junos SRX550 HA配置

简单介绍一下,SRX系列防火墙HA采用的是JSRP协议。对应netscreen的NSRP。JSRP和NSRP之间的最大区别就是JSRP采用的是cluster,两台防火墙虚拟成一台。而NSRP一般采用的是主备模式,备机需要单独的管理。

JSRP要求两台设备的型号、版本、板卡等完全一致。

下面开始SRX550的HA配置。

1、首选确定SRX550防火墙之间做HA的control-link接口。通过官方文档可以查到SRX550的g0/0/0 为带外管理口,g0/0/1为固定的control-link接口。把两台防火墙的g0/0/1口互联。

2、对两台设备的g0/0/0、g0/0/1、g0/0/2接口进行初始化配置,删除所有有关的原有配置

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching

delete set interfaces ge-0/0/0 unit 0 

delete set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/1unit 0 family ethernet-switching

delete set interfaces ge-0/0/1 unit 0 

delete set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/2unit 0 family ethernet-switching

delete set interfaces ge-0/0/2 unit 0 

3、配置cluster-id和node-id

SRX-A>set chassis cluster cluster-id 1 node 0 reboot

SRX-B>set chassis cluster cluster-id 1 node 1 reboot

两台设备重启后,会发现逻辑上已经成为一台防火墙。可以看到ge-9/0/0等接口,这是第二台设备的接口。

4、指定Fabric Link Port

set interfaces fab0 fabric-options member-interfaces ge-0/0/2

set interfaces fab1 fabric-options member-interfaces ge-9/0/2

control-link主要用来两台设备之间心跳检测、配置同步等。而Fabric Link 用于session的同步。

做完这个步骤,通过命令:

show chassis cluster interface

show chassis cluster status

可以查看到现在两台设备的HA已经完成。这个时候还有一个问题。

现在两台防火墙之间HA一共用了两条线,一条control-link,一条fabric-link。

1、如果把control-link断开,这个时候HA就断开了,但是主防火墙还是正常工作的。把control-link恢复,HA状态还是异常的。这个时候只有把背墙手动的重启,HA才会恢复。

2、如果把fabric-link断开,这个时候HA没有断开,但是主防火墙还是正常工作的,备墙无法同步session,无法切换。把fabric-link恢复,HA状态还是异常的。这个时候只有把备墙手动的重启,HA才会恢复。

那么有没有办法让防火墙自己去识别HA线路的问题而做相应的操作呢?

通过如下命令:

set chassis cluster control-link-recovery 

如果fabric-link断开再恢复,HA状态会自动恢复,session会继续同步。

如果control-link断开在恢复,备墙会自动重启,完成HA。


本文出自 “xspjcxx” 博客,转载请与作者联系!

你可能感兴趣的:(防火墙,family,members)