NETSCREEN NSRP典型配置

 

1、NSRP工做原理

NSRP（NetScreen Redundant Protocol）是Juniper公司基於VRRP協議規範自行開發的設備冗餘協議。防火牆做爲企業核心網絡中的關鍵設備，須要爲全部進出網絡的信息流提供安全保護，爲知足客戶不間斷業務訪問需求，要求防火牆設備必須具有高可靠性，可以在設備、鏈路及互連設備出現故障的狀況下，提供網絡訪問路徑無縫切換。NSRP冗餘協議提供複雜網絡環境下的冗餘路徑保護機制。NSRP主要功能有：1、在高可用羣組成員之間同步配置信息；2、提供活動會話同步功能，以保證發生路徑切換狀況下不會中斷網絡鏈接；3、採用高效的故障切換算法，可以在短短几秒內迅速完成故障檢測和狀態切換。

NSRP集羣兩種工做模式：

1、Active/Passive模式：經過對一個冗餘集羣中的兩臺安全設備進行電纜鏈接和配置，使其中一臺設備做爲主用設備，另外一臺做爲備用設備。主用設備負責處理全部網絡信息流，備用設備處於在線備份狀態。主設備將其網絡和配置命令及當前會話信息傳播到備用設備，備用設備始終保持與主用設備配置信息和會話鏈接信息的同步，並跟蹤主用設備狀態，一旦主設備出現故障，備份設備將在極短期內晉升爲主設備並接管信息流處理。

2、Active/Active模式：在NSRP中建立兩個虛擬安全設備 (VSD) 組，每一個組都具備本身的虛擬安全接口(VSI)，經過VSI接口與網絡進行通訊。設備A充當VSD組1的主設備和VSD 組2的備份設備。設備B充當VSD組2的主設備和VSD組1的備份設備。Active/Active模式中兩臺防火牆同時進行信息流的處理並彼此互爲備份。在雙主動模式中不存在任何單一故障點。以下圖所示，經過調整防火牆上下行路由/交換設備到網絡的路由指向，HostA經過左側路徑訪問ServerA，HostB經過右側路徑訪問ServerB，網絡中任一設備或鏈路出現故障時，NSRP集羣均可以作出正確的路徑切換。

 

 

NSRP集羣技術優點主要體現於：

1、消除防火牆及先後端設備單點故障，提供網絡高可靠性。即便在骨幹網絡中兩類核心設備同時出現故障，也可以保證業務安全可靠運行。

2、根據客戶網絡環境和業務可靠性須要，提供靈活多樣的可靠組網方式。NSRP雙機集羣可以提供1、Active-Passive模式Layer2/3多虛擬路由器多虛擬系統和口型/交叉型組網方式；2、Active-Active模式Layer2/3多虛擬路由器多虛擬系統和口型/Fullmesh交叉型組網方式。爲用戶提供靈活的組網選擇。

3、NSRP雙機結構便於網絡維護管理，經過將流量在雙機間的靈活切換，在防火牆軟件升級、先後端網絡結構優化改造及故障排查時，雙機結構均可以保證業務的不間斷運行。

4、結合Netscreen虛擬系統和虛擬路由器技術，部署一對NSRP集羣防火牆，能夠爲企業更多的應用提供靈活可靠的安全防禦，減小企業防火牆部署數量和維護成本。

2、NSRP典型結構與配置

1、Layer3 口型A/P組網模式

Layer3 口型A/P組網模式是當前不少企業普遍採用的HA模式，該模式具備對網絡環境要求不高，無需網絡結構作較大調整，具備較好冗餘性、便於管理維護等優勢。缺點是Netscreen防火牆利用率不高，同一時間只有一臺防火牆處理網絡流量；冗餘程度有限，僅在一側鏈路和設備出現故障時提供冗餘切換。Layer3 口型組網A/P模式具備較強冗餘性、低端口成本和網絡結構簡單、便於維護管理等角度考慮，成爲不少企業選用該組網模式的標準。

 

 

 

 

配置說明：兩臺Netscreen設備採用相同硬件型號和軟件版本，組成Active/Passive冗餘模式，兩臺防火牆均使用一致的Ethernet接口編號鏈接到網絡。經過雙HA端口或將2Ethernet接口放入HA區段，其中控制鏈路用於NSRP心跳信息、配置信息和Session會話同步，數據鏈路用於在兩防火牆間必要時傳輸數據流量。

NS-A（主用）:

