網(wǎng)絡(luò)設(shè)備主備配置系列2

網(wǎng)絡(luò)設(shè)備主備配置系列2:netscreen防火墻雙機(jī)主備NETSCREEN防火墻是小俠最喜歡的防火墻了，正好手上也有幾個，于是狂搜了不少資料，進(jìn)行了N個試驗(yàn).現(xiàn)在就拿出一些分享給大家了.一、NSRP工作原理NSRP(NetScreenRedundantProtocol)是Juniper公司基于VRRP協(xié)議規(guī)范自行開發(fā)的設(shè)備冗余協(xié)議。防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，需要為所有進(jìn)出網(wǎng)絡(luò)的信息流提供安全保護(hù)，為滿足客戶不間斷業(yè)務(wù)訪問需求，要求防火墻設(shè)備必須具備高可靠性，能夠在設(shè)備、鏈路及互連設(shè)備出現(xiàn)故障的情況下，提供網(wǎng)絡(luò)訪問路徑無縫切換。NSRP冗余協(xié)議提供復(fù)雜網(wǎng)絡(luò)環(huán)境下的冗余路徑保護(hù)機(jī)制。NSRP主要功能有：1、在高可用群組成員之間同步配置信息；2、提供活動會話同步功能，以保證發(fā)生路徑切換情況下不會中斷網(wǎng)絡(luò)連接；3、采用高效的故障切換算法，能夠在短短幾秒內(nèi)迅速完成故障檢測和狀態(tài)切換。NSRP集群兩種工作模式：一、Active/Passive模式：通過對一個冗余集群中的兩臺安全設(shè)備進(jìn)行電纜連接和配置，使其中一臺設(shè)備作為主用設(shè)備，另一臺作為備用設(shè)備。主用設(shè)備負(fù)責(zé)處理所有網(wǎng)絡(luò)信息流，備用設(shè)備處于在線備份狀態(tài)。主設(shè)備將其網(wǎng)絡(luò)和配置命令及當(dāng)前會話信息傳播到備用設(shè)備，備用設(shè)備始終保持與主用設(shè)備配置信息和會話連接信息的同步，并跟蹤主用設(shè)備狀態(tài)，一旦主設(shè)備出現(xiàn)故障，備份設(shè)備將在極短時間內(nèi)晉升為主設(shè)備并接管信息流處理。二、Active/Active模式：在NSRP中創(chuàng)建兩個虛擬安全設(shè)備(VSD)組，每個組都具有自己的虛擬安全接口(VSI)，通過VSI接口與網(wǎng)絡(luò)進(jìn)行通信。設(shè)備A充當(dāng)VSD組1的主設(shè)備和VSD組2的備份設(shè)備。設(shè)備B充當(dāng)VSD組2的主設(shè)備和VSD組1的備份設(shè)備。Active/Active模式中兩臺防火墻同時進(jìn)行信息流的處理并彼此互為備份。在雙主動模式中不存在任何單一故障點(diǎn)。如下圖所示，通過調(diào)整防火墻上下行路由/交換設(shè)備到網(wǎng)絡(luò)的路由指向，HostA通過左側(cè)路徑訪問ServerA，HostB通過右側(cè)路徑訪問ServerB，網(wǎng)絡(luò)中任一設(shè)備或鏈路出現(xiàn)故障時，NSRP集群均能夠做出正確的路徑切換。JntraRtrAServerASen/erBHgtA廠rHostBNSJntraRtrAServerASen/erBHgtA廠rHostBNS書Irrter刊rAinter-RtrBNSRP集群技術(shù)優(yōu)勢主要體現(xiàn)于：1、消除防火墻及前后端設(shè)備單點(diǎn)故障，提供網(wǎng)絡(luò)高可靠性。即使在骨干網(wǎng)絡(luò)中兩類核心設(shè)備同時出現(xiàn)故障，也能夠保證業(yè)務(wù)安全可靠運(yùn)行。2、根據(jù)客戶網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)可靠性需要，提供靈活多樣的可靠組網(wǎng)方式°NSRP雙機(jī)集群能夠提供1、Active-Passive模式Layer2/3多虛擬路由器多虛擬系統(tǒng)和口型/交叉型組網(wǎng)方式；2、Active-Active模式Layer2/3多虛擬路由器多虛擬系統(tǒng)和口型/Fullmesh交叉型組網(wǎng)方式。為用戶提供靈活的組網(wǎng)選擇。3、NSRP雙機(jī)結(jié)構(gòu)便于網(wǎng)絡(luò)維護(hù)管理，通過將流量在雙機(jī)間的靈活切換，在防火墻軟件升級、前后端網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化改造及故障排查時，雙機(jī)結(jié)構(gòu)均能夠保證業(yè)務(wù)的不間斷運(yùn)行。