NetscreenNSRP雙機(jī)典型配置及維護(hù)

1、如有幫助，歡迎下載。NETSCREEN NSRP 典型配置及維護(hù)一、 NSRP 工作原理NSRP (NetScreen Redundant Protocol )是Juniper 公司基于 VRRP協(xié)議規(guī)范自行開發(fā)的設(shè)備冗余協(xié)議。防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，需要為所有進(jìn)出網(wǎng)絡(luò)的信息流提供安全保護(hù)，為滿足客戶不間斷業(yè)務(wù)訪問需求， 要求防火墻設(shè)備必須具備高可靠性， 能夠在設(shè)備、鏈路及互連設(shè)備出現(xiàn)故障的情況下，提供網(wǎng)絡(luò)訪問路徑無縫切換。NSRP冗余協(xié)議提供復(fù)雜網(wǎng)絡(luò)環(huán)境下的冗余路徑保護(hù)機(jī)制。NSRP主要功能有： 1、在高可用群組成員之間同步配置信息； 2 、提供活動會話同步功能，以保證發(fā)生路徑切

2、換情況下不會中斷網(wǎng)絡(luò)連接；3 、采用高效的故障切換算法， 能夠在短短幾秒內(nèi)迅速完成故障檢測和狀態(tài)切換。NSRP 集群兩種工作模式：1、 Active/Passive 模式： 通過對一個(gè)冗余集群中的兩臺安全設(shè)備進(jìn)行電纜連接和配置，使其中一臺設(shè)備作為主用設(shè)備，另一臺作為備用設(shè)備。 主用設(shè)備負(fù)責(zé)處理所有網(wǎng)絡(luò)信息流， 備用設(shè)備處于在線備份狀態(tài)。主設(shè)備將其網(wǎng)絡(luò)和配置命令及當(dāng)前會話信息傳播到備用設(shè)備，備用設(shè)備始終保持與主用設(shè)備配置信息和會話連接信息的同步，并跟蹤主用設(shè)備狀態(tài)，一旦主設(shè)備出現(xiàn)故障，備份設(shè)備將在極短時(shí)間內(nèi)晉升為主設(shè)備并接管信息流處理。2、 Active/Active 模式： 在 NSRP 中創(chuàng)

3、建兩個(gè)虛擬安全設(shè)備(VSD) 組，每個(gè)組都具有自己的虛擬安全接口 （VSI）,通過VSI接口與網(wǎng)絡(luò)進(jìn)行通 信。設(shè)備A充當(dāng)VSD組1的主設(shè)備和VSD組2的備份設(shè)備。設(shè)備B充當(dāng) VSD組2的主設(shè)備和VSD組1的備份設(shè)備。Active/Active模式中兩臺防 火墻同時(shí)進(jìn)行信息流的處理并彼此互為備份。在雙主動模式中不存在 任何單一故障點(diǎn)。如下圖所示，通過調(diào)整防火墻上下行路由反換設(shè)備到網(wǎng)絡(luò)的路由指向，HostA通過左側(cè)路徑訪問ServerA , HostB通過右 側(cè)路徑訪問ServerB ,網(wǎng)絡(luò)中任一設(shè)備或鏈路出現(xiàn)故障時(shí)，NSRP集群 均能夠做出正確的路徑切換。NSRP集群技術(shù)優(yōu)勢主要體現(xiàn)于：1、消除

4、防火墻及前后端設(shè)備單點(diǎn)故障，提供網(wǎng)絡(luò)高可靠性。即使在骨 干網(wǎng)絡(luò)中兩類核心設(shè)備同時(shí)出現(xiàn)故障， 也能夠保證業(yè)務(wù)安全可靠運(yùn)行。2、根據(jù)客戶網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)可靠性需要， 提供靈活多樣的可靠組網(wǎng)方 式。NSRP雙機(jī)集群能夠提供1、Active-Passive模式Layer2/3多虛擬 路由器多虛擬系統(tǒng)和口型/交叉型組網(wǎng)方式；2、Active-Active模式Layer2/3 多虛擬路由器多虛擬系統(tǒng)和口型/Fullmesh 交叉型組網(wǎng)方式。為用戶提供靈活的組網(wǎng)選擇。3、NSRP雙機(jī)結(jié)構(gòu)便于網(wǎng)絡(luò)維護(hù)管理，通過將流量在雙機(jī)間的靈活切換，在防火墻軟件升級、前后端網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化改造及故障排查時(shí)，雙機(jī)結(jié)構(gòu)均能夠保證業(yè)務(wù)

