Diseño de alta disponibilidad para firewalls de la serie SRX
Una de las consideraciones más importantes para el diseño de WAN es la alta disponibilidad. La alta disponibilidad garantiza la continuidad del negocio y la recuperación ante desastres al maximizar la disponibilidad y aumentar la redundancia dentro de los diferentes sitios y entre ellos.
El ejemplo de diseño de alta disponibilidad (HA) del firewall de la serie SRX de Juniper® es para administradores que desean implementar el firewall de alta disponibilidad de la serie SRX de Juniper en el borde, pero no para configuraciones de caja blanca.
En esta documentación, encontrará instrucciones paso a paso para configurar una implementación radial de alta disponibilidad mediante firewalls de la serie SRX. Dado que esta implementación de alta disponibilidad se basa en las configuraciones a las que se hace referencia en la configuración de la garantía de WAN de Juniper® Mist , primero deberá configurar la red con esas opciones. En este ejemplo, aprenderá a configurar firewalls de la serie SRX en una configuración de clúster de alta disponibilidad.
Visión general
Implementará un Hub and Spoke de alta disponibilidad, tal y como se muestra en la figura 1. Aquí vemos la topología de garantía de WAN de Juniper Mist de alta disponibilidad de la serie SRX para esta guía de diseño de alta disponibilidad.
Antes de comenzar, asegúrese de haber configurado la topología descrita en la Guía de configuración de Juniper WAN Assurance.
La topología utiliza una configuración de clúster independiente y una configuración de clúster de alta disponibilidad de radio y una configuración de clúster de alta disponibilidad de hub en el otro lado.
La agrupación en clústeres de alta disponibilidad de la serie SRX admitida para la implementación del borde WAN requiere adyacencia local de Layer2 para una configuración radial o de concentrador.
Antes de empezar
- Comprenda cómo configurar clústeres de alta disponibilidad con firewalls de la serie SRX.
- Necesitará una interfaz de control de alta disponibilidad dedicada, definida por el tipo de dispositivo. Esta interfaz se conecta generalmente mediante un cable de conexión entre los dos dispositivos. Debe utilizar el mismo puerto para la interfaz de control de alta disponibilidad. Para saber qué puerto admite su dispositivo, consulte Descripción de la numeración de ranuras de clúster de chasis serie SRX y la nomenclatura de puertos físicos e interfaces lógicas.
La configuración del borde de la WAN puede seleccionar automáticamente la interfaz de estructura situada junto a la interfaz de control de alta disponibilidad. Para obtener más información, inicie sesión https://manage.mist.com y consulte la documentación.
- Necesitará una interfaz de datos de estructura dedicada. Esta interfaz se conecta generalmente mediante un parche entre los dos dispositivos. Para la configuración del borde de WAN, no se admite la selección de ningún puerto como puerto de estructura. Recomendamos utilizar el puerto situado junto al puerto de control. Consulte también Interfaces de estructura de clúster de chasis.
- De forma similar al chasis virtual, los puertos del nodo secundario se vuelven a numerar después de la formación del clúster de chasis.
- La creación del clúster siempre implica configurar dos nodos y reiniciarlos después de problemas de comandos iniciales para construir el clúster. Consulte Ejemplo: Configuración del ID de nodo y el ID de clúster para dispositivos de seguridad en un clúster de chasis .
Descripción de la interfaz para HA Cluster
En los ejemplos siguientes se muestra el uso de interfaces para la configuración del clúster de chasis.
Solo WAN1, WAN0 y LAN1 se pueden cambiar en la lista siguiente si no entran en conflicto con otras que no se pueden cambiar.
Primary Node0 Interface Table Device MGMT (fxp0) HA Control Fabric Data WAN0 ZTP-IF WAN1 LAN1 LAN2 optional vSRX-N0 Mgmt em0 ge-0/0/0 ge-0/0/1 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX300-N0 ge-0/0/0 ge-0/0/1 ge-0/0/2 ge-0/0/7 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX320-N0 ge-0/0/0 ge-0/0/1 ge-0/0/2 ge-0/0/7 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX340-N0 Mgmt ge-0/0/1 ge-0/0/2 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX345-N0 Mgmt ge-0/0/1 ge-0/0/2 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX380-N0 Mgmt ge-0/0/1 ge-0/0/2 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX550-N0 Mgmt ge-0/0/1 ge-0/0/2 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX1500-N0 Mgmt ha_control ge-0/0/1 ge-0/0/0 ge-0/0/3 ge-0/0/4 ge-0/0/5 SRX4100-N0 Mgmt ha_control ha_data xe-0/0/0 xe-0/0/3 xe-0/0/4 xe-0/0/5 SRX4200-N0 Mgmt ha_control ha_data xe-0/0/0 xe-0/0/3 xe-0/0/4 xe-0/0/5 SRX4600-N0 Mgmt ha_control ha_data xe-1/0/0 xe-1/0/3 xe-1/0/4 xe-1/0/5
Una vez configurado el clúster de chasis y reiniciando ambos nodos, el segundo nodo (nodo 1) vuelve a numerar sus interfaces como se muestra en el ejemplo siguiente. Debe utilizar la numeración de interfaz al configurar la segunda interfaz WAN/LAN en el portal de Juniper Mist.