4、結(jié)合Netscreen虛擬系統(tǒng)和虛擬路由器技術(shù)，部署一對NSRP集群防火墻，可以為企業(yè)更多的應(yīng)用提供靈活可靠的安全防護(hù)，減少企業(yè)防火墻部署數(shù)量和維護(hù)成本。二、NSRP典型結(jié)構(gòu)與配置1、Layer3口型A/P組網(wǎng)模式Layer3口型A/P組網(wǎng)模式是當(dāng)前很多企業(yè)廣泛采用的HA模式，該模式具有對網(wǎng)絡(luò)環(huán)境要求不高，無需網(wǎng)絡(luò)結(jié)構(gòu)做較大調(diào)整，具有較好冗余性、便于管理維護(hù)等優(yōu)點(diǎn)。缺點(diǎn)是Netscreen防火墻利用率不高，同一時間只有一臺防火墻處理網(wǎng)絡(luò)流量；冗余程度有限，僅在一側(cè)鏈路和設(shè)備出現(xiàn)故障時提供冗余切換。Layer3口型組網(wǎng)A/P模式具有較強(qiáng)冗余性、低端口成本和網(wǎng)絡(luò)結(jié)構(gòu)簡單、便于維護(hù)管理等角度考慮，成為很多企業(yè)選用該組網(wǎng)模式的標(biāo)準(zhǔn)。配置說明：兩臺Netscreen設(shè)備采用相同硬件型號和軟件版本，組成Active/Passive冗余模式，兩臺防火墻均使用一致的Ethernet接口編號連接到網(wǎng)絡(luò)。通過雙HA端口或?qū)?Ethernet接口放入HA區(qū)段，其中控制鏈路用于NSRP心跳信息、配置信息和Session會話同步，數(shù)據(jù)鏈路用于在兩防火墻間必要時傳輸數(shù)據(jù)流量。NS-A（主用）：SethostnameNS-A/***定義主機(jī)名***/SetinterfaceethernetlzoneuntrustSetinterfaceethernetlip/29SetinterfaceethernetlrouteSetinterfaceethernet2zonetrustSetinterfaceethernet2ip/29Setinterfaceethernet2routeSetinterfacemgtip/24/***通過管理口遠(yuǎn)程管理NS-A***//***配置接口：Untrust/TrustLayer3路由模式***/Setinterfaceethernet3zoneHASetinterfaceethernet4zoneHA/***Eth3和Eth4口用于HA互連，用于同步配置文件、會話信息和跟蹤設(shè)備狀態(tài)信息***/setnsrpclusterid1setnsrprto-mirrorsyncsetnsrpvsd-groupid0priority50/***缺省值為100，低值優(yōu)先成為主用設(shè)備***/setnsrpmonitorinterfaceethernet2setnsrpmonitorinterfaceethernet1/***配置NSRP：Vsd-group缺省為0，VSI使用物理接口IP地址，非搶占模式***/NS-B（備用）：SethostnameNS-B/***定義主機(jī)名***/Setinterfaceethernet1zoneUntrustSetinterfaceethernet1ip/29Setinterfaceethernet1routeSetinterfaceethernet2zonetrustSetinterfaceethernet2ip/29Setinterfaceethernet2routeSetinterfacemgtip/24/***通過管理口遠(yuǎn)程管理NS-A***//***配置接口：Untrust/TrustLayer3路由模式***/Setinterfaceethernet3zoneHASetinterfaceethernet4zoneHA/***Eth3和Eth4口用于HA互連，用于同步配置文件、會話信息和跟蹤設(shè)備狀態(tài)信息***/setnsrpclusterid1setnsrprto-mirrorsyncsetnsrpvsd-groupid0priority100setnsrpmonitorinterfaceethernet2setnsrpmonitorinterfaceethernet1/***Vsd-group缺省為0，VSI使用物理接口IP地址，備用設(shè)備：優(yōu)先級100，成為非搶占模式***/2、Layer3FullmeshA/P組網(wǎng)模式Layer3Fullmesh連接A/P組網(wǎng)使用全交叉網(wǎng)絡(luò)連接模式，容許在同一設(shè)備上提供鏈路級冗余，發(fā)生鏈路故障時，由備用鏈路接管網(wǎng)絡(luò)流量，防火墻間無需進(jìn)行狀態(tài)切換。僅在上行或下行兩條鏈路同時發(fā)生故障情況下，防火墻才會進(jìn)行狀態(tài)切換，F(xiàn)ullmesh連接進(jìn)一步提高了業(yè)務(wù)的可靠性。該組網(wǎng)模式在提供設(shè)備冗余的同時提供鏈路級冗余，成為很多企業(yè)部署關(guān)鍵業(yè)務(wù)時的最佳選擇。

