NetScreen 冗余协议

NetScreen冗余协议NetscreenSecurityRedundantProtocol(NSRP)2目标•讨论NSRP概念•定义NSRP相关的术语和概念•配置NSRP主动/被动方式•检验NSRP操作•确认影响failover时间的因素•调整NSRP故障切换的行为3NetScreen冗余协议•为NetScreenFirewall/VPN产品提供冗余性/故障切换•私有协议•专用链路复制关键的会话相关信息到备份系统–对用户会话无中断4NSRP主动/被动被保护网络HALinkX5NSRP主动/主动被保护网络HALinkX6NSRP术语•HA链接,端口,zone•NSRP集群•虚拟安全设备(VSD)•虚拟安全接口(VSI)•执行动象(RTO)7HA链接/端口/zone•HA1–第一条链路•HA2–第二条链路HAzoneHAportsHA端口HAlinkHAlinkHA链路8NSRP集群•两台设备组成的组提供冗余•同样的配置–对一台设备的更改，通过HA链接传播到另一台设备–例外•Hostname–使用clustername在PKI，SNMP，认证等配置中识别设备•一些VSD设置•本地接口设置•Console设置•跟踪IP配置Cluster9VSD/VSI/VSD组•虚拟安全设备–NetScreen设备的逻辑表示–默认为VSD0•虚拟安全接口–接口的逻辑表示•VSD组–两台NetScreen共享相同VSD配置VSIE1VSIE2VSDGroupVSD0VSIE1VSIE2VSD010VSIE1VSIE2VSD0不可操作主VSIE1VSIE2VSD0VSD状态和故障切换•主状态–取决于优先级–抢断•备份状态•初始状态•无资格状态•不可操作状态•故障切换–GratuitousARPVSIE1VSIE2VSD0主备VSIE1VSIE2VSD0X11NSRPVSD组–主动/被动•NetScreen-1是VSD组0的主设备–NetScreen-1上VSD组0的VSI转发数据•NetScreen-2是VSD组0的备份设备–NetScreen-2上VSD组0的VSI处于备份状态，不转发数据VSIE1VSIE2VSD0VSIE1VSIE2VSD0VSDid0Priority50ActiveVSDid0Priority100Backup12VSIE1:11VSIE2:11NSRPVSD组–主动/主动模式VSIE1:10VSIE2:10VSD10VSIE1:10VSIE2:10VSD10VSD11VSIE1:11VSIE2:11VSD11VSD10Priority50ActiveVSD11Priority50ActiveVSD11Priority100BackupVSD10Priority100Backup13执行对象(RTO)•内存中动态创建的对象–会话表–ARP缓存–DHCP租约信息–IPSec安全关联14会话同步HALink会话建立主设备备份设备添加会话–timeout为8x默认值...会话timeout=0:同步timeout如果会话的timeout等于协议最大值，发送8x的默认值如果会话的timeout大于10，发送同步信号如果会话的timeout小于10，标记会话15NSRP配置–主动/被动模式E5-HAzone1InternetE1E1E8E816NSRP配置步骤–主动/被动模式在两台设备上1.把接口分配到HAzone(如果没有专用的HA端口)2.配置集群的设置3.配置需要监控的接口4.调整VSD设置(如需要)在其中一台设备上5.根据需要，改变接口、策略等设置•改动将通过HA链路自动拷贝到另一台设备171:把接口分配到HAzoneNetworkInterfaces(Edit)182:配置集群的设置NetworkNSRPClustersetnsrpclusterid1-7setnsrpclusternamenamesetnsrparpnumbersetnsrpauthpasswordpasswordsetnsrpencryptpasswordpassword193:设置监控的接口NetworkNSRPMonitorInterfaceEditsetnsrpmonitorinterfacenameweight1-255setnsrpmonitorthreshold1-255NetworkNSRPMonitorTrackIPEdit204:调整VSD设置NetworkNSRPVSDGroupConfigurationsetnsrpvsdidnumberpriority1-254setnsrpvsdidnumberpreemptsetnsrpvsdidnumberpreempthold-downsec21核对NSRP配置NetworkNSRPVSDGroupNetworkNSRPMonitorInterface22核对NSRP配置left(M)-getnsrpclusterclusterid:1,nonamelocalunitid:1907680activeunitsdiscovered:index:0,unitid:1907680,ctrlmac:0010db1d1be8,index:1,unitid:1680608,ctrlmac:0010db19a4e8,datamac:0010db19a4ebtotalnumberofunits:2left(M)-getnsrpvsdid0VSDgroupinfo:initholdtime:5heartbeatlostthreshold:3heartbeatinterval:1000(ms)masteralwaysexist:disabledgroupprioritypreemptholddownineligmasterPBothermembers050yes