Prepare su entorno para el despliegue de alta disponibilidad multinodo
En este tema se proporcionan detalles para preparar el entorno para el despliegue de alta disponibilidad multinodo.
Para obtener la lista completa de las características y plataformas compatibles, consulte Alta disponibilidad multinodo en el Explorador de características.
Modelo del dispositivo
En la alta disponibilidad de múltiples nodos, debe usar el mismo modelo de firewall de la serie SRX que sus nodos. Por ejemplo, si utiliza el SRX5600 como un nodo, debe utilizar otro SRX5600 como el otro nodo
En el caso de la línea SRX5000 de dispositivos, asegúrese de que las SPC, NPC e IOC tengan la misma ubicación y tipo de ranura.
Versión de Software
Instale la versión compatible de Junos OS en los dispositivos de seguridad participantes.
Último paquete IKE de Junos
Debe instalar el paquete IKE para habilitar el cifrado ICL en la solución de alta disponibilidad multinodo.
De forma predeterminada, cuando se inicia el firewall de la serie SRX, se ejecuta la arquitectura IKE heredada. Para habilitar la nueva arquitectura de IKE, debe instalar el nuevo paquete IKE de Junos. Este es un paquete opcional incluido en la imagen de descarga del software de Junos OS.
Utilice el comando siguiente para instalar el paquete IKE:
user@host> request system software add optional://junos-ike.tgz
Después de instalar el paquete IKE de Junos, para las actualizaciones de software posteriores de la instancia, el paquete IKE de Junos se actualiza automáticamente a partir de las nuevas versiones de Junos OS instaladas en el dispositivo.
Licencias de Software
No necesita ninguna licencia específica para la función de alta disponibilidad multinodo. Sin embargo, las licencias son exclusivas de cada serie SRX y no se pueden compartir entre los nodos en una configuración de alta disponibilidad multinodo. Por lo tanto, debe usar licencias idénticas en ambos nodos. Si ambos firewalls de la serie SRX no tienen un conjunto idéntico de licencias, el sistema no está listo para el despliegue.
Accesibilidad de la red
Ambos nodos en la configuración de alta disponibilidad multinodo deben poder comunicarse entre sí mediante la ruta ICL. Esta ruta utiliza (independientemente de si la ICL está cifrada o no) la dirección IP, el protocolo y los detalles del puerto. Debe asegurarse de que esta comunicación esté permitida entre los nodos si hay algún firewall u otra inspección en su lugar.
La dirección IP flotante que use para cada nodo debe ser una IP (ruta lógica enrutada) enrutable en toda la red.
Se recomienda enlazar la ICL a la interfaz circuito cerrado (lo0) o a una interfaz Ethernet agregada (ae0), y tener más de un vínculo físico (LAG/LACP) que garantice la diversidad de rutas para obtener la máxima resistencia. También puede usar un puerto Ethernet de ingresos en los firewalls de la serie SRX para configurar una conexión ICL. Asegúrese de separar el tráfico de tránsito en las interfaces de ingresos del tráfico de alta disponibilidad (HA).
Uso de conjuntos de direcciones IP en configuración de alta disponibilidad multinodo
Cuando configure varios SRG (modo activo/activo) en alta disponibilidad multinodo, asegúrese de que los grupos de direcciones utilizados por los SRG en un perfil de acceso no se superpongan. Asegúrese también de que la dirección y el conjunto de direcciones configurados en el servidor de RADIUS para los hosts conectados a diferentes SRG deben ser únicos.
Ejemplo: En el siguiente ejemplo, se muestran las configuraciones del conjunto de direcciones con el perfil localpool de acceso y localpool2 para SRG1 y SRG2, respectivamente:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
En este ejemplo, los grupos de redundancia de servicios (SRG1 y SRG2) se encuentran en la misma red (192.0.2.0/24). Sin embargo, las direcciones IP en conjuntos de direcciones se distribuyen para evitar superposiciones (192.0.2.1/24: 192.0.2.127 para SRG1 y 192.0.2.128: 192.0.2.255 para SRG2).
Del mismo modo, debe utilizar direcciones IP únicas y grupos de direcciones para las configuraciones de usuario en el servidor de RADIUS.