祁昵100如1/29Uffik1SZ138也1681.1/29Tm瞰Switch-ANS-AActive祁昵100如1/29Uffik1SZ138也1681.1/29Tm瞰Switch-ANS-AActiveSwitch-AAInternet1DG.1SwitchNS-BPassiveSwitch電BNS-A(Active):SethostnameNS-A/***定義主機(jī)名***/Setinterfacemgtip/24/***通過管理口遠(yuǎn)程管理NS-A***/Setinterfacered1zoneUntrust/***創(chuàng)建冗余接口1***/Setinterfacee1zonenullSetinterfacee1groupred1Setinterfacee2zonenullSetinterfacee2groupred1Setinterfacered1ip/29Setinterfacered2zonetrustSetinterfacee3zonenullSetinterfacee3groupred2Setinterfacee4zonenullSetinterfacee4groupred2Setinterfacered2ip/29/***配置接口：Untrust/TrustLayer3路由模式***/Setinterfaceethernet7zonehaSetinterfaceethernet8zonehasetnsrpclusterid1setnsrprto-mirrorsync/***容許會話信息自動同步***/setnsrpvsd-groupid0priority50setnsrpmonitorinterfaceethernet2setnsrpmonitorinterfaceethernet1/***配置NSRP：Vsd-group缺省為0,VSI使用物理接口IP地址，優(yōu)先級為50,非搶占模式***/NS-B（Backup）:SethostnameNS-B/***定義主機(jī)名***/Setinterfacemgtip/24/***通過管理口遠(yuǎn)程管理NS-A***/Setinterfacered1zoneUntrust/***創(chuàng)建冗余接口***/Setinterfacee1zonenullSetinterfacee1groupred1/***將該物理接口放置到冗余接口中***/Setinterfacee2zonenullSetinterfacee2groupred1Setinterfacered1ip/29Setinterfacered2zonetrustSetinterfacee3zonenullSetinterfacee3groupred2Setinterfacee4zonenullSetinterfacee4groupred2Setinterfacered2ip/29/***配置接口：Untrust/TrustLayer3路由模式***/Setinterfaceethernet7zonehaSetinterfaceethernet8zonehasetnsrpclusterid1setnsrprto-mirrorsync/***容許會話信息自動同步***/setnsrpvsd-groupid0priority100setnsrpmonitorinterfaceethernet2setnsrpmonitorinterfaceethernet1/***Vsd-group缺省為0，VSI使用物理接口IP地址，備用設(shè)備***/3、Layer3Fullmesh連接A/A組網(wǎng)模式Layer3Fullmesh連接A/A結(jié)構(gòu)提供了一種更為靈活的組網(wǎng)方式，在保證網(wǎng)絡(luò)高可靠性的同時提升了網(wǎng)絡(luò)的可用性。A/A結(jié)構(gòu)中兩臺防火墻同時作為主用設(shè)備并提供互為在線備份，各自獨(dú)立處理信息流量并共享連接會話信息。一旦發(fā)生設(shè)備故障另一臺設(shè)備將負(fù)責(zé)處理所有進(jìn)出網(wǎng)絡(luò)流量。