NetscreenNSRP雙機典型配置及維護

1、如有幫助，歡迎下載。NETSCREEN NSRP 典型配置及維護一、 NSRP 工作原理NSRP (NetScreen Redundant Protocol )是Juniper 公司基于 VRRP協(xié)議規(guī)范自行開發(fā)的設備冗余協(xié)議。防火墻作為企業(yè)核心網(wǎng)絡中的關鍵設備，需要為所有進出網(wǎng)絡的信息流提供安全保護，為滿足客戶不間斷業(yè)務訪問需求， 要求防火墻設備必須具備高可靠性， 能夠在設備、鏈路及互連設備出現(xiàn)故障的情況下，提供網(wǎng)絡訪問路徑無縫切換。NSRP冗余協(xié)議提供復雜網(wǎng)絡環(huán)境下的冗余路徑保護機制。NSRP主要功能有： 1、在高可用群組成員之間同步配置信息； 2 、提供活動會話同步功能，以保證發(fā)生路徑切

2、換情況下不會中斷網(wǎng)絡連接；3 、采用高效的故障切換算法， 能夠在短短幾秒內(nèi)迅速完成故障檢測和狀態(tài)切換。NSRP 集群兩種工作模式：1、 Active/Passive 模式： 通過對一個冗余集群中的兩臺安全設備進行電纜連接和配置，使其中一臺設備作為主用設備，另一臺作為備用設備。 主用設備負責處理所有網(wǎng)絡信息流， 備用設備處于在線備份狀態(tài)。主設備將其網(wǎng)絡和配置命令及當前會話信息傳播到備用設備，備用設備始終保持與主用設備配置信息和會話連接信息的同步，并跟蹤主用設備狀態(tài)，一旦主設備出現(xiàn)故障，備份設備將在極短時間內(nèi)晉升為主設備并接管信息流處理。2、 Active/Active 模式： 在 NSRP 中創(chuàng)

3、建兩個虛擬安全設備(VSD) 組，每個組都具有自己的虛擬安全接口 （VSI）,通過VSI接口與網(wǎng)絡進行通 信。設備A充當VSD組1的主設備和VSD組2的備份設備。設備B充當 VSD組2的主設備和VSD組1的備份設備。Active/Active模式中兩臺防 火墻同時進行信息流的處理并彼此互為備份。在雙主動模式中不存在 任何單一故障點。如下圖所示，通過調(diào)整防火墻上下行路由反換設備到網(wǎng)絡的路由指向，HostA通過左側路徑訪問ServerA , HostB通過右 側路徑訪問ServerB ,網(wǎng)絡中任一設備或鏈路出現(xiàn)故障時，NSRP集群 均能夠做出正確的路徑切換。NSRP集群技術優(yōu)勢主要體現(xiàn)于：1、消除

4、防火墻及前后端設備單點故障，提供網(wǎng)絡高可靠性。即使在骨 干網(wǎng)絡中兩類核心設備同時出現(xiàn)故障， 也能夠保證業(yè)務安全可靠運行。2、根據(jù)客戶網(wǎng)絡環(huán)境和業(yè)務可靠性需要， 提供靈活多樣的可靠組網(wǎng)方 式。NSRP雙機集群能夠提供1、Active-Passive模式Layer2/3多虛擬 路由器多虛擬系統(tǒng)和口型/交叉型組網(wǎng)方式；2、Active-Active模式Layer2/3 多虛擬路由器多虛擬系統(tǒng)和口型/Fullmesh 交叉型組網(wǎng)方式。為用戶提供靈活的組網(wǎng)選擇。3、NSRP雙機結構便于網(wǎng)絡維護管理，通過將流量在雙機間的靈活切換，在防火墻軟件升級、前后端網(wǎng)絡結構優(yōu)化改造及故障排查時，雙機結構均能夠保證業(yè)務

5、的不間斷運行。4、結合Netscreen虛擬系統(tǒng)和虛擬路由器技術，部署一對 NSRP集群防火墻，可以為企業(yè)更多的應用提供靈活可靠的安全防護，減少企業(yè)防火墻部署數(shù)量和維護成本。二、 NSRP 典型結構與配置1、 Layer3 口型 A/P 組網(wǎng)模式Layer3 口型A/P組網(wǎng)模式是當前很多企業(yè)廣泛采用的 HA模式，該模式具有對網(wǎng)絡環(huán)境要求不高，無需網(wǎng)絡結構做較大調(diào)整，具有較好冗余性、便于管理維護等優(yōu)點。缺點是Netscreen 防火墻利用率不高，同一時間只有一臺防火墻處理網(wǎng)絡流量；冗余程度有限，僅在一側鏈路和設備出現(xiàn)故障時提供冗余切換。Layer3 口型組網(wǎng)A/P模式具有較強冗余性、低端口成本和

