Phân phối thiết bị mạng FORTINET, FIREWALL FORTIGATE, FORTIWIFI, SWITCH

13/11/2020

Dịch vụ Tin tức

Phân phối thiết bị mạng juniper - Switch Juniper, firewall Juniper, wifi Juniper

20/11/2021

Tin tức

Phân phối thiết bị mạng CISCO - GIỚI THIỆU TẬP ĐOÀN CISCO, HÃNG CISCO

20/11/2021

Tin tức

Phân phối thiết bị mạng D-Link - Router Dlink, Switch Dlink, Wifi Dlink

20/11/2021

Tin tức

Cho thuê thiết bị mạng

13/12/2021

Dịch vụ

Cài đặt cấu hình thiết bị mạng

13/12/2021

Dịch vụ

Hướng dẫn cấu hình HA cho tường lửa Juniper SRX320

10/05/2023

Hướng dẫn kỹ thuật

Danh sách nội dung [Ẩn]

Hướng dẫn cấu hình HA trên tường lửa firewall Juniper SRX320.

Hướng dẫn cấu hình HA trên tường lửa firewall Juniper SRX320.

Đối với hệ thống cần tính ổn định, backup dự phòng chúng ta sẽ phải cấu hình chế độ HA cho hai thiết bị chạy cùng lúc. Thiết bị tường lửa Juniper SRX320 cho phép chúng ta cấu hình cài đặt dưới chế độ dự phòng HA.

Trước tiên chúng ta cần phải hiểu rõ các khái niệm về chế độ dự phòng HA, các giao diện Interface, Port cần thiết để thiết lập chế độ HA.

Khái niệm về Interface, cổng port trên chế độ HA.

Fabric Port : Là cổng kết nối vật lý giữa hai Node của Cluster và nó được hình thành bởi sự kết nối giữa hai thiết bị tường lửa Juniper Srx320 trên mô hình kết nối Cluster. Faric port là liên kết dữ liệu giữa các Node và được sử dụng để chuyển tiếp lưu lượng giữa các Chassis. Lưu lượng tới trên Node hiện tại mà cần được xử lý trên Node kia thì nó sẽ được chuyển tiếp qua liên kết Fabric port. Tương tự, lưu lượng được xử lý trên Node này mà cần thoát qua giao diện Interface trên Node kia thì nó sẽ được chuyển tiếp qua liên kết Fabric port.

Control port : Cung cấp liên kết điều khiển giữa hai node trong Cluster và được dung để cập nhập định tuyến và kiểm tra lưu lượng tiện hiệu chẳng hạn như thông tin heartbeat và threshold khi kích hoạt chuyển đổi dự phòng giữa các node. Khi bạn submit câu lệnh cấu hình tới Cluster, liên kết Control port sẽ tự động đồng bộ hóa cấu hình.

Management Port : Giao diện quản lý cho phép quản lý và truy cập mạng từ bên ngoài vào các node trong Cluster. Hầu hết các thiết bị tường lửa Juniper SRX đều có giao diện fxp0. Giao diện fxp0 hoạt động giống như giao diện quản lý tiêu chuẩn trên các thiết bị SRX và cho phép truy cập mạng tới từng node trong Cluster

Redundant Port : Giao diện Ethernet (reth) dự phòng là giao diện giả bao gồm tối thiểu một giao diện vật lý từ mỗi Node của Cluster. Giao diện reth của Node hoạt động chịu trách nhiệm truyền lưu lượng trong thiết lập Cluster chassis.

Các bước cấu hình HA trên tường lửa Juniper SRX320.

Các bước thiết lập cấu hình HA trên srx320 dựa trên thông số theo sơ đồ sau :

Xác định Control port và Fabric link theo sơ đồ dưới.

Thiết lập hostname, IP address quản lý cho các node :

root# set groups node0 system host-name Datech-1

set groups node0 interfaces fxp0 unit 0 family inet address 172.16.2.253/24

root# set groups node1 system host-name Datech-2

root# set groups node1 interfaces fxp0 unit 0 family inet address 172.16.2.254/24

root# set apply-groups "${node}"

Thiết lập group redundant

root# set chassis cluster reth-count 2

root# set chassis cluster redundancy-group 0 node 0 priority 200

root# set chassis cluster redundancy-group 0 node 1 priority 100

root# set chassis cluster redundancy-group 1 node 0 priority 200

root# set chassis cluster redundancy-group 1 node 1 priority 100

Thiết lập Fabric link interface

root# set interfaces fab0 fabric-options member-interfaces ge-0/0/2

root# set interfaces fab1 fabric-options member-interfaces ge-3/0/2

Thiết lập Interface redundant và gán vào group quản lý

root# set interfaces ge-0/0/3 gigether-options redundant-parent reth0

root# set interfaces ge-3/0/3 gigether-options redundant-parent reth0

root# set interfaces ge-0/0/4 gigether-options redundant-parent reth1

root# set interfaces ge-3/0/4 gigether-options redundant-parent reth1

root# set interfaces reth0 redundant-ether-options redundancy-group 1

root# set interfaces reth1 redundant-ether-options redundancy-group 1

Tạo các Zone và cho phép dịch vụ qua các zone

root# set security zones security-zone Lan

root# set security zones security-zone Internet

root# set security zones security-zone Lan host-inbound-traffic system-services all

root# set security zones security-zone Internet host-inbound-traffic system-services all

Gán IP address cho các redundant và gán chúng tới Zone

root# set interfaces reth0 unit 0 family inet address 172.16.20.1/24

root# set security zones security-zone Lan interfaces reth0.0

root# set interfaces reth1 unit 0 family inet address 192.168.99.1/24

root# set security zones security-zone Internet interfaces reth1.0

Show tình trạng hoàn thiện cấu hình Cluster HA

{primary:node0}

user@host> show chassis cluster information configuration-synchronization

node0:

--------------------------------------------------------------------------

Configuration Synchronization:

Status:

Activation status: Enabled

Last sync operation: Auto-Sync

Last sync result: Not needed

Last sync mgd messages:

Events:

Mar 5 01:48:53.662 : Auto-Sync: Not needed.

node1:

--------------------------------------------------------------------------

Configuration Synchronization:

Status:

Activation status: Enabled

Last sync operation: Auto-Sync

Last sync result: Succeeded

Last sync mgd messages:

mgd: rcp: /config/juniper.conf: No such file or directory

mgd: commit complete

Events:

Mar 5 01:48:55.339 : Auto-Sync: In progress. Attempt: 1

Mar 5 01:49:40.664 : Auto-Sync: Succeeded. Attempt: 1

Kết luận

Với các bước cấu hình lần lượt như trên, chúng ta đã hoàn thiện xong việc cấu hình thiết bị tường lửa Juniper SRX320 ở chế độ HA.

Nếu có bất kỳ khó khăn nào trong việc cấu hình HA cho tường lửa Juniper SRX, vui lòng liên hệ theo thông tin dưới đây :

Email : trinhliem@datech.vn

Phone : 0981156699

Xin chân thành cảm ơn các bạn đã quan tâm!