NetScreen 冗余协议.pptVIP

NetScreen Technologies Inc. NetScreen Technologies, Inc. NetScreen 冗余协议 Netscreen Security Redundant Protocol (NSRP) 目标 讨论NSRP 概念 定义 NSRP相关的术语和概念 配置 NSRP 主动/被动方式 检验 NSRP操作 确认影响failover时间的因素 调整NSRP 故障切换的行为 NetScreen 冗余协议 为NetScreen Firewall/VPN产品提供冗余性/故障切换 私有协议 专用链路复制关键的会话相关信息到备份系统 对用户会话无中断 NSRP 主动/被动 NSRP 主动/主动 NSRP 术语 HA 链接,端口, zone NSRP 集群 虚拟安全设备 (VSD) 虚拟安全接口 (VSI) 执行动象(RTO) HA 链接/端口/zone HA1 – 第一条链路 HA2 – 第二条链路 NSRP 集群 两台设备组成的组提供冗余 同样的配置 对一台设备的更改，通过HA链接传播到另一台设备 例外 Hostname – 使用 cluster name 在PKI，SNMP，认证等配置中识别设备 一些 VSD 设置 本地接口设置 Console 设置 跟踪 IP配置 VSD/VSI/VSD组 虚拟安全设备 NetScreen设备的逻辑表示 默认为VSD0 虚拟安全接口 接口的逻辑表示 VSD 组 两台NetScreen共享相同VSD 配置 VSD 状态和故障切换 主状态 取决于优先级 抢断 备份状态 初始状态 无资格状态 不可操作状态 故障切换 Gratuitous ARP NSRP VSD组 – 主动/被动 NetScreen-1 是 VSD组 0的主设备 NetScreen-1上VSD组0的VSI转发数据 NetScreen-2 是 VSD组 0的备份设备 NetScreen-2 上VSD组0的VSI处于备份状态，不转发数据 NSRP VSD 组 –主动/主动模式 执行对象 (RTO) 内存中动态创建的对象 会话表 ARP 缓存 DHCP 租约信息 IPSec 安全关联 会话同步 NSRP配置 – 主动/被动模式 NSRP 配置步骤 –主动/被动模式 在两台设备上 把接口分配到HAzone (如果没有专用的HA端口) 配置集群的设置 配置需要监控的接口 调整VSD设置 (如需要) 在其中一台设备上 根据需要，改变接口、策略等设置 改动将通过HA链路自动拷贝到另一台设备 1: 把接口分配到HA zone 2: 配置集群的设置 3: 设置监控的接口 4: 调整VSD设置 核对NSRP配置 核对 NSRP配置 NSRP 配置同步 影响切换时间的因素 心跳消息 切换技术 生成树协议 Channeling, Bonding, PAgP Trunk协议 Points to Consider NSRP 只是整个冗余方案的一部分 NetScreen设备是冗余的… 但其它的交换机,路由器呢? 当HA连接失败会怎样? 如果使用双连接,活动的连接将负担控制信息 除NS-5000系列外,数据连接将丢弃所有数据 如果使用单联接,NSRP停止工作 使用在线接口作为备用路径,以阻止这种情况的发生 探查选项积极的监控HA链路状态 NSRP-Lite 用于 NS-50,NS-25,和 NS5-GT设备 使用在线接口进行HA通讯 无虚拟安全接口(VSI) 每个接口独立进行配置 配置可一致或不一致 调整故障切换的行为 监控的对象 接口 zone 目标主机 故障切换计算 默认值 切换阀值: 255 个别对象的权重: 255 因此默认情况下,一个失败将引起故障切换 设置设备切换阀值 WebUI下不可用 调整接口权重 在每个VSD的基础上进行配置 调整zone的权重 在每个VSD的基础上进行配置 zone中所有接口失效将导致该接口失效 trackIP track关键主机的可达性 track IP的失败是一个求和的操作 IP track的权重接着添加到整个故障切换的计算中 默认值 IP track阀值: 255 IP track权重: 255 IP 地址权重: 1 通过ping (远程主机) 或 ARP (直连主机)测试可达性 配置track IP 启用track IP 为track设置失败阀值 设置track的权重 设置track地址 设置track方法和参数 为每个地址设置权重 1: 启用track IP 不能在WebUI下设置权重 2: 配置track地址 – WebUI 在实际接口上配置，而不是在VSI上 2:配置track地址 – CLI 只能从CLI下设置track方法 总结 本模块包括 讨