一、NSRP 工作原理
NSRP (NetScreen Redundant Protocol)是Juniper公司基于VRRP
协议规范自行开发的设备冗余协议。防火墙作为企业核心网络中的关
键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不
间断业务访问需求,要求防火墙设备必须具备高可靠性,能够在设备、
链路及互连设备出现故障的情况下,提供网络访问路径无缝切换。NSRP
冗余协议提供复杂网络环境下的冗余路径保护机制。
NSRP主要功能有:
1、在高可用群组成员之间同步配置信息;
2、提供活动会话同步功能,以保证发生路径切换情况下不会中断
网络连接;
3、采用高效的故障切换算法,能够在短短几秒内迅速完成故障检
测和状态切换。
NSRP 集群两种工作模式:
一、Active/Passive模式:通过对一个冗余集群中的两台安全设备进
行电缆连接和配置,使其中一台设备作为主用设备,另一台作为备用
设备。主用设备负责处理所有网络信息流,备用设备处于在线备份状
态。主设备将其网络和配置命令及当前会话信息传播到备用设备,备
用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪
主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升
为主设备并接管信息流处理。
二、Active/Active模式:在NSRP中创建两个虚拟安全设备 (VSD) 组,
每个组都具有自己的虚拟安全接口(VSI),通过VSI接口与网络进行通
信。设备A充当VSD组1的主设备和VSD 组2的备份设备。设备B充当VSD
组2的主设备和VSD组1的备份设备。Active/Active模式中两台防火墙
同时进行信息流的处理并彼此互为备份。在双主动模式中不存在任何
单一故障点。如下图所示,通过调整防火墙上下行路由/交换设备到网
络的路由指向,HostA通过左侧路径访问ServerA,HostB通过右侧路径
访问ServerB,网络中任一设备或链路出现故障时,NSRP集群均能够做
出正确的路径切换。
NSRP集群技术优势主要体现于:
1、消除防火墙及前后端设备单点故障,提供网络高可靠性。即使在骨
干网络中两类核心设备同时出现故障,也能够保证业务安全可靠运行。
2、根据客户网络环境和业务可靠性需要,提供灵活多样的可靠组网方
式。NSRP双机集群能够提供1、Active-Passive模式Layer2/3多虚拟路
由器多虚拟系统和口型/交叉型组网方式;2、Active-Active模式
Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。
为用户提供灵活的组网选择。
3、NSRP双机结构便于网络维护管理,通过将流量在双机间的灵活切换,
在防火墙软件升级、前后端网络结构优化改造及故障排查时,双机结
构均能够保证业务的不间断运行。
4、结合Netscreen虚拟系统和虚拟路由器技术,部署一对NSRP集群防
火墙,可以为企业更多的应用提供灵活可靠的安全防护,减少企业防
火墙部署数量和维护成本。
二、NSRP 典型结构与配置
1、Layer3 口型A/P 组网模式
Layer3 口型A/P组网模式是当前很多企业广泛采用的HA模式,该
模式具有对网络环境要求不高,无需网络结构做较大调整,具有较好
冗余性、便于管理维护等优点。缺点是Netscreen防火墙利用率不高,
同一时间只有一台防火墙处理网络流量;冗余程度有限,仅在一侧链
路和设备出现故障时提供冗余切换。Layer3 口型组网A/P模式具有较
强冗余性、低端口成本和网络结构简单、便于维护管理等角度考虑,
成为很多企业选用该组网模式的标准。
配置说明:两台Netscreen设备采用相同硬件型号和软件版本,组
成Active/Passive冗余模式,两台防火墙均使用一致的Ethernet接口
编号连接到网络。通过双HA端口或将2Ethernet接口放入HA区段,其中
控制链路用于NSRP心跳信息、配置信息和Session会话同步,数据链路
用于在两防火墙间必要时传输数据流量。
2、Layer3 Fullmesh A/P 组网模式
Layer3 Fullmesh连接A/P组网使用全交叉网络连接模式,容许在同
一设备上提供链路级冗余,发生链路故障时,由备用链路接管网络流
量,防火墙间无需进行状态切换。仅在上行或下行两条链路同时发生
故障情况下,防火墙才会进行状态切换,Fullmesh连接进一步提高了
业务的可靠性。该组网模式在提供设备冗余的同时提供链路级冗余,
成为很多企业部署关键业务时的最佳选择。
3、Layer3 Fullmesh 连接A/A 组网模式
Layer3 Fullmesh 连接A/A 结构提供了一种更为灵活的组网方式,
在保证网络高可靠性的同时提升了网络的可用性。A/A 结构中两台防
火墙同时作为主用设备并提供互为在线备份,各自独立处理信息流量
并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有
进出网络流量。Fullmesh 连接A/A 组网模式对网络环境要求较高,要
求网络维护人员具备较强技术能力,防火墙发生故障时,接管设备受
单台设备容量限制,可能会导致会话连接信息丢失,采用A/A 模式组
网时,建议每台防火墙负责处理的会话连接数量不超过单台设备容量
的50%,以确保故障切换时不会丢失会话连接。
配置说明:定义VSD0 和VSD1 虚拟安全设备组(创建Cluster ID 时将
自动创建VSD0),其中NS-A 为VSD0 主用设备和VSD1 备用设备,NS-B
为VSD1 主用设备和VSD0 备用设备;创建冗余接口实现两物理接口动
态冗余;配置交换机路由指向来引导网络流量经过哪个防火墙。
三、NSRP 常用维护命令
1、get license-key
查看防火墙支持的feature,其中NSRPA/A 模式包含了A/P 模式,A/P
模式不支持A/A 模式。Lite 版本是简化版,支持设备和链路冗余切换,
不支持配置和会话同步。
2、exec nsrp sync global-config check-sum
检查双机配置命令是否同步
3、exec nsrp sync global-config save
如双机配置信息没有自动同步,请手动执行此同步命令,需重启系统。
4、get nsrp
查看NSRP 集群中设备状态、主备关系、会话同步以及参数开关信息。
5、Exec nsrp sync rto all from peer
手动执行RTO 信息同步,使双机保持会话信息一致
6、exec nsrp vsd-group 0 mode backup
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主
用设备没有启用抢占模式。
7、exec nsrp vsd-group 0 mode ineligible
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主
用设备已启用抢占模式。
8、get alarm event
检查设备告警信息,其中将包含NSRP 状态切换信息
附录一 NSRP 缺省设置值
VSD 组信息
VSD group ID: 0
Device priority in the VSD group: 100
Preempt option: disable
Preempt hold-down time: 0 second
Initial state hold-down time: 5 second
Heartbeat interval: 1000 milliseconds
Lost heartbeat threshold: 3
Master (Primary) always exist: no
RTO 镜像信息
RTO synchronization: disable
Heartbeat interval: 4 second
Lost heartbeat threshold: 16
NSRP 链接信息
———————– Page 8———————–
Number of gratuitous ARPs: 4
NSRP encryption: disable
NSRP authentication: disable
Track IP: none
Interfaces monitored: none
Secondary path: none
HA link probe: none
Interval: 15
Threshold: 5