SUR CETTE PAGE
Exemple : Configurer la haute disponibilité multinœud dans un déploiement hybride
Lisez cette rubrique pour savoir comment configurer une solution de haute disponibilité multinœud sur les pare-feu SRX Series. L’exemple décrit la configuration en mode actif/de secours lorsque les pare-feu SRX Series sont connectés à un routeur d’un côté et commutés de l’autre côté.
Aperçu
Dans un déploiement hybride, les pare-feu SRX Series participants fonctionnent comme des nœuds indépendants dans un mode mixte de réseaux routés d’un côté et de réseaux connectés localement de l’autre. Une liaison d’interchâssis logique (ICL) chiffrée relie les nœuds sur un réseau routé.
Dans la haute disponibilité multinœud, l’activité est déterminée au niveau du groupe de redondance des services (SRG). Le pare-feu SRX Series, sur lequel le SRG1 est actif, héberge l’adresse IP flottante et dirige le trafic vers celle-ci à l’aide de l’adresse IP flottante. Lors d’un basculement, l’adresse IP flottante se déplace de l’ancien nœud actif vers le nouveau nœud actif et continue la communication avec les périphériques clients.
À partir de la version 22.3R1 de Junos OS, nous prenons en charge une configuration à deux nœuds dans la solution de haute disponibilité multinœud.
Dans cet exemple, vous allez établir une haute disponibilité entre les pare-feu SRX Series et sécuriser le trafic du tunnel en activant le chiffrement des liens HA.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
- Deux pare-feu SRX Series ou des instances de pare-feu virtuel vSRX
- Une plate-forme de routage universelle Juniper Networks(R) MX960 à une extrémité
- Un Commutateur Ethernet EX9214 de Juniper Networks(R) à l’autre extrémité
- Junos OS version 22.3R1
Topologie
La figure 1 illustre la topologie utilisée dans cet exemple.
hybride
Comme le montre la topologie, deux pare-feu SRX Series sont connectés à des routeurs du côté non fiable et à un côté trust du réseau d’un commutateur. Les nœuds communiquent entre eux à l’aide d’une adresse IP routable (adresse IP flottante) sur le réseau. Des interfaces de bouclage sont utilisées pour héberger les adresses IP sur le routeur SRX Series et en amont.
En général, vous pouvez utiliser un port Ethernet agrégé (AE) ou un port Ethernet payant sur les pare-feu SRX Series pour configurer une connexion ICL. Dans cet exemple, nous avons utilisé des ports GE pour la ICL. Nous avons également configuré une instance de routage pour le chemin ICL afin d'assurer une segmentation maximale. Dans un déploiement haute disponibilité typique, vous disposez de plusieurs routeurs et commutateurs sur les côtés nord et sud du réseau. Dans cet exemple, nous n’utilisons qu’un seul routeur et un seul commutateur.
Vous allez effectuer les tâches suivantes pour créer une configuration de haute disponibilité multinœud :
- Configurez une paire de pare-feu SRX Series en tant que nœuds locaux et homologues en leur attribuant des identifiants.
- Configurez des groupes de redondance des services (SRG).
- Configurez une interface de bouclage (lo0.0) pour héberger une adresse IP flottante du côté de la couche 3.
- Configurez les adresses IP virtuelles pour la détermination de l’activité et l’application du côté de la couche 2.
- Configurez un itinéraire de signal requis pour l’application de l’activité et utilisez-le avec la stratégie de route existante.
- Configurez un profil VPN pour le trafic haute disponibilité (ICL) à l’aide d’IKEv2.
- Configurez les options de surveillance BFD.
- Configurez une stratégie de routage et des options de routage.
- Configurez les politiques de sécurité appropriées pour gérer le trafic sur votre réseau.
-
Configurez le filtrage et la qualité de service (QoS) du pare-feu sans état en fonction des exigences de votre réseau.
-
Configurez les interfaces et les zones en fonction des besoins de votre réseau. Vous devez autoriser des services tels que IKE pour le chiffrement des liaisons et SSH pour la synchronisation de la configuration en tant que services système entrants sur l’hôte sur la zone de sécurité associée à la liste de contrôle ICL.
Dans cet exemple, vous utilisez des routes statiques sur SRX-1 et SRX-2 et publiez ces routes dans BGP afin d’ajouter la mesure permettant de déterminer quel pare-feu SRX Series se trouve dans le chemin préféré. Vous pouvez également utiliser des réflecteurs de route sur les pare-feu SRX Series pour annoncer les routes apprises via BGP et configurer la stratégie de routage en conséquence pour qu’elle corresponde à BGP.
Vous pouvez configurer les options suivantes sur SRG0 et SRG1 :
-
SRG1 : Route du signal actif/de secours, type de déploiement, priorité d’activité, préemption, adresse IP virtuelle (pour les déploiements de passerelle par défaut), test d’activité et paquet de processus sur la sauvegarde.
