junos SRX550 HA配置

簡單介紹一下，SRX系列防火牆HA採用的是JSRP協議。對應netscreen的NSRP。JSRP和NSRP之間的最大區別就是JSRP採用的是cluster，兩臺防火牆虛擬成一臺。而NSRP通常採用的是主備模式，備機須要單獨的管理。

JSRP要求兩臺設備的型號、版本、板卡等徹底一致。

下面開始SRX550的HA配置。

一、首選肯定SRX550防火牆之間作HA的control-link接口。經過官方文檔能夠查到SRX550的g0/0/0 爲帶外管理口，g0/0/1爲固定的control-link接口。把兩臺防火牆的g0/0/1口互聯。

二、對兩臺設備的g0/0/0、g0/0/一、g0/0/2接口進行初始化配置，刪除全部有關的原有配置

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching

delete set interfaces ge-0/0/0 unit 0 

delete set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/1unit 0 family ethernet-switching

delete set interfaces ge-0/0/1 unit 0 

delete set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/2unit 0 family ethernet-switching

delete set interfaces ge-0/0/2 unit 0 

三、配置cluster-id和node-id

SRX-A>set chassis cluster cluster-id 1 node 0 reboot

SRX-B>set chassis cluster cluster-id 1 node 1 reboot

兩臺設備重啓後，會發現邏輯上已經成爲一臺防火牆。能夠看到ge-9/0/0等接口，這是第二臺設備的接口。

四、指定Fabric Link Port

set interfaces fab0 fabric-options member-interfaces ge-0/0/2

set interfaces fab1 fabric-options member-interfaces ge-9/0/2

control-link主要用來兩臺設備之間心跳檢測、配置同步等。而Fabric Link 用於session的同步。

作完這個步驟，經過命令：

show chassis cluster interface

show chassis cluster status

能夠查看到如今兩臺設備的HA已經完成。這個時候還有一個問題。

如今兩臺防火牆之間HA一共用了兩條線，一條control-link，一條fabric-link。

一、若是把control-link斷開，這個時候HA就斷開了，可是主防火牆仍是正常工做的。把control-link恢復，HA狀態仍是異常的。這個時候只有把背牆手動的重啓，HA纔會恢復。

二、若是把fabric-link斷開，這個時候HA沒有斷開，可是主防火牆仍是正常工做的，備牆沒法同步session，沒法切換。把fabric-link恢復，HA狀態仍是異常的。這個時候只有把備牆手動的重啓，HA纔會恢復。

那麼有沒有辦法讓防火牆本身去識別HA線路的問題而作相應的操做呢？

經過以下命令：

set chassis cluster control-link-recovery 

若是fabric-link斷開再恢復，HA狀態會自動恢復，session會繼續同步。

若是control-link斷開在恢復，備牆會自動重啓，完成HA。