Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Serviços de alta disponibilidade multinós

A alta disponibilidade de múltiplos nós oferece suporte ao modo ativo/ativo para o plano de dados e ao modo ativo/backup para serviços de plano de controle. Vamos aprender sobre os serviços stateful e stateful do plano de controle nas seguintes seções:

Plano de controle Serviços sem estado

O SRG0 gerencia serviços sem estado de plano de controle, como segurança de aplicativos, IDP, Segurança de conteúdo, firewall, NAT, políticas, ALG e assim por diante. O failover para esses serviços é necessário apenas no nível do plano de dados e alguns desses serviços são de passagem (não terminando no dispositivo, exceto NAT, autenticação de firewall).

O SRG0 permanece ativo em ambos os nós e encaminha o tráfego de ambos os nós. Esses recursos funcionam de forma independente em ambos os firewalls da Série SRX em alta disponibilidade multinode.

Para configurar os serviços stateless do plano de controle:

  • Configure os recursos como você os configura em um firewall da Série SRX independente.
  • Instale a mesma versão do Junos OS nos dispositivos de segurança participantes (Junos OS Release 22.3R1 ou posterior)
  • Instalar licenças idênticas em ambos os nós
  • Baixe e instale as mesmas versões do pacote de assinatura de aplicativos ou do pacote IPS em ambos os nós (se você estiver usando a segurança de aplicativos e o IDP)
  • Configure o anúncio de rota condicional, a política de roteamento e as rotas estáticas de acordo com suas necessidades.
  • Na alta disponibilidade de vários nós, a sincronização de configuração não acontece por padrão. Você precisa configurar aplicativos como parte de grupos e, em seguida, sincronizar a configuração usando a opção ou gerenciar a peer synchronization configuração de forma independente em cada nó.

Network Address Translation

Serviços como Firewall, ALG, NAT não têm estado de plano de controle. Para esses serviços, somente o estado do plano de dados precisa ser sincronizado entre os nós.

Em uma configuração de alta disponibilidade de vários nós, um dispositivo lida com uma sessão NAT por vez e o outro dispositivo assume a função ativa quando ocorre o failover. Assim, uma sessão permanece ativa em um dispositivo e, no outro dispositivo, a sessão ficará no estado quente (standby) até que o failover aconteça.

As sessões NAT e os objetos de estado ALG são sincronizados entre os nós. Se um nó falhar, o segundo nó continuará a processar o tráfego para as sessões sincronizadas do dispositivo com falha, incluindo traduções NAT.

Você deve criar regras e pools de NAT com os mesmos parâmetros em ambos os firewalls da Série SRX. Para direcionar o caminho de resposta do tráfego NAT (destinado ao endereço IP do pool NAT) para o firewall da Série SRX correto (dispositivo ativo), você deve ter a configuração de roteamento necessária em ambos os dispositivos ativos/backup. Ou seja, a configuração deve especificar quais rotas são anunciadas por meio dos protocolos de roteamento para os dispositivos de roteamento adjacentes. Assim, você também deve definir a opção de política e a configuração de rota.

Ao executar comandos operacionais específicos do NAT em ambos os dispositivos, você pode ver a mesma saída. No entanto, pode haver casos em que as IDs numéricas internas da regra NAT/pool podem ser diferentes entre os nós. IDs numéricos diferentes não afetam as traduções de sincronização/NAT da sessão no failover.

Autenticação de usuário de firewall

Com a autenticação de firewall, você pode restringir ou permitir usuários individualmente ou em grupos. Os usuários podem ser autenticados usando um banco de dados de senhas local ou usando um banco de dados de senhas externo.

A alta disponibilidade de múltiplos nós oferece suporte aos seguintes métodos de autenticação:

  • Autenticação de passagem
  • Passagem com autenticação de redirecionamento da Web
  • Autenticação da Web

A autenticação de usuário do firewall é um serviço com um estado de plano de controle ativo e requer sincronização de estados de controle e plano de dados entre os nós. Ao trabalhar na configuração de alta disponibilidade de vários nós, o recurso de autenticação de usuário do firewall funciona de forma independente em ambos os firewalls da Série SRX e sincroniza a tabela de autenticação entre os nós. Quando um usuário é autenticado com êxito, a entrada de autenticação é sincronizada com o outro nó e fica visível em ambos os nós quando você executa o comando show (exemplo: show security firewall-authentication users ).

Observação:

Ao sincronizar a configuração entre nós, verifique se os detalhes de autenticação, política, zona de origem e zona de destino correspondem em ambos os nós. Manter a mesma ordem em sua configuração garante a sincronização bem-sucedida das entradas de autenticação em ambos os nós.

Se você limpar uma entrada de autenticação em um nó usando a clear security user-identification local-autenticação-table declaração, certifique-se de limpar a entrada de autenticação no outro nó também.

Siga a mesma prática também em caso de configuração de tráfego assimétrico.