Set hostname NS-A         /***定義主機名***/

Set interface ethernet1 zone untrust

Set interface ethernet1 ip 100.1.1.4/29

Set interface ethernet1 route

Set interface ethernet2 zone trust

Set interface ethernet2 ip 192.168.1.4/29

Set interface ethernet2 route

Set interface mgt ip 192.168.2.1/24   /***經過管理口遠程管理NS-A***/

/***配置接口：Untrust/Trust Layer3 路由模式***/

Set interface ethernet3 zone HA

Set interface ethernet4 zone HA

/***Eth3和Eth4口用於HA互連，用於同步配置文件、會話信息和跟蹤設備狀態信息***/

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 50 /***缺省值爲100，低值優先成爲主用設備***/

set nsrp monitor interface ethernet2

set nsrp monitor interface ethernet1

/***配置NSRP：Vsd-group缺省爲0，VSI使用物理接口IP地址,非搶佔模式***/

NS-B（備用）:

Set hostname NS-B         /***定義主機名***/

Set interface ethernet1 zone Untrust

Set interface ethernet1 ip 100.1.1.4/29

Set interface ethernet1 route

Set interface ethernet2 zone trust

Set interface ethernet2 ip 192.168.1.4/29

Set interface ethernet2 route

Set interface mgt ip 192.168.2.2/24   /***經過管理口遠程管理NS-A***/

/***配置接口：Untrust/Trust Layer3 路由模式***/

Set interface ethernet3 zone HA

Set interface ethernet4 zone HA

/***Eth3和Eth4口用於HA互連，用於同步配置文件、會話信息和跟蹤設備狀態信息***/

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 100

set nsrp monitor interface ethernet2

set nsrp monitor interface ethernet1

/***Vsd-group缺省爲0，VSI使用物理接口IP地址，備用設備：優先級100，成爲非搶佔模式***/

2、Layer3 Fullmesh A/P組網模式

Layer3 Fullmesh鏈接A/P組網使用全交叉網絡鏈接模式，允許在同一設備上提供鏈路級冗餘，發生鏈路故障時，由備用鏈路接管網絡流量，防火牆間無需進行狀態切換。僅在上行或下行兩條鏈路同時發生故障狀況下，防火牆纔會進行狀態切換，Fullmesh鏈接進一步提升了業務的可靠性。該組網模式在提供設備冗餘的同時提供鏈路級冗餘，成爲不少企業部署關鍵業務時的最佳選擇。

 

 

NS-A（Active）:

Set hostname NS-A         /***定義主機名***/

Set interface mgt ip 192.168.2.1/24   /***經過管理口遠程管理NS-A***/

Set interface red1 zone Untrust        /***建立冗餘接口1***/

Set interface e1 zone null

Set interface e1 group red1

Set interface e2 zone null

Set interface e2 group red1

Set interface red1 i p 10.1.1 .4/29

Set interface red2 zone trust

Set interface e3 zone null

Set interface e3 group red2

Set interface e4 zone null

Set interface e4 group red2

Set interface red2 ip 192.168.1.4/29

/***配置接口：Untrust/Trust Layer3 路由模式***/

Set interface ethernet7 zone ha

Set interface ethernet8 zone ha

set nsrp cluster id 1

set nsrp rto-mirror sync          /***允許會話信息自動同步***/

set nsrp vsd-group id 0 priority 50

set nsrp monitor interface ethernet2

set nsrp monitor interface ethernet1

/***配置NSRP：Vsd-group缺省爲0，VSI使用物理接口IP地址，優先級爲50，非搶佔模式***/

 

NS-B（Backup）:

Set hostname NS-B         /***定義主機名***/

Set interface mgt ip 192.168.2.2/24   /***經過管理口遠程管理NS-A***/

Set interface red1 zone Untrust      /***建立冗餘接口***/

Set interface e1 zone null

Set interface e1 group red1          /***將該物理接口放置到冗餘接口中***/

Set interface e2 zone null

Set interface e2 group red1

Set interface red1 i p 10.1.1 .4/29

Set interface red2 zone trust

Set interface e3 zone null

Set interface e3 group red2

Set interface e4 zone null

Set interface e4 group red2

Set interface red2 ip 192.168.1.4/29

/***配置接口：Untrust/Trust Layer3 路由模式***/

Set interface ethernet7 zone ha

Set interface ethernet8 zone ha

set nsrp cluster id 1

set nsrp rto-mirror sync   /***允許會話信息自動同步***/

set nsrp vsd-group id 0 priority 100

set nsrp monitor interface ethernet2

set nsrp monitor interface ethernet1

/***Vsd-group缺省爲0，VSI使用物理接口IP地址，備用設備***/

3、Layer3 Fullmesh鏈接A/A組網模式

Layer3 Fullmesh鏈接A/A結構提供了一種更爲靈活的組網方式，在保證網絡高可靠性的同時提高了網絡的可用性。A/A結構中兩臺防火牆同時做爲主用設備並提供互爲在線備份，各自獨立處理信息流量並共享鏈接會話信息。一旦發生設備故障另外一臺設備將負責處理全部進出網絡流量。Fullmesh鏈接A/A組網模式對網絡環境要求較高，要求網絡維護人員具有較強技術能力，防火牆發生故障時，接管設備受單臺設備容量限制，可能會致使會話鏈接信息丟失，採用A/A模式組網時，建議每臺防火牆負責處理的會話鏈接數量不超過單臺設備容量的50％，以確保故障切換時不會丟失會話鏈接。

 

 

 

 

 

 

配置說明：定義VSD0和VSD1虛擬安全設備組(建立Cluster ID時將自動建立VSD0)，其中NS-A爲VSD0主用設備和VSD1備用設備，NS-B爲VSD1主用設備和VSD0備用設備；建立冗餘接口實現兩物理接口動態冗餘；配置交換機路由指向來引導網絡流量通過哪一個防火牆。

NS-A(Active)：

set interface redundant1 zone Untrust

set interface redundant1 ip 100.1.1.4/29   /***VSD0的VSI接口使用物理接口IP地址***/

set interface ethernet1 group redundant1

set interface ethernet2 group redundant1

set interface redundant2 zone trust

set interface redundant2 ip 192.168.1.4/29

set interface redundant2 manage-ip 192.168.2.1

set interface ethernet3 group redundant2   

set interface ethernet4 group redundant2

/***配置冗餘接口、定義Vsd0 接口IP地址***/

set interface redundant1:1 ip 100.1.1.5/29

set interface redundant2:1 ip 192.168.1.5/29 

/***VSD1的VSI接口需手動配置IP地址，冒號後面的1表示該接口屬於VSD1的VSI***/

set interface ethernet7 zone ha

set interface ethernet8 zone ha

set nsrp cluster id 1

set nsrp vsd-group id 0 priority 50

set nsrp vsd-group id 1       /*** VSD1使用缺省配置，優先級爲100***/

set nsrp rto-mirror sync

set nsrp monitor interface redundant1

set nsrp monitor interface redundant2

set nsrp secondary-path ethernet2/1  

/***定義NSRP備用心跳接口，保證心跳鏈接信息不會丟失***/

set arp always-on-dest

/***強制採用基於ARP表而不是會話表中的MAC地址轉發封包***/

set vrouter trust-vr route 0.0.0 .0/0 interface redundant1 gateway 100.1.1.1

set vrouter trust-vr route 0.0.0 .0/0 interface redundant1:1 gateway 100.1.1.1

 

NS-B(Active)：

set interface redundant1 zone Untrust

set interface redundant1 ip 100.1.1.4/29   /***VSD0的VSI接口使用物理接口IP地址***/

set interface ethernet1 group redundant1

set interface ethernet2 group redundant1

set interface redundant2 zone trust

set interface redundant2 ip 192.168.1.4/29

set interface redundant2 manage-ip 192.168.2.2

set interface ethernet3 group redundant2   

set interface ethernet4 group redundant2

/***配置冗餘接口、定義Vsd0 接口IP地址***/

set interface redundant1:1 ip 100.1.1.5/29

set interface redundant2:1 ip 192.168.1.5/29 

set interface ethernet7 zone ha

set interface ethernet8 zone ha

set nsrp cluster id 1    

/***定義一致的Cluster ID，自動啓用採用缺省配置的VSD0***/

set nsrp rto-mirror sync

set nsrp vsd-group id 1 priority 50

set nsrp monitor interface redundant1

set nsrp monitor interface redundant2

set nsrp secondary-path ethernet2/1  

/***定義NSRP備用心跳接口，保證心跳鏈接信息不會丟失***/

set arp always-on-dest

/***強制採用基於ARP表而不是會話中的MAC地址轉發封包***/

set vrouter trust-vr route 0.0.0 .0/0 interface redundant1 gateway 100.1.1.1

set vrouter trust-vr route 0.0.0 .0/0 interface redundant1:1 gateway 100.1.1.1