5nomyself1680608vsdgroupid:0,membercount:2,master:1907680memberinformation:---------------------------------------------------------------------groupunit_idstateprioflagrto_peerhbmissholddown---------------------------------------------------------------------01680608primarybackup1000000001907680master502000523NSRP配置同步left(B)-execnsrpsyncglobal-configcheck-sumleft(B)-Warning:configurationoutofsyncleft(B)-execnsrpsyncglobalsaveleft(B)-loadpeersystemconfigtosaveSaveglobalconfigurationsuccessfully.Savelocalconfigurationsuccessfully.done.Pleaseresetyourboxtoletclusterconfigurationtakeeffect!SystemchangestatetoActive(1)configurationinsync(localchecksum1213013518==remotechecksum1213013518)Receivedallrun-time-objectfrompeer.24影响切换时间的因素•心跳消息•切换技术–生成树协议–Channeling,Bonding,PAgP–Trunk协议setnsrpvsd-grouphb-thresholdnumbersetnsrpvsd-grouphb-intervalmilliseconds25PointstoConsider•NSRP只是整个冗余方案的一部分–NetScreen设备是冗余的…但其它的交换机,路由器呢?好的更好!ProtectedNetworkProtectedNetwork26当HA连接失败会怎样?•如果使用双连接,活动的连接将负担控制信息–除NS-5000系列外,数据连接将丢弃所有数据•如果使用单联接,NSRP停止工作–使用在线接口作为备用路径,以阻止这种情况的发生•探查选项积极的监控HA链路状态NetworkNSRPLinksetnsrpsecondaryint_namesetnsrphaprobeintervalsecsetnsrphaprobethresholdnum27Trust10.1.1.1/24NSRP-LiteUntrust:1.1.1.1/24Untrust:2.2.2.2/24•用于NS-50,NS-25,和NS5-GT设备•使用在线接口进行HA通讯•无虚拟安全接口(VSI)–每个接口独立进行配置–配置可一致或不一致28调整故障切换的行为•监控的对象–接口–zone–目标主机•故障切换计算•默认值–切换阀值:255–个别对象的权重:255–因此默认情况下,一个失败将引起故障切换如果切换对象的权重≥切换阀值,执行故障切换切换对象的权重=接口权重之和+zone权重之和+trackIP之和29设置设备切换阀值setnsrpmonitorthreshold1-255•WebUI下不可用30调整接口权重setnsrpmonitorvsdidgroup_nummonitorintnameweight1-255•在每个VSD的基础上进行配置NetworkNSRPMonitorInterfaceEdit31调整zone的权重•在每个VSD的基础上进行配置•zone中所有接口失效将导致该接口失效NetworkNSRPMonitorZoneEditsetnsrpmonitorvsdidgroup_nummonitorzonenameweight1-25532trackIP•track关键主机的可达性•trackIP的失败是一个求和的操作–IPtrack的权重接着添加到整个故障切换的计算中•默认值–IPtrack阀值:255–IPtrack权重:255–IP地址权重:1•通过ping(远程主机)或ARP(直连主机)测试可达性如果失效地址之和≥trackIP阀值，trackIP失败–发送trackIP权重进行设备的故障切换计算33配置trackIP1.启用trackIP–为track设置失败阀值–设置track的权重2.设置track地址–设置track方法和参数–为每个地址设置权重341:启用trackIP•不能在WebUI下设置权重setnsrptrack-ipsetnsrptrack-ipthreshold1-255setnsrptrack-ipweight1-255NetworkNSRPMonitorTrackIPEdit352:配置track地址–WebUI•在实际接口上配置，而不是在VSI上NetworkInterfacesEditTrackIP362:配置track地址–CLIsetnsrptrack-ipipaddresssetnsrptrack-ipipaddressinterfacenamesetnsrptrack-ipipaddressmethod[arp|ping]setnsrptrack-ipipaddressintervalsecsetnsrptrack-ipipaddressthreshold1-200setnsrptrack-ipipaddressweight1-255•只能从CLI下设置track方法37总结•本模块包括–讨论NSRP相关的术语和概念–配置NS