Juniper SRX防火墙HA双机配置步骤.docx

Juniper SRX防火墙双机配置步骤 JSRP是Juniper SRX的私有HA协议，对应ScreenOS的NSRP双机集群协议，支持A/P和A/A模式，JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成，熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念，两台设备完全当作一台设备来看待，两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作，无需额外执行ScreenOS的配置和会话同步等操作，而ScreenOS NSRP可看作在同步配置和动态对象（session）基础上独立运行的两台单独设备。 JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX 是转发与控制层面完全分裂架构，JSRP需要控制层面 (配置同步)和数据层面(Session同步)两个平面的互联，建议控制和数据层面互联链路使用光纤链路直连（部分平台强制要求光纤链路直连）。 JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号，如上所示的SRX5800，每个SRX5800机箱有12个业务槽位，节点0槽位号从0开始编号，节点1槽位号从12开始往后编。 整个JSRP配置过程包括如下7个步骤 l 配置Cluster id和Node id (对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id） l 指定Control Port （指定控制层面使用接口，用于配置同步及心跳） l 指定Fabric Link Port （指定数据层面使用接口，主要session等RTO同步） l 配置Redundancy Group （类似NSRP的VSD group，优先级与抢占等配置） l 每个机箱的个性化配置 （单机无需同步的个性化配置，如主机名、带外管理口IP地址等） l 配置Redundant Ethernet Interface （类似NSRP的Redundant冗余接口） l 配置Interface Monitoring （类似NSRP interface monitor，是RG数据层面切换依据） 1.1. 配置Cluster id和Node idSRX在启用JSRP之后，组成Cluster的两台机箱会被抽象成一台逻辑的机箱，cluster id和node id将会被存放在EEPROM内，每个机箱内部的各个业务引擎通讯用的TNP地址都需要重新分配，因此设备需要重启生效。 注意，这一步两个node都需要配置。 配置命令： SRX5800A srx5800a>set chassis cluster cluster-id 1 node 0 reboot //注1：注意该命令需在operational模式下输入 //注2：Cluster ID取值范围为1 – 15，当Cluster ID = 0时会unsets cluster配置，成为单机 SRX5800B srx5800b>set chassis cluster cluster-id 1 node 1 reboot 1.2. 指定Control Port 这一步只对SRX5K有效(两个node都需要配置)，因为SRX3K 的Control Port是固化的，无需指定。 JSRP中两个机箱的控制平面以主备(A/P)的方式运作。Control Port用于 连接两个机箱的控制平面(RE)，实现RE之间的互相通信，包括传递jsrpd心跳信息(1000ms一次，threshold为3次)， chassisd通信，kernel (ifstate) 状态同步和配置信息同步等。由于Control Port接口的流量直接通到RE，因此可以用”tcpdump”或”monitor traffic interface”来查看Control Port的流量。 由于SRX5K的RE没有专门的Control Port， 因此借用了SPC上的千兆以太网口(SFP形式)作为Control Port，而SRK3K的SFB上已设计有专门的Control Port (通过内部总线直接连接到RE)，因此不需要单独指定。 由于受LAG Feature的限制，SRX5K目前只支持SPC的port 0用于Control Port。 配置命令： SRX5800A set chassis cluster control-ports fpc 11 port 0 set chassis cluster control-ports fpc 23 port 0 //注3：Control Port最好不要选在CP所在的SPC上以降低单板故障对系统的影响 注意: 当配置完contrtol port之后系统配置会自动在两个nodes之间同步，因此后面的配置可以只在一个节点上做即可 1.3. 指定Fabric LinkFabric Link是一个虚拟的交换平面，用于将两个SRX机箱的数据平面连接在一起，类似EX交换机的VCP接口或TX Matrix的SCC，主要用于RTO对象同步和异步路由数据的回程。 JSRP中两个机箱的数据平面以主主(A/A)的方式运作，即不管控制平面是否是master，数据平面的SPU/NPU等始终是Active的，只要流量经过即可转发。 JSRP中Fabric Link采用SRX业务板卡里的以太网接口实现，其通过SPU直接驱动，无需RE干预。因此在RE上通过”tcpdump”或”monitor traffic interface”不能看到Fabric Link的流量。 在有异步路由数据回程的情况下为保证充裕的互联带宽可采用千兆以太网捆绑或万兆以太网接口作为Fabric Link。推荐采用前一种方式，因为接口捆绑 (Aggregate Interface)不但提供了更大的互联带宽，还能保证Fabric Link的高可用性。 //注4： SRX 3K/5K目前尚不支持Aggregate Interface，JUNOS 10.1以后开始支持 配置命令： SRX5800A set interfaces fab0 fabric-options member-interfaces ge-1/0/0 set interfaces fab1 fabric-options member-interfaces ge-13/0/0 //注5：Fabric Link中的Fab0固定用于node 0，Fab1固定用于node 1 1.4. 