返回首页> JUNIPER > Juniper SSG Netscreen系列之高可用CLI配置
跳过导航链接

Juniper SSG Netscreen系列之高可用CLI配置
2016-7-12 14:30:00

文章摘要: Juniper SSG Netscreen系列之高可用CLI配置,首先,进行理论扫盲,各位要先了解HA它是干嘛的、以及和其他产生的高可用是否有相似的地方。 Juniper-netscreen os HA高可用性配置 HA Netscreen公司的NSRP协议是Juniper公司基于VRRP协议规范自主开发的协议,防火墙作为企业核心网络中的关键设备,需要为所有进出网络...
 

Juniper SSG Netscreen系列之高可用CLI配置,首先,进行理论扫盲,各位要先了解HA它是干嘛的、以及和其他产生的高可用是否有相似的地方。

Juniper-netscreen os HA高可用性配置

HA

Netscreen公司的NSRP协议是Juniper公司基于VRRP协议规范自主开发的协议,防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务的访问需求,要求网络防火墙设备必须具备高可靠性,能够在设备,链路及其互联设备出现故障的情况下,提供网络访问之间的无缝切换

NSRP功能:

1、在高可用集群组成员之间同步配置信息.

2、提供活动回话同步功能,以保证发生路径切换情况下不会中断网络连接.

3、采用高效的故障切换算法,能够在短短几秒内完成切换. NSRP 集群工作模式

NSRP集群工作模式:

1、主备模式

通过对一个冗余集群中的两台安全设备进行线缆连接和配置,使其中一台设备作为主用设备,另一台设备为备用设备.主用设备负责处理所有网络信息流,备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升为主设备并接管信息流处理(目前应用最广兼容稳定性相当好)

2、主主模式

NSRP中创建两个虚拟安全设备 (VSD) 组,每个组都具有自己的虚拟安全接口(VSI),通过VSI接口与网络进行通信。设备A充当VSD1的主设备和VSD 2的备份设备。设备B充当VSD2的主设备和VSD1的备份设备。Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。在双主动模式中不存在任何单一故障点

NSRP集群技术优势主要体现于:

1、消除防火墙及前后端设备单点故障,提供网络高可靠性。即使在骨干网络中两类核心设备同时出现故障,也能够保证业务安全可靠运行。

2、根据客户网络环境和业务可靠性需要,提供灵活多样的可靠组网方式。NSRP双机集群能够提供①、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式;②、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。为用户提供灵活的组网选择。

3NSRP双机结构便于网络维护管理,通过将流量在双机间的灵活切换,在防火墙软件升级、前后端网络结构优化改造及故障排查时,双机结构均能够保证业务的不间断运行。

4、结合Netscreen虚拟系统和虚拟路由器技术,部署一对NSRP集群防火墙,可以为企业更多的应用提供灵活可靠的安全防护,减少企业防火墙部署数量和维护成本

好,开始进行配置,请各位准备好console线以及网线。尽量做到,网线直连机器eth0/0(默认管理口)方便排错和验证。

这里就不分步骤下,我们直接开始进行配置。一套combo打完结束。

Netscreen-HA主备mode高可用性配置(CLI命令行)【AA模式暂不介绍配置-主流项目中基本不考虑】

准备工作:

将防火墙配置清空,规避日后修改配置问题。

规划接口(以Juniper-SSG140为例)

Eth0/8 HA接口

Eth0/0 Untrust 

eth0/1 trust

(最后有一些术语定义扫盲)

Step-1:定义HA心跳线区域/接口(先配置主设备)

51IDC-SSG140M->set interface eth0/8 zone Ha  eth8HA区域绑定

51IDC-SSG140M-> set nsrp cluster id 1 (设置cluster-ID 组号)

51IDC-SSG140M-> set nsrp vsd id 0

设置VSD 的组号,这条命令可以不用输入,因为Netscreen 防火墙的默认的虚拟安全数据库(VSD)的值是 0

51IDC-SSG140M-> set nsrp vsd-group id 0 priority 10 priority

设置 NSRP 主设备的优先权值,priority 值越小,优先权越高。

51IDC-SSG140M-> set nsrp rto syn 设置会话信息自动同步

51IDC-SSG140M-> set nsrp vsd-group id 0 monitor interface ethernet0/0

(以上一条建议先搁置,在最后防火墙部署完之后,再在主设备上CLI设置此项、如果提前设置,设备未接线的情况下,设备检测到自己Eth0/0链路不正常,alarm灯将变红色,采取不激活设备状态(类似shut down)