Fullmesh連接A/A組網(wǎng)模式對網(wǎng)絡(luò)環(huán)境要求較高，要求網(wǎng)絡(luò)維護(hù)人員具備較強(qiáng)技術(shù)能力，防火墻發(fā)生故障時，接管設(shè)備受單臺設(shè)備容量限制，可能會導(dǎo)致會話連接信息丟失，采用A/A模式組網(wǎng)時，建議每臺防火墻負(fù)責(zé)處理的會話連接數(shù)量不超過單臺設(shè)備容量的50%，以確保故障切換時不會丟失會話連接。配置說明：定義VSD0和VSD1虛擬安全設(shè)備組（創(chuàng)建ClusterID時將自動創(chuàng)建VSD0），其中NS-A為VSD0主用設(shè)備和VSD1備用設(shè)備，NS-B為VSD1主用設(shè)備和VSD0備用設(shè)備；創(chuàng)建冗余接口實(shí)現(xiàn)兩物理接口動態(tài)冗余；配置交換機(jī)路由指向來引導(dǎo)網(wǎng)絡(luò)流量經(jīng)過哪個防火墻。NS-A（Active）：setinterfaceredundantlzoneUntrustsetinterfaceredundantlip/29/***VSD0的VSI接口使用物理接口IP地址***/setinterfaceethernet1groupredundant1setinterfaceethernet2groupredundant1setinterfaceredundant2zonetrustsetinterfaceredundant2ip/29setinterfaceredundant2manage-ipsetinterfaceethernet3groupredundant2setinterfaceethernet4groupredundant2/***配置冗余接口、定義Vsd0接口IP地址***/setinterfaceredundant1:1ip/29setinterfaceredundant2:1ip/29/***VSD1的VSI接口需手動配置IP地址，冒號后面的1表示該接口屬于VSD1的VSI***/setinterfaceethernet7zonehasetinterfaceethernet8zonehasetnsrpclusterid1setnsrpvsd-groupid0priority50setnsrpvsd-groupid1/***VSD1使用缺省配置，優(yōu)先級為100***/setnsrprto-mirrorsyncsetnsrpmonitorinterfaceredundant1setnsrpmonitorinterfaceredundant2setnsrpsecondary-pathethernet2/1/***定義NSRP備用心跳接口，保證心跳連接信息不會丟失***/setarpalways-on-dest/***強(qiáng)制采用基于ARP表而不是會話表中的MAC地址轉(zhuǎn)發(fā)封包***/setvroutertrust-vrroute/0interfaceredundant1gatewaysetvroutertrust-vrroute/0interfaceredundant1:1gatewayNS-B(Active)：setinterfaceredundant1zoneUntrustsetinterfaceredundant1ip/29/***VSD0的VSI接口使用物理接口IP地址***/setinterfaceethernet1groupredundant1setinterfaceethernet2groupredundant1setinterfaceredundant2zonetrustsetinterfaceredundant2ip/29setinterfaceredundant2manage-ipsetinterfaceethernet3groupredundant2setinterfaceethernet4groupredundant2/***配置冗余接口、定義Vsd0接口IP地址***/setinterfaceredundant1:1ip/29setinterfaceredundant2:1ip/29setinterfaceethernet7zonehasetinterfaceethernet8zonehasetnsrpclusterid1/***定義一致的Cluster2，自動啟用采用缺省配置的VSD0***/setnsrprto-mirrorsyncsetnsrpvsd-groupid1priority50setnsrpmonitorinterfaceredundantlsetnsrpmonitorinterfaceredundant2setnsrpsecondary-pathethernet2/1/***定義NSRP備用心跳接口，保