NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。

Active/Passive模式:通过对一个冗余集群中的两台安全设备进行电缆连接和配置,使其中一台设备作为主用设备,另一台作为备用设备。主用设备负责处理所有网络信息流,备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升为主设备并接管信息流处理。

Active/Passive模式也就是主/备模式,该组网模式是当前很多企业广泛采用的HA模式,该模式具有对网络环境要求不高,无需网络结构做较大调整,具有较好冗余性、便于管理维护等优点。缺点是Netscreen防火墙利用率不高,同一时间只有一台防火墙处理网络流量;冗余程度有限,仅在一侧链路和设备出现故障时提供冗余切换。但主/备模式具有较强冗余性、低端口成本和网络结构简单、便于维护管理等角度考虑,成为很多企业选用该组网模式的标准。

配置说明:两台Netscreen设备采用相同硬件型号和软件版本,组成Active/Passive冗余模式,两台防火墙均使用一致的Ethernet接口编号连接到网络。通过双Ethernet端口或将1Ethernet接口放入HA区段,其中控制链路用于NSRP心跳信息、配置信息和Session会话同步,数据链路用于在两防火墙间必要时传输数据流量。

拓扑图:

命令模式配置说明如下:

第一台Netscreen防火墙

set hostname fw-1定义主机名

set interface "ethernet1" zone "Trust"

set interface "ethernet2" zone "DMZ"

set interface "ethernet3" zone "Untrust"

set interface "ethernet4" zone "HA"Eth4口用于HA互连,用于同步配置文件、会话信息和跟踪设备状态信息

unset interface vlan1 ip

set interface ethernet1 ip 192.168.1.254/24端口配置IP

set interface ethernet1 route配置接口路由模式

set interface ethernet3 ip 192.168.2.254/24端口配置IP

set interface ethernet3 route配置接口路由模式

set interface ethernet1 ip manageable设置能够IP管理

set interface ethernet3 ip manageable设置能够IP管理

set nsrp cluster id 1创建集群组ID

set nsrp vsd-group id 0 priority 50缺省值为100,低值优先成为主用设

set nsrp monitor interface ethernet1配置NSRP监控端口,非抢占模式

set nsrp monitor interface ethernet3配置NSRP监控端口,非抢占模式

exit

set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit

set policy id 1配置策略

第二台Netscreen防火墙

set hostname fw-2定义主机名

set interface "ethernet1" zone "Trust"

set interface "ethernet2" zone "DMZ"

set interface "ethernet3" zone "Untrust"

set interface "ethernet4" zone "HA"Eth4口用于HA互连,用于同步配置文件、会话信息和跟踪设备状态信息

unset interface vlan1 ip

set interface ethernet1 ip 192.168.1.254/24端口配置IP

set interface ethernet1 route配置接口路由模式

set interface ethernet3 ip 192.168.2.254/24端口配置IP

set interface ethernet3 route配置接口路由模式

set interface ethernet1 ip manageable设置能够IP管理

set interface ethernet3 ip manageable设置能够IP管理

set nsrp cluster id 1创建集群组ID

set nsrp vsd-group id 0 priority 100缺省值为100,低值优先成为主用设备

set nsrp monitor interface ethernet1配置NSRP监控端口,非抢占模式

set nsrp monitor interface ethernet3配置NSRP监控端口,非抢占模式

set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit

set policy id 1配置策略

测试

fw-1eth3线路拔掉时

fw-1(I)->get nsrp

nsrp version: 2.0

cluster info:

cluster id: 1, no name

local unit id: 4220880

active units discovered:

index: 0, unit id:   4220880, ctrl mac: 0019e24067d7, index: 1, unit id:   4220080, ctrl mac: 0019e24064b7, data mac: ffffffffffff

total number of units: 2

VSD group info:

init hold time: 5

heartbeat lost threshold: 3

heartbeat interval: 1000(ms)

master always exist: disabled

group priority preempt holddown inelig   master       PB other members

   0       50 no             3 no      4220080     none myself(inoperable)

total number of vsd groups: 1

Total iteration=3164,time=41762278,max=71948,min=5015,average=13199

RTO mirror info:

run time object sync:disabled

ping session sync: enabled

coldstart sync done

nsrp link info:

control   channel: ethernet4 (ifnum: 7)  mac: 0019e24067d7 state: up

ha data link not available

ha secondary path link not available

NSRP encryption: disabled

NSRP authentication: disabled

device based nsrp monitoring threshold: 255, weighted sum: 255, failed

device based nsrp monitor interface: ethernet1(weight 255, UP) ethernet3(weight 255, DOWN)

device based nsrp monitor zone:

device based nsrp track ip: (weight: 255, disabled)

number of gratuitous arps: 4 (default)

config sync: enabled

他很快就会转化为初始化状态,而fw-2会迅速成为主设备,网络通信会正常。