6、網(wǎng)絡結構簡單、便于維護管理等角度考慮，成為很多企業(yè)選用該組網(wǎng)模式的標準。SwitchBSwitch-ANS-B PassiveSwitch-BB配置說明：兩臺Netscreen設備采用相同硬件型號和軟件版本，組成Active/Passive冗余模式，兩臺防火墻均使用一致的 Ethernet接口編 號連接到網(wǎng)絡。通過雙HA端口或?qū)?Ethernet接口放入HA區(qū)段，其中 控制鏈路用于NSRP心跳信息、配置信息和Session會話同步，數(shù)據(jù)鏈 路用于在兩防火墻間必要時傳輸數(shù)據(jù)流量。NS-A （主用）：Set hostname NS-A /*定義主機名 */Set interface etherne

7、t1 zone untrustSet interface ethernet1 ip /29Set interface ethernet1 routeSet interface ethernet2 zone trustSet interface ethernet2 ip /29Set interface ethernet2 routeSet interface mgt ip /24 /*通過管理口遠程管理 NS-A*/* 配置接口： Untrust/Trust Layer3路由卞式 */Set interface ethernet3

8、zone HASet interface ethernet4 zone HA/*Eth3和Eth4 口用于HAT連，用于同步配置文件、會話信息和跟蹤設備狀態(tài)信息*/set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority50 /*缺省值為100,低值優(yōu)先成為主用設備 */set nsrp monitor interface ethernet2set nsrp monitor interface ethernet1/*配置NSRP Vsd-group缺省為0, VSI使用物理接口 IP地址，非搶占模

9、式*/NS-B （備用） :Set hostname NS-B /*定義主機名 */Set interface ethernet1 zone UntrustSet interface ethernet1 ip /29Set interface ethernet1 routeSet interface ethernet2 zone trustSet interface ethernet2 ip /29Set interface ethernet2 routeSet interface mgt ip /24 /*通過管理口遠程管理NS-

10、A*/* 配置接口： Untrust/Trust Layer3 路由模式 */Set interface ethernet3 zone HASet interface ethernet4 zone HA/*Eth3和Eth4 口用于HAT連，用于同步配置文件、會話信息和跟蹤設備狀態(tài)信息*/set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority100set nsrp monitor interface ethernet2set nsrp monitor interface ethernet1/*V

11、sd-group 缺省為0, VSI使用物理接口 IP地址，備用設備：優(yōu)先級 100,成為非搶占模式*/2、 Layer3 Fullmesh A/P 組網(wǎng)模式Layer3 Fullmesh連接A/P組網(wǎng)使用全交叉網(wǎng)絡連接模式，容許在同一設備上提供鏈路級冗余，發(fā)生鏈路故障時，由備用鏈路接管網(wǎng)絡流量，防火墻間無需進行狀態(tài)切換。僅在上行或下行兩條鏈路同時發(fā)生故障情況下，防火墻才會進行狀態(tài)切換， Fullmesh 連接進一步提高了業(yè)務的可靠性。該組網(wǎng)模式在提供設備冗余的同時提供鏈路級冗余，成為很多企業(yè)部署關鍵業(yè)務時的最佳選擇。9Switch-BSwltch-BBNS-BPassiveNS-A (Act

12、ive):Set hostname NS-A /*定義主機名*/Set interface mgt ip /24 /*Set interface red1 zone Untrust /*Set interface e1 zone nullSet interface e1 group red1Set interface e2 zone nullSet interface e2 group red1Set interface red1 ip /29Set interface red2 zone trustSet interface e3 zone nullSe

13、t interface e3 group red2Set interface e4 zone nullSet interface e4 group red2Set interface red2 ip /29/* 配置接口：Untrust/Trust Layer3Set interface ethernet7 zone haSet interface ethernet8 zone haset nsrp cluster id 1set nsrp rto-mirror sync /*set nsrp vsd-group id 0 priorityset nsrp monitor