En caso de que asigne la misma dirección para hosts en dos SRG, la alta disponibilidad multinodo elimina el nuevo host y detiene las negociaciones de IKE con el siguiente mensaje:
AUTHENTICATION_FAILED as the AUTH response
Registro del sistema muestra el siguiente mensaje:
Duplicate assigned IPv4 received, delete new peer
Consideración de direcciones IPv4 e IPv6
En la tabla 1, se proporcionan detalles sobre la compatibilidad de direcciones IPv4 e IPv6 para despliegues de alta disponibilidad multinodo.
| Tipo de despliegue de MNHA | Red de capa 3 (enrutadores en ambos extremos) | Red híbrida (enrutador en un extremo y conmutador en el otro extremo) | Puerta de enlace predeterminada (conmutadores en ambos extremos) |
|---|---|---|---|
| Direcciones IPv4 e IPv6 para monitoreo de IP |
Sí | Sí | Sí |
| Direcciones IPv4 e IPv6 para sondeo de actividad |
Sí | Sí | Sí |
| Direcciones IPv4 e IPv6 virtuales |
No aplica | Sí | Sí |
Soporte disponible para la configuración de direcciones IPv6 para la ruta de señal activa, la ruta de señal de respaldo y las opciones de ruta de instalación en caso de falla en configuraciones de services-redundancia-group en su configuración de MNHA.
Configure solo una VIP por interfaz lógica (IFL) en una configuración de alta disponibilidad multinodo. No está disponible la compatibilidad con el uso de varios VIP o de doble pila.
Direcciones IP virtuales de doble pila en alta disponibilidad de múltiples nodos
MNHA admite soporte de IP virtual de doble pila (IPv4 e IPv6) para los despliegues predeterminados del modo de puerta de enlace y del modo híbrido. En estas implementaciones, puede asignar una dirección IPv4 y una dirección IPv6 a la misma IP virtual en [edit chassis high-availability services-redundancy-group] jerarquía. Con la compatibilidad con dos pilas, puede configurar una dirección IPv4 y una dirección IPv6 en la misma IP virtual agregando varias ip instrucciones. Si configura solo una familia de direcciones, el comportamiento del grupo de redundancia de servicio (SRG) sigue siendo el mismo que en los despliegues de una sola pila.
El SRG administra el estado de instalación y la tolerancia a fallos para ambas familias de direcciones como una única entrada IP virtual. Este enfoque mantiene coherente el comportamiento predeterminado de la puerta de enlace en interfaces de doble pila sin necesidad de índices IP virtuales independientes para IPv4 e IPv6.
Si el sondeo de prevención de cerebro dividido está configurado para un SRG con direcciones IP virtuales de doble pila, el sistema sondea cada dirección configurada y evalúa los resultados en conjunto. Si la dirección IP virtual IPv4 o IPv6 responde, el sondeo se considera exitoso. Este comportamiento ayuda a evitar decisiones de rol incorrectas cuando solo se ve afectada una familia de direcciones.
Este soporte mejora la adopción de MNHA en entornos de doble pila y permite que el sistema administre y conmute por error direcciones IP virtuales IPv4 e IPv6 para mantener la continuidad del tráfico y la alta disponibilidad.
Para configurar direcciones IP virtuales de doble pila, agregue un prefijo IPv4 y un prefijo IPv6 bajo el mismo ID de SRG e índice IP virtual, como se muestra en el siguiente ejemplo:
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type switching user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 2001:db8:6700::3/64 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.2.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 2001:db8:6701::7/64 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface ge-0/0/4.0
Para comprobar que el SRG realiza un seguimiento de ambas direcciones en el mismo índice, utilice:
show chassis high-availability services-redundancy-group 1
show chassis high-availability information detail
- Verificar la instalación de IPv4 e IPv6 Virtual IP (VIP)
- Comprobar la instalación de IP virtuales en interfaces
Verificar la instalación de IPv4 e IPv6 Virtual IP (VIP)
Utilice el comando para ver los detalles de las show chassis high-availability services-redundancy-group 1 direcciones IP.
