Prepare su entorno para el despliegue de alta disponibilidad multinodo
En este tema se proporcionan detalles para preparar el entorno para el despliegue de alta disponibilidad multinodo.
- Modelo del dispositivo
- Versión de Software
- Último paquete IKE de Junos
- Licencias de Software
- Accesibilidad de la red
- Consideración de la dirección IP
Modelo del dispositivo
En la alta disponibilidad de múltiples nodos, debe usar el mismo modelo de firewall de la serie SRX que sus nodos. Por ejemplo, si utiliza el SRX5600 como un nodo, debe utilizar otro SRX5600 como el otro nodo
En el caso de la línea SRX5000 de dispositivos, asegúrese de que las SPC, NPC e IOC tengan la misma ubicación y tipo de ranura.
Para obtener la lista completa de las características y plataformas compatibles, consulte Alta disponibilidad multinodo en el Explorador de características.
Versión de Software
Instale la versión compatible de Junos OS en los dispositivos de seguridad participantes.
Último paquete IKE de Junos
Debe instalar el paquete IKE para habilitar el cifrado ICL en la solución de alta disponibilidad multinodo.
De forma predeterminada, cuando se inicia el firewall de la serie SRX, se ejecuta la arquitectura IKE heredada. Para habilitar la nueva arquitectura de IKE, debe instalar el nuevo paquete IKE de Junos. Este es un paquete opcional incluido en la imagen de descarga del software de Junos OS.
Utilice el comando siguiente para instalar el paquete IKE:
user@host> request system software add optional://junos-ike.tgz
Después de instalar el paquete IKE de Junos, para las actualizaciones de software posteriores de la instancia, el paquete IKE de Junos se actualiza automáticamente a partir de las nuevas versiones de Junos OS instaladas en el dispositivo.
Licencias de Software
No necesita ninguna licencia específica para la función de alta disponibilidad multinodo. Sin embargo, las licencias son exclusivas de cada serie SRX y no se pueden compartir entre los nodos en una configuración de alta disponibilidad multinodo. Por lo tanto, debe usar licencias idénticas en ambos nodos. Si ambos firewalls de la serie SRX no tienen un conjunto idéntico de licencias, el sistema no está listo para el despliegue.
Accesibilidad de la red
Ambos nodos en la configuración de alta disponibilidad multinodo deben poder comunicarse entre sí mediante la ruta ICL. Esta ruta utiliza (independientemente de si la ICL está cifrada o no) la dirección IP, el protocolo y los detalles del puerto. Debe asegurarse de que esta comunicación esté permitida entre los nodos si hay algún firewall u otra inspección en su lugar.
La dirección IP flotante que use para cada nodo debe ser una IP (ruta lógica enrutada) enrutable en toda la red.
Se recomienda enlazar la ICL a la interfaz circuito cerrado (lo0) o a una interfaz Ethernet agregada (ae0), y tener más de un vínculo físico (LAG/LACP) que garantice la diversidad de rutas para obtener la máxima resistencia. También puede usar un puerto Ethernet de ingresos en los firewalls de la serie SRX para configurar una conexión ICL. Asegúrese de separar el tráfico de tránsito en las interfaces de ingresos del tráfico de alta disponibilidad (HA).
Consideración de la dirección IP
En la tabla 1, se proporcionan detalles sobre la compatibilidad de direcciones IPv4 e IPv6 para despliegues de alta disponibilidad multinodo.
| Tipo de despliegue de MNHA | : red de capa 3 (enrutadores en ambos extremos); | red híbrida (enrutador en un extremo y conmutador en el otro); | puertade enlace predeterminada (conmutadores en ambos extremos) |
|---|---|---|---|
| Direcciones IPv4 e IPv6 para monitoreo de IP |
Sí | Sí | Sí |
| Direcciones IPv4 e IPv6 para sondeo de actividad |
Sí | Sí | Sí |
| Direcciones IPv4 e IPv6 virtuales |
No aplica | Sí | Sí |
Soporte disponible para la configuración de direcciones IPv6 para la ruta de señal activa, la ruta de señal de respaldo y las opciones de ruta de instalación en caso de falla en configuraciones de services-redundancia-group en su configuración de MNHA.
Configure solo una VIP por interfaz lógica (IFL) en una configuración de alta disponibilidad multinodo. No está disponible la compatibilidad con el uso de varios VIP o de doble pila.
Uso de conjuntos de direcciones IP en configuración de alta disponibilidad multinodo
Cuando configure varios SRG (modo activo-activo) en alta disponibilidad multinodo, asegúrese de que los grupos de direcciones utilizados por los SRG en un perfil de acceso no se superpongan. Asegúrese también de que la dirección y el conjunto de direcciones configurados en el servidor de RADIUS para los hosts conectados a diferentes SRG deben ser únicos.
Ejemplo: En el siguiente ejemplo, se muestran las configuraciones del conjunto de direcciones con el perfil localpool de acceso y localpool2 para SRG1 y SRG2, respectivamente:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
En este ejemplo, los grupos de redundancia de servicios (SRG1 y SRG2) se encuentran en la misma red (192.0.2.0/24). Sin embargo, las direcciones IP en conjuntos de direcciones se distribuyen para evitar superposiciones (192.0.2.1/24: 192.0.2.127 para SRG1 y 192.0.2.128: 192.0.2.255 para SRG2).
Del mismo modo, debe utilizar direcciones IP únicas y grupos de direcciones para las configuraciones de usuario en el servidor de RADIUS.
En caso de que asigne la misma dirección para hosts en dos SRG, la alta disponibilidad multinodo elimina el nuevo host y detiene las negociaciones de IKE con el siguiente mensaje:
AUTHENTICATION_FAILED as the AUTH response
Registro del sistema muestra el siguiente mensaje:
Duplicate assigned IPv4 received, delete new peer
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.