14、 interface ethernet2set nsrp monitor interface ethernet1通過管理口遠程管理 NS-A*/創(chuàng)建冗余接口 1*/路由小莫式*/容許會話信息自動同步*/50/* 配置 NSRP Vsd-group 缺省為 0,VSI使用物理接口 IP地址，優(yōu)先級為50,非搶占模式*/NS-B （Backup）Set hostname NS-B /*定義主機名 */Set interface mgt ip /24 /*Set interface red1 zone Untrust /*Set interface e1 zone nullSe

15、t interface e1 group red1 /*Set interface e2 zone nullSet interface e2 group red1Set interface red1 ip /29Set interface red2 zone trustSet interface e3 zone nullSet interface e3 group red2Set interface e4 zone nullSet interface e4 group red2Set interface red2 ip /29/* 配置接口： Untrus

16、t/Trust Layer3Set interface ethernet7 zone haSet interface ethernet8 zone ha通過管理口遠程管理NS-A*/創(chuàng)建冗余接口 */將該物理接口放置到冗余接口中 */路由模式 */set nsrp cluster id 1set nsrp rto-mirror sync /*容許會話信息自動同步*/set nsrp vsd-group id 0 priority100set nsrp monitor interface ethernet2set nsrp monitor interface ethernet1/*Vsd-gro

17、up 缺省為 0， VSI 使用物理接口 IP 地址，備用設備*/3、 Layer3 Fullmesh 連接 A/A 組網(wǎng)模式Layer3 Fullmesh 連接 A/A 結構提供了一種更為靈活的組網(wǎng)方式，在保證網(wǎng)絡高可靠性的同時提升了網(wǎng)絡的可用性。 A/A 結構中兩臺防火墻同時作為主用設備并提供互為在線備份，各自獨立處理信息流量并共享連接會話信息。一旦發(fā)生設備故障另一臺設備將負責處理所有進出網(wǎng)絡流量。 Fullmesh 連接 A/A 組網(wǎng)模式對網(wǎng)絡環(huán)境要求較高，要求網(wǎng)絡維護人員具備較強技術能力，防火墻發(fā)生故障時，接管設備受單臺設備容量限制，可能會導致會話連接信息丟失，采用 A/A 模式組網(wǎng)時

18、，建議每臺防火墻負責處理的會話連接數(shù)量不超過單臺設備容量的50%,以確保故障切換時不會丟失會話連接。配置說明：定義VSD0和VSD1虛擬安全設備組(創(chuàng)建Cluster ID時將 自動創(chuàng)建VSD0),其中NS-A為VSD0主用設備和VSD1備用設備， NS-B為VSD1主用設備和VSD0備用設備；創(chuàng)建冗余接口實現(xiàn)兩物 理接口動態(tài)冗余；配置交換機路由指向來引導網(wǎng)絡流量經(jīng)過哪個防火J回ONS-A(Active):set interface redundantl zone Untrustset interface redundant1 ip /29/*VSD0 的 VSI 接口使用物

19、理接口 IP 地址 */set interface ethernet1 group redundant1set interface ethernet2 group redundant1set interface redundant2 zone trustset interface redundant2 ip /29set interface redundant2 manage-ip set interface ethernet3 group redundant2set interface ethernet4 group redundant2/*配置冗

20、余接口、定義 Vsd0接口 IP地址*/set interface redundant1:1 ip /29set interface redundant2:1 ip /29/*VSD1的VSI接口需手動配置IP地址，冒號后面的1表示該接口屬于 VSD1的VSI*/set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1set nsrp vsd-group id 0 priority 50set nsrp vsd-group id 1/* VSD1

21、 使用缺省配置，優(yōu)先級為 100*/set nsrp rto-mirror syncset nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1/* 定義 NSRP 備用心跳接口，保證心跳連接信息不會丟失*/set arp always-on-dest/* 強制采用基于 ARP 表而不是會話表中的 MAC 地址轉(zhuǎn)發(fā)封包*/set vrouter trust-vr route /0 interface redundant1 g

22、ateway set vrouter trust-vr route /0 interface redundant1:1 gateway NS-B(Active) ：set interface redundant1 zone Untrustset interface redundant1 ip /29/*VSD0 的 VSI 接口使用物理接口 IP 地址 */set interface ethernet1 group redundant1set interface ethernet2 group redundant1set in

23、terface redundant2 zone trustset interface redundant2 ip /29set interface redundant2 manage-ip set interface ethernet3 group redundant2set interface ethernet4 group redundant2/*配置冗余接口、定義 Vsd0接口 IP地址*/set interface redundant1:1 ip /29set interface redundant2:1 ip 192.16