-
SRG1 : options de surveillance BFD, de surveillance IP et de surveillance d’interface sur SRG1.
-
SRG0 : options d’arrêt en cas d’échec et d’installation en cas d’échec.
Lorsque vous configurez les options de surveillance (BFD ou IP ou Interface) sous SRG1, nous vous recommandons de ne pas configurer l’option d’arrêt en cas de panne sous SRG0.
Pour la liaison interchâssis (ICL), nous recommandons les paramètres de configuration suivants :
- Utilisez une interface de bouclage (lo0) à l’aide d’une interface Ethernet agrégée (ae0) ou de toute interface Ethernet payante pour établir l’ICL. N’utilisez pas les ports HA dédiés (ports de contrôle et de structure) lorsqu’ils sont disponibles sur votre pare-feu SRX Series).
- Définir MTU de 1514
- Autoriser les services suivants sur la zone de sécurité associée aux interfaces utilisées pour ICL
-
IKE, haute disponibilité, SSH
-
Les protocoles dépendent du protocole de routage dont vous avez besoin
-
BFD pour surveiller les routes voisines
-
Configuration
Avant de commencer
Le package IKE Junos est requis sur vos pare-feu SRX Series pour la configuration de la haute disponibilité multinœud. Ce pack est disponible en pack par défaut ou en option sur les pare-feu SRX Series. Pour plus d’informations, reportez-vous à la section Prise en charge du package IKE Junos .
Si le package n’est pas installé par défaut sur votre pare-feu SRX Series, utilisez la commande suivante pour l’installer. Vous avez besoin de cette étape pour le chiffrement ICL.
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
Sur l’équipement SRX-1
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.22.0.1 set chassis high-availability peer-id 2 peer-ip 10.22.0.2 set chassis high-availability peer-id 2 interface ge-0/0/2.0 set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 2 set chassis high-availability services-redundancy-group 1 deployment-type hybrid set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 src-ip 10.2.0.1 set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 session-type singlehop set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4.0 set security zones security-zone untrust interfaces lo0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone halink host-inbound-traffic system-services ike set security zones security-zone halink host-inbound-traffic system-services ping set security zones security-zone halink host-inbound-traffic system-services high-availability set security zones security-zone halink host-inbound-traffic system-services ssh set security zones security-zone halink host-inbound-traffic protocols bfd set security zones security-zone halink host-inbound-traffic protocols bgp set security zones security-zone halink interfaces ge-0/0/2.0 set interfaces ge-0/0/2 description ha_link set interfaces ge-0/0/2 unit 0 family inet address 10.22.0.1/24 set interfaces ge-0/0/3 description trust set interfaces ge-0/0/3 unit 0 family inet address 10.1.0.1/16 set interfaces ge-0/0/4 description untrust set interfaces ge-0/0/4 unit 0 family inet address 10.2.0.1/16 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.0.2/32 set interfaces lo0 unit 0 family inet address 10.11.0.3/32 set policy-options policy-statement mnha-route-policy term 1 from protocol static set policy-options policy-statement mnha-route-policy term 1 from protocol direct set policy-options policy-statement mnha-route-policy term 1 from condition active_route_exists set policy-options policy-statement mnha-route-policy term 1 then metric 10 set policy-options policy-statement mnha-route-policy term 1 then accept set policy-options policy-statement mnha-route-policy term 2 from protocol static set policy-options policy-statement mnha-route-policy term 2 from protocol direct set policy-options policy-statement mnha-route-policy term 2 from condition backup_route_exists set policy-options policy-statement mnha-route-policy term 2 then metric 20 set policy-options policy-statement mnha-route-policy term 2 then accept set policy-options policy-statement mnha-route-policy term 3 from protocol static set policy-options policy-statement mnha-route-policy term 3 from protocol direct set policy-options policy-statement mnha-route-policy term 3 then metric 30 set policy-options policy-statement mnha-route-policy term 3 then accept set policy-options policy-statement mnha-route-policy term default then reject set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table inet.0 set protocols bgp group untrust type internal set protocols bgp group untrust local-address 10.2.0.1 set protocols bgp group untrust export mnha-route-policy set protocols bgp group untrust local-as 65000 set protocols bgp group untrust bfd-liveness-detection minimum-interval 500 set protocols bgp group untrust bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group untrust bfd-liveness-detection multiplier 3 set protocols bgp group untrust neighbor 10.2.0.2 set routing-options autonomous-system 65000 set routing-options static route 10.4.0.0/16 next-hop 10.2.0.2 set routing-options static route 10.111.0.2/32 next-hop 10.2.0.2
Sur l’équipement SRX-2
