Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Services de haute disponibilité multi nodale

La haute disponibilité multinodale prend en charge le mode actif/actif pour le plan de données et le mode actif/de secours pour les services de plan de contrôle. Découvrons les services sans état et dynamiques du plan de contrôle dans les sections suivantes :

Services sans état du plan de contrôle

SRG0 gère les services sans état de plan de contrôle, tels que la sécurité des applications, l’IDP, la Sécurité du contenu, le pare-feu, le NAT, les stratégies, ALG, etc. Le basculement de ces services est requis au niveau du plan de données uniquement et certains de ces services sont transférés (ne se terminant pas sur l’équipement sauf le NAT ou l’authentification par pare-feu).

SRG0 reste actif sur les deux nœuds et transfère le trafic des deux nœuds. Ces fonctionnalités fonctionnent indépendamment sur les deux pare-feu SRX Series en haute disponibilité multi nodale.

Pour configurer les services sans état du plan de contrôle :

  • Configurez les fonctionnalités telles que vous les configurez sur un pare-feu SRX Series autonome.
  • Installez la même version de Junos OS sur les équipements de sécurité participants (Junos OS version 22.3R1 ou ultérieure)
  • Installez des licences identiques sur les deux nœuds
  • Téléchargez et installez les mêmes versions du package de signature d’application ou du package IPS sur les deux nœuds (si vous utilisez la sécurité des applications et l’IDP)
  • Configurez l’annonce de route conditionnelle, la politique de routage et les routes statiques selon vos besoins.
  • Dans la haute disponibilité multi-nœuds, la synchronisation de la configuration n’a pas lieu par défaut. Vous devez configurer les applications dans le cadre de groupes, puis synchroniser la configuration à l’aide de l’option peer synchronization ou gérer la configuration indépendamment sur chaque nœud.

Traduction d’adresses réseau (NAT)

Les services tels que Firewall, ALG, NAT n’ont pas d’état de plan de contrôle. Pour de tels services, seul l’état du plan de données doit être synchronisé entre les nœuds.

Dans une configuration haute disponibilité à plusieurs nœuds, un périphérique gère une session NAT à la fois et l’autre périphérique prend le rôle actif en cas de basculement. Ainsi, une session reste active sur un équipement, et sur l’autre appareil, la session sera en état chaud (veille) jusqu’à ce qu’un basculement se produise.

Les sessions NAT et les objets d’état ALG sont synchronisés entre les nœuds. Si un nœud tombe en panne, le deuxième nœud continue de traiter le trafic des sessions synchronisées à partir de l’équipement défaillant, y compris les traductions NAT.

Vous devez créer des règles et des pools NAT avec les mêmes paramètres sur les pare-feu SRX Series. Pour diriger le chemin de réponse du trafic NAT (destiné à l’adresse IP du pool NAT) vers le pare-feu SRX Series approprié (périphérique actif), vous devez disposer de la configuration de routage requise sur les deux périphériques actif/de secours. En d’autres termes, la configuration doit spécifier les routes qui sont annoncées via les protocoles de routage vers les périphériques de routage adjacents. Par conséquent, vous devez également configurer les options de stratégie et la configuration de route.

Lorsque vous exécutez des commandes opérationnelles spécifiques au NAT sur les deux appareils, vous pouvez voir le même résultat. Cependant, il peut y avoir des cas où les ID numériques internes de la règle NAT / pool peuvent être différents entre les nœuds. Des ID numériques différents n’ont pas d’impact sur les traductions de synchronisation/NAT de session lors du basculement.

Authentification des utilisateurs par pare-feu

Avec l’authentification par pare-feu, vous pouvez restreindre ou autoriser les utilisateurs individuellement ou en groupes. Les utilisateurs peuvent être authentifiés à l’aide d’une base de données de mots de passe locale ou d’une base de données de mots de passe externe.

La haute disponibilité multinodale prend en charge les méthodes d’authentification suivantes :

  • Authentification directe
  • Intercommunication avec authentification par redirection Web
  • Authentification Web

L’authentification des utilisateurs de pare-feu est un service avec un état de plan de contrôle actif et nécessite une synchronisation des états du plan de contrôle et des données entre les nœuds. Lors de la configuration haute disponibilité multinœud, la fonctionnalité d’authentification des utilisateurs du pare-feu fonctionne indépendamment sur les deux pare-feu SRX Series et synchronise la table d’authentification entre les nœuds. Lorsqu’un utilisateur s’authentifie avec succès, l’entrée d’authentification est synchronisée avec l’autre nœud et est visible sur les deux nœuds lorsque vous exécutez la commande show (exemple : show security firewall-authentication users ).

Remarque :

Lors de la synchronisation de la configuration entre les nœuds, vérifiez que les détails de l’authentification, de la stratégie, de la zone source et de la zone de destination correspondent sur les deux nœuds. Le maintien du même ordre dans votre configuration garantit la synchronisation réussie des entrées d’authentification sur les deux nœuds.

Si vous effacez une entrée d’authentification dans un nœud à l’aide de l’instruction clear security user-identification local-authentication-table , assurez-vous d’effacer également l’entrée d’authentification dans l’autre nœud.

Suivez la même pratique en cas de configuration asymétrique du trafic.