Secondary Node1 Interface Table RENUMBERING Device MGMT (fxp0) HA Control Fabric Data WAN0 ZTP-IF WAN1 LAN1 LAN2 optional vSRX-N1 Mgmt em0 ge-7/0/0 ge-7/0/1 ge-7/0/3 ge-7/0/4 ge-7/0/5 SRX300-N1 ge-1/0/0 ge-1/0/1 ge-1/0/2 ge-1/0/7 ge-1/0/3 ge-1/0/4 ge-1/0/5 SRX320-N1 ge-3/0/0 ge-3/0/1 ge-3/0/2 ge-3/0/7 ge-3/0/3 ge-3/0/4 ge-3/0/5 SRX340-N1 Mgmt ge-5/0/1 ge-5/0/2 ge-5/0/0 ge-5/0/3 ge-5/0/4 ge-5/0/5 SRX345-N1 Mgmt ge-5/0/1 ge-5/0/2 ge-5/0/0 ge-5/0/3 ge-5/0/4 ge-5/0/5 SRX380-N1 Mgmt ge-5/0/1 ge-5/0/2 ge-5/0/0 ge-5/0/3 ge-5/0/4 ge-5/0/5 SRX550-N1 Mgmt ge-9/0/1 ge-9/0/2 ge-9/0/0 ge-9/0/3 ge-9/0/4 ge-9/0/5 SRX1500-N1 Mgmt ha_control ge-7/0/1 ge-7/0/0 ge-7/0/3 ge-7/0/4 ge-7/0/5 SRX4100-N1 Mgmt ha_control ha_data xe-7/0/0 xe-7/0/3 xe-7/0/4 xe-7/0/5 SRX4200-N1 Mgmt ha_control ha_data xe-7/0/0 xe-7/0/3 xe-7/0/4 xe-7/0/5 SRX4600-N1 Mgmt ha_control ha_data xe-8/0/0 xe-8/0/3 xe-8/0/4 xe-8/0/5
Interfaces de alta disponibilidad (HA)
Cada ruta y nodo en una red de alta disponibilidad requiere su propia interfaz WAN designada. Esto garantiza el uso activo/activo, lo que significa que estas interfaces permanecen activas y comprometidas, pase lo que pase. Las interfaces WAN pueden contener una dirección IP estática o estar vinculadas a una concesión DHCP, lo que le brinda flexibilidad en la forma de administrarlas.
En ciertos escenarios, puede estar limitado a una sola dirección IP WAN, especialmente para redes MPLS. En estos casos, puede configurar la interfaz como una interfaz VRRP compartida entre dos nodos. Esto establece un uso activo/pasivo de los enlaces, manteniendo el equilibrio y asegurando la continuidad. Una segunda dirección IP para ese segundo nodo mejora aún más el rendimiento de su configuración.
Configurar alta disponibilidad
Ya debe haber configurado redes, aplicaciones, sitios, variables, perfiles de concentrador y plantillas de borde de WAN. Si estos pasos son nuevos para usted, siga primero la Guía de configuración de WAN de Mist antes de continuar con la guía de diseño de alta disponibilidad. Consulte Descripción general de la configuración de WAN Assurance.
Los pasos siguientes describen el proceso de creación de clústeres de alta disponibilidad.
Crear un nuevo perfil de Hub
Ahora es el momento de agregar el segundo nodo en su Hub de alta disponibilidad. En el siguiente paso, creará un nuevo perfil de Hub clonando el existente. A continuación, modificará el clon para cumplir con los nuevos requisitos del concentrador de alta disponibilidad.
Crear plantilla radial
Con nuestros concentradores de alta disponibilidad en su lugar, es hora de crear plantillas de radios coincidentes, una de ellas independiente y la otra en configuración de clústeres de alta disponibilidad. Creamos la nueva plantilla radial clonando la existente y luego modificando la plantilla clonada. En este ejemplo, clonamos la plantilla existente llamada "Spokes".
Crear la plantilla Second Spoke
Ahora es el momento de clonar nuestra plantilla WAN Edge para nuestro nodo de radio redundante.
Incorpore sus dispositivos
Suponemos que ya tiene su firewall de la serie SRX incorporado a la nube de Juniper Mist™. También asumimos que las conexiones físicas, como el cableado, ya están en su lugar y que está utilizando interfaces válidas para la alta disponibilidad. Todos los dispositivos que forman parte del clúster de alta disponibilidad se inician en modo independiente y la configuración del portal de nube de Mist permite que los dispositivos funcionen en modo de clúster.
Puede reclamar o adoptar para incorporar dispositivos en el inventario de su organización. Para obtener más información sobre cómo poner en marcha su firewall de la serie SRX en la nube de Mist, consulte Firewalls SRX listos para la nube.
Reemplazar un nodo de firewall de la serie SRX en un clúster de alta disponibilidad
Puede reemplazar un dispositivo firewall de la serie SRX desde una configuración de clúster de alta disponibilidad con unos sencillos pasos.
Antes de reemplazar un nodo de firewall de la serie SRX del clúster, debe:
- Retire los cables de la estructura del clúster del nodo que se está reemplazando y conéctelo al nuevo nodo de reemplazo.
- Asegúrese de que el firewall de la serie SRX de reemplazo sea del mismo modelo que el dispositivo que se está reemplazando y que tenga la misma versión de Junos OS.
Reemplazar un firewall independiente de la serie SRX
Puede reemplazar el firewall serie SRX conectado o desconectado por otro firewall serie SRX del mismo modelo.