網絡設備主備配置系列2:netscreen防火墻雙機主備NETSCREEN防火墻是小俠最喜歡的防火墻了，正好手上也有幾個，于是狂搜了不少資料，進行了N個試驗.現在就拿出一些分享給大家了.一、NSRP工作原理NSRP(NetScreenRedundantProtocol)是Juniper公司基于VRRP協議規范自行開發的設備冗余協議。防火墻作為企業核心網絡中的關鍵設備，需要為所有進出網絡的信息流提供安全保護，為滿足客戶不間斷業務訪問需求，要求防火墻設備必須具備高可靠性，能夠在設備、鏈路及互連設備出現故障的情況下，提供網絡訪問路徑無縫切換。NSRP冗余協議提供復雜網絡環境下的冗余路徑保護機制。NSRP主要功能有：1、在高可用群組成員之間同步配置信息；2、提供活動會話同步功能，以保證發生路徑切換情況下不會中斷網絡連接；3、采用高效的故障切換算法，能夠在短短幾秒內迅速完成故障檢測和狀態切換。NSRP集群兩種工作模式：一、Active/Passive模式：通過對一個冗余集群中的兩臺安全設備進行電纜連接和配置，使其中一臺設備作為主用設備，另一臺作為備用設備。主用設備負責處理所有網絡信息流，備用設備處于在線備份狀態。主設備將其網絡和配置命令及當前會話信息傳播到備用設備，備用設備始終保持與主用設備配置信息和會話連接信息的同步，并跟蹤主用設備狀態，一旦主設備出現故障，備份設備將在極短時間內晉升為主設備并接管信息流處理。二、Active/Active模式：在NSRP中創建兩個虛擬安全設備(VSD)組，每個組都具有自己的虛擬安全接口(VSI)，通過VSI接口與網絡進行通信。設備A充當VSD組1的主設備和VSD組2的備份設備。設備B充當VSD組2的主設備和VSD組1的備份設備。Active/Active模式中兩臺防火墻同時進行信息流的處理并彼此互為備份。在雙主動模式中不存在任何單一故障點。如下圖所示，通過調整防火墻上下行路由/交換設備到網絡的路由指向，HostA通過左側路徑訪問ServerA，HostB通過右側路徑訪問ServerB，網絡中任一設備或鏈路出現故障時，NSRP集群均能夠做出正確的路徑切換。JntraRtrAServerASen/erBHgtA廠rHostBNSJntraRtrAServerASen/erBHgtA廠rHostBNS書Irrter刊rAinter-RtrBNSRP集群技術優勢主要體現于：1、消除防火墻及前后端設備單點故障，提供網絡高可靠性。即使在骨干網絡中兩類核心設備同時出現故障，也能夠保證業務安全可靠運行。2、根據客戶網絡環境和業務可靠性需要，提供靈活多樣的可靠組網方式°NSRP雙機集群能夠提供1、Active-Passive模式Layer2/3多虛擬路由器多虛擬系統和口型/交叉型組網方式；2、Active-Active模式Layer2/3多虛擬路由器多虛擬系統和口型/Fullmesh交叉型組網方式。為用戶提供靈活的組網選擇。3、NSRP雙機結構便于網絡維護管理，通過將流量在雙機間的靈活切換，在防火墻軟件升級、前后端網絡結構優化改造及故障排查時，雙機結構均能夠保證業務的不間斷運行。4、結合Netscreen虛擬系統和虛擬路由器技術，部署一對NSRP集群防火墻，可以為企業更多的應用提供靈活可靠的安全防護，減少企業防火墻部署數量和維護成本。二、NSRP典型結構與配置1、Layer3口型A/P組網模式Layer3口型A/P組網模式是當前很多企業廣泛采用的HA模式，該模式具有對網絡環境要求不高，無需網絡結構做較大調整，具有較好冗余性、便于管理維護等優點。缺點是Netscreen防火墻利用率不高，同一時間只有一臺防火墻處理網絡流量；冗余程度有限，僅在一側鏈路和設備出現故障時提供冗余切換。Layer3口型組網A/P模式具有較強冗余性、低端口成本和網絡結構簡單、便于維護管理等角度考慮，成為很多企業選用該組網模式的標準。配置說明：兩臺Netscreen設備采用相同硬件型號和軟件版本，組成Active/Passive冗余模式，兩臺防火墻均使用一致的Ethernet接口編號連接到網絡。通過雙HA端口或將2Ethernet接口放入HA區段，其中控制鏈路用于NSRP心跳信息、配置信息和Session會話同步，數據鏈路用于在兩防火墻間必要時傳輸數據流量。