返回首页> JUNIPER > Juniper SSG Netscreen系列之高可用CLI配置
跳过导航链接

Juniper SSG Netscreen系列之高可用CLI配置

文章摘要: Juniper SSG Netscreen系列之高可用CLI配置,首先,进行理论扫盲,各位要先了解HA它是干嘛的、以及和其他产生的高可用是否有相似的地方。 Juniper-netscreen os HA高可用性配置 HA Netscreen公司的NSRP协议是Juniper公司基于VRRP协议规范自主开发的协议,防火墙作为企业核心网络中的关键设备,需要为所有进出网络...
 

Juniper SSG Netscreen系列之高可用CLI配置,首先,进行理论扫盲,各位要先了解HA它是干嘛的、以及和其他产生的高可用是否有相似的地方。

Juniper-netscreen os HA高可用性配置

HA

Netscreen公司的NSRP协议是Juniper公司基于VRRP协议规范自主开发的协议,防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务的访问需求,要求网络防火墙设备必须具备高可靠性,能够在设备,链路及其互联设备出现故障的情况下,提供网络访问之间的无缝切换

NSRP功能:

1、在高可用集群组成员之间同步配置信息.

2、提供活动回话同步功能,以保证发生路径切换情况下不会中断网络连接.

3、采用高效的故障切换算法,能够在短短几秒内完成切换. NSRP 集群工作模式

NSRP集群工作模式:

1、主备模式

通过对一个冗余集群中的两台安全设备进行线缆连接和配置,使其中一台设备作为主用设备,另一台设备为备用设备.主用设备负责处理所有网络信息流,备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升为主设备并接管信息流处理(目前应用最广兼容稳定性相当好)

2、主主模式

NSRP中创建两个虚拟安全设备 (VSD) 组,每个组都具有自己的虚拟安全接口(VSI),通过VSI接口与网络进行通信。设备A充当VSD1的主设备和VSD 2的备份设备。设备B充当VSD2的主设备和VSD1的备份设备。Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。在双主动模式中不存在任何单一故障点

NSRP集群技术优势主要体现于:

1、消除防火墙及前后端设备单点故障,提供网络高可靠性。即使在骨干网络中两类核心设备同时出现故障,也能够保证业务安全可靠运行。

2、根据客户网络环境和业务可靠性需要,提供灵活多样的可靠组网方式。NSRP双机集群能够提供①、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式;②、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。为用户提供灵活的组网选择。

3NSRP双机结构便于网络维护管理,通过将流量在双机间的灵活切换,在防火墙软件升级、前后端网络结构优化改造及故障排查时,双机结构均能够保证业务的不间断运行。

4、结合Netscreen虚拟系统和虚拟路由器技术,部署一对NSRP集群防火墙,可以为企业更多的应用提供灵活可靠的安全防护,减少企业防火墙部署数量和维护成本

好,开始进行配置,请各位准备好console线以及网线。尽量做到,网线直连机器eth0/0(默认管理口)方便排错和验证。

这里就不分步骤下,我们直接开始进行配置。一套combo打完结束。

Netscreen-HA主备mode高可用性配置(CLI命令行)【AA模式暂不介绍配置-主流项目中基本不考虑】

准备工作:

将防火墙配置清空,规避日后修改配置问题。

规划接口(以Juniper-SSG140为例)

Eth0/8 HA接口

Eth0/0 Untrust 

eth0/1 trust

(最后有一些术语定义扫盲)

Step-1:定义HA心跳线区域/接口(先配置主设备)

51IDC-SSG140M->set interface eth0/8 zone Ha  eth8HA区域绑定

51IDC-SSG140M-> set nsrp cluster id 1 (设置cluster-ID 组号)

51IDC-SSG140M-> set nsrp vsd id 0

设置VSD 的组号,这条命令可以不用输入,因为Netscreen 防火墙的默认的虚拟安全数据库(VSD)的值是 0

51IDC-SSG140M-> set nsrp vsd-group id 0 priority 10 priority

设置 NSRP 主设备的优先权值,priority 值越小,优先权越高。

51IDC-SSG140M-> set nsrp rto syn 设置会话信息自动同步

51IDC-SSG140M-> set nsrp vsd-group id 0 monitor interface ethernet0/0

(以上一条建议先搁置,在最后防火墙部署完之后,再在主设备上CLI设置此项、如果提前设置,设备未接线的情况下,设备检测到自己Eth0/0链路不正常,alarm灯将变红色,采取不激活设备状态(类似shut down)

51IDC-SSG140M-> get nsrp 查看冗余状态  

51IDC-SSG140M-> set nsrp vsd-group hb-interval 200

设置心跳信息每隔 200 秒将发出问候信息【默认200S

51IDC-SSG140M-> set nsrp vsd-group hb-threshold 3

设置心跳信息总共发出3 次问候信息【默认3次】

51IDC-SSG140M-> save    

至此,主设备配置完成。

Step-2:定义HA心跳线区域/接口(备设备)