5、的不間斷運(yùn)行。4、結(jié)合Netscreen虛擬系統(tǒng)和虛擬路由器技術(shù)，部署一對 NSRP集群防火墻，可以為企業(yè)更多的應(yīng)用提供靈活可靠的安全防護(hù)，減少企業(yè)防火墻部署數(shù)量和維護(hù)成本。二、 NSRP 典型結(jié)構(gòu)與配置1、 Layer3 口型 A/P 組網(wǎng)模式Layer3 口型A/P組網(wǎng)模式是當(dāng)前很多企業(yè)廣泛采用的 HA模式，該模式具有對網(wǎng)絡(luò)環(huán)境要求不高，無需網(wǎng)絡(luò)結(jié)構(gòu)做較大調(diào)整，具有較好冗余性、便于管理維護(hù)等優(yōu)點(diǎn)。缺點(diǎn)是Netscreen 防火墻利用率不高，同一時(shí)間只有一臺防火墻處理網(wǎng)絡(luò)流量；冗余程度有限，僅在一側(cè)鏈路和設(shè)備出現(xiàn)故障時(shí)提供冗余切換。Layer3 口型組網(wǎng)A/P模式具有較強(qiáng)冗余性、低端口成本和

6、網(wǎng)絡(luò)結(jié)構(gòu)簡單、便于維護(hù)管理等角度考慮，成為很多企業(yè)選用該組網(wǎng)模式的標(biāo)準(zhǔn)。SwitchBSwitch-ANS-B PassiveSwitch-BB配置說明：兩臺Netscreen設(shè)備采用相同硬件型號和軟件版本，組成Active/Passive冗余模式，兩臺防火墻均使用一致的 Ethernet接口編 號連接到網(wǎng)絡(luò)。通過雙HA端口或?qū)?Ethernet接口放入HA區(qū)段，其中 控制鏈路用于NSRP心跳信息、配置信息和Session會話同步，數(shù)據(jù)鏈 路用于在兩防火墻間必要時(shí)傳輸數(shù)據(jù)流量。NS-A （主用）：Set hostname NS-A /*定義主機(jī)名 */Set interface etherne

7、t1 zone untrustSet interface ethernet1 ip /29Set interface ethernet1 routeSet interface ethernet2 zone trustSet interface ethernet2 ip /29Set interface ethernet2 routeSet interface mgt ip /24 /*通過管理口遠(yuǎn)程管理 NS-A*/* 配置接口： Untrust/Trust Layer3路由卞式 */Set interface ethernet3

8、zone HASet interface ethernet4 zone HA/*Eth3和Eth4 口用于HAT連，用于同步配置文件、會話信息和跟蹤設(shè)備狀態(tài)信息*/set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority50 /*缺省值為100,低值優(yōu)先成為主用設(shè)備 */set nsrp monitor interface ethernet2set nsrp monitor interface ethernet1/*配置NSRP Vsd-group缺省為0, VSI使用物理接口 IP地址，非搶占模

9、式*/NS-B （備用） :Set hostname NS-B /*定義主機(jī)名 */Set interface ethernet1 zone UntrustSet interface ethernet1 ip /29Set interface ethernet1 routeSet interface ethernet2 zone trustSet interface ethernet2 ip /29Set interface ethernet2 routeSet interface mgt ip /24 /*通過管理口遠(yuǎn)程管理NS-

