簡單介紹一下,SRX系列防火牆HA採用的是JSRP協議。對應netscreen的NSRP。JSRP和NSRP之間的最大區別就是JSRP採用的是cluster,兩臺防火牆虛擬成一臺。而NSRP一般採用的是主備模式,備機需要單獨的管理。
JSRP要求兩臺設備的型號、版本、板卡等完全一致。
下面開始SRX550的HA配置。
1、首選確定SRX550防火牆之間做HA的control-link接口。通過官方文檔可以查到SRX550的g0/0/0 爲帶外管理口,g0/0/1爲固定的control-link接口。把兩臺防火牆的g0/0/1口互聯。
2、對兩臺設備的g0/0/0、g0/0/1、g0/0/2接口進行初始化配置,刪除所有有關的原有配置
delete set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan-trust
delete set interfaces ge-0/0/0 unit 0 family ethernet-switching
delete set interfaces ge-0/0/0 unit 0
delete set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust
delete set interfaces ge-0/0/1unit 0 family ethernet-switching
delete set interfaces ge-0/0/1 unit 0
delete set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust
delete set interfaces ge-0/0/2unit 0 family ethernet-switching
delete set interfaces ge-0/0/2 unit 0
3、配置cluster-id和node-id
SRX-A>set chassis cluster cluster-id 1 node 0 reboot
SRX-B>set chassis cluster cluster-id 1 node 1 reboot
兩臺設備重啓後,會發現邏輯上已經成爲一臺防火牆。可以看到ge-9/0/0等接口,這是第二臺設備的接口。
4、指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-0/0/2
set interfaces fab1 fabric-options member-interfaces ge-9/0/2
control-link主要用來兩臺設備之間心跳檢測、配置同步等。而Fabric Link 用於session的同步。
做完這個步驟,通過命令:
show chassis cluster interface
show chassis cluster status
可以查看到現在兩臺設備的HA已經完成。這個時候還有一個問題。
現在兩臺防火牆之間HA一共用了兩條線,一條control-link,一條fabric-link。
1、如果把control-link斷開,這個時候HA就斷開了,但是主防火牆還是正常工作的。把control-link恢復,HA狀態還是異常的。這個時候只有把背牆手動的重啓,HA纔會恢復。
2、如果把fabric-link斷開,這個時候HA沒有斷開,但是主防火牆還是正常工作的,備牆無法同步session,無法切換。把fabric-link恢復,HA狀態還是異常的。這個時候只有把備牆手動的重啓,HA纔會恢復。
那麼有沒有辦法讓防火牆自己去識別HA線路的問題而做相應的操作呢?
通過如下命令:
set chassis cluster control-link-recovery
如果fabric-link斷開再恢復,HA狀態會自動恢復,session會繼續同步。
如果control-link斷開在恢復,備牆會自動重啓,完成HA。