NS-A（主用）：SethostnameNS-A/***定義主機名***/SetinterfaceethernetlzoneuntrustSetinterfaceethernetlip/29SetinterfaceethernetlrouteSetinterfaceethernet2zonetrustSetinterfaceethernet2ip/29Setinterfaceethernet2routeSetinterfacemgtip/24/***通過管理口遠程管理NS-A***//***配置接口：Untrust/TrustLayer3路由模式***/Setinterfaceethernet3zoneHASetinterfaceethernet4zoneHA/***Eth3和Eth4口用于HA互連，用于同步配置文件、會話信息和跟蹤設備狀態信息***/setnsrpclusterid1setnsrprto-mirrorsyncsetnsrpvsd-groupid0priority50/***缺省值為100，低值優先成為主用設備***/setnsrpmonitorinterfaceethernet2setnsrpmonitorinterfaceethernet1/***配置NSRP：Vsd-group缺省為0，VSI使用物理接口IP地址，非搶占模式***/NS-B（備用）：SethostnameNS-B/***定義主機名***/Setinterfaceethernet1zoneUntrustSetinterfaceethernet1ip/29Setinterfaceethernet1routeSetinterfaceethernet2zonetrustSetinterfaceethernet2ip/29Setinterfaceethernet2routeSetinterfacemgtip/24/***通過管理口遠程管理NS-A***//***配置接口：Untrust/TrustLayer3路由模式***/Setinterfaceethernet3zoneHASetinterfaceethernet4zoneHA/***Eth3和Eth4口用于HA互連，用于同步配置文件、會話信息和跟蹤設備狀態信息***/setnsrpclusterid1setnsrprto-mirrorsyncsetnsrpvsd-groupid0priority100setnsrpmonitorinterfaceethernet2setnsrpmonitorinterfaceethernet1/***Vsd-group缺省為0，VSI使用物理接口IP地址，備用設備：優先級100，成為非搶占模式***/2、Layer3FullmeshA/P組網模式Layer3Fullmesh連接A/P組網使用全交叉網絡連接模式，容許在同一設備上提供鏈路級冗余，發生鏈路故障時，由備用鏈路接管網絡流量，防火墻間無需進行狀態切換。僅在上行或下行兩條鏈路同時發生故障情況下，防火墻才會進行狀態切換，Fullmesh連接進一步提高了業務的可靠性。該組網模式在提供設備冗余的同時提供鏈路級冗余，成為很多企業部署關鍵業務時的最佳選擇。

祁昵100如1/29Uffik1SZ138也1681.1/29Tm瞰Switch-ANS-AActive祁昵100如1/29Uffik1SZ138也1681.1/29Tm瞰Switch-ANS-AActiveSwitch-AAInternet1DG.1SwitchNS-BPassiveSwitch電BNS-A(Active):SethostnameNS-A/***定義主機名***/Setinterfacemgtip/24/***通過管理口遠程管理NS-A***/Setinterfacered1zoneUntrust/***創建冗余接口1***/Setinterfacee1zonenullSetinterfacee1groupred1Setinterfacee2zonenullSetinterfacee2groupred1Setinterfacered1ip/29Setinterfacered2zonetrustSetinterfacee3zonenullSetinterfacee3groupred2Setinterfacee4zonenullSetinterfacee4groupred2Setinterfacered2ip/29/***配置接口：Untrust/TrustLayer3路由模式***/Setinterfaceethernet7zonehaSetinterfaceethernet8zonehasetnsrpclusterid1setnsrprto-mirrorsync/***容許會話信息自動同步***/setnsrpvsd-groupid0priority50setnsrpmonitorinterfaceethernet2setnsrpmonitorinterfaceethernet1/***配置NSRP：Vsd-group缺省為0,VSI使用物理接口IP地址，優先級為50,非搶占模式***/NS-B（Backup）:SethostnameNS-B/***定義主機名***/Setinterfacemgtip/24/***通過管理口遠程管理NS-A***/Setinterfacered1zoneUntrust/***創建冗余接口***/Setinterfacee1zonenullSetinterfacee1groupred1/***將該物理接口放置到冗余接口中***/Setinterfacee2zonenullSetinterfacee2groupred1Setinterfacered1ip/29Setinterfacered2zonetrustSetinterfacee3zonenullSetinterfacee3groupred2Setinterfacee4zonenullSetinterfacee4groupred2Setinterfacered2ip/29/***配置接口：Untrust/TrustLayer3路由模式***/Setinterfaceethernet7zonehaSetinterfaceethernet8zonehasetnsrpclusterid1setnsrprto-mirrorsync/***容許會話信息自動同步***/setnsrpvsd-groupid0priority100setnsrpmonitorinterfaceethernet2setnsrpmonitorinterfaceethernet1/***Vsd-group缺省為0，VSI使用物理接口IP地址，備用設備***/3、Layer3Fullmesh連接A/A組網模式Layer3Fullmesh連接A/A結構提供了一種更為靈活的組網方式，在保證網絡高可靠性的同時提升了網絡的可用性。A/A結構中兩臺防火墻同時作為主用設備并提供互為在線備份，各自獨立處理信息流量并共享連接會話信息。一旦發生設備故障另一臺設備將負責處理所有進出網絡流量。Fullmesh連接A/A組網模式對網絡環境要求較高，要求網絡維護人員具備較強技術能力，防火墻發生故障時，接管設備受單臺設備容量限制，可能會導致會話連接信息丟失，采用A/A模式組網時，建議每臺防火墻負責處理的會話連接數量不超過單臺設備容量的50%，以確保故障切換時不會丟失會話連接。配置說明：定義VSD0和VSD1虛擬安全設備組（創建ClusterID時將自動創建VSD0），其中NS-A為VSD0主用設備和VSD1備用設備，NS-B為VSD1主用設備和VSD0備用設備；創建冗余接口實現兩物理接口動態冗余；配置交換機路由指向來引導網絡流量經過哪個防火墻。NS-A（Active）：setinterfaceredundantlzoneUntrustsetinterfaceredundantlip/29/***VSD0的VSI接口使用物理接口IP地址***/setinterfaceethernet1groupredundant1setinterfaceethernet2groupredundant1setinterfaceredundant2zonetrustsetinterfaceredundant2ip/29setinterfaceredundant2manage-ipsetinterfaceethernet3groupredundant2setinterfaceethernet4groupredundant2/***配置冗余接口、定義Vsd0接口IP地址***/setinterfaceredundant1:1ip/29setinterfaceredundant2:1ip/29/***VSD1的VSI接口需手動配置IP地址，冒號后面的1表示該接口屬于VSD1的VSI***/setinterfaceethernet7zonehasetinterfaceethernet8zonehasetnsrpclusterid1setnsrpvsd-groupid0priority50setnsrpvsd-groupid1/***VSD1使用缺省配置，優先級為100***/setnsrprto-mirrorsyncsetnsrpmonitorinterfaceredundant1setnsrpmonitorinterfaceredundant2setnsrpsecondary-pathethernet2/1/***定義NSRP備用心跳接口，保證心跳連接信息不會丟失***/setarpalways-on-dest/***強制采用基于ARP表而不是會話表中的MAC地址轉發封包***/setvroutertrust-vrroute/0interfaceredundant1gatewaysetvroutertrust-vrroute/0interfaceredundant1:1gatewayNS-B(Active)：setinterfaceredundant1zoneUntrustsetinterfaceredundant1ip/29/***VSD0的VSI接口使用物理接口IP地址***/setinterfaceethernet1groupredundant1setinterfaceethernet2groupredundant1setinterfaceredundant2zonetrustsetinterfaceredundant2ip/29setinterfaceredundant2manage-ipsetinterfaceethernet3groupredundant2setinterfaceethernet4groupredundant2/***配置冗余接口、定義Vsd0接口IP地址***/setinterfaceredundant1:1ip/29setinterfaceredundant2:1ip/29setinterfaceethernet7zonehasetinterfaceethernet8zonehasetnsrpclusterid1/***定義一致的Cluster2，自動啟用采用缺省配置的VSD0***/setnsrprto-mirrorsyncsetnsrpvsd-groupid1priority50setnsrpmonitorinterfaceredundantlsetnsrpmonitorinterfaceredundant2setnsrpsecondary-pathethernet2/1/***定義NSRP備用心跳接口，保證心跳連接信息不會丟失***/setarpalways-on-dest/***強制采用基于ARP表而不是會話中的MAC地址轉發封包***/setvroutertrust-vrroute/0interfaceredundant1gatewaysetvroutertrust-vrroute/0interfaceredundant1:1gateway三、NSRP常用維護命令1、getlicense-key查看防火墻支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是簡化版，支持設備和鏈路冗余切換，不支持配置和會話同步。2、execnsrpsyncglobal-configcheck-sum檢查雙機配置命令是否同步3、execnsrpsyncglobal-configsave如雙機配置信息沒有自動同步，請手動執行此同步命令，需重啟系統。4、getnsrp查看NSRP集群中設備狀態、主備關系、會話同步以及參數開關信息。5、Execnsrpsyncrtoallfrompeer手動執行RTO信息同步，使雙機保持會話信息一致6、execnsrpvsd-group0modebackup手動進行主備狀態切換時，在主用設備上執行該切換命令，此時該主用設備沒有啟用搶占模式。7、execnsrpvsd-group0modeineligible手動進行主備狀態切換時，在主用設備上執行該切換命令，此時該主用設備已啟用搶占模式。8、getalarmevent檢查設備告警信息，其中將包含NSRP狀態切換信息四、NetscreenNSRP維護案例案例1:Netscreen雙機升級步驟使用Tftp備份兩臺防火墻現有配置文件和OS系統文件。升級步驟為先升級備用設備后升級主用設備，如果是Active/Active模式請切換為Active/Passive模式后再升級備用設備。用筆記本電腦連接NS-B的Console口和MGT口，通過Web界面上對NS-B進行升級，并在Console口上觀察升級過程。NS-B升級后將自動重啟，通過Console口觀察重啟過程。啟動后在console上輸入getsystem命令，驗證升級后的版本號。輸入getlicense，驗證license信息是否符合升級要求。輸入getnsrp，驗證此設備處于備機狀態。Session信息應該自動從主機上同步到備機。為進一步確保Session信息同步，在NS-B上執行execnsrpsynrtoallfrompeer，手工同步Session信息。主備雙機進行狀態切換。用筆記本接NS-A的Console口，輸入execnsrpvsd-group0modebackup命令，將狀態切換。使用getnsrp命令，驗證設備狀態已切換完成，此時NS-A為備機，NS-B為主機。在Web界面上對NS-A進行升級，在Console口上觀察升級過程。NS-A升級后會自動重起，在Console口上觀察重起過程。啟動后在console上輸入getsystem命令，驗證升級后的版本號。輸入getlicense，驗證license信息是否滿足升級需求。輸入getnsrp驗證此臺設備為備機狀態。恢復原先的主備狀態：在NS-B上執行execnsrpvsd-group0modebackup命令，將狀態切換。驗證設備狀態已切換完成，此時NS-A為主機，NS-B為備機。在設備NS-A上執行execnsrpsynvsd-group0global-configchecksum,驗證兩臺設備的配置同步。如雙機配置文件沒有同步，請執行execnsrpsynvsd-group0global-configsave手動進行配置同步。觀察兩臺防火墻的日志，驗證是否存在異常告警信息。案例2：快速配置NSRP集群備用設備Netscreen提供快速配置NSRP集群中備用設備的方法，適用于創建NSRP集群雙機配置和備用設備出