温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

junos SRX550 HA配置

发布时间:2020-07-15 20:23:05 来源:网络 阅读:1673 作者:xspjcxx 栏目:安全技术

简单介绍一下,SRX系列防火墙HA采用的是JSRP协议。对应netscreen的NSRP。JSRP和NSRP之间的最大区别就是JSRP采用的是cluster,两台防火墙虚拟成一台。而NSRP一般采用的是主备模式,备机需要单独的管理。

JSRP要求两台设备的型号、版本、板卡等完全一致。

下面开始SRX550的HA配置。

1、首选确定SRX550防火墙之间做HA的control-link接口。通过官方文档可以查到SRX550的g0/0/0 为带外管理口,g0/0/1为固定的control-link接口。把两台防火墙的g0/0/1口互联。

2、对两台设备的g0/0/0、g0/0/1、g0/0/2接口进行初始化配置,删除所有有关的原有配置

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching

delete set interfaces ge-0/0/0 unit 0 

delete set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/1unit 0 family ethernet-switching

delete set interfaces ge-0/0/1 unit 0 

delete set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/2unit 0 family ethernet-switching

delete set interfaces ge-0/0/2 unit 0 

3、配置cluster-id和node-id

SRX-A>set chassis cluster cluster-id 1 node 0 reboot

SRX-B>set chassis cluster cluster-id 1 node 1 reboot

两台设备重启后,会发现逻辑上已经成为一台防火墙。可以看到ge-9/0/0等接口,这是第二台设备的接口。

4、指定Fabric Link Port

set interfaces fab0 fabric-options member-interfaces ge-0/0/2

set interfaces fab1 fabric-options member-interfaces ge-9/0/2

control-link主要用来两台设备之间心跳检测、配置同步等。而Fabric Link 用于session的同步。

做完这个步骤,通过命令:

show chassis cluster interface

show chassis cluster status

可以查看到现在两台设备的HA已经完成。这个时候还有一个问题。

现在两台防火墙之间HA一共用了两条线,一条control-link,一条fabric-link。

1、如果把control-link断开,这个时候HA就断开了,但是主防火墙还是正常工作的。把control-link恢复,HA状态还是异常的。这个时候只有把背墙手动的重启,HA才会恢复。

2、如果把fabric-link断开,这个时候HA没有断开,但是主防火墙还是正常工作的,备墙无法同步session,无法切换。把fabric-link恢复,HA状态还是异常的。这个时候只有把备墙手动的重启,HA才会恢复。

那么有没有办法让防火墙自己去识别HA线路的问题而做相应的操作呢?

通过如下命令:

set chassis cluster control-link-recovery 

如果fabric-link断开再恢复,HA状态会自动恢复,session会继续同步。

如果control-link断开在恢复,备墙会自动重启,完成HA。


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI