36、网络高可用性与NSRP协议深度解析

网络高可用性与NSRP协议深度解析

1. 配置步骤

在网络设备配置中，针对不同防火墙有一系列特定的配置步骤。
- 防火墙A配置 ：
1. 设置抢占保持时间为45。
2. 点击“OK”。
3. 进入“Network | NSRP | VSD Group | Group ID 1 | Edit”。
4. 设置优先级为2。
5. 点击“OK”。
- 防火墙B配置 ：
1. 进入“Network | DNS”。
2. 输入主机名“deepthoughtB”。
3. 点击“Apply”。
4. 进入“Network | NSRP | VSD Group | Group ID 0 | Edit”。
5. 设置优先级为2。
6. 点击“OK”。
7. 进入“Network | NSRP | VSD Group | Group ID 1 | Edit”。
8. 设置优先级为1。
9. 选择“Enable Preempt”。
10. 设置抢占保持时间为45。
11. 点击“OK”。

部分设置无法通过Web界面完成，需要通过CLI输入集群名称，并启用 nsrp master-always-exists 和 arp always-on-dest 选项。

2. 故障转移机制

故障转移是网络高可用性的重要环节，以下是可能引发故障转移的因素：
- 软件崩溃（导致心跳信号丢失）
- 硬件或电源故障（导致心跳信号丢失）
- 受监控接口或区域的链路故障
- 一个或多个跟踪IP地址不可用
- 手动请求故障转移

当主备份VSD确定需要成为主VSD时，会发生以下操作：

graph LR
    A[主备份VSD确定成为主VSD] --> B[提升自身为主VSD]
    B --> C{是否有链路断开}
    C -- 是 --> D[尝试恢复链路]
    D -- 成功 --> E[发送免费ARP请求]
    D -- 失败 --> F[放弃主VSD角色，进入不可操作状态]
    C -- 否 --> E
    E --> G[邻居节点更新转发表和ARP表]
    G --> H[流量切换到新的主VSD]

默认情况下，每个接口会发送四个ARP数据包，但可根据需要进行调整。例如，将发送的ARP数据包数量从默认的四个增加到九个：
- CLI方式 ：

set nsrp arp 9

• Web界面方式 ：
  1. 进入“Network | NSRP | Cluster”。
  2. 输入“9”作为“Number Of Gratuitous ARPs To Resend”。
  3. 点击“Apply”保存设置。

3. 虚拟系统故障转移

虚拟系统（VSYS）的故障转移需要仔细配置。确保VSYS正确故障转移的关键在于其接口必须是VSI，而非本地接口。以下是将VSYS绑定到VSD组1的示例：
- CLI配置 ：

set vsys vsys4
set interface ethernet1/1.4 tag 42 zone untrust
# Sub-interface
set interface ethernet1/1.4:5 ip 1.1.1.42/24
# VSI
set interface ethernet2/1.3 tag 3 zone trust-vsys4 # Sub-interface
set interface ethernet2/1.3:5 ip 192.168.102.1/24
# VSI
set interface ethernet2/1.3:5 route
# VSI
# more vsys configuration...
save
exit

• Web界面配置 ：
  1. 进入“VSYS | New”。
  2. 输入VSYS名称“vsys4”。
  3. 点击“OK”。
  4. 进入“VSYS | vsys4 | Enter | Network | Interface”。
  5. 点击“New Sub-IF”。
  6. 输入“ethernet1/1.4”。
  7. 选择“untrust”区域。
  8. 输入VLAN标签“42”。
  9. 点击“OK”创建接口。
  10. 返回“VSYS | vsys4 | Enter | Network | Interface”。
  11. 点击“New VSI IF”。
  12. 输入“ethernet1/1.4”。
  13. 选择VSD组5。
  14. 输入IP地址和子网掩码“1.1.1.42/24”。
  15. 点击“OK”。
  16. 返回“VSYS | vsys4 | Enter | Network | Interface”。
  17. 点击“New Sub-IF”。
  18. 输入接口名称“ethernet2/1.3”。
  19. 选择“trust-vsys4”区域。
  20. 输入VLAN标签“3”。
  21. 点击“OK”。
  22. 返回“VSYS | vsys4 | Enter | Network | Interface”。
  23. 点击“New VSI IF”。
  24. 输入VSI基础“ethernet2/1.3”。
  25. 选择VSD组5。
  26. 使用IP地址和子网掩码“192.168.102.1/24”。
  27. 选择“Route”作为接口模式。
  28. 点击“OK”。

4. 避免脑裂问题

脑裂问题是指在HA设置中，由于HA链路断开，两个防火墙都认为自己是唯一可用的防火墙，从而都提升自己为主防火墙。为避免脑裂问题，可以采取以下措施：
- 使用双HA链路，降低两条链路同时故障的概率。
- 如果HA链路通过交换机连接，考虑改为直接交叉电缆连接，避免依赖交换机。同时，使用 set nsrp ha-link probe 命令启用HA链路探测。
- 指定心跳信号的次要路径，使用流量接口作为备用选项。例如，将接口“ethernet1”配置为次要路径：
- CLI方式 ：

set nsrp secondary-path ethernet1

- **Web界面方式**：
    1. 进入“Network | NSRP | Link”。
    2. 选择“ethernet1”作为“Secondary Link”。
    3. 点击“Apply”保存设置。

5. 避免无主问题

无主问题与脑裂问题相反，是指两个防火墙都认为自己不适合成为主防火墙，导致集群没有主防火墙。可以通过使用 set nsrp vsd-group master-always-exists 命令强制NSRP集群始终有一个主防火墙。但需要注意，在这种情况下，主防火墙的选举仅基于抢占设置和优先级值，会忽略IP跟踪和监控设置。

6. 通过NSM配置HA

NetScreen Security Manager（NSM）提供了直观易用的图形用户界面来管理大量防火墙和IDP设备。以下是使用NSM配置HA的步骤：
- 创建集群 ：
1. 双击桌面上的图标或从程序菜单中启动NSM。
2. 输入管理员名称、密码和管理服务器的IP地址。
3. 从左窗格中选择“Device Manager”，点击“Security Devices”，右窗格将显示网络上的安全设备列表。
4. 点击“+”符号，选择“Cluster”。
5. 提供集群名称、用于在GUI中唯一标识此对象的颜色、设备类型、管理的操作系统版本和许可模型。如果集群运行在透明模式下，选择相应的复选框。
6. 右键单击并选择“Edit”来编辑创建的集群对象。
- 添加集群成员 ：
1. 点击“+”符号，选择“Cluster member”。
2. 提供集群成员名称、GUI中对象的颜色和设备可达性信息。
3. 点击“Next”。
4. 选择设备类型、操作系统版本和操作模式，提供IP地址和管理密码。不要修改默认的SSH连接设置。如果设备不可达，选项将变灰。
5. 点击“Next”，设置唯一外部ID和一次性密码，并记录下来。
6. 重复上述步骤添加另一个成员到集群。
- 配置NSRP参数 ：
1. 在右窗格的“Security Devices”树中，右键单击并选择“Edit”来编辑集群对象。
2. 点击“NSRP”，在“General Tab”中提供集群名称，修改参数，如“Enable RTO Sync”、“Link Hold-Down Time”和“Gratuitous ARP”参数。
3. 在“RTO Mirror”选项卡中，可以修改心跳间隔、心跳阈值，并可选地启用或禁用会话同步和其他会话参数。
4. 在“VSD Group Info”选项卡中修改VSD参数，选择“Master-always-exist”复选框以避免无主问题。
5. 点击左侧屏幕NSRP下方的“Monitor”选项，点击“+”添加监控接口。
- 配置VSD ：
1. 在右窗格的“Security Devices”树中，右键单击并选择“Edit”来编辑集群对象。
2. 在集群属性屏幕中点击“Members”。
3. 点击“+”添加VSD定义。
4. 根据需要修改VSD参数。

7. 常见问题解答

• 问题1 ：设置NSRP集群时，两个HA链路都正常，NetScreens属于同一集群ID，但它们无法互相识别，都认为自己是主设备。
  解答 ：可能是HA链路交叉连接，导致心跳信号在HA数据链路上被忽略。确保将HA链路从端口A连接到端口A，端口B连接到端口B。
• 问题2 ：NSRP集群中的一个防火墙抱怨配置不同步。
  解答 ：可能是在该防火墙未运行或未参与集群时对集群进行了配置更改，导致配置更改未传播到该防火墙。使用 exec nsrp sync global-config run 命令进行配置同步，并在完成后保存配置。可以使用 exec nsrp sync global-config checksum 命令验证配置是否同步。
• 问题3 ：如何强制故障转移？
  解答 ：在当前主设备上执行 exec nsrp vsd-group id X mode backup 命令，其中X是VSD组的ID号（如果未指定，则默认VSD组为0）。
• 问题4 ：使用单HA链路设置Active/Active NSRP集群时，通过第二个VSD组从LAN到外部网络的所有流量都被丢弃。
  解答 ：可能忘记为第二个VSD添加默认路由。由于没有HA数据链路，数据包无法在VSD之间转发，因此被丢弃。为第二个VSD中的VSI添加默认路由，流量应该会正常流动。
• 问题5 ：配置了NSRP IP跟踪，但不起作用，没有看到发送的ping请求，VSD很快就发生故障转移。
  解答 ：可能忘记在用于发送IP跟踪数据包的接口上设置管理IP。IP跟踪数据包不能从VSI发送，需要管理IP或本地接口地址。可以使用 get nsrp monitor track-ip 或 get nsrp vsd-group id X monitor track-ip 命令查看IP跟踪的统计信息和错误消息。

通过以上配置和措施，可以有效提高网络的高可用性，避免常见的网络故障问题。

网络高可用性与NSRP协议深度解析（续）

8. 高可用性的重要性及相关概念

高可用性（HA）在当今数据网络中至关重要，它主要围绕风险缓解展开。企业的业务策略应决定所需的网络可用性水平，但在可用性和成本之间找到平衡并非易事。常见的高可用性选项包括Active/Passive、Active/Active和Active/Active - Full mesh。

高可用性选项	特点
Active/Passive	一个设备处于活动状态处理流量，另一个作为备用，在活动设备故障时接管
Active/Active	两个设备同时处理流量，分担负载
Active/Active - Full mesh	设备之间全互联，提供更高的可用性和负载分担能力

9. NetScreen SOHO设备提升可用性

许多NetScreen SOHO设备具备在接口之间进行故障转移的能力，部分低端设备需要扩展许可证才能提供NSRP - Lite功能。以下是使用这些设备提升可用性的操作：
- 故障转移方式 ：可以选择手动或自动故障转移。
- 接口选择 ：根据设备型号，可在两个以太网接口之间或一个以太网接口和串行接口（连接调制解调器）之间进行故障转移。
- 策略限制 ：在故障转移到串行链路时，可以将策略限制为子集。
- 故障转移判断依据 ：
- IP跟踪 ：可以跟踪默认网关或明确的IP地址。
- VPN状态 ：使用VPN状态来确定何时进行故障转移，若使用自动故障转移，记得使用 monitor rekey 选项。

10. NSRP协议介绍

NSRP是在冗余集群中防火墙之间使用的协议，涉及以下关键概念：
- VSD ：是配置NSRP时使用的逻辑容器，可处于Master、Primary Backup、Backup、Initial、Ineligible或Inoperable等状态。
- VSI ：属于VSD的逻辑接口，配置有在故障转移时可在防火墙之间转移的IP地址。

在构建NSRP集群时，建议使用双HA链路，并确保防火墙的集群ID在1到7之间，且集群成员之间的配置需同步。

11. 故障转移判断方式

NSRP通过多种方式判断是否进行故障转移：

graph LR
    A[NSRP判断故障转移] --> B[心跳监测]
    A --> C[接口链路状态监测]
    A --> D[区域监测]
    A --> E[IP跟踪监测]
    B --> F{心跳丢失?}
    F -- 是 --> G[触发故障转移]
    C --> H{链路故障?}
    H -- 是 --> G
    D --> I{区域不可用?}
    I -- 是 --> G
    E --> J{IP地址不可达?}
    J -- 是 --> G

• 心跳监测 ：NSRP自动使用集群成员之间的心跳信号来相互监测。
• 接口链路状态 ：通过监测接口链路状态来确定是否进行故障转移。
• 区域监测 ：提供了更高级别的接口监测方式。
• IP跟踪 ：提供了灵活的故障转移判断方式，若跟踪VRRP IP地址，建议使用ARP方法。需要注意的是，IP跟踪的权重与接口和区域监测不同。

12. 读取NSRP相关输出

在查看NSRP状态时，除了使用 get nsrp 命令， get config | include nsrp 也是一个有用的命令。要区分设备级别的监测（影响所有VSD）和VSD级别的监测，可使用 get nsrp vsd - group id X monitor 命令检查每个VSD的监测情况。

13. 中高端设备使用NSRP - Lite

NSRP - Lite有其自身的特点和限制：
- 不支持RTO镜像。
- 仅支持Active/Passive设置。
- 本地接口是未绑定到VSI的接口，其IP地址不能故障转移到其他防火墙，在具有冗余但不同流量路径的设置中非常有用。

14. 创建冗余接口

冗余接口是通过将两个或更多物理接口组合在一起创建的，具有以下优点：
- 降低在防火墙之间进行故障转移的风险。
- 不依赖于NSRP的启用。
- VSIs可以像绑定物理接口一样绑定到冗余接口，常用于全互联设置中。

15. 充分利用NSRP

通过以下方式可以充分发挥NSRP的优势：
- RTO同步 ：使用RTO同步可确保在发生故障转移时会话不会丢失，备用防火墙同步活动防火墙的运行时状态，能无缝接管流量处理。
- Active/Active设置 ：在NSRP集群中创建多个VSD，可实现两个防火墙同时处理流量的Active/Active设置。通常使用两个VSD组，路由器使用等成本路由进行负载均衡。若集群为LAN提供默认网关，可将一半主机配置为使用第一个VSD的IP地址，另一半使用第二个VSD的IP地址，以实现基本的负载分担。同时，要记得为第二个VSD提供路由，否则可能会出现问题。

通过全面了解和应用上述网络高可用性和NSRP协议的相关知识及操作，网络管理员可以构建出更加稳定、可靠的网络环境，有效应对各种潜在的网络故障，保障业务的持续运行。