A alta disponibilidade de múltiplos nós oferece suporte ao Juniper Identity Management Service (JIMS) para obter informações de identidade do usuário. Cada nó busca as entradas de autenticação do servidor JIMS e as processa de forma independente. Por isso, você deve executar comandos de autenticação de usuário do firewall separadamente em cada nó. Por exemplo, quando você exibe as entradas de autenticação usando os comandos show, cada nó exibe apenas as entradas de autenticação que está manipulando atualmente (como se estivesse trabalhando de forma independente no modo autônomo:

Suporte para o Express Path

O Express Path (anteriormente conhecido como descarregamento de serviços) no MNHA (SRG0 e SRG1+) reduz a latência, garantindo o encaminhamento contínuo de pacotes após o failover. Esse recurso instala sessões SOF stateful e estáticas no outro nó enquanto o nó ativo está operacional, garantindo a prontidão imediata para failover orientada por mensagens do plano de controle.

O sistema impede que as sessões SOF envelheçam prematuramente no outro nó, mantém a integridade da sessão e lida com o processamento do primeiro pacote perfeitamente durante as transições de função primária. Além disso, ele aborda o tratamento de sessão em um novo nó com falha, optando pela exclusão e reinstalação de sessões SOF para garantir um gerenciamento atualizado.

O suporte para esse recurso está disponível para o sistema de alta disponibilidade de vários nós que opera no modo de Camada 3 (roteamento). para obter detalhes sobre o Express Path, consulte Visão geral do Express Path.

Sincronização de configuração entre nós de alta disponibilidade de vários nós

Na alta disponibilidade de múltiplos nós, dois firewalls da Série SRX atuam como dispositivos independentes. Esses dispositivos têm um nome de host exclusivo e o endereço IP na interface fxp0. Você pode configurar serviços sem estado do plano de controle, como ALG, firewall, NAT de forma independente nesses dispositivos. Os pacotes específicos do nó são sempre processados nos respectivos nós.

Os seguintes pacotes/serviços são específicos do nó (local) na alta disponibilidade do multinó:

  • Pacotes de protocolos de roteamento para o Mecanismo de Roteamento

  • Serviços de gerenciamento, como SNMP, e comandos operacionais (show, request)

  • Processos, como o processo de serviço de autenticação (authd), integrado com servidores RADIUS e LDAP

  • Criptografia ICL, controle de túnel específico e pacotes de dados

A sincronização de configuração no Multinode High Availability não é habilitada por padrão. Se você quiser que determinadas configurações sejam sincronizadas com o outro nó, será necessário:

  • Configure o recurso/função como parte de groups
  • Sincronize a configuração usando a [edit system commit peers-synchronize] opção

Quando você habilita a sincronização de configuração (usando a peers-synchronize opção) em ambos os dispositivos em uma alta disponibilidade de vários nós, as definições de configuração definidas em um peer em [groups] serão sincronizadas automaticamente com o outro peer após a ação de confirmação .

O peer local no qual você habilita a peers-synchronize instrução copia e carrega sua configuração para o peer remoto. Em seguida, cada peer executa uma verificação de sintaxe no arquivo de configuração que está sendo confirmado. Se nenhum erro for encontrado, a configuração será ativada e se tornará a configuração operacional atual em ambos os pares.

Para obter um exemplo de configuração, consulte Exemplo: Configurar a alta disponibilidade de vários nós com grupos de configuração do Junos OS.

O snippet de configuração a seguir mostra a configuração de VPN em avpn_config_group host-mnha-01. Sincronizaremos a configuração com o outro dispositivo peer host-mnha-02.

  1. Configure o nome de host e o endereço IP do dispositivo peer participante (host-mnha-02), os detalhes de autenticação e inclua a peers-synchronization declaração.

  2. Configure o grupo (avpn_config_group) e especifique as condições de aplicação (quando os pares host-mnha-01 e host-mnha-02)

  3. Use o apply-groups comando na raiz da configuração.

    Quando você confirma a configuração, o Junos verifica o comando e mescla o grupo correto para corresponder ao nome do nó.

  4. Verifique o status de sincronização usando o show configuration system comando do modo operacional.

    A saída do comando exibe os detalhes do firewall da Série SRX peer na opção peers .

Observação:

A sincronização de configuração acontece dinamicamente e se alguma alteração de configuração for feita quando apenas um nó estiver disponível ou quando a conectividade for interrompida entre os nós, você deverá emitir mais um commit para sincronizar a configuração com o outro nó. Caso contrário, isso levará a configurações inconsistentes entre os nós dos aplicativos.
Observação:
  • A sincronização de configuração não é obrigatória para que a alta disponibilidade de múltiplos nós funcione. No entanto, para uma sincronização de configuração fácil, recomendamos usar a instrução com junos groups configuração set system commit peers-synchronize em uma direção (nó 0 para nó 1, por exemplo).
  • Recomendamos usar a conexão fxp0 (gerenciamento fora de banda) para formar a sincronização de configuração entre os nós de alta disponibilidade de vários nós para gerenciar configurações comuns.
  • Para o caso de uso de IPsec, se a sincronização de configuração não estiver habilitada, você deverá confirmar a configuração primeiro no nó de backup e, em seguida, no nó ativo.

Documentação relacionada