工作原理
NSRP主要功能有:1、在高可用群組成員之間同步配置信息;2、提供活動會話同步功能,以保證發生路徑切換情況下不會中斷網絡連接;3、采用高效的故障切換算法,能夠在短短幾秒内迅速完成故障檢測和狀态切換。
集群工作模式
1、Active/Passive模式:通過對一個冗餘集群中的兩台安全設備進行電纜連接和配置,使其中一台設備作為主用設備,另一台作為備用設備。主用設備負責處理所有網絡信息流,備用設備處于在線備份狀态。主設備将其網絡和配置命令及當前會話信息傳播到備用設備,備用設備始終保持與主用設備配置信息和會話連接信息的同步,并跟蹤主用設備狀态,一旦主設備出現故障,備份設備将在極短時間内晉升為主設備并接管信息流處理。
2、Active/Active模式:在NSRP中創建兩個虛拟安全設備 (VSD) 組,每個組都具有自己的虛拟安全接口(VSI),通過VSI接口與網絡進行通信。設備A充當VSD組1的主設備和VSD 組2的備份設備。設備B充當VSD組2的主設備和VSD組1的備份設備。Active/Active模式中兩台防火牆同時進行信息流的處理并彼此互為備份。在雙主動模式中不存在任何單一故障點。通過調整防火牆上下行路由/交換設備到網絡的路由指向,HostA通過左側路徑訪問ServerA,HostB通過右側路徑訪問ServerB,網絡中任一設備或鍊路出現故障時,NSRP集群均能夠做出正确的路徑切換。
技術優勢體現
1、消除防火牆及前後端設備單點故障,提供網絡高可靠性。即使在骨幹網絡中兩類核心設備同時出現故障,也能夠保證業務安全可靠運行。
2、根據客戶網絡環境和業務可靠性需要,提供靈活多樣的可靠組網方式。NSRP雙機集群能夠提供1、Active-Passive模式Layer2/3多虛拟路由器多虛拟系統和口型/交叉型組網方式;2、Active-Active模式Layer2/3多虛拟路由器多虛拟系統和口型/Fullmesh交叉型組網方式。為用戶提供靈活的組網選擇。
3、NSRP雙機結構便于網絡維護管理,通過将流量在雙機間的靈活切換,在防火牆軟件升級、前後端網絡結構優化改造及故障排查時,雙機結構均能夠保證業務的不間斷運行。
4、結合Netscreen虛拟系統和虛拟路由器技術,部署一對NSRP集群防火牆,可以為企業更多的應用提供靈活可靠的安全防護,減少企業防火牆部署數量和維護成本。
NSRP典型結構與配置
Layer3 口型A/P組網模式
Layer3 口型A/P組網模式是當前很多企業廣泛采用的HA模式,該模式具有對網絡環境要求不高,無需網絡結構做較大調整,具有較好冗餘性、便于管理維護等優點。缺點是Netscreen防火牆利用率不高,同一時間隻有一台防火牆處理網絡流量;冗餘程度有限,僅在一側鍊路和設備出現故障時提供冗餘切換。Layer3 口型組網A/P模式具有較強冗餘性、低端口成本和網絡結構簡單、便于維護管理等角度考慮,成為很多企業選用該組網模式的标準。
配置說明:兩台Netscreen設備采用相同硬件型号和軟件版本,組成Active/Passive冗餘模式,兩台防火牆均使用一緻的Ethernet接口編号連接到網絡。通過雙HA端口或将2Ethernet接口放入HA區段,其中控制鍊路用于NSRP心跳信息、配置信息和Session會話同步,數據鍊路用于在兩防火牆間必要時傳輸數據流量。
NSA 主用
Set hostname NS-A /***定義主機名***/
Set interface ethernet1 zone untrust
Set interface ethernet1 ip 100.1.1.4/29
Set interface ethernet1 route
Set interface ethernet2 zone trust
Set interface ethernet2 ip 192.168.1.4/29
Set interface ethernet2 route
Set interface mgt ip 192.168.2.1/24 /***通過管理口遠程管理NS-A***/
/***配置接口:Untrust/Trust Layer3 路由模式***/
Set interface ethernet3 zone HA
Set interface ethernet4 zone HA
/***Eth3和Eth4口用于HA互連,用于同步配置文件、會話信息和跟蹤設備狀态信息***/
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 50 /***缺省值為100,低值優先成為主用設備***/
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***配置NSRP:Vsd-group缺省為0,VSI使用物理接口IP地址,非搶占模式***/
NS-B(備用):
Set hostname NS-B /***定義主機名***/
Set interface ethernet1 zone Untrust
Set interface ethernet1 ip 100.1.1.4/29
Set interface ethernet1 route
Set interface ethernet2 zone trust
Set interface ethernet2 ip 192.168.1.4/29
Set interface ethernet2 route
Set interface mgt ip 192.168.2.2/24 /***通過管理口遠程管理NS-A***/
/***配置接口:Untrust/Trust Layer3 路由模式***/
Set interface ethernet3 zone HA
Set interface ethernet4 zone HA
/***Eth3和Eth4口用于HA互連,用于同步配置文件、會話信息和跟蹤設備狀态信息***/
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***Vsd-group缺省為0,VSI使用物理接口IP地址,備用設備:優先級100,成為非搶占模式***/
Layer3 Fullmesh A/P組網模式
Layer3 Fullmesh連接A/P組網使用全交叉網絡連接模式,容許在同一設備上提供鍊路級冗餘,發生鍊路故障時,由備用鍊路接管網絡流量,防火牆間無需進行狀态切換。僅在上行或下行兩條鍊路同時發生故障情況下,防火牆才會進行狀态切換,Fullmesh連接進一步提高了業務的可靠性。該組網模式在提供設備冗餘的同時提供鍊路級冗餘,成為很多企業部署關鍵業務時的最佳選擇。
Layer3 Fullmesh連接A/A組網模式
Layer3 Fullmesh連接A/A結構提供了一種更為靈活的組網方式,在保證網絡高可靠性的同時提升了網絡的可用性。A/A結構中兩台防火牆同時作為主用設備并提供互為在線備份,各自獨立處理信息流量并共享連接會話信息。一旦發生設備故障另一台設備将負責處理所有進出網絡流量。Fullmesh連接A/A組網模式對網絡環境要求較高,要求網絡維護人員具備較強技術能力,防火牆發生故障時,接管設備受單台設備容量限制,可能會導緻會話連接信息丢失,采用A/A模式組網時,建議每台防火牆負責處理的會話連接數量不超過單台設備容量的50%,以确保故障切換時不會丢失會話連接。
配置說明:定義VSD0和VSD1虛拟安全設備組(創建Cluster ID時将自動創建VSD0),其中NS-A為VSD0主用設備和VSD1備用設備,NS-B為VSD1主用設備和VSD0備用設備;創建冗餘接口實現兩物理接口動态冗餘;配置交換機路由指向來引導網絡流量經過哪個防火牆。
NS-A(Active):
Set hostname NS-A /***定義主機名***/
Set interface mgt ip 192.168.2.1/24 /***通過管理口遠程管理NS-A***/
Set interface red1 zone Untrust /***創建冗餘接口1***/
Set interface e1 zone null
Set interface e1 group red1
Set interface e2 zone null
Set interface e2 group red1
Set interface red1 ip 10.1.1.4/29
Set interface red2 zone trust
Set interface e3 zone null
Set interface e3 group red2
Set interface e4 zone null
Set interface e4 group red2
Set interface red2 ip 192.168.1.4/29
/***配置接口:Untrust/Trust Layer3 路由模式***/
Set interface ethernet7 zone ha
Set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp rto-mirror sync /***容許會話信息自動同步***/
set nsrp vsd-group id 0 priority 50
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***配置NSRP:Vsd-group缺省為0,VSI使用物理接口IP地址,優先級為50,非搶占模式***/
NS-B(Backup):
Set hostname NS-B /***定義主機名***/
Set interface mgt ip 192.168.2.2/24 /***通過管理口遠程管理NS-A***/
Set interface red1 zone Untrust /***創建冗餘接口***/
Set interface e1 zone null
Set interface e1 group red1 /***将該物理接口放置到冗餘接口中***/
Set interface e2 zone null
Set interface e2 group red1
Set interface red1 ip 10.1.1.4/29
Set interface red2 zone trust
Set interface e3 zone null
Set interface e3 group red2
Set interface e4 zone null
Set interface e4 group red2
Set interface red2 ip 192.168.1.4/29
/***配置接口:Untrust/Trust Layer3 路由模式***/
Set interface ethernet7 zone ha
Set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp rto-mirror sync /***容許會話信息自動同步***/
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***Vsd-group缺省為0,VSI使用物理接口IP地址,備用設備***/