Modo de conmutación
user@host> show chassis high-availability services-redundancy-group 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Virtual IP Info:
Index: 2
IP: 10.2.0.200/16
IP2: 2001:db8:6701::7/64
VMAC: 00:10:db:fe:01:02
Interface: ge-0/0/4.0
Status: INSTALLED
Index: 1
IP: 10.1.0.200/16
IP2: 2001:db8:6700::3/64
VMAC: 00:10:db:fe:01:01
Interface: ge-0/0/3.0
Status: INSTALLED
Split-brain Prevention Probe Info:
DST-IP: 10.1.0.200
Routing Instance: default
Type: ICMP Probe
Status: NOT RUNNING
Result: N/A Reason: N/A
DST-IP: 2001:db8:6700::3
Routing Instance: default
Type: ICMP Probe
Status: NOT RUNNING
Result: N/A Reason: N/A
Interface Monitoring:
Status: UP
IF Name: ge-0/0/4 State: Up
IF Name: ge-0/0/3 State: Up
IP SRGID Table:
SRGID IP Prefix Routing Table
1 2001:db8:6701::7/128 default
1 10.2.0.200/32 default
1 2001:db8:6700::3/128 default
1 10.1.0.200/32 default
En los ejemplos anteriores:
- Tanto IPv4 como IPv6 VIP están presentes, lo que confirma que el apilamiento dual está activo.
- VIP solo se instala en el nodo activo.
Comprobar la instalación de IP virtuales en interfaces
Utilice el show interface terse comando para comprobar si hay direcciones IP virtuales instaladas en la interfaz.
user@host> show interfaces terse | no-more
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
gr-0/0/0 up up
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/2 up up
ge-0/0/2.0 up up inet 10.22.0.2/24
ge-0/0/3 up up
ge-0/0/3.0 up up inet 10.1.0.200/16
10.3.0.2/24
inet6 2001:db8:6700::3/64
fe80::5604:1aff:fe00:4882/64
ge-0/0/4 up up
ge-0/0/4.0 up up inet 10.2.0.200/16
10.5.0.1/24
inet6 2001:db8:6701::7/64
fe80::5604:1aff:fe00:7541/64
...
nodo de respaldo
user@host> show interfaces terse | no-more
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
gr-0/0/0 up up
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/2 up up
ge-0/0/2.0 up up inet 10.22.0.1/24
ge-0/0/3 up up
ge-0/0/3.0 up up inet 10.2.0.2/24
ge-0/0/4 up up
ge-0/0/4.0 up up inet 10.4.0.1/24
...
En el ejemplo anterior, en el nodo activo, la interfaz muestra que las dos IP virtuales de doble pila 10.1.0.200/16 y 2001:db8:6700::3/64 están instaladas en la interfaz ge-0/0/3.0 para el índice VIP 1 y 10.2.0.200/16 y 2001:db8:6701::7/64 están instaladas en la interfaz ge-0/0/4.0 para el índice VIP 2.
En el nodo de copia de seguridad, solo están presentes las direcciones IP de la interfaz local y la VIP no está instalada. Esto garantiza que solo el nodo activo maneje el tráfico. Durante una conmutación por tolerancia a fallos, la VIP se mueve del nodo activo al nodo de respaldo, manteniendo la continuidad del servicio para el tráfico IPv4 e IPv6.
Para una configuración completa, consulte Ejemplo: Configurar alta disponibilidad multinodo en una implementación de puerta de enlace predeterminada.
Escalamiento del soporte de IP virtual en MNHA
Puede aumentar el número de direcciones IP virtuales (VIP) por grupo de redundancia de servicios (SRG) hasta 2000 en el modo de conmutación de alta disponibilidad multinodo (MNHA) (puerta de enlace predeterminada) y en el lado L2 del modo híbrido.
En implementaciones anteriores, la dirección MAC virtual (VMAC) se derivaba mediante el identificador SRG y el índice VIP. Como resultado, cada VIP requería un VMAC único, lo que limitaba la cantidad de VIP a aproximadamente 32 por SRG.
