Juniper SRX防火墙HA配置

  

一、实验环境介绍
1) vsrx 12.1 x47-d20.7

  

二、实验拓扑
Juniper SRX防火墙HA配置

  

vSRXA1与vSRXA2之间建议底盘集群
ge-0/0/0为带外管理接口(系列默认,不可改)
ge-0/0/1为控制链(系统配置,不可改)
ge-0/0/4为链路(手工配置,可改)
控制链与链路层采用背靠背的连接方式。

  

在低端的SRX防火墙带外管理接口,控制接口,数据接口都是业务接口。
在高端的SRX防火墙管理接口,控制接口即为专用接口,只有数据接口为业务接口。

  

在HA中node1的接口序号将发生变化,在vSRX虚拟器上转为为一个7槽的设备(即位置0,1,2,3,4,5,6)
node0的接口序号为ge-0/0/0, ge-1/0/0 .... ge-6/0/0
node1的接口序号为ge-7/0/0, ge-8/0/0…ge-13/0/0

  

三,SRX从单机模式到哈模式,需要重启防火墙
vSRXA1:
设置底盘集群cluster-id 1节点0启动
vSRXA2:
设置集群cluster-id底盘1节点1启动
2) vSRX重启后自动加入哈模式
{主要:node0}
root>显示底盘集群状态
集群ID: 1
节点的优先级抢占手动Monitor-failures

  

冗余组:0,故障转移数:1
node0 1主要不没有
node1 1次要不没有

  

{主要:node0}
root>

  

注:低端的SRX防火墙中,控制链是预置的,只要防火墙工作于哈模式,ge-0/0/1就为控制链。但是在高端SRX防火墙中有专门的控制链需要手工配置,特别是在SRX5K中。如果不配置控制链防火墙将不能正常启动,SRX5K配置控制链港口命令如下:
设置集群底盘控制港口fpc 2端口0
设置集群底盘控制港口fpc 5端口0

  

四,SRX防火HA的墙配置顺序如下(在主防火墙操作即可)
1)配置管理接口(node0/1的管理地址及backup-router配置)
2)配置HA防火墙的链路接口(ge-0/0/1)
3)配置HA的冗余组(默认0为控制平面,其它为数据平面)
4)配置HA中的业务接口RETH
5)配置HA的切换参数
6)根据以上配置顺序操作,便于异常的反推排查

  

五,SRX防火HA的墙配置步骤(在主防火墙操作即可)
1)配置管理接口及backup-router路由
{主要:node0}[编辑组织]
根#显示|显示设置
设置组node0系统主机vSRXA1
设置组node0系统backup-router 192.168.100.254
设置组node0系统backup-router目的地192.168.100.0/24
设置组fxp0 node0接口单元0家庭inet地址192.168.100.2/24
设置组fxp0 node0接口单元0家庭inet地址192.168.100.1/24只能掌握
设置组node1系统主机vSRXA2
设置组node1系统backup-router 192.168.100.254
设置组node1系统backup-router目的地192.168.100.0/24
设置组fxp0 node1接口单元0家庭inet地址192.168.100.3/24
设置组fxp0 node1接口单元0家庭inet地址192.168.100.1/24只能掌握

  

/调用前面配置node0/1的组,并提交配置保存/
{主要:node0}[编辑]
根#集apply-groups ${节点}

  

{主要:node0}[编辑]
根#提交
node0:
配置检查成功
node1:
提交完整的
node0:
提交完整的

  

{主要:node0}[编辑]root@vSRXA1 #
br/> root@vSRXA1 #
查看node0和node1的状态/

  

{主要:node0}[编辑]
root@vSRXA1 #运行显示界面简洁|匹配fxp0
fxp0起来了
fxp0.0起来inet 192.168.100.1/24(集团中只能掌握的作用)

  

{主要:node0}[编辑]
root@vSRXA1 #

  

{二级:node1}
root@vSRXA2>显示界面简洁|匹配fxp0
fxp0起来了
fxp0.0起来inet 192.168.100.3/24

  

{二级:node1}
root@vSRXA2>

  

2)配置HA的链路层,配置的关键字为工厂
{主要:node0}[编辑]
root@vSRXA1 #显示接口匹配fab | |显示
集合接口fab0 fabric-options member-interfaces ge-0/0/4
设置接口fab1 fabric-options member-interfaces ge-7/0/4

  

末配置前的状态信息:
{主要:node0}[编辑]
root@vSRXA1 #
控件显示底盘集群运行接口链接状态:了

  

控制接口:
索引接口Monitored-Status Internal-SA
0 fxp1禁用了

  

织物链接状态:下

  

织物接口:
名称Child-interface状态
(物理/监控)
fab0
fab0
fab1
fab1

  

Redundant-pseudo-interface信息:
名称状态Redundancy-group
lo0了0

  

{主要:node0}[编辑]
root@vSRXA1 #运行显示界面简洁|匹配工厂
fab0上升下降
fab0.0上升下降inet 30.17.0.200/24
fab1上升下降
fab1.0上升下降inet 30.18.0.200/24

  

{主要:node0}[编辑]
root@vSRXA1 #

  

Juniper SRX防火墙HA配置