Netscreen 防火墙NSRP冗余理论与配置(四)

三、NSRP典型结构与配置(C)

 

3. Layer3 Fullmesh A/A 组网模式：

Layer3 Fullmesh 连接A/A结构提供了一种更为灵活的组网方式，在保证网络高可靠性的同时提升了网络的可用性。A/A结构中两台防火墙同时作为主用设备并提供互为在线备份，各自独立处理信息流量并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有进出网络流量。Fullmesh连接A/A组网模式对网络环境要求较高，要求网络维护人员具备较强技术能力，防火墙发生故障时，接管设备受单台设备容量限制，可能会导致会话连接信息丢失，采用A/A模式组网时，建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50％，以确保故障切换时不会丢失会话连接。

   

  配置 说明： 定 义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0)，其中NS-A为VSD0主用设备和VSD1备用设备，NS-B为VSD1主用设备和VSD0备用设备；创建冗余接口实现两物理接口动态冗余；配置交换机路由指向来引导网络流量经过哪个防火墙。

 

NS-A(Active) ：
       set interface redundant1 zone Untrust
       set interface redundant1 ip 100.1.1.4/29 /***VSD0 的VSI接口使用物理接口IP地址***/
       set interface ethernet1 group redundant1
       set interface ethernet2 group redundant1
       set interface redundant2 zone trust
       set interface redundant2 ip 192.168.1.4/29
       set interface redundant2 manage-ip 192.168.2.1
       set interface ethernet3 group redundant2
       set interface ethernet4 group redundant2
       /***配置冗余接口、定义Vsd0 接口IP地址***/
       set interface redundant1:1 ip 100.1.1.5/29
       set interface redundant2:1 ip 192.168.1.5/29
       /***VSD1的VSI接口需手动配置IP地址，冒号后面的1表示该接口属于VSD1的VSI***/
     set interface ethernet7 zone ha
       set interface ethernet8 zone ha
       set nsrp cluster id 1
       set nsrp vsd-group id 0 priority 50
       set nsrp vsd-group id 1 /*** VSD1使用缺省配置，优先级为100***/
       set nsrp rto-mirror sync
       set nsrp monitor interface redundant1
       set nsrp monitor interface redundant2
       set nsrp secondary-path ethernet2/1
       /***定义NSRP备用心跳接口，保证心跳连接信息不会丢失***/
       set arp always-on-dest
       /***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/
       set vrouter trust-vr route 0.0.0 .0/0 interface redundant1 gateway 100.1.1.1
       set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1

       NS-B(Active) ：
       set interface redundant1 zone Untrust
       set interface redundant1 ip 100.1.1.4/29 /***VSD0 的VSI接口使用物理接口IP地址***/
       set interface ethernet1 group redundant1
       set interface ethernet2 group redundant1
       set interface redundant2 zone trust
       set interface redundant2 ip 192.168.1.4/29
       set interface redundant2 manage-ip 192.168.2.2
       set interface ethernet3 group redundant2
       set interface ethernet4 group redundant2
       /***配置冗余接口、定义Vsd0 接口IP地址***/
       set interface redundant1:1 ip 100.1.1.5/29
       set interface redundant2:1 ip 192.168.1.5/29
       set interface ethernet7 zone ha
       set interface ethernet8 zone ha
       set nsrp cluster id 1
       /***定义一致的Cluster ID，自动启用采用缺省配置的VSD0***/
       set nsrp rto-mirror sync
       set nsrp vsd-group id 1 priority 50
       set nsrp monitor interface redundant1
       set nsrp monitor interface redundant2
       set nsrp secondary-path ethernet2/1
       /***定义NSRP备用心跳接口，保证心跳连接信息不会丢失***/
       set arp always-on-dest
       /***强制采用基于ARP表而不是会话中的MAC地址转发封包***/
       set vrouter trust-vr route 0.0.0 .0/0 interface redundant1 gateway 100.1.1.1
       set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1