證心跳連接信息不會丟失***/setarpalways-on-dest/***強(qiáng)制采用基于ARP表而不是會話中的MAC地址轉(zhuǎn)發(fā)封包***/setvroutertrust-vrroute/0interfaceredundant1gatewaysetvroutertrust-vrroute/0interfaceredundant1:1gateway三、NSRP常用維護(hù)命令1、getlicense-key查看防火墻支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是簡化版，支持設(shè)備和鏈路冗余切換，不支持配置和會話同步。2、execnsrpsyncglobal-configcheck-sum檢查雙機(jī)配置命令是否同步3、execnsrpsyncglobal-configsave如雙機(jī)配置信息沒有自動同步，請手動執(zhí)行此同步命令，需重啟系統(tǒng)。4、getnsrp查看NSRP集群中設(shè)備狀態(tài)、主備關(guān)系、會話同步以及參數(shù)開關(guān)信息。5、Execnsrpsyncrtoallfrompeer手動執(zhí)行RTO信息同步，使雙機(jī)保持會話信息一致6、execnsrpvsd-group0modebackup手動進(jìn)行主備狀態(tài)切換時，在主用設(shè)備上執(zhí)行該切換命令，此時該主用設(shè)備沒有啟用搶占模式。7、execnsrpvsd-group0modeineligible手動進(jìn)行主備狀態(tài)切換時，在主用設(shè)備上執(zhí)行該切換命令，此時該主用設(shè)備已啟用搶占模式。8、getalarmevent檢查設(shè)備告警信息，其中將包含NSRP狀態(tài)切換信息四、NetscreenNSRP維護(hù)案例案例1:Netscreen雙機(jī)升級步驟使用Tftp備份兩臺防火墻現(xiàn)有配置文件和OS系統(tǒng)文件。升級步驟為先升級備用設(shè)備后升級主用設(shè)備，如果是Active/Active模式請切換為Active/Passive模式后再升級備用設(shè)備。用筆記本電腦連接NS-B的Console口和MGT口，通過Web界面上對NS-B進(jìn)行升級，并在Console口上觀察升級過程。NS-B升級后將自動重啟，通過Console口觀察重啟過程。啟動后在console上輸入getsystem命令，驗(yàn)證升級后的版本號。輸入getlicense，驗(yàn)證license信息是否符合升級要求。輸入getnsrp，驗(yàn)證此設(shè)備處于備機(jī)狀態(tài)。Session信息應(yīng)該自動從主機(jī)上同步到備機(jī)。為進(jìn)一步確保Session信息同步，在NS-B上執(zhí)行execnsrpsynrtoallfrompeer，手工同步Session信息。主備雙機(jī)進(jìn)行狀態(tài)切換。用筆記本接NS-A的Console口，輸入execnsrpvsd-group0modebackup命令，將狀態(tài)切換。使用getnsrp命令，驗(yàn)證設(shè)備狀態(tài)已切換完成，此時NS-A為備機(jī)，NS-B為主機(jī)。在Web界面上對NS-A進(jìn)行升級，在Console口上觀察升級過程。NS-A升級后會自動重起，在Console口上觀察重起過程。啟動后在console上輸入getsystem命令，驗(yàn)證升級后的版本號。輸入getlicense，驗(yàn)證license信息是否滿足升級需求。輸入getnsrp驗(yàn)證此臺設(shè)備為備機(jī)狀態(tài)?；謴?fù)原先的主備狀態(tài)：在NS-B上執(zhí)行execnsrpvsd-group0modebackup命令，將狀態(tài)切換。驗(yàn)證設(shè)備狀態(tài)已切換完成，此時NS-A為主機(jī)，NS-B為備機(jī)。在設(shè)備NS-A上執(zhí)行execnsrpsynvsd-group0global-configchecksum,驗(yàn)證兩臺設(shè)備的配置同步。如雙機(jī)配置文件沒有同步，請執(zhí)行execnsrpsynvsd-group0global-configsave手動進(jìn)行配置同步。觀察兩臺防火墻的日志，驗(yàn)證是否存在異常告警信息。案例2：快速配置NSRP集群備用設(shè)備Netscreen提供快速配置NSRP集群中備用設(shè)備的方法，適用于創(chuàng)建NSRP集群雙機(jī)配置和備用設(shè)備出