十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
简单介绍一下,SRX系列防火墙HA采用的是JSRP协议。对应netscreen的NSRP。JSRP和NSRP之间的最大区别就是JSRP采用的是cluster,两台防火墙虚拟成一台。而NSRP一般采用的是主备模式,备机需要单独的管理。
创新互联主要从事成都网站制作、做网站、网页设计、企业做网站、公司建网站等业务。立足成都服务尼勒克,十多年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18982081108
JSRP要求两台设备的型号、版本、板卡等完全一致。
下面开始SRX550的HA配置。
1、首选确定SRX550防火墙之间做HA的control-link接口。通过官方文档可以查到SRX550的g0/0/0 为带外管理口,g0/0/1为固定的control-link接口。把两台防火墙的g0/0/1口互联。
2、对两台设备的g0/0/0、g0/0/1、g0/0/2接口进行初始化配置,删除所有有关的原有配置
delete set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan-trust
delete set interfaces ge-0/0/0 unit 0 family ethernet-switching
delete set interfaces ge-0/0/0 unit 0
delete set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust
delete set interfaces ge-0/0/1unit 0 family ethernet-switching
delete set interfaces ge-0/0/1 unit 0
delete set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust
delete set interfaces ge-0/0/2unit 0 family ethernet-switching
delete set interfaces ge-0/0/2 unit 0
3、配置cluster-id和node-id
SRX-A>set chassis cluster cluster-id 1 node 0 reboot
SRX-B>set chassis cluster cluster-id 1 node 1 reboot
两台设备重启后,会发现逻辑上已经成为一台防火墙。可以看到ge-9/0/0等接口,这是第二台设备的接口。
4、指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-0/0/2
set interfaces fab1 fabric-options member-interfaces ge-9/0/2
control-link主要用来两台设备之间心跳检测、配置同步等。而Fabric Link 用于session的同步。
做完这个步骤,通过命令:
show chassis cluster interface
show chassis cluster status
可以查看到现在两台设备的HA已经完成。这个时候还有一个问题。
现在两台防火墙之间HA一共用了两条线,一条control-link,一条fabric-link。
1、如果把control-link断开,这个时候HA就断开了,但是主防火墙还是正常工作的。把control-link恢复,HA状态还是异常的。这个时候只有把背墙手动的重启,HA才会恢复。
2、如果把fabric-link断开,这个时候HA没有断开,但是主防火墙还是正常工作的,备墙无法同步session,无法切换。把fabric-link恢复,HA状态还是异常的。这个时候只有把备墙手动的重启,HA才会恢复。
那么有没有办法让防火墙自己去识别HA线路的问题而做相应的操作呢?
通过如下命令:
set chassis cluster control-link-recovery
如果fabric-link断开再恢复,HA状态会自动恢复,session会继续同步。
如果control-link断开在恢复,备墙会自动重启,完成HA。