Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Preparar el entorno para la implementación de alta disponibilidad de varios nodos

En este tema se proporcionan detalles para preparar el entorno para la implementación de alta disponibilidad de varios nodos.

Modelo de dispositivo

En la alta disponibilidad multinodo, debe utilizar el mismo modelo de firewall de la serie SRX que los nodos. Por ejemplo, si utiliza el SRX5600 como un nodo, debe utilizar otro SRX5600 como el otro nodo

En el caso de la línea SRX5000 de dispositivos, asegúrese de que las SPC, NPC e IOC tengan la misma ubicación y tipo de ranura.

Admitimos la alta disponibilidad de multinodo en los siguientes dispositivos:

  • SRX5800, SRX5600 SRX5400 con los siguientes componentes que ejecutan Junos OS versión 20.4R1 o posterior:
    • Tarjeta de procesamiento de servicios SPC3

    • Tarjeta de E/S IOC3

    • Tarjetas de control de conmutador SCB3 y SCB4

    • Motor de enrutamiento RE3

  • SRX4600, SRX4200, SRX4100 y SRX1500 con Junos OS versión 22.3R1 o posterior
  • SRX2300 y SRX1600 que ejecuten Junos OS versión 23.4R1 o posterior
  • SRX4300 ejecutar Junos OS versión 24.2R1 o posterior
  • Firewall virtual vSRX con Junos OS versión 22.3R1 o posterior

Versión del software

Instale la versión compatible de Junos OS en los dispositivos de seguridad participantes.

El último paquete de Junos IKE

Debe instalar el paquete IKE para habilitar el cifrado ICL en la solución de alta disponibilidad multinodo.

De forma predeterminada, cuando se inicia el firewall de la serie SRX, se ejecuta la arquitectura IKE heredada. Para habilitar la nueva arquitectura IKE, debe instalar el nuevo paquete IKE de Junos. Este es un paquete opcional incluido en la imagen de descarga del software Junos OS.

Utilice el siguiente comando para instalar el paquete IKE:

Después de instalar el paquete IKE de Junos, para las actualizaciones de software posteriores de la instancia, el paquete IKE de Junos se actualiza automáticamente a partir de las nuevas versiones de Junos OS instaladas en el dispositivo.

Licencias de software

No necesita ninguna licencia específica para la función de alta disponibilidad multinodo. Sin embargo, las licencias son exclusivas de cada serie SRX y no se pueden compartir entre los nodos en una configuración de alta disponibilidad multinodo. Por lo tanto, debe utilizar licencias idénticas en ambos nodos. Si ambos firewalls de la serie SRX no tienen un conjunto idéntico de licencias, el sistema no está listo para el despliegue.

Accesibilidad de la red

Los dos nodos de la configuración de alta disponibilidad multinodo deben poder comunicarse entre sí mediante la ruta ICL. Esta ruta utiliza (independientemente de que la ICL esté cifrada o no) la dirección IP, el protocolo y los detalles del puerto. Debe asegurarse de que esta comunicación esté permitida entre los nodos si existe algún firewall u otra inspección.

La dirección IP flotante que utilice para cada nodo debe ser IP enrutable (ruta de enrutamiento lógico) en toda la red.

Se recomienda enlazar la ICL a la interfaz de circuito cerrado (lo0) o a una interfaz Ethernet agregada (ae0) y tener más de un vínculo físico (LAG/LACP) que garantice la diversidad de rutas para obtener la máxima resistencia. También puede utilizar un puerto Ethernet de ingresos en los firewalls de la serie SRX para configurar una conexión ICL. Asegúrese de separar el tráfico de tránsito en las interfaces de ingresos del tráfico de alta disponibilidad (HA).

Consideración de la dirección IP

En la Tabla 1 se proporcionan detalles sobre la compatibilidad con direcciones IPv4 e IPv6 para implementaciones de alta disponibilidad multinodo.

Tabla 1: Consideración de la dirección IP para la alta disponibilidad de múltiples nodos
Tipo de despliegue de MNHA Red de capa 3 (enrutadores en ambos extremos) Red híbrida (enrutador en un extremo y conmutador en el otro extremo) Puerta de enlace predeterminada (conmutadores en ambos extremos)

Direcciones IPv4 e IPv6 para monitoreo de IP

Direcciones IPv4 e IPv6 para sondeo de actividad

Direcciones IPv4 e IPv6 virtuales

No aplica
Nota:

Configure solo una VIP por interfaz lógica (IFL) en una configuración de alta disponibilidad de varios nodos. No se admite el uso de varias VIP o de doble pila.

Uso de grupos de direcciones IP en la configuración de alta disponibilidad de varios nodos

Cuando configure varios SRG (modo activo-activo) en Alta disponibilidad de varios nodos, asegúrese de que los grupos de direcciones utilizados por los SRG en un perfil de acceso no se superpongan. Asegúrese también de que la dirección y el grupo de direcciones configurados en el servidor RADIUS para los hosts conectados a diferentes SRG deben ser únicos.

Ejemplo: En el siguiente ejemplo se muestran las configuraciones del grupo de direcciones con perfil localpool de acceso y localpool2 para SRG1 y SRG2 respectivamente:

En este ejemplo, los grupos de redundancia de servicios (SRG1 y SRG2) están en la misma red (192.0.2.0/24). Sin embargo, las direcciones IP de los grupos de direcciones se distribuyen para evitar la superposición (192.0.2.1/24—192.0.2.127 para SRG1 y 192.0.2.128—192.0.2.255 para SRG2).

Del mismo modo, debe utilizar direcciones IP únicas y grupos de direcciones para las configuraciones de usuario en el servidor RADIUS.

En caso de que asigne la misma dirección para hosts en dos SRG, Alta disponibilidad multinodo elimina el nuevo host y detiene las negociaciones de IKE con el siguiente mensaje:

Registro del sistema muestra el siguiente mensaje: