百科解釋
一、NSRP工作原理
NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP協(xié)議規(guī)范自行開(kāi)發(fā)的設(shè)備冗余協(xié)議。防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備,需要為所有進(jìn)出網(wǎng)絡(luò)的信息流提供安全保護(hù),為滿足客戶不間斷業(yè)務(wù)訪問(wèn)需求,要求防火墻設(shè)備必須具備高可靠性,能夠在設(shè)備、鏈路及互連設(shè)備出現(xiàn)故障的情況下,提供網(wǎng)絡(luò)訪問(wèn)路徑無(wú)縫切換。NSRP冗余協(xié)議提供復(fù)雜網(wǎng)絡(luò)環(huán)境下的冗余路徑保護(hù)機(jī)制。NSRP主要功能有:1、在高可用群組成員之間同步配置信息;2、提供活動(dòng)會(huì)話同步功能,以保證發(fā)生路徑切換情況下不會(huì)中斷網(wǎng)絡(luò)連接;3、采用高效的故障切換算法,能夠在短短幾秒內(nèi)迅速完成故障檢測(cè)和狀態(tài)切換。
NSRP集群兩種工作模式:
一、Active/Passive模式:通過(guò)對(duì)一個(gè)冗余集群中的兩臺(tái)安全設(shè)備進(jìn)行電纜連接和配置,使其中一臺(tái)設(shè)備作為主用設(shè)備,另一臺(tái)作為備用設(shè)備。主用設(shè)備負(fù)責(zé)處理所有網(wǎng)絡(luò)信息流,備用設(shè)備處于在線備份狀態(tài)。主設(shè)備將其網(wǎng)絡(luò)和配置命令及當(dāng)前會(huì)話信息傳播到備用設(shè)備,備用設(shè)備始終保持與主用設(shè)備配置信息和會(huì)話連接信息的同步,并跟蹤主用設(shè)備狀態(tài),一旦主設(shè)備出現(xiàn)故障,備份設(shè)備將在極短時(shí)間內(nèi)晉升為主設(shè)備并接管信息流處理。
二、Active/Active模式:在NSRP中創(chuàng)建兩個(gè)虛擬安全設(shè)備 (VSD) 組,每個(gè)組都具有自己的虛擬安全接口(VSI),通過(guò)VSI接口與網(wǎng)絡(luò)進(jìn)行通信。設(shè)備A充當(dāng)VSD組1的主設(shè)備和VSD 組2的備份設(shè)備。設(shè)備B充當(dāng)VSD組2的主設(shè)備和VSD組1的備份設(shè)備。Active/Active模式中兩臺(tái)防火墻同時(shí)進(jìn)行信息流的處理并彼此互為備份。在雙主動(dòng)模式中不存在任何單一故障點(diǎn)。如下圖所示,通過(guò)調(diào)整防火墻上下行路由/交換設(shè)備到網(wǎng)絡(luò)的路由指向,HostA通過(guò)左側(cè)路徑訪問(wèn)ServerA,HostB通過(guò)右側(cè)路徑訪問(wèn)ServerB,網(wǎng)絡(luò)中任一設(shè)備或鏈路出現(xiàn)故障時(shí),NSRP集群均能夠做出正確的路徑切換。
NSRP集群技術(shù)優(yōu)勢(shì)主要體現(xiàn)于:
1、消除防火墻及前后端設(shè)備單點(diǎn)故障,提供網(wǎng)絡(luò)高可靠性。即使在骨干網(wǎng)絡(luò)中兩類核心設(shè)備同時(shí)出現(xiàn)故障,也能夠保證業(yè)務(wù)安全可靠運(yùn)行。
2、根據(jù)客戶網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)可靠性需要,提供靈活多樣的可靠組網(wǎng)方式。NSRP雙機(jī)集群能夠提供1、Active-Passive模式Layer2/3多虛擬路由器多虛擬系統(tǒng)和口型/交叉型組網(wǎng)方式;2、Active-Active模式Layer2/3多虛擬路由器多虛擬系統(tǒng)和口型/Fullmesh交叉型組網(wǎng)方式。為用戶提供靈活的組網(wǎng)選擇。
3、NSRP雙機(jī)結(jié)構(gòu)便于網(wǎng)絡(luò)維護(hù)管理,通過(guò)將流量在雙機(jī)間的靈活切換,在防火墻軟件升級(jí)、前后端網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化改造及故障排查時(shí),雙機(jī)結(jié)構(gòu)均能夠保證業(yè)務(wù)的不間斷運(yùn)行。