51IDC-SSG140M-> get nsrp 查看冗余状态  

51IDC-SSG140M-> set nsrp vsd-group hb-interval 200

设置心跳信息每隔 200 秒将发出问候信息【默认200S

51IDC-SSG140M-> set nsrp vsd-group hb-threshold 3

设置心跳信息总共发出3 次问候信息【默认3次】

51IDC-SSG140M-> save    

至此,主设备配置完成。

Step-2:定义HA心跳线区域/接口(备设备)

51IDC-SSG140->setinterface eth0/8 zone Ha  eth8HA区域绑定

51IDC-SSG140-> setnsrp cluster id 1   (设置cluster-ID 组号)

51IDC-SSG140-> setnsrp vsd id 0  

设置VSD 的组号,这条命令可以不用输入,因为Netscreen 防火墙的默认的虚拟安全数据库(VSD)的值是 0

51IDC-SSG140-> set nsrp rto syn 设置会话信息自动同步

51IDC-SSG140-> setnsrp vsd-group id 0 monitor interface ethernet0/0

(以上一条建议先搁置,在最后防火墙部署完之后,再在主设备上CLI设置此项、如果提前设置,设备未接线的情况下,设备检测到自己Eth0/0链路不正常,alarm灯将变红色,采取不激活设备状态(类似shut down)

51IDC-SSG140-> setnsrp vsd-group id 0 monitor interface ethernet0/1

(以上一条建议先搁置,在最后防火墙部署完之后,再在主设备上CLI设置此项、如果提前设置,设备未接线的情况下,设备检测到自己Eth0/0链路不正常,alarm灯将变红色,采取不激活设备状态(类似shut down)

51IDC-SSG140-> setnsrp vsd-group hb-interval 200

设置心跳信息每隔 200 秒将发出问候信息【默认200S

51IDC-SSG140-> setnsrp vsd-group hb-threshold 3

设置心跳信息总共发出3 次问候信息【默认3次】

51IDC-SSG140->save  

51IDC-SSG140->exec nsrp sync global-config check-sum 【通过心跳线检查主设备配置】

(这里配置之前请为两台防火墙接上心跳线,全局检查主设备配置)

51IDC-SSG140->exec nsrp sync global-config save  (同步全局配置)

(随后提示你重启设备,完成同步)

重启完之后:你会发现设备已自动认为自己是Backup状态!

51IDC-SSG140B->get nsrp 查看下,输出查看!一目了然,好了,到这里就配置全部结束了。然后请各位自行进设备查看主备状态。

NSRP常用维护命令

1getlicense-key

查看防火墙支持的feature,其中NSRPA/A模式包含了Active/Passive模式,Aactive/Passive模式不支持Active/Active模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。

2execnsrp sync global-config check-sum

检查双机配置命令是否同步

3execnsrp sync global-config save

如双机配置信息没有自动同步,请手动执行此同步命令,需重启系统。

4getnsrp

查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。

5Execnsrp sync rto all from peer

手动执行RTO信息同步,使双机保持会话信息一致

6execnsrp vsd-group 0 mode backup

手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。

7execnsrp vsd-group 0 mode ineligible

手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。

8getalarm event

检查设备告警信息,其中将包含NSRP状态切换信息

NSRP 缺省设置值

VSD组信息

l  VSD group ID:                                     0

l  Device priority in the VSD group:        100

l  Preempt option:                                 disable

l  Preempt hold-down time:                   0 second

l  Initial state hold-down time:               5 second

l  Heartbeat interval:                              1000 milliseconds       

l  Lost heartbeat threshold:                    3

l  Master (Primary) always exist:             no

RTO镜像信息

l  RTO synchronization:                         disable

l  Heartbeat interval:                             4 second

l  Lost heartbeat threshold:                    16

NSRP链接信息

l  Number of gratuitous ARPs:                  4

l  NSRP encryption:                              disable

l  NSRP authentication:                        disable

l  Track IP:                                            none

l  Interfaces monitored:                        none

l  Secondary path:                                none

l  HA link probe:                                   none

l  Interval:                                            15

l  Threshold:                                         5

 