51IDC-SSG140->setinterface eth0/8 zone Ha  eth8HA区域绑定

51IDC-SSG140-> setnsrp cluster id 1   (设置cluster-ID 组号)

51IDC-SSG140-> setnsrp vsd id 0  

设置VSD 的组号,这条命令可以不用输入,因为Netscreen 防火墙的默认的虚拟安全数据库(VSD)的值是 0

51IDC-SSG140-> set nsrp rto syn 设置会话信息自动同步

51IDC-SSG140-> setnsrp vsd-group id 0 monitor interface ethernet0/0

(以上一条建议先搁置,在最后防火墙部署完之后,再在主设备上CLI设置此项、如果提前设置,设备未接线的情况下,设备检测到自己Eth0/0链路不正常,alarm灯将变红色,采取不激活设备状态(类似shut down)

51IDC-SSG140-> setnsrp vsd-group id 0 monitor interface ethernet0/1

(以上一条建议先搁置,在最后防火墙部署完之后,再在主设备上CLI设置此项、如果提前设置,设备未接线的情况下,设备检测到自己Eth0/0链路不正常,alarm灯将变红色,采取不激活设备状态(类似shut down)

51IDC-SSG140-> setnsrp vsd-group hb-interval 200

设置心跳信息每隔 200 秒将发出问候信息【默认200S

51IDC-SSG140-> setnsrp vsd-group hb-threshold 3

设置心跳信息总共发出3 次问候信息【默认3次】

51IDC-SSG140->save  

51IDC-SSG140->exec nsrp sync global-config check-sum 【通过心跳线检查主设备配置】

(这里配置之前请为两台防火墙接上心跳线,全局检查主设备配置)

51IDC-SSG140->exec nsrp sync global-config save  (同步全局配置)

(随后提示你重启设备,完成同步)

重启完之后:你会发现设备已自动认为自己是Backup状态!

51IDC-SSG140B->get nsrp 查看下,输出查看!一目了然,好了,到这里就配置全部结束了。然后请各位自行进设备查看主备状态。

NSRP常用维护命令

1getlicense-key

查看防火墙支持的feature,其中NSRPA/A模式包含了Active/Passive模式,Aactive/Passive模式不支持Active/Active模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。

2execnsrp sync global-config check-sum

检查双机配置命令是否同步

3execnsrp sync global-config save

如双机配置信息没有自动同步,请手动执行此同步命令,需重启系统。

4getnsrp

查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。

5Execnsrp sync rto all from peer

手动执行RTO信息同步,使双机保持会话信息一致

6execnsrp vsd-group 0 mode backup

手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。

7execnsrp vsd-group 0 mode ineligible

手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。

8getalarm event

检查设备告警信息,其中将包含NSRP状态切换信息

NSRP 缺省设置值

VSD组信息

l  VSD group ID:                                     0

l  Device priority in the VSD group:        100

l  Preempt option:                                 disable

l  Preempt hold-down time:                   0 second

l  Initial state hold-down time:               5 second

l  Heartbeat interval:                              1000 milliseconds       

l  Lost heartbeat threshold:                    3

l  Master (Primary) always exist:             no

RTO镜像信息

l  RTO synchronization:                         disable

l  Heartbeat interval:                             4 second

l  Lost heartbeat threshold:                    16

NSRP链接信息

l  Number of gratuitous ARPs:                  4

l  NSRP encryption:                              disable

l  NSRP authentication:                        disable

l  Track IP:                                            none

l  Interfaces monitored:                        none

l  Secondary path:                                none

l  HA link probe:                                   none

l  Interval:                                            15

l  Threshold:                                         5

 

