à niveau logicielles ultérieures de l’instance, le package Junos IKE est automatiquement mis à niveau à partir des nouvelles versions de Junos OS installées sur votre équipement.
Licences de logiciels
Vous n’avez besoin d’aucune licence spécifique pour la fonctionnalité de haute disponibilité multi nœuds. Cependant, les licences sont uniques à chaque SRX Series et ne peuvent pas être partagées entre les nœuds dans une configuration haute disponibilité multi nœud. Par conséquent, vous devez utiliser des licences identiques sur les deux nœuds. Si les deux pare-feu SRX Series ne disposent pas du même jeu de licences, le système n’est pas prêt pour le déploiement.
Accessibilité du réseau
Les deux nœuds de la configuration haute disponibilité multinodale doivent pouvoir se joindre à l’aide du chemin ICL. Ce chemin utilise (que l’ICL soit chiffrée ou non) les détails de l’adresse IP, du protocole et du port. Vous devez vous assurer que cette communication est autorisée entre les nœuds si un pare-feu ou une autre inspection est en place.
L’adresse IP flottante que vous utilisez pour chaque nœud doit être une adresse IP routable (chemin de routage logique) sur le réseau.
Nous recommandons de lier l’ICL à l’interface de bouclage (lo0) ou à une interface Ethernet agrégée (ae0) et d’avoir plusieurs liaisons physiques (LAG/LACP) qui garantissent la diversité des chemins pour une résilience maximale. Vous pouvez également utiliser un port Ethernet payant sur les pare-feu SRX Series pour configurer une connexion ICL. Assurez-vous de séparer le trafic de transit dans les interfaces payantes du trafic haute disponibilité (HA).
Prise en compte des adresses IP
Le Tableau 1 fournit des détails sur la prise en charge des adresses IPv4 et IPv6 pour les déploiements à haute disponibilité multinodale.
| Type de déploiement MNHA | Réseau decouche 3 (routeurs aux deux extrémités) | Réseau hybride (routeur à une extrémité et commutateur à l’autre extrémité) | Passerelle par défaut (commutateurs aux deux extrémités) |
|---|---|---|---|
| Adresses IPv4 et IPv6 pour la surveillance IP |
Oui | Oui | Oui |
| Adresses IPv4 et IPv6 pour l’analyse de l’activité |
Oui | Oui | Oui |
| Adresses IPv4 et IPv6 virtuelles |
Non applicable | Oui | Oui |
Prise en charge disponible pour la configuration des adresses IPv6 pour la route du signal actif, la route du signal de secours et les options d’installation en cas de route en cas de défaillance sous configurations services-redondance-group de votre configuration MNHA.
Configurez une seule adresse IP virtuelle par interface logique (IFL) dans une configuration haute disponibilité à plusieurs nœuds. La prise en charge de l’utilisation de plusieurs VIP ou de la double pile n’est pas disponible.
Utilisation de pools d’adresses IP dans une configuration haute disponibilité multi nodale
Lorsque vous configurez plusieurs groupes de distribution réseau (mode actif-actif) dans la haute disponibilité à plusieurs nœuds, assurez-vous que les pools d’adresses utilisés par les groupes d’adresses réseau dans un profil d’accès ne doivent pas se chevaucher. Assurez-vous également que l’adresse et le pool d’adresses configurés dans le serveur RADIUS pour les hôtes connectés à différents SRG doivent être uniques.
Exemple : L’exemple suivant montre des configurations de pool d’adresses avec profil localpool d’accès et localpool2 pour SRG1 et SRG2 respectivement :
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
Dans cet exemple, les groupes de redondance de services (SRG1 et SRG2) se trouvent sur le même réseau (192.0.2.0/24). Toutefois, les adresses IP des pools d’adresses sont distribuées de manière à éviter tout chevauchement (192.0.2.1/24—192.0.2.127 pour SRG1 et 192.0.2.128—192.0.2.255 pour SRG2).
De même, vous devez utiliser des adresses IP et des pools d’adresses uniques pour les configurations utilisateur dans le serveur RADIUS.
Si vous attribuez la même adresse aux hôtes de deux SRG, la haute disponibilité multinodale supprime le nouvel hôte et arrête les négociations IKE avec le message suivant :
AUTHENTICATION_FAILED as the AUTH response
Le journal système affiche le message suivant :
Duplicate assigned IPv4 received, delete new peer
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.