10、A*/* 配置接口： Untrust/Trust Layer3 路由模式 */Set interface ethernet3 zone HASet interface ethernet4 zone HA/*Eth3和Eth4 口用于HAT連，用于同步配置文件、會話信息和跟蹤設(shè)備狀態(tài)信息*/set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority100set nsrp monitor interface ethernet2set nsrp monitor interface ethernet1/*V

11、sd-group 缺省為0, VSI使用物理接口 IP地址，備用設(shè)備：優(yōu)先級 100,成為非搶占模式*/2、 Layer3 Fullmesh A/P 組網(wǎng)模式Layer3 Fullmesh連接A/P組網(wǎng)使用全交叉網(wǎng)絡(luò)連接模式，容許在同一設(shè)備上提供鏈路級冗余，發(fā)生鏈路故障時(shí)，由備用鏈路接管網(wǎng)絡(luò)流量，防火墻間無需進(jìn)行狀態(tài)切換。僅在上行或下行兩條鏈路同時(shí)發(fā)生故障情況下，防火墻才會進(jìn)行狀態(tài)切換， Fullmesh 連接進(jìn)一步提高了業(yè)務(wù)的可靠性。該組網(wǎng)模式在提供設(shè)備冗余的同時(shí)提供鏈路級冗余，成為很多企業(yè)部署關(guān)鍵業(yè)務(wù)時(shí)的最佳選擇。9Switch-BSwltch-BBNS-BPassiveNS-A (Act

12、ive):Set hostname NS-A /*定義主機(jī)名*/Set interface mgt ip /24 /*Set interface red1 zone Untrust /*Set interface e1 zone nullSet interface e1 group red1Set interface e2 zone nullSet interface e2 group red1Set interface red1 ip /29Set interface red2 zone trustSet interface e3 zone nullSe

13、t interface e3 group red2Set interface e4 zone nullSet interface e4 group red2Set interface red2 ip /29/* 配置接口：Untrust/Trust Layer3Set interface ethernet7 zone haSet interface ethernet8 zone haset nsrp cluster id 1set nsrp rto-mirror sync /*set nsrp vsd-group id 0 priorityset nsrp monitor

14、 interface ethernet2set nsrp monitor interface ethernet1通過管理口遠(yuǎn)程管理 NS-A*/創(chuàng)建冗余接口 1*/路由小莫式*/容許會話信息自動同步*/50/* 配置 NSRP Vsd-group 缺省為 0,VSI使用物理接口 IP地址，優(yōu)先級為50,非搶占模式*/NS-B （Backup）Set hostname NS-B /*定義主機(jī)名 */Set interface mgt ip /24 /*Set interface red1 zone Untrust /*Set interface e1 zone nullSe

15、t interface e1 group red1 /*Set interface e2 zone nullSet interface e2 group red1Set interface red1 ip /29Set interface red2 zone trustSet interface e3 zone nullSet interface e3 group red2Set interface e4 zone nullSet interface e4 group red2Set interface red2 ip /29/* 配置接口： Untrus

16、t/Trust Layer3Set interface ethernet7 zone haSet interface ethernet8 zone ha通過管理口遠(yuǎn)程管理NS-A*/創(chuàng)建冗余接口 */將該物理接口放置到冗余接口中 */路由模式 */set nsrp cluster id 1set nsrp rto-mirror sync /*容許會話信息自動同步*/set nsrp vsd-group id 0 priority100set nsrp monitor interface ethernet2set nsrp monitor interface ethernet1/*Vsd-gro

17、up 缺省為 0， VSI 使用物理接口 IP 地址，備用設(shè)備*/3、 Layer3 Fullmesh 連接 A/A 組網(wǎng)模式Layer3 Fullmesh 連接 A/A 結(jié)構(gòu)提供了一種更為靈活的組網(wǎng)方式，在保證網(wǎng)絡(luò)高可靠性的同時(shí)提升了網(wǎng)絡(luò)的可用性。 A/A 結(jié)構(gòu)中兩臺防火墻同時(shí)作為主用設(shè)備并提供互為在線備份，各自獨(dú)立處理信息流量并共享連接會話信息。一旦發(fā)生設(shè)備故障另一臺設(shè)備將負(fù)責(zé)處理所有進(jìn)出網(wǎng)絡(luò)流量。 Fullmesh 連接 A/A 組網(wǎng)模式對網(wǎng)絡(luò)環(huán)境要求較高，要求網(wǎng)絡(luò)維護(hù)人員具備較強(qiáng)技術(shù)能力，防火墻發(fā)生故障時(shí)，接管設(shè)備受單臺設(shè)備容量限制，可能會導(dǎo)致會話連接信息丟失，采用 A/A 模式組網(wǎng)時(shí)