更多推荐:Juniper培训  Juniper工程师培训  Junos初级专员认证培训
上一篇:联想Juniper合作关系会有新突破
下一篇:Juniper HA SSG系列cluster id稀缺问题的解决办法
文章摘要: Juniper HA SSG系列cluster id稀缺问题的解决办法,来自瞻博官方技术员的解答: By default, NSRP will support up to 8 cluster id's and 8 VSD's. As noted in the previous entry, you can increase this with the envar, but you need to use them in multiples of 8, and the combination of cluster id's and VSD's cannot exceed 64. You will need minimum ScreenOS 6.1 to do this. For example, ...
◆Juniper SSG系列DDNS设置 ◆Juniper snmp配置手册 ◆Juniper路由器日志分析 ◆联想Juniper合作关系会有新突破 ◆Juniper SSG Netscreen系列之高可用CLI配置 ◆在Windows Server 2016 Hyper-V中开启嵌套虚拟化(NestedVM) ◆Windows如何开启网卡最大性能 ◆Windows Server 2016 Hyper-V参数一览表 ◆Win32k.sys是个什么文件? ◆电脑应用程序没有响应的解决方法 ◆思科路由器ipsec lan-to-lan综合案例详解 ◆思科修复Shadow Brokers漏洞 ◆静态路由的分类 ◆胖AP瘦AP ◆思科交换机二、三、四、七层转发 ◆新华三携手电信开启城域网创新实践 ◆H3C交换机路由器Console和Telnet密码配置 ◆华三H3C交换机命名规则详解 ◆新华三入门级存储历久弥新 ◆华三h3c交换机vlan控制策略路由设置 ◆Linux培训:11个Linux上最佳的图形化Git客户端 ◆40多岁的Unix还能走多远? ◆RHEL7 修改SSH默认端口及修改SELinux运行状态 ◆Red Hat发布WildFly Application Server 10.1版 ◆基础的Linux网络命令 ◆该怎么选择PMP培训公司 ◆企业为什么需要IT配置管理及其如何使用 ◆PMP考试心得 ◆IT资产管理与ITIL配置管理的区别和联系 ◆管理不是控制 ◆Juniper SSG系列DDNS设置 ◆Juniper snmp配置手册 ◆Juniper路由器日志分析 ◆联想Juniper合作关系会有新突破 ◆Juniper SSG Netscreen系列之高可用CLI配置 ◆负载均衡的那些算法们 ◆F5配置手册:设备初始化配置 ◆关于Link Controller的说明(简称LC) ◆F5:物联网安全任重道远 ◆配置HTTP Profile的设置 ◆使用AWK分析Oracle系统锁定、Hang状态 ◆Oracle字符集解决中文乱码 ◆各种编程语言的优缺点 ◆企业整合NoSQL的10大要点 ◆Oracle数据库(触发器、存储过程、函数、包) ◆VMware Photos OS OVA SSH访问权限漏洞(CVE-2016-5333) ◆领先企业把VMware vRealize Suite视作多云管理与IT自动化的根基 ◆她是如何从VMware CEO做到Google负责人? ◆VMware助力中复连众实现数字和移动化转型 ◆VMware等四种主要网络IO虚拟化模型 ◆EMC数据中心全闪存年,机架级闪存可让Hadoop提速10倍 ◆EMC发布2016年新品和技术路线 ◆重新定义企业IT,EMC联手VMware推超融合 ◆EMC挑战全闪存极限 ◆戴尔100亿美元发债计划延期,收购EMC恐生变 ◆架构师和开发者争吵的理由 ◆大数据培训:一场管理革命 ◆大数据领域的顶级开源大数据软件产品大集合 ◆没有数据驱动文化,大数据项目将失败 ◆6个用于大数据处理分析的工具 ◆云计算的真正价值不仅仅是节省开支 ◆云计算将改变我们的生活? ◆云计算如何助力城市管理 ◆微软、AWS、VMware如何在中国云计算市场淘金 ◆云原生应用是什么? ◆Spark基本工作流程及YARN cluster模式原理 ◆从Spark 2.0版的推出,看开源大数据技术的商业化发展 ◆Spark2.0安装配置文档 ◆数据框架Hadoop和Spark的异同 ◆Spark IM 2.8.0 发布,不再支持Java7 ◆OpenStack第十四个版本及14项重要事实 ◆python参数默认值,陷阱! ◆容器化OpenStack的10个好处 ◆在Mac上部署Juno版本OpenStack 四节点环境 ◆OpenStack对象存储Swift ◆AIX几种I/O类型概念介绍 ◆AIX 5.3 0403-027 The parameter list is too long问题 ◆AIX创建文件系统 ◆AIX小机内置磁带机清洗问题 ◆AIX日常维护 ◆启动Hadoop时遇到Name or service not knownstname错误 ◆Mac下Apache Spark 1.6+Hadoop 2.6单机安装配置 ◆hadoop 2.6.0伪分布式单机安装教程 ◆Cloudera培训:Ubuntu下安装Hadoop(完全分布模式) ◆从问题域出发认识Hadoop生态系统 ◆Citrix 5种桌面目录介绍 ◆思杰:灵活性体验数字虚拟化空间 ◆XenApp XenDesktop实战:XenApp应用程序交付 ◆XenApp XenDesktop实战:安装Virtual Delivery Agent For Windows Server OS ◆XenApp XenDesktop实战:StoreFront的配置 ◆筑牢个人信息安全防火墙 ◆2016年最热门的六大IT职位 ◆CISP认证和CISSP认证区别 ◆成为CISSP的理由 ◆何谓云安全专家认证CCSP?