La haute disponibilité multinodale prend en charge le Juniper Identity Management Service (JIMS) pour obtenir des informations sur l’identité des utilisateurs. Chaque nœud récupère les entrées d’authentification du serveur JIMS et les traite indépendamment. Pour cette raison, vous devez exécuter les commandes d’authentification des utilisateurs du pare-feu séparément sur chaque nœud. Par exemple, lorsque vous affichez les entrées d’authentification à l’aide des commandes show, chaque nœud affiche uniquement les entrées d’authentification qu’il gère actuellement (comme s’il travaillait indépendamment en mode autonome :

Prise en charge d’Express Path

Express Path (anciennement connu sous le nom de déchargement de services) dans MNHA (SRG0 et SRG1+) réduit la latence en assurant un transfert de paquets transparent après le basculement. Cette fonctionnalité installe des sessions SOF statiques et dynamiques sur l’autre nœud pendant que le nœud actif est opérationnel, ce qui garantit un basculement immédiat grâce aux messages du plan de contrôle.

Le système empêche les sessions SOF de vieillir prématurément dans l’autre nœud, préserve l’intégrité des sessions et gère le traitement du premier paquet de manière transparente pendant les transitions de rôles principaux. De plus, il résout la gestion des sessions dans un nouveau nœud défaillant en optant pour la suppression et la réinstallation des sessions SOF afin de garantir une gestion à jour.

La prise en charge de cette fonctionnalité est disponible pour les systèmes à haute disponibilité multinodale fonctionnant en mode Couche 3 (routage). Pour plus d’informations sur Express Path, consultez Vue d’ensemble d’Express Path.

Synchronisation de la configuration entre les nœuds multinœuds à haute disponibilité

En haute disponibilité multi nodale, deux pare-feu SRX Series agissent comme des appareils indépendants. Ces appareils ont un nom d’hôte unique et l’adresse IP sur l’interface fxp0. Vous pouvez configurer les services sans état du plan de contrôle tels que ALG, pare-feu et NAT indépendamment sur ces équipements. Les paquets spécifiques aux nœuds sont toujours traités sur les nœuds respectifs.

Les paquets/services suivants sont spécifiques au nœud (locaux) dans la haute disponibilité multi-nœuds :

  • Protocoles de routage paquets vers le moteur de routage

  • Services de gestion, tels que SNMP, et commandes opérationnelles (show, request)

  • Processus tels que le processus de service d’authentification (authd), intégrés aux serveurs RADIUS et LDAP

  • Chiffrement ICL, contrôle de tunnel et paquets de données spécifiques

La synchronisation de la configuration dans Multinode High Availability n’est pas activée par défaut. Si vous souhaitez que certaines configurations soient synchronisées avec l’autre nœud, vous devez :

  • Configurez la fonctionnalité ou la fonction dans le cadre groups
  • Synchroniser la configuration à l’aide de l’option [edit system commit peers-synchronize]

Lorsque vous activez la synchronisation de la configuration (à l’aide de l’option peers-synchronize ) sur les deux périphériques d’une haute disponibilité multinodale, les paramètres de configuration que vous configurez sur un pair sous [groupes] seront automatiquement synchronisés avec l’autre homologue lors de l’action de validation .

L’homologue local sur lequel vous activez l’instruction peers-synchronize copie et charge sa configuration sur l’homologue distant. Chaque pair effectue ensuite une vérification de syntaxe sur le fichier de configuration en cours de validation. Si aucune erreur n’est détectée, la configuration est activée et devient la configuration opérationnelle actuelle sur les deux pairs.

Pour obtenir un exemple de configuration, reportez-vous à Exemple : Configuration de la haute disponibilité multinodale avec les groupes de configuration Junos OS.

L’extrait de configuration suivant montre la configuration VPN sous avpn_config_group sur host-mnha-01. Nous allons synchroniser la configuration avec l'autre appareil pair host-mnha-02.

  1. Configurez le nom d’hôte et l’adresse IP de l’appareil homologue participant (host-mnha-02), les détails d’authentification et incluez la peers-synchronization déclaration.

  2. Configurez le groupe (avpn_config_group) et spécifiez les conditions d’application (lorsque les homologues host-mnha-01 et host-mnha-02)

  3. Utilisez la apply-groups commande à la racine de la configuration.

    Lorsque vous validez la configuration, Junos vérifie la commande et fusionne le groupe correct pour qu’il corresponde au nom du nœud.

  4. Vérifiez l’état de la synchronisation à l’aide de la show configuration system commande du mode opérationnel.

    La sortie de la commande affiche les détails du pare-feu homologue SRX Series sous l’option homologues .

Remarque :

La synchronisation de la configuration se produit dynamiquement et si une modification de configuration est effectuée alors qu’un seul nœud est disponible ou lorsque la connectivité est interrompue entre les nœuds, vous devez émettre une validation supplémentaire pour synchroniser la configuration avec l’autre nœud. Sinon, cela conduira à des configurations incohérentes entre les nœuds pour les applications.
Remarque :
  • La synchronisation de la configuration n’est pas obligatoire pour que la haute disponibilité multinodale fonctionne. Cependant, pour une synchronisation facile de la configuration, nous vous recommandons d’utiliser l’instruction set system commit peers-synchronize avec junos groups une configuration dans une direction (nœud 0 à nœud 1 par exemple).
  • Nous vous recommandons d’utiliser une connexion de gestion hors bande (fxp0) pour synchroniser la configuration entre les nœuds de haute disponibilité multinodale afin de gérer les configurations courantes.
  • Pour le cas d’usage IPsec, si la synchronisation de la configuration n’est pas activée, vous devez d’abord valider la configuration sur le nœud de sauvegarde, puis sur le nœud actif.

Documentation connexe