配置Redundancy GroupRedundancy Group (RG)类似ScreenOS NSRP里的VSD，用来抽象两个机箱之间可以互相热备切换的一组对象，其中RG0固定用于RE切换，RG1用于一组redundant interface切换，如果要做AA，则还需要RG2。由此可以看出，RE切换是独立于接口切换的。 配置如下： lab@srx5800b# show chassis cluster { reth-count 10;//指定redundant Ethernet interface数量，类似ae interface redundancy-group 0 { node 0 priority 200; node 1 priority 100; } redundancy-group 1 { node 0 priority 200; node 1 priority 100; } } 1.5. 每个机箱的个性化配置通过group模板来实现，类似JUNOS RE 的group配置，实际上JSRP中的跨机箱RE切换就是模拟了JUNOS中的RE Redundancy，这样也方便以后实现NSR/ISSU。 配置如下： lab@srx5800a# show groups { node0 { system { host-name srx5800a; } interfaces { fxp0 { unit 0 { family inet { address 172.27.11.196/25; } node1 { system { host-name srx5800b; } interfaces { fxp0 { unit 0 { family inet { address 172.27.11.197/25; } apply-groups “${node}” 1.6. 配置Redundant Ethernet InterfaceRedundant Ethernet interface 是一组主备的以太网接口，实际上利用了跨机箱的802.3ad link aggregate技术来实现两个成员接口间的主备切换。 Redundant Ethernet interface的MAC地址是虚拟的，其值根据以下公式可以计算得出： 0 0 1 0 D B 1 1 1 1 1 1 1 1 C C C C R R V V 1 1 1 1 1 1 1 CCCC:     Cluster ID RR: Reserved. 00. VV:      Version, 00 for the first release IIIIIIII: Interface id, derived from the reth index. 配置如下： lab@srx5800a# show interface ge-0/0/0 { //node 1的ge-0/0/0 gigether-options { redundant-parent reth0; } } ge-13/0/0 { //node 1的ge-0/0/0 gigether-options { redundant-parent reth0; } } reth0 { redundant-ether-options { redundancy-group 1;//redundant ethernet应属于RG1 } unit 0 { family inet { address 192.168.0.1/24; } } } //注6：JUNOS 9.5中一个RG最多容纳15个redundant Ethernet interface，而整个JSRP系统支持最多128个RG 1.7. 配置Interface Monitoring默认情况下，接口故障只会触发Redundant Ethernet interface内部主备接口切换，这时异步路由流量会从Fabric Link送到egress接口所在的node；如果希望避免这种状况 (比如Fabric Link带宽不够) 则可以通过配置interface monitoring来监控物理接口的存亡，并触发整个Redundancy Group的切换。每个被监控的成员接口需要被赋予一个权重(weight)，当累积的weight超过threshold (default为255)时则可触发整个Redundancy Group切换。 配置如下： lab@srx5800a# show chassis cluster { redundancy-group 1 { interface-monitor { ge-0/0/0 weight 255; ge-0/0/1 weight 255; ge-13/0/1 weight 255; ge-13/0/0 weight 255; } } } 至此一个基本的JSRP配置已经完成，其余安全策略部分的配置跟单机类似。 1.8. JSRP常用维护命令 a) 手工切换JSRP Master root@srx5800a> request chassis cluster failover redundancy-group 1 node 1 b) 手工回复JSRP状态 root@srx5800b> request chassis cluster failover reset redundancy-group 1 c) 查看cluster interface root@router> show chassis cluster interfaces lab@srx5800a# run show chassis cluster interfaces d) 查看cluster 状态 lab@srx5800a# run show chassis cluster status 取消cluster配置 srx5800a# set chassis cluster disable reboot f) 恢复处于disabled状态的node 当control port或fabric link出现故障时，为避免出现双master (split-brain)的状况，JSRP会把出现故障前状态为secdonary的node置为disabled状态，即除了RE，其余部件都不工作。想要恢复必须reboot该node。 srx5800b>request system reboot g)升级软件版本 升级步骤如下： 1. 升级node 0，注意不要重启系统 user@host> request system software add ftp://1.1.1.1/<image_name> no-copy 2. 升级node 1，注意不要重启系统. 3. 同时重启两个系统