Preparar el entorno para la implementación de alta disponibilidad de varios nodos
En este tema se proporcionan detalles para preparar el entorno para la implementación de alta disponibilidad de varios nodos.
- Modelo de dispositivo
- Versión del software
- El último paquete de Junos IKE
- Licencias de software
- Accesibilidad de la red
- Consideración de la dirección IP
Modelo de dispositivo
En la alta disponibilidad multinodo, debe utilizar el mismo modelo de firewall de la serie SRX que los nodos. Por ejemplo, si utiliza el SRX5600 como un nodo, debe utilizar otro SRX5600 como el otro nodo
En el caso de la línea SRX5000 de dispositivos, asegúrese de que las SPC, NPC e IOC tengan la misma ubicación y tipo de ranura.
Admitimos la alta disponibilidad de multinodo en los siguientes dispositivos:
- SRX5800, SRX5600 SRX5400 con los siguientes componentes que ejecutan Junos OS versión 20.4R1 o posterior:
-
-
Tarjeta de procesamiento de servicios SPC3
-
Tarjeta de E/S IOC3
-
Tarjetas de control de conmutador SCB3 y SCB4
-
Motor de enrutamiento RE3
-
- SRX4600, SRX4200, SRX4100 y SRX1500 con Junos OS versión 22.3R1 o posterior
- SRX2300 y SRX1600 que ejecuten Junos OS versión 23.4R1 o posterior
- SRX4300 ejecutar Junos OS versión 24.2R1 o posterior
- Firewall virtual vSRX con Junos OS versión 22.3R1 o posterior
Versión del software
Instale la versión compatible de Junos OS en los dispositivos de seguridad participantes.
El último paquete de Junos IKE
Debe instalar el paquete IKE para habilitar el cifrado ICL en la solución de alta disponibilidad multinodo.
De forma predeterminada, cuando se inicia el firewall de la serie SRX, se ejecuta la arquitectura IKE heredada. Para habilitar la nueva arquitectura IKE, debe instalar el nuevo paquete IKE de Junos. Este es un paquete opcional incluido en la imagen de descarga del software Junos OS.
Utilice el siguiente comando para instalar el paquete IKE:
user@host> request system software add optional://junos-ike.tgz
Después de instalar el paquete IKE de Junos, para las actualizaciones de software posteriores de la instancia, el paquete IKE de Junos se actualiza automáticamente a partir de las nuevas versiones de Junos OS instaladas en el dispositivo.
Licencias de software
No necesita ninguna licencia específica para la función de alta disponibilidad multinodo. Sin embargo, las licencias son exclusivas de cada serie SRX y no se pueden compartir entre los nodos en una configuración de alta disponibilidad multinodo. Por lo tanto, debe utilizar licencias idénticas en ambos nodos. Si ambos firewalls de la serie SRX no tienen un conjunto idéntico de licencias, el sistema no está listo para el despliegue.
Accesibilidad de la red
Los dos nodos de la configuración de alta disponibilidad multinodo deben poder comunicarse entre sí mediante la ruta ICL. Esta ruta utiliza (independientemente de que la ICL esté cifrada o no) la dirección IP, el protocolo y los detalles del puerto. Debe asegurarse de que esta comunicación esté permitida entre los nodos si existe algún firewall u otra inspección.
La dirección IP flotante que utilice para cada nodo debe ser IP enrutable (ruta de enrutamiento lógico) en toda la red.
Se recomienda enlazar la ICL a la interfaz de circuito cerrado (lo0) o a una interfaz Ethernet agregada (ae0) y tener más de un vínculo físico (LAG/LACP) que garantice la diversidad de rutas para obtener la máxima resistencia. También puede utilizar un puerto Ethernet de ingresos en los firewalls de la serie SRX para configurar una conexión ICL. Asegúrese de separar el tráfico de tránsito en las interfaces de ingresos del tráfico de alta disponibilidad (HA).
Consideración de la dirección IP
En la Tabla 1 se proporcionan detalles sobre la compatibilidad con direcciones IPv4 e IPv6 para implementaciones de alta disponibilidad multinodo.
Tipo de despliegue de MNHA | Red de capa 3 (enrutadores en ambos extremos) | Red híbrida (enrutador en un extremo y conmutador en el otro extremo) | Puerta de enlace predeterminada (conmutadores en ambos extremos) |
---|---|---|---|
Direcciones IPv4 e IPv6 para monitoreo de IP |
Sí | Sí | Sí |
Direcciones IPv4 e IPv6 para sondeo de actividad |
Sí | Sí | Sí |
Direcciones IPv4 e IPv6 virtuales |
No aplica | Sí | Sí |
Configure solo una VIP por interfaz lógica (IFL) en una configuración de alta disponibilidad de varios nodos. No se admite el uso de varias VIP o de doble pila.
Uso de grupos de direcciones IP en la configuración de alta disponibilidad de varios nodos
Cuando configure varios SRG (modo activo-activo) en Alta disponibilidad de varios nodos, asegúrese de que los grupos de direcciones utilizados por los SRG en un perfil de acceso no se superpongan. Asegúrese también de que la dirección y el grupo de direcciones configurados en el servidor RADIUS para los hosts conectados a diferentes SRG deben ser únicos.
Ejemplo: En el siguiente ejemplo se muestran las configuraciones del grupo de direcciones con perfil localpool
de acceso y localpool2
para SRG1 y SRG2 respectivamente:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
En este ejemplo, los grupos de redundancia de servicios (SRG1 y SRG2) están en la misma red (192.0.2.0/24). Sin embargo, las direcciones IP de los grupos de direcciones se distribuyen para evitar la superposición (192.0.2.1/24—192.0.2.127 para SRG1 y 192.0.2.128—192.0.2.255 para SRG2).
Del mismo modo, debe utilizar direcciones IP únicas y grupos de direcciones para las configuraciones de usuario en el servidor RADIUS.
En caso de que asigne la misma dirección para hosts en dos SRG, Alta disponibilidad multinodo elimina el nuevo host y detiene las negociaciones de IKE con el siguiente mensaje:
AUTHENTICATION_FAILED as the AUTH response
Registro del sistema muestra el siguiente mensaje:
Duplicate assigned IPv4 received, delete new peer