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.22.0.2 set chassis high-availability peer-id 1 peer-ip 10.22.0.1 set chassis high-availability peer-id 1 interface ge-0/0/2.0 set chassis high-availability peer-id 1 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 1 set chassis high-availability services-redundancy-group 1 deployment-type hybrid set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.3.0.2 src-ip 10.3.0.1 set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.3.0.2 session-type singlehop set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.3.0.2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 set chassis high-availability services-redundancy-group 1 activeness-priority 1 set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4.0 set security zones security-zone untrust interfaces lo0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone halink host-inbound-traffic system-services ike set security zones security-zone halink host-inbound-traffic system-services ping set security zones security-zone halink host-inbound-traffic system-services high-availability set security zones security-zone halink host-inbound-traffic system-services ssh set security zones security-zone halink host-inbound-traffic protocols bfd set security zones security-zone halink host-inbound-traffic protocols bgp set security zones security-zone halink interfaces ge-0/0/2.0 set interfaces ge-0/0/2 description ha_link set interfaces ge-0/0/2 unit 0 family inet address 10.22.0.2/24 set interfaces ge-0/0/3 description trust set interfaces ge-0/0/3 unit 0 family inet address 10.1.0.2/16 set interfaces ge-0/0/4 description untrust set interfaces ge-0/0/4 unit 0 family inet address 10.3.0.1/16 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.0.2/32 set interfaces lo0 unit 0 family inet address 10.11.0.3/32 set policy-options route-filter-list loopback 10.11.0.0/24 orlonger set policy-options route-filter-list ipsec 10.4.0.0/16 orlonger set policy-options policy-statement mnha-route-policy term 1 from protocol static set policy-options policy-statement mnha-route-policy term 1 from protocol direct set policy-options policy-statement mnha-route-policy term 1 from condition active_route_exists set policy-options policy-statement mnha-route-policy term 1 then metric 10 set policy-options policy-statement mnha-route-policy term 1 then accept set policy-options policy-statement mnha-route-policy term 2 from protocol static set policy-options policy-statement mnha-route-policy term 2 from protocol direct set policy-options policy-statement mnha-route-policy term 2 from condition backup_route_exists set policy-options policy-statement mnha-route-policy term 2 then metric 20 set policy-options policy-statement mnha-route-policy term 2 then accept set policy-options policy-statement mnha-route-policy term 3 from protocol static set policy-options policy-statement mnha-route-policy term 3 from protocol direct set policy-options policy-statement mnha-route-policy term 3 then metric 35 set policy-options policy-statement mnha-route-policy term 3 then accept set policy-options policy-statement mnha-route-policy term default then reject set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table inet.0 set protocols bgp group untrust type internal set protocols bgp group untrust local-address 10.3.0.1 set protocols bgp group untrust export mnha-route-policy set protocols bgp group untrust local-as 65000 set protocols bgp group untrust bfd-liveness-detection minimum-interval 500 set protocols bgp group untrust bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group untrust bfd-liveness-detection multiplier 3 set protocols bgp group untrust neighbor 10.3.0.2 set routing-options autonomous-system 65000 set routing-options static route 10.4.0.0/16 next-hop 10.3.0.2 set routing-options static route 10.111.0.2/32 next-hop 10.3.0.2
Les sections suivantes présentent des extraits de configuration sur le routeur et le commutateur nécessaires à la configuration de la haute disponibilité multinœud dans le réseau.
Sur le routeur (MX960)
set interfaces ge-0/0/0 description HA set interfaces ge-0/0/0 unit 0 family inet address 10.2.0.2/16 set interfaces ge-0/0/1 description HA set interfaces ge-0/0/1 unit 0 family inet address 10.3.0.2/16 set interfaces ge-0/0/2 description trust set interfaces ge-0/0/2 unit 0 family inet address 10.4.0.1/16 set interfaces lo0 description loopback set interfaces lo0 unit 0 family inet address 10.111.0.2/32 primary set interfaces lo0 unit 0 family inet address 10.111.0.2/32 preferred set routing-options autonomous-system 65000 set protocols bgp group mnha_r0 type internal set protocols bgp group mnha_r0 local-address 10.2.0.2 set protocols bgp group mnha_r0 local-as 65000 set protocols bgp group mnha_r0 bfd-liveness-detection minimum-interval 500 set protocols bgp group mnha_r0 bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group mnha_r0 bfd-liveness-detection multiplier 3 set protocols bgp group mnha_r0 neighbor 10.2.0.1 set protocols bgp group mnha_r0_b type internal set protocols bgp group mnha_r0_b local-address 10.3.0.2 set protocols bgp group mnha_r0_b local-as 65000 set protocols bgp group mnha_r0_b bfd-liveness-detection minimum-interval 500 set protocols bgp group mnha_r0_b bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group mnha_r0_b bfd-liveness-detection multiplier 3 set protocols bgp group mnha_r0_b neighbor 10.3.0.1
Sur le commutateur (EX9214)
set interfaces ge-0/0/0 description lan set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/1 description lan set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/2 description lan set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members lan set vlans lan vlan-id 1001
Configuration
Procédure étape par étape
Nous montrons la configuration de SRX-01 dans la procédure étape par étape.