更多推荐:Juniper培训  Juniper工程师培训  Junos初级专员认证培训
上一篇:联想Juniper合作关系会有新突破
下一篇:Juniper HA SSG系列cluster id稀缺问题的解决办法
文章摘要: Juniper HA SSG系列cluster id稀缺问题的解决办法,来自瞻博官方技术员的解答: By default, NSRP will support up to 8 cluster id's and 8 VSD's. As noted in the previous entry, you can increase this with the envar, but you need to use them in multiples of 8, and the combination of cluster id's and VSD's cannot exceed 64. You will need minimum ScreenOS 6.1 to do this. For example, ...
◆Juniper用户快更新:Junos OS、SRX有DoS漏洞 ◆Juniper防火墙之恢复出厂默认设置 ◆Juniper SSG双机高可用(HA)平滑升级经验分享 ◆高盛:Juniper市场表现将超过Cisco和Arista ◆Juniper收购云管理公司AppFormix ◆微软将在Office中引入人工智能 ◆微软发Surface Pro 4/Studio固件更新日志 ◆微软:AI人工智能应该帮助,而不是替代人 ◆微软推出WDATP强化企业终端威胁防护 ◆Windows申请免费SSL证书-Let's Encrypt ◆思科ASAP助力全数字化时代数据中心创新 ◆怎样选择合适的PoE交换机? ◆思科持续保持企业基础设施市场优势 ◆网络工程师需要的8项技能 ◆思科IOS中改善CLI的用户体验 ◆H3C交换机以太网端口类型 ◆H3C交换机做DHCP ◆H3C交换机常用配置命令 ◆新华三集团总裁兼首席执行官于英涛2017年会致辞 ◆新华三加速云落地 ◆RHEL7 配置VNC远程桌面 ◆RHEL7利用iso镜像制作本地yum源 ◆RHEL6 学习笔记 ◆RedHat5和RedHat6 配置yum源详解 ◆RedHat7上为Nginx编译安装nginx_push_stream_module ◆是否有必要参加PMP考试培训 ◆该怎么选择PMP培训公司 ◆企业为什么需要IT配置管理及其如何使用 ◆PMP考试心得 ◆IT资产管理与ITIL配置管理的区别和联系 ◆Juniper用户快更新:Junos OS、SRX有DoS漏洞 ◆Juniper防火墙之恢复出厂默认设置 ◆Juniper SSG双机高可用(HA)平滑升级经验分享 ◆高盛:Juniper市场表现将超过Cisco和Arista ◆Juniper收购云管理公司AppFormix ◆F5 Network:让爱点亮世界 ◆F5发布2017年应用交付状态报告 ◆除F5外,其他负载均衡软件的优缺点 ◆负载均衡的那些算法们 ◆F5配置手册:设备初始化配置 ◆Oracle培训:Oracle数据泵导入dmp文件 ◆Oracle培训:Oracle手工建库出现ORA-01519错误 ◆Oracle培训:Oracle CDC部署 ◆Oracle培训:Oracle 12c创建可插拔数据库(PDB)及用户 ◆Oracle EXP和IMP使用方法介绍 ◆VMware中CentOS 6.6的kdump启动失败解决 ◆VMware NSX升级:微细分、安全启动和支持非vSphere环境 ◆VMware虚拟化培训:虚拟化的基础知识 ◆VMware发布2016数字化工作空间现状报告 ◆VMware助力广州科政实现恒大集团打造全虚拟化数据中心 ◆戴尔EMC补丁在VMAX存储系统中出现漏洞 ◆EMC进行SAN拆分,解决更细化的存储需求 ◆EMC数据中心全闪存年,机架级闪存可让Hadoop提速10倍 ◆EMC发布2016年新品和技术路线 ◆重新定义企业IT,EMC联手VMware推超融合 ◆最近面试的大数据岗位的公司经历 ◆用大数据预测雾霾,已获得环保部订单的微软是如何做到的? ◆大数据学习经验 ◆身处大数据时代,大数据这些误区你知道吗 ◆大数据分析促进人才招聘 ◆云计算SaaS采用要考虑的5大因素 ◆如何构建一个私有存储云 ◆云计算的三大支柱 ◆云计算的真正价值不仅仅是节省开支 ◆云计算将改变我们的生活? ◆Apache Spark也有不完美 ◆Spark将机器学习与GPU加速机制纳入自身 ◆spark作业调优 ◆Spark基本工作流程及YARN cluster模式原理 ◆从Spark 2.0版的推出,看开源大数据技术的商业化发展 ◆EasyStack郭长波当选OpenStack基金董事 ◆OpenStack私有云:好处、挑战和未来 ◆在Openstack上创建并访问Kubernetes集群 ◆思科公司关闭基于OpenStack的公共云 ◆2017年OpenStack管理员认证会不会火? ◆IBM和Bell联手共同打造苹果iOS企业应用 ◆IBM首席执行官提出人工智能部署三大基本原则 ◆调研IBM与西门子:软件将是工业的未来! ◆IBM在美获专利最多 ◆IBM闪存迎接新挑战 ◆Hadoop创始人Doug Cutting寄语2017:五种让开源项目成功的方法 ◆基于Ubuntu Hadoop的群集搭建Hive ◆HDFS以及HBase动态增加和删除节点 ◆Cloudera提供课程帮助缩小数据技能差距 ◆Cloudera提供课程帮助缩小数据技能差距 ◆扩大与Azure合作,思杰力推超融合基础设施上部署VDI ◆MapReduce工作流多种实现方式 ◆Citrix虚拟化技术:XenServer6.2资源池配置 ◆Citrix虚拟化技术:XenServer6.2虚拟机创建 ◆Citrix虚拟化技术:XenServer6.2存储管理 ◆2017年十大最热IT技能:安全位列其中 ◆筑牢个人信息安全防火墙 ◆2016年最热门的六大IT职位 ◆CISP认证和CISSP认证区别 ◆成为CISSP的理由