18、，建議每臺防火墻負(fù)責(zé)處理的會話連接數(shù)量不超過單臺設(shè)備容量的50%,以確保故障切換時(shí)不會丟失會話連接。配置說明：定義VSD0和VSD1虛擬安全設(shè)備組(創(chuàng)建Cluster ID時(shí)將 自動創(chuàng)建VSD0),其中NS-A為VSD0主用設(shè)備和VSD1備用設(shè)備， NS-B為VSD1主用設(shè)備和VSD0備用設(shè)備；創(chuàng)建冗余接口實(shí)現(xiàn)兩物 理接口動態(tài)冗余；配置交換機(jī)路由指向來引導(dǎo)網(wǎng)絡(luò)流量經(jīng)過哪個(gè)防火J回ONS-A(Active):set interface redundantl zone Untrustset interface redundant1 ip /29/*VSD0 的 VSI 接口使用物

19、理接口 IP 地址 */set interface ethernet1 group redundant1set interface ethernet2 group redundant1set interface redundant2 zone trustset interface redundant2 ip /29set interface redundant2 manage-ip set interface ethernet3 group redundant2set interface ethernet4 group redundant2/*配置冗

20、余接口、定義 Vsd0接口 IP地址*/set interface redundant1:1 ip /29set interface redundant2:1 ip /29/*VSD1的VSI接口需手動配置IP地址，冒號后面的1表示該接口屬于 VSD1的VSI*/set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1set nsrp vsd-group id 0 priority 50set nsrp vsd-group id 1/* VSD1

21、 使用缺省配置，優(yōu)先級為 100*/set nsrp rto-mirror syncset nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1/* 定義 NSRP 備用心跳接口，保證心跳連接信息不會丟失*/set arp always-on-dest/* 強(qiáng)制采用基于 ARP 表而不是會話表中的 MAC 地址轉(zhuǎn)發(fā)封包*/set vrouter trust-vr route /0 interface redundant1 g

22、ateway set vrouter trust-vr route /0 interface redundant1:1 gateway NS-B(Active) ：set interface redundant1 zone Untrustset interface redundant1 ip /29/*VSD0 的 VSI 接口使用物理接口 IP 地址 */set interface ethernet1 group redundant1set interface ethernet2 group redundant1set in

23、terface redundant2 zone trustset interface redundant2 ip /29set interface redundant2 manage-ip set interface ethernet3 group redundant2set interface ethernet4 group redundant2/*配置冗余接口、定義 Vsd0接口 IP地址*/set interface redundant1:1 ip /29set interface redundant2:1 ip 192.16

24、8.1.5/29set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1/* 定義一致的 Cluster ID ，自動啟用采用缺省配置的 VSD0*/set nsrp rto-mirror syncset nsrp vsd-group id 1 priority 50set nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1/*

25、 定義 NSRP 備用心跳接口，保證心跳連接信息不會丟失*/set arp always-on-dest/* 強(qiáng)制采用基于 ARP 表而不是會話中的 MAC 地址轉(zhuǎn)發(fā)封包*/set vrouter trust-vr route /0 interface redundant1 gateway set vrouter trust-vr route /0 interface redundant1:1 gateway 如有幫助，歡迎下載。三、 NSRP 常用維護(hù)命令1、 get license-key查看防火墻支持的 feature ，