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
-
Configurez les interfaces.
[edit] user@host# set interfaces ge-0/0/3 description "trust" unit 0 family inet address 10.1.0.1/16 user@host# set interfaces ge-0/0/4 description "untrust" unit 0 family inet address 10.2.0.1/16 user@host# set interfaces ge-0/0/2 description "ha_link" unit 0 family inet address 10.22.0.1/24
Les interfaces ge-0/0/3 se connectent au commutateur, ge-0/0/4 connecte le routeur et l’interface ge-0/0/2 est utilisée pour l’ICL.
-
Configurez les interfaces de bouclage.
[edit] user@host# set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.1/32 user@host# set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.2/32 user@host# set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.3/32
Attribuez l’adresse IP (10.11.0.1) à l’interface de bouclage. Cette adresse IP fait office d’adresse IP flottante.
L’utilisation de l’interface de bouclage garantit qu’à tout moment, le trafic des routeurs adjacents sera dirigé vers l’adresse IP flottante (c’est-à-dire vers le nœud actif).
- Configurez les politiques de sécurité.
[edit] user@host# set security policies default-policy permit-all user@host# set security policies global policy All match source-address any user@host# set security policies global policy All match destination-address any user@host# set security policies global policy All match application any user@host# set security policies global policy All then permit
Assurez-vous d’avoir configuré les politiques de sécurité en fonction des exigences de votre réseau. Dans cet exemple, vous allez configurer une stratégie pour autoriser l'ensemble du trafic.
-
Configurez les zones de sécurité, attribuez des interfaces aux zones et spécifiez les services système autorisés pour les zones de sécurité.
[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services ike user@host# set security zones security-zone untrust host-inbound-traffic system-services ping user@host# set security zones security-zone untrust host-inbound-traffic protocols bfd user@host# set security zones security-zone untrust host-inbound-traffic protocols bgp user@host# set security zones security-zone untrust interfaces ge-0/0/4 user@host# set security zones security-zone untrust interfaces lo0.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/3 user@host# set security zones security-zone halink host-inbound-traffic system-services ike user@host# set security zones security-zone halink host-inbound-traffic system-services ping user@host# set security zones security-zone halink host-inbound-traffic system-services high-availability user@host# set security zones security-zone halink host-inbound-traffic system-services ssh user@host# set security zones security-zone halink host-inbound-traffic protocols bfd user@host# set security zones security-zone halink host-inbound-traffic protocols bgp user@host# set security zones security-zone halink interfaces ge-0/0/2
Affectez respectivement les interfaces ge-0/0/3 et ge-0/0/4 aux
trustzones etuntrust. Attribuez l’interface lo0.0 à la zone untrust pour qu’elle se connecte via le réseau IP public. Affectez l’interface ge-0/0/2 à la zone halink. Vous utilisez cette zone pour configurer l’ICL. -
Configurez les options de routage.
[edit] user@host# set routing-options autonomous-system 65000 user@host# set routing-options static route 10.4.0.0/16 next-hop 10.2.0.2 user@host# set routing-options static route 10.111.0.2 next-hop 10.2.0.2
-
Configurez les détails du nœud local et du nœud pair, tels que l’ID du nœud, les adresses lP du nœud local et du nœud pair, ainsi que l’interface du nœud pair.
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.22.0.1 user@host# set chassis high-availability peer-id 2 peer-ip 10.22.0.2 user@host# set chassis high-availability peer-id 2 interface ge-0/0/2.0
Vous allez utiliser l'interface ge-0/0/2 pour communiquer avec le nœud homologue à l'aide de l'ICL.
-
Attachez le profil VPN IPsec IPSEC_VPN_ICL au nœud homologue.
[edit] user@host# set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL
Cette configuration est nécessaire pour établir une liaison ICL sécurisée entre les nœuds.
-
Configurez les options de protocole de détection de transfert bidirectionnel (BFD) pour le nœud homologue.
[edit] user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
Associez l’ID de nœud homologue 2 au groupe de redondance de services 0 (SRG0).
[edit] user@host# set chassis high-availability services-redundancy-group 0 peer-id 2
-
Configurez le groupe de redondance des services 1 (SRG1).
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type hybrid user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac
Attribuez une adresse IP virtuelle (VIP) et une interface pour SRG1.
-
Configurez les paramètres de surveillance IP et BFD pour SRG1 afin de vérifier l’accessibilité d’une adresse IP et de détecter les défaillances du réseau.
