2.6 应用层网关ALG配置及说明
SRX中自定义服务及ALG使用方法与ScreenOS保持一致,系统缺省开启FTP ALG,为TCP 21服务提供FTP应用ALG。自定义服务如果属于FTP类应用,需要将此自定义服务(非TCP 21端口)与FTP应用进行关联。下面举例定义一个FTP类服务ftp-test,使用目的端口为TCP 2100,服务超时时间为3600秒,并将此自定义服务与FTP应用关联(ALG),系统将识别此服务为FTP应用并开启FTP ALG来处理该应用流量。
set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600 set applications application ftp-test application-protocol ftp Branch 系统防火墙ALG状态如下(10.1R2.8版本) root# run show security alg status <默认配置下> ALG Status :
DNS : Enabled FTP : Enable H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Enabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled
建议不需要使用到的ALG可以关闭,以免影响正常应用,但是如果应用工作在NAT模式下则建议开启。
2.7 SRX Branch 系列JSRP HA高可用性配置及说明
JSRP是Juniper SRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A模式,JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOS NSRP可看作在同步配置和动态对象(session)基础上独立运行的两台单独设备。
JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX 是转发与控制层面完全分裂架构,JSRP需要控制层面 (配置同步)和数据层面(Session同步)两个平面的互联,高端系列3K\\5K建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。
在Branch系列则控制平面连接、带外管理接口必须使用设备规定的接口,而数据平面可以使用任何一个以太网口进行互连。
下面将介绍SRX Branch系列防火墙运行HA情况下,控制平面、带外接口连接示意图:
You must use the following ports to form the control link on the SRX Series branch
你必须使用下面设备指定端口来作为HA控制信号端口进行互连 设备型号:
■ ■ ■ ■
For SRX100 devices, connect the fe-0/0/7 port to the fe-1/0/7 port For SRX210 devices, connect the fe-0/0/7 port to the fe-2/0/7 port For SRX240 devices, connect the ge-0/0/1 port to the ge-5/0/1 port For SRX650 devices, connect the ge-0/0/1 port to the ge-9/0/1 port
SRX650<标准配置4个千兆以太网RJ-45接口>SRX650平台如果需要部署HA结构,则必须增加数据接口板卡<因为HA控制平面、数据平面和带外管理接口被占用了至少3个接口>
第 29 页 共 52 页
SRX240<标准配置16个千兆以太网RJ-45接口>
SRX210<标准配置2个千兆以太网RJ-45接口和6个百兆以太网RJ-45接口>
SRX100<标准配置8个百兆以太网RJ-45接口>
第 30 页 共 52 页
SRX Branch系列接口规范
JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的每个机箱有几个业务槽位,节点0槽位号从0开始编号,节点1槽位号从节点0后面开始往后编。
整个JSRP配置过程包括如下7个步骤 ? ? ? ? ?
配置Cluster id和Node id (对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id) 指定Control Port (指定控制层面使用接口,用于配置同步及心跳) 指定Fabric Link Port (指定数据层面使用接口,主要session等RTO同步) 配置Redundancy Group (类似NSRP的VSD group,优先级与抢占等配置)
每个机箱的个性化配置 (单机无需同步的个性化配置,如主机名、带外管理口IP地址等) 配置Redundant Ethernet Interface (类似NSRP的Redundant冗余接口)
配置Interface Monitoring (类似NSRP interface monitor,是RG数据层面切换依据)
?
?
第 31 页 共 52 页
SRX JSRP配置样例
SRX-A>set chassis cluster cluster-id 1 node 0 reboot(注意该命令需在operational模式下输入,Cluster ID取值范围为1 – 15,当Cluster ID = 0时将unsets the cluster) SRX-B>set chassis cluster cluster-id 1 node 1 reboot
? ?
指定Control Port(SRX Branch系列,则无需指定,默认规定采用某一个接口作为控制接口,参考上一节): 指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-0/0/2 set interfaces fab1 fabric-options member-interfaces ge-5/0/2
注:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 1 ?
配置Redundancy Group
RG0固定用于主控板RE切换,RG1以后用于redundant interface切换,RE切换独立于接口切换
set chassis cluster reth-count 10 (指定整个Cluster中redundant ethernet interface最多数量) set chassis cluster redundancy-group 0 node 0 priority 200 (高值优先,与NSRP相反) set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200 (高值优先,与NSRP相反) set chassis cluster redundancy-group 1 node 1 priority 100
?
每个机箱的个性化配置,便于对两台设备的区分与管理
set groups node0 system host-name SRX-A
set groups node0 interfaces fxp0 unit 0 family inet address 1.1.1.1/24 (带外网管口名称为fxp0,区
别ScreenOS的MGT口)
set groups node1 system host-name SRX-B
set groups node1 interfaces fxp0 unit 0 family inet address 1.1.1.2/24 set apply-groups ${node} (应用上述groups配置)
?
配置Redundant Ethernet Interface
Redundant Ethernet Interface类似ScreenOS里的redundant interface,只不过Redundant Ethernet interface是分布在不同的机箱上 (这一特性又类似ScreenOS 的VSI接口)。
Set interface ge-0/0/8 gigether-options redundant-parent reth0 (node 0的ge-0/0/8接口) Set interface ge-5/0/8 gigether-options redundant-parent reth0 (node 1的ge-0/0/8接口) Set interface reth0 redundant-ether-options redundancy-group 1 (reth0属于RG1) Set interface reth0 unit 0 family inet address 192.168.0.1/24
?
配置Interface Monitoring,被监控的接口Down掉后,RG1将自动进行主备切换(与ScreenOS类似),
Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255 Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255 Set cluster redundancy-group 1 interface-monitor ge-13/0/0 weight 255 Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255
?
JSRP维护命令 a) b)
手工切换JSRP Master,RG1 原backup将成为Master
root@srx240a> request chassis cluster failover redundancy-group 1 node 1
手工恢复JSRP状态,按照优先级重新确定主备关系(高值优先)
root@srx240b> request chassis cluster failover reset redundancy-group 1
c) d)
查看cluster interface
root@router> show chassis cluster interfaces
查看cluster 状态、节点状态、主备关系
第 32 页 共 52 页