26、其中 NSRPA/A 模式包含了 A/P 模式， A/P模式不支持A/A 模式。 Lite 版本是簡化版， 支持設(shè)備和鏈路冗余切換，不支持配置和會話同步。2、 exec nsrp sync global-config check-sum檢查雙機(jī)配置命令是否同步3、 exec nsrp sync global-config save如雙機(jī)配置信息沒有自動同步， 請手動執(zhí)行此同步命令， 需重啟系統(tǒng)。4、 get nsrp查看 NSRP 集群中設(shè)備狀態(tài)、 主備關(guān)系、 會話同步以及參數(shù)開關(guān)信息。5、 Exec nsrp sync rto all from peer手動執(zhí)行 RTO 信息同步，使雙機(jī)保持

27、會話信息一致6、 exec nsrp vsd-group 0 mode backup手動進(jìn)行主備狀態(tài)切換時(shí)，在主用設(shè)備上執(zhí)行該切換命令，此時(shí)該主用設(shè)備沒有啟用搶占模式。7、 exec nsrp vsd-group 0 mode ineligible手動進(jìn)行主備狀態(tài)切換時(shí)，在主用設(shè)備上執(zhí)行該切換命令，此時(shí)該主用設(shè)備已啟用搶占模式。8、 get alarm event檢查設(shè)備告警信息，其中將包含NSRP 狀態(tài)切換信息Netscreen NSRP 維護(hù)案例案例 1: Netscreen 雙機(jī)升級步驟1使用 Tftp 備份兩臺防火墻現(xiàn)有配置文件和 OS 系統(tǒng)文件。2. 升級步驟為先升級備用設(shè)備后升級主

28、用設(shè)備， 如果是 Active/Active 模式請切換為Active/Passive模式后再升級備用設(shè)備。用筆記本電腦連接NS-B的Console 口和 MGT 口， 通過 Web 界面上對 NS-B 進(jìn)行升級， 并在Console 口上觀察升級過程。3. NS-B升級后將自動重啟，通過 Console 口觀察重啟過程。啟動后在 console上 輸入get system命令，驗(yàn)證升級后的版本號。輸入 get license,驗(yàn)證license信息是 否符合升級要求。輸入get nsrp,驗(yàn)證此設(shè)備處于備機(jī)狀態(tài)。4. Session信息應(yīng)該自動從主機(jī)上同步到備機(jī)。為進(jìn)一步確保Session信

29、息同步，在 NS-B 上執(zhí)行 exec nsrp syn rto all from peer 手工同步 Session信息。5主備雙機(jī)進(jìn)行狀態(tài)切換。用筆記本接NS-A 的 Console 口，輸入 exec nsrpvsd-group 0 mode backu酶令，將狀態(tài)切換。使用 get nsrp命令，驗(yàn)證設(shè)備狀態(tài)已切換完成，此時(shí)NS-A 為備機(jī)， NS-B 為主機(jī)。6在 Web 界面上對 NS-A 進(jìn)行升級，在Console 口上觀察升級過程。7 . NS-A升級后會自動重起，在 Console 口上觀察重起過程。啟動后在 console上 輸入get system命令，驗(yàn)證升級后的版本號

30、。輸入 get license,驗(yàn)證license信息是 否滿足升級需求。輸入get nsrp驗(yàn)證此臺設(shè)備為備機(jī)狀態(tài)。8 .恢復(fù)原先的主備狀態(tài)： 在NS-B上執(zhí)行exec nsrp vsd-group 0 mode backu晦令， 將狀態(tài)切換。驗(yàn)證設(shè)備狀態(tài)已切換完成，此時(shí)NS-A 為主機(jī)， NS-B 為備機(jī)。9 .在設(shè)備 NS-A 上執(zhí)行 exec nsrp syn vsd-group 0 global-config checksum,驗(yàn)證兩 臺設(shè)備的配置同步。如雙機(jī)配置文件沒有同步，請執(zhí)行exec nsrp syn vsd-group 0global-config save 手動進(jìn)行配置同步。10觀察兩臺防火墻的日志，驗(yàn)證是否存在異常告警信息。案例 2 ：快速配置NSRP 集群備用設(shè)備Netscreen 提供快速配置NSRP 集群中