[edit] user@host# set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 user@host# set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 user@host# set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 src-ip 10.2.0.1 user@host# set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 session-type singlehop user@host# set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.2.0.2 interface ge-0/0/4.0
Vous pouvez configurer la vivacité BFD en spécifiant les adresses IP source et de destination ainsi que l’interface se connectant à l’appareil pair.
Pour la surveillance IP, spécifiez les interfaces utilisées pour connecter le routeur et le commutateur voisins. -
Configurez un itinéraire de signal actif requis pour l’application de l’activité.
[edit] user@host# set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 user@host# set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 user@host# set chassis high-availability services-redundancy-group 1 preemption user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
L’adresse IP de la route de signal active que vous attribuez est utilisée pour l’annonce des préférences de route.
Note: Vous devez spécifier l’itinéraire de signal actif ainsi que la stratégie route-exists dans l’instruction policy-options. Lorsque vous configurez laactive-signal-routecondition withif-route-exists, le module HA ajoute cette route à la table de routage. -
Configurez les options de stratégie.
[edit] user@host# set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1 table inet.0 user@host# set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2 table inet.0 user@host# set policy-options policy-statement mnha-route-policy term 1 from protocol static user@host# set policy-options policy-statement mnha-route-policy term 1 from protocol direct user@host# set policy-options policy-statement mnha-route-policy term 1 from condition active_route_exists user@host# set policy-options policy-statement mnha-route-policy term 1 then accept metric 10 user@host# set policy-options policy-statement mnha-route-policy term 2 from protocol static user@host# set policy-options policy-statement mnha-route-policy term 2 from protocol direct user@host# set policy-options policy-statement mnha-route-policy term 2 from condition backup_route_exists user@host# set policy-options policy-statement mnha-route-policy term 2 then accept metric 20 user@host# set policy-options policy-statement mnha-route-policy term 3 from protocol static user@host# set policy-options policy-statement mnha-route-policy term 3 from protocol direct user@host# set policy-options policy-statement mnha-route-policy term 3 then accept metric 30 user@host# set policy-options policy-statement mnha-route-policy term default then reject
-
Configurez les options des sessions d’appairage BFD et spécifiez les temporisateurs de détection de vivacité.
[edit] user@host# set protocols bgp group untrust type internal user@host# set protocols bgp group untrust local-address 10.2.0.1 user@host# set protocols bgp group untrust export mnha-route-policy user@host# set protocols bgp group untrust neighbor 10.2.0.2 user@host# set protocols bgp group untrust bfd-liveness-detection minimum-interval 500 user@host# set protocols bgp group untrust bfd-liveness-detection minimum-receive-interval 500 user@host# set protocols bgp group untrust bfd-liveness-detection multiplier 3 user@host# set protocols bgp group untrust local-as 65000
-
Définissez la configuration IKE (Internet Key Exchange) pour la haute disponibilité multinœud. Une configuration IKE définit les algorithmes et les clés utilisés pour établir une connexion sécurisée.
[edit] user@host# set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel user@host# set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys user@host# set security ike proposal MNHA_IKE_PROP dh-group group14 user@host# set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 user@host# set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc user@host# set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 user@host# set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel user@host# set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP user@host# set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" user@host# set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL user@host# set security ike gateway MNHA_IKE_GW version v2-only
v2-only. -
Spécifiez le protocole de proposition IPsec et l’algorithme de chiffrement. Spécifiez les options IPsec pour créer un tunnel IPsec entre deux équipements participants afin de sécuriser la communication VPN.
[edit] user@host# set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel user@host# set security ipsec proposal MNHA_IPSEC_PROP protocol esp user@host# set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm user@host# set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 user@host# set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel user@host# set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP user@host# set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption user@host# set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW user@host# set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL
Le même nom de VPN IPSEC_VPN_ICL doit être mentionné dans vpn_profile la configuration de la haute disponibilité du châssis. La spécification de l’option
ha-link-encryptionchiffre l’ICL pour sécuriser le flux de trafic haute disponibilité entre les nœuds.
Options de configuration pour les mises à niveau logicielles
Dans la haute disponibilité multinœud, lors de la mise à niveau logicielle, vous pouvez rediriger le trafic en fermant les interfaces sur le nœud. Ici, le trafic ne peut pas passer par les nœuds. Pour plus d’informations, consultez Mise à niveau logicielle en haute disponibilité multinœud .
- Configurez toutes les interfaces de trafic sous l’option « shutdown-on-failure ».
user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure <interface-name>
[edit] user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure ge-0/0/3 user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure ge-0/0/4
PRUDENCE:N’utilisez pas les interfaces affectées à la liaison interchâssis (ICL).