24、8.1.5/29set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1/* 定義一致的 Cluster ID ，自動啟用采用缺省配置的 VSD0*/set nsrp rto-mirror syncset nsrp vsd-group id 1 priority 50set nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1/*

25、 定義 NSRP 備用心跳接口，保證心跳連接信息不會丟失*/set arp always-on-dest/* 強制采用基于 ARP 表而不是會話中的 MAC 地址轉(zhuǎn)發(fā)封包*/set vrouter trust-vr route /0 interface redundant1 gateway set vrouter trust-vr route /0 interface redundant1:1 gateway 如有幫助，歡迎下載。三、 NSRP 常用維護命令1、 get license-key查看防火墻支持的 feature ，

26、其中 NSRPA/A 模式包含了 A/P 模式， A/P模式不支持A/A 模式。 Lite 版本是簡化版， 支持設備和鏈路冗余切換，不支持配置和會話同步。2、 exec nsrp sync global-config check-sum檢查雙機配置命令是否同步3、 exec nsrp sync global-config save如雙機配置信息沒有自動同步， 請手動執(zhí)行此同步命令， 需重啟系統(tǒng)。4、 get nsrp查看 NSRP 集群中設備狀態(tài)、 主備關系、 會話同步以及參數(shù)開關信息。5、 Exec nsrp sync rto all from peer手動執(zhí)行 RTO 信息同步，使雙機保持

27、會話信息一致6、 exec nsrp vsd-group 0 mode backup手動進行主備狀態(tài)切換時，在主用設備上執(zhí)行該切換命令，此時該主用設備沒有啟用搶占模式。7、 exec nsrp vsd-group 0 mode ineligible手動進行主備狀態(tài)切換時，在主用設備上執(zhí)行該切換命令，此時該主用設備已啟用搶占模式。8、 get alarm event檢查設備告警信息，其中將包含NSRP 狀態(tài)切換信息Netscreen NSRP 維護案例案例 1: Netscreen 雙機升級步驟1使用 Tftp 備份兩臺防火墻現(xiàn)有配置文件和 OS 系統(tǒng)文件。2. 升級步驟為先升級備用設備后升級主

28、用設備， 如果是 Active/Active 模式請切換為Active/Passive模式后再升級備用設備。用筆記本電腦連接NS-B的Console 口和 MGT 口， 通過 Web 界面上對 NS-B 進行升級， 并在Console 口上觀察升級過程。3. NS-B升級后將自動重啟，通過 Console 口觀察重啟過程。啟動后在 console上 輸入get system命令，驗證升級后的版本號。輸入 get license,驗證license信息是 否符合升級要求。輸入get nsrp,驗證此設備處于備機狀態(tài)。4. Session信息應該自動從主機上同步到備機。為進一步確保Session信

29、息同步，在 NS-B 上執(zhí)行 exec nsrp syn rto all from peer 手工同步 Session信息。5主備雙機進行狀態(tài)切換。用筆記本接NS-A 的 Console 口，輸入 exec nsrpvsd-group 0 mode backu酶令，將狀態(tài)切換。使用 get nsrp命令，驗證設備狀態(tài)已切換完成，此時NS-A 為備機， NS-B 為主機。6在 Web 界面上對 NS-A 進行升級，在Console 口上觀察升級過程。7 . NS-A升級后會自動重起，在 Console 口上觀察重起過程。啟動后在 console上 輸入get system命令，驗證升級后的版本號

30、。輸入 get license,驗證license信息是 否滿足升級需求。輸入get nsrp驗證此臺設備為備機狀態(tài)。8 .恢復原先的主備狀態(tài)： 在NS-B上執(zhí)行exec nsrp vsd-group 0 mode backu晦令， 將狀態(tài)切換。驗證設備狀態(tài)已切換完成，此時NS-A 為主機， NS-B 為備機。9 .在設備 NS-A 上執(zhí)行 exec nsrp syn vsd-group 0 global-config checksum,驗證兩 臺設備的配置同步。如雙機配置文件沒有同步，請執(zhí)行exec nsrp syn vsd-group 0global-config save 手動進行配置同步。10觀察兩臺防火墻的日志，驗證是否存在異常告警信息。案例 2 ：快速配置NSRP 集群備用設備Netscreen 提供快速配置NSRP 集群中