Con esta mejora, VMAC se genera mediante una combinación de los siguientes parámetros:
- Identificador de cuadrícula (grid-id)
- Identificador de grupo de redundancia de servicios (SRG-ID)
- Identificador de MAC virtual (virtual-mac-id)
Esto desacopla la asignación de VMAC del índice VIP, lo que permite que varios VIP compartan el mismo VMAC y aumenta significativamente la escala admitida
ID de cuadrícula (configurado a nivel de chasis)
edit user@host# set chassis high-availability grid-id <1–15>
ID de MAC virtual (configurado por interfaz dentro de un SRG)
edit user@host# set chassis high-availability services-redundancy-group <id> interface <interface> virtual-mac-id <0–15>
Esta configuración debe ser coherente para la misma interfaz en todos los SRG.
Esta mejora permite lo siguiente:
- Hasta ~2000 VIP por SRG
- Hasta 16 interfaces por SRG. Este límite de 16 interfaces se aplica a nivel de interfaz física (IFD). Una sola interfaz física (o paquete de AE) puede alojar varias subinterfaces lógicas y VIP. No es necesario usar las 16 interfaces; Se pueden usar menos, incluida una sola interfaz con múltiples subinterfaces
- Se puede configurar una interfaz Ethernet física o agregada en varios SRG
- Hasta 15 pares de MNHA pueden coexistir dentro de un único dominio de difusión de capa 2. Es decir, se pueden conectar hasta 15 pares MNHA con un ID de cuadrícula único para cada par al mismo conmutador L2 y el ID de red se diferenciará con vMAC único aunque se utilicen el mismo ID de SRG y el ID de interfaz utilizados.
Configuración de ejemplo
Esta configuración configura un par MNHA en la capa 2 (modo de conmutación) con escalado VIP mejorado mediante grid-id y virtual-mac-id.
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.22.0.1 user@host# set chassis high-availability grid-id 5 user@host# set chassis high-availability peer-id 2 peer-ip 10.22.0.2 user@host# set chassis high-availability peer-id 2 interface xe-1/0/7.0 user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 300 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 3 user@host# set chassis high-availability services-redundancy-group 1 deployment-type switching user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 interface xe-1/1/7 virtual-mac-id 10 user@host# set chassis high-availability services-redundancy-group 1 interface xe-1/1/9 virtual-mac-id 11 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.20.0.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface xe-1/1/7.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.40.0.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface xe-1/1/9.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 3 ip 10.20.1.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 3 interface xe-1/1/7.1 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 3 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 4 ip 10.40.1.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 4 interface xe-1/1/9.1 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 4 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 5 ip 10.20.2.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 5 interface xe-1/1/7.2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 5 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 6 ip 10.40.2.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 6 interface xe-1/1/9.2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 6 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 7 ip 10.20.3.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 7 interface xe-1/1/7.3 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 7 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 8 ip 10.40.3.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 8 interface xe-1/1/9.3 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 8 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 9 ip 10.20.4.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 9 interface xe-1/1/7.4 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 9 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 10 ip 10.40.4.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 10 interface xe-1/1/9.4 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 10 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 11 ip 10.20.5.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 11 interface xe-1/1/7.5 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 11 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 12 ip 10.40.5.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 12 interface xe-1/1/9.5 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 12 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 13 ip 10.20.6.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 13 interface xe-1/1/7.6 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 13 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 14 ip 10.40.6.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 14 interface xe-1/1/9.6 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 14 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 15 ip 10.20.7.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 15 interface xe-1/1/7.7 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 15 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 16 ip 10.40.7.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 16 interface xe-1/1/9.7 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 16 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 17 ip 10.20.8.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 17 interface xe-1/1/7.8 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 17 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 18 ip 10.40.8.1/24 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 18 interface xe-1/1/9.8 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 18 use-virtual-mac
En la configuración anterior, todos los VIP en:
xe-1/1/7.*→ compartir VMAC derivado de virtual-mac-id 10xe-1/1/9.*→ compartir VMAC derivado de virtual-mac-id 11
Compatibilidad con versiones anteriores : si grid-id no está configurado, el sistema continúa utilizando el método de generación de VMAC heredado basado en SRG-ID e índice VIP. En este caso, la escala VIP sigue limitada a aproximadamente 32 por SRG.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.