Résultats (SRX-1)
À partir du mode configuration, confirmez votre configuration en entrant les commandes suivantes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show chassis high-availability
local-id 1 local-ip 10.22.0.1;
peer-id 2 {
peer-ip 10.22.0.2;
interface ge-0/0/2.0;
vpn-profile IPSEC_VPN_ICL;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 0 {
peer-id {
2;
}
}
services-redundancy-group 1 {
deployment-type hybrid;
peer-id {
2;
}
virtual-ip 1 {
ip 10.1.0.200/16;
interface ge-0/0/3.0;
}
monitor {
bfd-liveliness 10.2.0.2 {
src-ip 10.2.0.1;
session-type singlehop;
interface ge-0/0/4.0;
}
interface {
ge-0/0/3;
ge-0/0/4;
}
}
active-signal-route {
10.39.1.1;
}
backup-signal-route {
10.39.1.2;
}
preemption;
activeness-priority 200;
}
[edit]
user@host# show security ike
proposal MNHA_IKE_PROP {
description mnha_link_encr_tunnel;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy MNHA_IKE_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IKE_PROP ;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway MNHA_IKE_GW {
ike-policy MNHA_IKE_POL ;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal MNHA_IPSEC_PROP {
description mnha_link_encr_tunnel;
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy MNHA_IPSEC_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IPSEC_PROP;
}
vpn IPSEC_VPN_ICL {
ha-link-encryption;
ike {
gateway MNHA_IKE_GW;
ipsec-policy MNHA_IPSEC_POL;
}
}
[edit]
user@host# show policy-options
policy-statement mnha-route-policy {
term 1 {
from {
protocol [ static direct ];
condition active_route_exists;
}
then {
metric 10;
accept;
}
}
term 2 {
from {
protocol [ static direct ];
condition backup_route_exists;
}
then {
metric 20;
accept;
}
}
term 3 {
from protocol [ static direct ];
then {
metric 30;
accept;
}
}
term default {
then reject;
}
}
condition active_route_exists {
if-route-exists {
address-family {
inet {
10.39.1.1/32;
table inet.0;
}
}
}
}
condition backup_route_exists {
if-route-exists {
address-family {
inet {
10.39.1.2/32;
table inet.0;
}
}
}
}
user@host# show routing-options
autonomous-system 65000;
static {
route 10.4.0.0/16 next-hop 10.2.0.2;
route 10.111.0.2/32 next-hop 10.2.0.2;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/4.0;
lo0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone halink {
host-inbound-traffic {
system-services {
ike;
ping;
high-availability;
ssh;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
ge-0/0/2 {
description ha_link;
unit 0 {
family inet {
address 10.22.0.1/24;
}
}
}
ge-0/0/3 {
description trust;
unit 0 {
family inet {
address 10.1.0.1/16;
}
}
}
ge-0/0/4 {
description untrust;
unit 0 {
family inet {
address 10.2.0.1/16;
}
}
}
lo0 {
description untrust;
unit 0 {
family inet {
address 10.11.0.1/32;
address 10.11.0.2/32;
address 10.11.0.3/32;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Résultats (SRX-2)
À partir du mode configuration, confirmez votre configuration en entrant les commandes suivantes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show chassis high-availability
local-id 2 local-ip 10.22.0.2;
peer-id 1 {
peer-ip 10.22.0.1;
interface ge-0/0/2.0;
vpn-profile IPSEC_VPN_ICL;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 0 {
peer-id {
1;
}
}
services-redundancy-group 1 {
deployment-type hybrid;
peer-id {
1;
}
virtual-ip 1 {
ip 10.1.0.200/16;
interface ge-0/0/3.0;
use-virtual-mac;
}
monitor {
bfd-liveliness 10.3.0.2 {
src-ip 10.3.0.1;
session-type singlehop;
interface ge-0/0/4.0;
}
interface {
ge-0/0/3;
ge-0/0/4;
}
}
active-signal-route {
10.39.1.1;
}
backup-signal-route {
10.39.1.2;
}
activeness-priority 1;
}
[edit]
user@host# show security ike
proposal MNHA_IKE_PROP {
description mnha_link_encr_tunnel;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy MNHA_IKE_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IKE_PROP ;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway MNHA_IKE_GW {
ike-policy MNHA_IKE_POL ;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal MNHA_IPSEC_PROP {
description mnha_link_encr_tunnel;
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy MNHA_IPSEC_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IPSEC_PROP;
}
vpn IPSEC_VPN_ICL {
ha-link-encryption;
ike {
gateway MNHA_IKE_GW;
ipsec-policy MNHA_IPSEC_POL;
}
}
[edit]
user@host# show policy-options
route-filter-list loopback {
10.11.0.0/24 orlonger;
}
route-filter-list ipsec {
10.4.0.0/16 orlonger;
}
policy-statement mnha-route-policy {
term 1 {
from {
protocol [ static direct ];
condition active_route_exists;
}
then {
metric 10;
accept;
}
}
term 2 {
from {
protocol [ static direct ];
condition backup_route_exists;
}
then {
metric 20;
accept;
}
}
term 3 {
from protocol [ static direct ];
then {
metric 35;
accept;
}
}
term default {
then reject;
}
}
condition active_route_exists {
if-route-exists {
address-family {
inet {
10.39.1.1/32;
table inet.0;
}
}
}
}
condition backup_route_exists {
