为多节点高可用性部署准备环境
本主题提供准备多节点高可用性部署环境的详细信息。
设备型号
在多节点高可用性中,您必须使用与节点相同的 SRX 系列防火墙模型。例如,如果您将 SRX5600 用作一个节点,则必须将另一个 SRX5600 用作另一个节点
对于 SRX5000 系列设备,请确保 SPC、NPC 和 IOC 具有相同的插槽位置和类型。
软件版本
在参与的安全设备上安装兼容版本的 Junos OS。
最新 Junos IKE 包
您必须安装 IKE 软件包才能在多节点高可用性解决方案中启用 ICL 加密。
默认情况下,SRX 系列防火墙启动时,将执行旧有 IKE 架构。要启用新的 IKE 架构,必须安装新的 Junos IKE 软件包。这是 Junos OS 软件下载映像中包含的可选软件包。
使用以下命令安装 IKE 软件包:
user@host> request system software add optional://junos-ike.tgz
安装 Junos IKE 软件包后,对于实例的后续软件升级,Junos IKE 软件包将自动从设备上安装的新 Junos OS 版本进行升级。
软件许可
多节点高可用性功能不需要任何特定许可证。但是,许可证对于每个 SRX 系列都是唯一的,不能在多节点高可用性设置中的节点之间共享。因此,您必须在两个节点上使用相同的许可证。如果两个 SRX 系列防火墙都没有相同的许可证集,则系统尚未准备好进行部署。
网络可访问性
多节点高可用性设置中的两个节点必须能够使用 ICL 路径相互访问。此路径使用(无论 ICL 是否加密)IP 地址、协议和端口详细信息。如果实施了防火墙或其他检测措施,您必须确保节点之间允许进行这种通信。
用于每个节点的浮动 IP 地址必须是跨网络可路由的 IP(逻辑路由路径)。
建议将 ICL 绑定到环路接口 (lo0) 或聚合以太网接口 (ae0),并具有多个物理链路 (LAG/LACP),以确保路径多元化,从而实现最高的弹性配置。您还可以使用 SRX 系列防火墙上的收入以太网端口来建立 ICL 连接。确保将收入接口中的中转流量与高可用性 (高可用性) 流量分开。
IP 地址注意事项
表 1 提供了有关多节点高可用性部署的 IPv4 和 IPv6 地址支持的详细信息。
| MNHA 部署类型 | 第 3 层网络(两端为路由器)、 | 混合网络(一端为路由器,另一端为交换机)、 | 默认网关(两端为交换机) |
|---|---|---|---|
| 用于 IP 监控的 IPv4 和 IPv6 地址 |
是的 | 是的 | 是的 |
| 用于主动性探测的 IPv4 和 IPv6 地址 |
是的 | 是的 | 是的 |
| 虚拟 IPv4 和 IPv6 地址 |
不适用 | 是的 | 是的 |
支持在 MNHA 设置的服务冗余组配置下为活动信号路由、备用信号路由和故障时安装路由选项配置 IPv6 地址。
在多节点高可用性设置中,每个逻辑接口 (IFL) 仅配置一个 VIP。不支持使用多个 VIP 或双堆栈。
在多节点高可用性配置中使用 IP 地址池
在多节点高可用性中配置多个 SRG(主动-主动模式)时,请确保访问配置文件中 SRG 使用的地址池不得重叠。此外,请确保在 RADIUS 服务器中为连接到不同 SRG 的主机配置的地址和地址池必须是唯一的。
示例:以下示例显示了分别用于 SRG1 和 SRG2 的访问配置文件localpool localpool2的地址池配置:
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
在此示例中,服务冗余组(SRG1 和 SRG2)位于同一网络 (192.0.2.0/24) 中。但是,地址池中的 IP 地址是分布式的,以避免重叠(SRG1 为 192.0.2.1/24—192.0.2.127,SRG2 为 192.0.2.128—192.0.2.255)。
同样,您必须为 RADIUS 服务器中的用户配置使用唯一的 IP 地址和地址池。
如果为两个 SRG 中的主机分配相同的地址,则多节点高可用性将删除新主机并停止 IKE 协商,并显示以下消息:
AUTHENTICATION_FAILED as the AUTH response
系统日志显示以下消息:
Duplicate assigned IPv4 received, delete new peer
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。