4、結(jié)合Netscreen虛擬系統(tǒng)和虛擬路由器技術(shù),部署一對(duì)NSRP集群防火墻,可以為企業(yè)更多的應(yīng)用提供靈活可靠的安全防護(hù),減少企業(yè)防火墻部署數(shù)量和維護(hù)成本。
二、NSRP典型結(jié)構(gòu)與配置
1、Layer3 口型A/P組網(wǎng)模式
Layer3 口型A/P組網(wǎng)模式是當(dāng)前很多企業(yè)廣泛采用的HA模式,該模式具有對(duì)網(wǎng)絡(luò)環(huán)境要求不高,無(wú)需網(wǎng)絡(luò)結(jié)構(gòu)做較大調(diào)整,具有較好冗余性、便于管理維護(hù)等優(yōu)點(diǎn)。缺點(diǎn)是Netscreen防火墻利用率不高,同一時(shí)間只有一臺(tái)防火墻處理網(wǎng)絡(luò)流量;冗余程度有限,僅在一側(cè)鏈路和設(shè)備出現(xiàn)故障時(shí)提供冗余切換。Layer3 口型組網(wǎng)A/P模式具有較強(qiáng)冗余性、低端口成本和網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單、便于維護(hù)管理等角度考慮,成為很多企業(yè)選用該組網(wǎng)模式的標(biāo)準(zhǔn)。
配置說(shuō)明:兩臺(tái)Netscreen設(shè)備采用相同硬件型號(hào)和軟件版本,組成Active/Passive冗余模式,兩臺(tái)防火墻均使用一致的Ethernet接口編號(hào)連接到網(wǎng)絡(luò)。通過(guò)雙HA端口或?qū)?Ethernet接口放入HA區(qū)段,其中控制鏈路用于NSRP心跳信息、配置信息和Session會(huì)話同步,數(shù)據(jù)鏈路用于在兩防火墻間必要時(shí)傳輸數(shù)據(jù)流量。
2、Layer3 Fullmesh A/P組網(wǎng)模式
Layer3 Fullmesh連接A/P組網(wǎng)使用全交叉網(wǎng)絡(luò)連接模式,容許在同一設(shè)備上提供鏈路級(jí)冗余,發(fā)生鏈路故障時(shí),由備用鏈路接管網(wǎng)絡(luò)流量,防火墻間無(wú)需進(jìn)行狀態(tài)切換。僅在上行或下行兩條鏈路同時(shí)發(fā)生故障情況下,防火墻才會(huì)進(jìn)行狀態(tài)切換,F(xiàn)ullmesh連接進(jìn)一步提高了業(yè)務(wù)的可靠性。該組網(wǎng)模式在提供設(shè)備冗余的同時(shí)提供鏈路級(jí)冗余,成為很多企業(yè)部署關(guān)鍵業(yè)務(wù)時(shí)的最佳選擇。
3、Layer3 Fullmesh連接A/A組網(wǎng)模式
Layer3 Fullmesh連接A/A結(jié)構(gòu)提供了一種更為靈活的組網(wǎng)方式,在保證網(wǎng)絡(luò)高可靠性的同時(shí)提升了網(wǎng)絡(luò)的可用性。A/A結(jié)構(gòu)中兩臺(tái)防火墻同時(shí)作為主用設(shè)備并提供互為在線備份,各自獨(dú)立處理信息流量并共享連接會(huì)話信息。一旦發(fā)生設(shè)備故障另一臺(tái)設(shè)備將負(fù)責(zé)處理所有進(jìn)出網(wǎng)絡(luò)流量。Fullmesh連接A/A組網(wǎng)模式對(duì)網(wǎng)絡(luò)環(huán)境要求較高,要求網(wǎng)絡(luò)維護(hù)人員具備較強(qiáng)技術(shù)能力,防火墻發(fā)生故障時(shí),接管設(shè)備受單臺(tái)設(shè)備容量限制,可能會(huì)導(dǎo)致會(huì)話連接信息丟失,采用A/A模式組網(wǎng)時(shí),建議每臺(tái)防火墻負(fù)責(zé)處理的會(huì)話連接數(shù)量不超過(guò)單臺(tái)設(shè)備容量的50%,以確保故障切換時(shí)不會(huì)丟失會(huì)話連接。
配置說(shuō)明:定義VSD0和VSD1虛擬安全設(shè)備組(創(chuàng)建Cluster ID時(shí)將自動(dòng)創(chuàng)建VSD0),其中NS-A為VSD0主用設(shè)備和VSD1備用設(shè)備,NS-B為VSD1主用設(shè)備和VSD0備用設(shè)備;創(chuàng)建冗余接口實(shí)現(xiàn)兩物理接口動(dòng)態(tài)冗余;配置交換機(jī)路由指向來(lái)引導(dǎo)網(wǎng)絡(luò)流量經(jīng)過(guò)哪個(gè)防火墻。