if-route-exists {
address-family {
inet {
10.39.1.2/32;
table inet.0;
}
}
}
}
[edit]
user@host# show routing-options
autonomous-system 65000;
static {
route 10.4.0.0/16 next-hop 10.3.0.2;
route 10.111.0.2/32 next-hop 10.3.0.2;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/4.0;
lo0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone halink {
host-inbound-traffic {
system-services {
ike;
ping;
high-availability;
ssh;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
[edit]
root@10.52.45.32# show interfaces
ge-0/0/2 {
description ha_link;
unit 0 {
family inet {
address 10.22.0.2/24;
}
}
}
ge-0/0/3 {
description trust;
unit 0 {
family inet {
address 10.1.0.2/16;
}
}
}
ge-0/0/4 {
description untrust;
unit 0 {
family inet {
address 10.3.0.1/16;
}
}
}
lo0 {
description untrust;
unit 0 {
family inet {
address 10.11.0.1/32;
address 10.11.0.2/32;
address 10.11.0.3/32;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
user@host# commit warning: High Availability Mode changed, please reboot the device to avoid undesirable behavior commit complete
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérifier les détails de la haute disponibilité multinœud
- Vérifier l’état du noeud homologue multinoeud haute disponibilité
- Vérifier les groupes de redondance des services de haute disponibilité multinœuds
- Vérifier l’état de haute disponibilité de plusieurs nœuds avant et après le basculement
- Vérifier l’état du chiffrement ICL (Interchassis Link)
- Vérifier les statistiques du tunnel de chiffrement de liens
Vérifier les détails de la haute disponibilité multinœud
But
Affichez et vérifiez les détails de la configuration de la haute disponibilité multinœud configurée sur votre équipement de sécurité.
Action
À partir du mode opérationnel, exécutez la commande suivante :
Sur SRX-1
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.22.0.1
HA Peer Information:
Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
Sur SRX-2
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: BACKUP
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Signification
Vérifiez ces détails à partir de la sortie de la commande :
-
Détails du nœud local et du nœud pair, tels que l’adresse IP et l’ID.
-
Le champ
Encrypted: YESindique que le trafic est protégé. -
Le champ
Deployment Type: HYBRIDindique une configuration en mode hybride, c’est-à-dire que le réseau dispose d’un routeur d’un côté et d’un commutateur de l’autre. -
Le champ
Services Redundancy Group: 1indique l’état du SRG1 (ACTIVE ou BACKUP) sur ce nœud.
Vérifier l’état du noeud homologue multinoeud haute disponibilité
But
Affichez et vérifiez les détails du nœud homologue.
Action
À partir du mode opérationnel, exécutez la commande suivante :
Le SRX-1
user@host> user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16000
Internal Local-IP: 180.100.1.1
Internal Peer-IP: 180.100.1.2
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 3 2
SRG Status Ack 2 3
Attribute Msg 4 2
Attribute Ack 2 1
Le SRX-2
user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16000
Internal Local-IP: 180.100.1.2
Internal Peer-IP: 180.100.1.1
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 2 3
SRG Status Ack 3 2
Attribute Msg 3 1
Attribute Ack 1 2
Signification
Vérifiez ces détails à partir de la sortie de la commande :
-
Détails du nœud homologue tels que l’interface utilisée, l’adresse IP et l’ID
-
État du chiffrement, de la connexion et de la synchronisation à froid
-
Statistiques de paquets sur l’ensemble du nœud.
Vérifier les groupes de redondance des services de haute disponibilité multinœuds
But
Vérifiez que les passerelles de sécurité sont configurées et fonctionnent correctement.
Action
À partir du mode opérationnel, exécutez la commande suivante :
Pour SRG0 :
user@host> show chassis high-availability services-redundancy-group 0
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
Pour le SRG1 :
user@host> show chassis high-availability services-redundancy-group 1 >
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
Signal Route Info:
Active Signal Route:
IP: 10.39.1.1
Routing Instance: default
Status: INSTALLED
Backup Signal Route:
IP: 10.39.1.2
Routing Instance: default
Status: NOT INSTALLED
Virtual IP Info:
Index: 1
IP: 10.1.0.200/16
VMAC: N/A
Interface: ge-0/0/3.0
Status: INSTALLED
Split-brain Prevention Probe Info:
DST-IP: 10.1.0.200
Routing Instance: default
Status: NOT RUNNING
Result: N/A Reason: N/A
BFD Monitoring:
Status: UNKNOWN
SRC-IP: 10.2.0.2 DST-IP: 10.2.0.1
Routing Instance: default
Type: SINGLE-HOP
IFL Name: ge-0/0/4.0
State: INSTALLED
Interface Monitoring:
Status: UP
IF Name: ge-0/0/4 State: Up
IF Name: ge-0/0/3 State: Up
Signification
Vérifiez ces détails à partir de la sortie de la commande :
-
Détails sur les nœuds homologues tels que le type de déploiement, l’état et les itinéraires des signaux actifs et de secours.
