Juniper ISG防火墙双机测试
测试拓扑:
高可用性(HA)为将网络中的设备出现故障的可能性降至最低提供了一种方 法。由于所有网络信息都要流经 Juniper Networks安全设备,所以需要确保该 设备在发生故障时有备份设备,从而尽可能减少网络中的故障点
Active/Passive 模式:通过对一个冗余集群中的两台安全设备进行电缆连接 和配置,
使其中一台设备作为主用设备,另一台作为备用设备。主用设备负责处 理所有网络信息流,备用设备处于在线备份状态。主设备将其网络和配置命令及 当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连 接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短 时间内晋升为主设备并接管信息流处理。 设备配置:
第一步:配置设备接口
set in terface \"ethernet1/1\" zo ne \"Un trust\" set in terface \"ethernet1/2\" zone \"Trust\" set in terface \"ethernet1/3\" zo ne \"HA\" set in terface mgt ip 192.168.1.1/24 set in terface ethernet1/1 ip 10.0.0.1/24 set in terface ethernet1/1 route set in terface ethernet1/2 ip 172.16.0.1/24 set in terface ethernet1/2 route 第二步:配置HA信息
主设备 set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp rto-mirror route set nsrp vsd-group hb-i nterval 200 set nsrp vsd-group master-always-exist set nsrp vsd-group id 0 priority 50 set n srp mon itor in terface ethernet1/1 set n srp mon itor in terface ethernet1/2 备份设备 set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp rto-mirror route set nsrp vsd-group hb-i nterval 200 set nsrp vsd-group master-always-exist set nsrp vsd-group id 0 priority 100 set n srp mon itor in terface ethernet1/1 set n srp mon itor in terface ethernet1/2 测试内容与结果
1.在主设备上开通 Trust与Un trust之间的所有策略,观察备份设备上是否命令同步
set policy id 1 from \"Trust\" to \"Untrust\" \"Any\" \"Any\" \"ANY\" permit log
set policy id 2 from \"Untrust\" to \"Trust\" \"Any\" \"Any\" \"ANY\" permit log
测试发现命令可以自动同步
test004(M)-> set address Trust test001 1.2.3.4/24 test003(B)-> get config | in test001
set address \"Trust\" \"test001\" 1.2.3.4 255.255.255.0 test003(B)-> exec nsrp sync global-c onfig check-sum test003(B)-> configuration in sync
2.
从 PC2 172.16.0.10 发送 pi ng 包到 PC1 10.0.0.10
3.
断开线路1,观察ping包丢包情况,观察设备同步情况
观察ping 10.0.0.10的结果出现丢包 1个,
Reply from 10.0.0.10: bytes=32 time<1ms TTL=63 Reply from 10.0.0.10: bytes=32 time<1ms TTL=63 Request timed out.
Reply from 10.0.0.10: bytes=32 time<1ms TTL=63 Reply from 10.0.0.10: bytes=32 time<1ms TTL=63 Reply from 10.0.0.10: bytes=32 time<1ms TTL=63 Reply from 10.0.0.10: bytes=32 time<1ms TTL=63
观察设备的HA状态,备份设备已经抢占成为主设备
test003(B)-> active
Un it becomes master of NSRP vsd-group 0 test003(M)->
4.
接回线路1,断开线路2,
Reply from 10.0.0.10: bytes=32 time<1ms TTL=63
Request timed out.
Reply from 10.0.0.10: bytes=32 time<1ms TTL=63 Reply from 10.0.0.10: bytes=32 time<1ms TTL=63
5. 6.
断开线路3,观察ping包丢包情况,观察设备同步情况 断开线路4,观察ping包丢包情况,观察设备同步情况
1、2、3、4的nsrp mo nitor in terface 都会导致设备的主备切换
,
测试结果:断开线路 丢包在1个左右
7.
断开线路5,观察ping包丢包情况,查看 造成session不同步的问题
session情况 是否存在一边走一个数据包,
断开HA线路后,ping包无丢包,备用设备转为active但是不建立session和转发流 量,流量通过切换前的主设备建立
sessi on并转发
test003(M)-> get session
alloc 1/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessi ons in shared pool 524287 slot 2: hw0 alloc 1/max 524287
id 524285/s0*,vsys 0,flag 00000040/0080/0023,policy 320002,time 165, dip 0 module 0
if 8(nspflag 800601):172.16.0.10/2271->172.16.0.1/23,6,001c251afb5a,sess token 3,vlan 0,tun 0,vsd 0,route 4,wsf 0
if 3(nspflag 2002010):172.16.0.10/2271<-172.16.0.1/23,6,000000000000,sess token 5,vlan 0,tun 0,vsd 0,route 0,wsf 0 Total 1 sessi ons show n test004(M)-> get session
alloc 3/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessi ons in shared pool 524285 slot 2: hw0 alloc 2/max 524287
id 524277/s**,vsys 0,flag 00000050/0000/0083,policy 1,time 0, dip 0 module 0
if 8(nspflag 800901): 172.16.0.10/31236->10.0.0.10/3072,1,001c251afb5a,sess toke n 3,vlan 0,tun 0,vsd 0,route 5 if 7(nspflag 800900): 172.16.0.10/31236<-10.0.0.10/3072,1,5cff350a05ab,sess toke n 4,vlan 0,tun 0,vsd 0,route 3
因篇幅问题不能全部显示,请点此查看更多更全内容