Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Prepare su entorno para la implementación de alta disponibilidad de varios nodos

En este tema, se proporcionan detalles para preparar el entorno para la implementación de alta disponibilidad de varios nodos.

Modelo de dispositivo

En la alta disponibilidad de varios nodos, debe usar el mismo modelo de firewall serie SRX que sus nodos. Por ejemplo, si usa la SRX5600 como un nodo, debe usar otra SRX5600 como el otro nodo

En el caso de los dispositivos de la línea SRX5000, asegúrese de que las SPC, NPC e IOC tengan la misma ubicación y tipo de ranura.

Somos compatibles con alta disponibilidad multinodo en los siguientes dispositivos:

  • SRX5800, SRX5600, SRX5400 con los siguientes componentes que ejecutan la versión 20.4R1 o posterior de Junos OS:

    • Tarjeta de procesamiento de servicios SPC3

    • Tarjeta E/S IOC3

    • Tarjetas de control de conmutadores SCB3 y SCB4

    • Motor de enrutamiento RE3

  • SRX4600, SRX4200, SRX4100 y SRX1500 con Junos OS versión 22.3R1 o posterior
  • Firewall virtual vSRX que ejecuta la versión 22.3R1 o posterior de Junos OS

Versión de software

Instale la versión compatible de Junos OS en los dispositivos de seguridad participantes.

Paquete más reciente de Junos IKE

Debe instalar el paquete IKE para habilitar el cifrado ICL en la solución multinodo de alta disponibilidad.

De forma predeterminada, cuando se inicia el firewall de la serie SRX, se ejecuta la arquitectura IKE heredada. Para habilitar la nueva arquitectura de IKE, debe instalar el nuevo paquete IKE de Junos. Este es un paquete opcional incluido en la imagen de descarga del software Junos OS.

Utilice el siguiente comando para instalar el paquete de IKE:

Después de instalar el paquete de Junos IKE, para actualizaciones de software posteriores de la instancia, el paquete de Junos IKE se actualiza automáticamente a partir de las nuevas versiones de Junos OS instaladas en el dispositivo.

Licencias de software

No necesita ninguna licencia específica para la función de alta disponibilidad multinodo. Sin embargo, las licencias son exclusivas de cada serie SRX y no se pueden compartir entre los nodos en una configuración de alta disponibilidad multinodo. Por lo tanto, debe usar licencias idénticas en ambos nodos. Si ambos firewalls serie SRX no tienen un conjunto idéntico de licencias, el sistema no está listo para la implementación.

Accesibilidad a la red

Ambos nodos de la configuración de alta disponibilidad multinodo deben poder comunicarse entre sí mediante la ruta ICL. Esta ruta usa (ya sea que la ICL esté cifrada o no) la dirección IP, el protocolo y los detalles del puerto. Debe asegurarse de que se permita esta comunicación entre los nodos si hay algún firewall u otra inspección.

La dirección IP flotante que utilice para cada nodo debe ser IP enrutable (ruta lógica) en toda la red.

Recomendamos enlazar la ICL a la interfaz de circuito cerrado (lo0) o una interfaz Ethernet agregada (ae0) y tener más de un vínculo físico (LAG/LACP) que garantice la diversidad de rutas para una mayor resistencia. También puede usar un puerto Ethernet de ingresos en los firewalls serie SRX para configurar una conexión ICL. Asegúrese de separar el tráfico de tránsito en las interfaces de ingresos del tráfico de alta disponibilidad (AD).

Consideración de dirección IP

La tabla 1 proporciona detalles sobre la compatibilidad de direcciones IPv4 e IPv6 para implementaciones de alta disponibilidad multinodo.

Red
Tabla 1: Consideración de dirección IP para alta disponibilidad de varios nodos
de tipo de despliegue de MNHA de capa 3 (enrutadores en ambos extremos) Red híbrida (enrutador en un extremo y conmutador en el otro extremo) Puerta de enlace predeterminada (conmutadores en ambos extremos)

Direcciones IPv4 e IPv6 para monitoreo de IP

Direcciones IPv4 e IPv6 para sondeos de actividad

Direcciones IPv4 e IPv6 virtuales

 No aplicable
Nota:

Configure solo un VIP por interfaz lógica (IFL) en una configuración de alta disponibilidad multinodo. La compatibilidad con el uso de varios VIP o de doble pila no está disponible.

Uso de conjuntos de direcciones IP en configuración de alta disponibilidad de varios nodos

Cuando configure varias SRG (modo activo-activo) en alta disponibilidad de varios nodos, asegúrese de que los grupos de direcciones que utilizan los SRG en un perfil de acceso no deben superponerse. También asegúrese de que la dirección y el conjunto de direcciones configurados en el servidor RADIUS para los hosts conectados a diferentes SRG deben ser únicos.

Ejemplo: El siguiente ejemplo muestra las configuraciones del conjunto de direcciones con perfil localpool de acceso y localpool2 para SRG1 y SRG2 respectivamente:

En este ejemplo, los grupos de redundancia de servicios (SRG1 y SRG2) están en la misma red (192.0.2.0/24). Sin embargo, las direcciones IP de los conjuntos de direcciones se distribuyen para evitar superposiciones (192.0.2.1/24; 192.0.2.127 para SRG1 y 192.0.2.128— 192.0.2.255 para SRG2).

De manera similar, debe usar conjuntos de direcciones IP y direcciones únicos para las configuraciones de usuario en el servidor RADIUS.

En caso de que asigne la misma dirección para hosts en dos SRG, la alta disponibilidad de multinodo elimina el nuevo host y detiene las negociaciones de IKE con el siguiente mensaje:

El registro del sistema muestra el siguiente mensaje:

Documentación relacionada