-
Informations sur l’adresse IP virtuelle telles que l’adresse IP et l’adresse MAC virtuelle.
-
État de surveillance IP et BFD.
Vérifier l’état de haute disponibilité de plusieurs nœuds avant et après le basculement
But
Vérifiez la modification de l’état du nœud avant et après le basculement dans une configuration de haute disponibilité multinœud.
Action
Pour vérifier l’état de haute disponibilité multinœud sur le nœud de sauvegarde (SRX-2), exécutez la commande suivante à partir du mode opérationnel :
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: BACKUP
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Sous la Services Redundancy Group: 1 section, vous pouvez voir le Status: BACKUP champ. Cette valeur de champ indique que l’état du SRG 1 est sauvegarde.
Lancez le basculement sur le nœud actif (périphérique SRX-1) et exécutez à nouveau la commande sur le nœud de secours (SRX-2).
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: DOWN
Cold Sync Status: IN PROGRESS
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: HYBRID
Status: ACTIVE
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Notez que dans la Services Redundancy Group: 1 section, l’état de SRG1 est passé de BACKUP à ACTIVE.
Vous pouvez également consulter les détails du nœud homologue dans la Peer Information section. La sortie indique l’état de l’homologue en tant que SAUVEGARDE.
Vérifier l’état du chiffrement ICL (Interchassis Link)
But
Vérifiez l’état de la liaison interchâssis (ICL).
Action
À partir du mode opérationnel, exécutez la commande suivante :
user@host> show security ipsec security-associations ha-link-encryption detail
ID: 495003 Virtual-system: root, VPN Name: IPSEC_VPN_ICL
Local Gateway: 10.22.0.1, Remote Gateway: 10.22.0.2
Traffic Selector Name: __IPSEC_VPN_ICL__multi_node__
Local Identity: ipv4(180.100.1.1-180.100.1.1)
Remote Identity: ipv4(180.100.1.2-180.100.1.2)
TS Type: traffic-selector
Version: IKEv2
PFS group: N/A
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.16000, Tunnel MTU: 0, Policy-name: MNHA_IPSEC_POL
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
HA Link Encryption Mode: Multi-Node
Location: FPC -, PIC -, KMD-Instance -
Anchorship: Thread -
Distribution-Profile: default-profile
Direction: inbound, SPI: 0x00022d84, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3395 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2794 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 0
IKE SA Index: 4294966277
Direction: outbound, SPI: 0x00028296, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3395 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2794 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 0
IKE SA Index: 4294966277
Signification
La sortie de la commande fournit les informations suivantes :
-
Détails de la passerelle locale et de la passerelle distante.
-
Paire IPsec SA pour chaque thread dans PIC.
-
Mode de chiffrement des liens HA (comme indiqué à la ligne suivante) :
HA Link Encryption Mode: Multi-Node -
Algorithmes d’authentification et de chiffrement utilisés
La plage d’adresses IP (180.100.1.x) affichée dans la sortie de la commande sert de sélecteur de trafic IPsec ICL. Le système attribue dynamiquement cette plage d’adresses IP, et il est essentiel de ne pas l’altérer ou la modifier. De plus, la détection de transfert bidirectionnel (BFD) sera automatiquement activée pour la plage IP 180.x.x.x plus large.
Vérifier les statistiques du tunnel de chiffrement de liens
But
Vérifiez les statistiques du tunnel de chiffrement de liens sur les nœuds actifs et de secours.
Action
À partir du mode opérationnel, exécutez la commande suivante :
user@host> show security ipsec statistics ha-link-encryption ESP Statistics: Encrypted bytes: 984248 Decrypted bytes: 462519 Encrypted packets: 9067 Decrypted packets: 8797 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Invalid SPI: 0, TS check fail: 0 Exceeds tunnel MTU: 0 Discarded: 0
Signification
Si vous constatez des problèmes de perte de paquets sur un VPN, vous pouvez exécuter la show security ipsec statistics ha-link-encryption commande plusieurs fois pour vérifier que les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Vous devez également vérifier si les autres compteurs d’erreur sont incrémentés.
Utilisez la show security ike active-peer ha-link-encryption commande pour afficher les détails de l’ICL sur le nœud homologue actif.
Utilisez la clear security ipsec statistics ha-link-encryption commande pour effacer toutes les statistiques IPsec.