Juniper防火墙方案模板.docxVIP

总体方案建议 防火墙双机热备系统解决方案 Juniper-ISG1000 的防火墙对双机热备、负载均衡的实现有很好的支持，实施的方式是通过 Juniper 的冗余协议 NSRP，类似于 VRRP〔HSRP〕但在其根底上有很大的改进，现具体介绍如下： Juniper 为了实现更安全、更有效的防火墙冗余体系，开发了专有的防火墙HA 工作的协议 NSRP，NSRP 协议借鉴了 VRRP 协议，而且弥补了 VRRP 协议的缺乏， 是针对安全设备的 HA 协议。NSRP 实现了： ①在 HA 组成员之间镜像配置，在发生故障切换时确保正确的行为。 ②可以在 HA 组中维护全部活动会话和VPN 隧道。 ③故障切换算法依据系统安康状态确定哪个系统是主系统，把状态与相邻系统连接起来或监控从本系统到远端的路径。 ④无论活动会话和 VPN 隧道的数量有多少，故障检测和切换到备用系统可以在低于一秒时间内完成。 ⑤整个系统的防火墙处理力量提高一倍。 ⑥ Juniper-ISG1000 更支持全网状的 A-A HA，避开低级的网络故障导致Juniper 防火墙的不行用。 Juniper 设备处于“路由”或 NAT 模式时，可以将冗余集群中的两台设备都配置为主动，通过具有负载均衡力量的路由器，运行诸如“虚拟路由器冗余协议 (VRRP)”等协议，共享它们之间安排的流量。通过使用“Juniper 冗余协议(NSRP)”创立两个虚拟安全设备 (VSD) 组，每个组都具有自己的虚拟安全接口(VSI)，即可实现此目的。设备 A 充当 VSD 组 1 的主设备，并充当 VSD 组 2 的备份设备。设备 B 充当 VSD 组 2 的主设备，并充当 VSD 组 1 的备份设备。此配置称为双主动〔请参阅以下图〕。由于设备冗余，因此不存在单一故障点。负载分担的方式是通过同一 VLAN 内一局部设备的网关指向一台防火墙的端口 ip 地址，另一局部设备的网网关指向另一台防火墙的端口 ip 地址。故障切换后， 该 VLAN 的全部设备都指向同一防火墙的物理端口〔规律上具备两个同网段的 IP 地址，作为不同设备的缺省网关 IP 地址〕。 设备 A 和设备 B 各接收 50% 的网络和 VPN 流量。设备 A 消灭故障时， 设备 B 变成 VSD 组 1 的主设备，同时连续作为 VSD 组 2 的主设备，并处理100% 的流量。在双主动配置中，故障切换产生的流量转移结果如以下图所示。 尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的容量，但添加的其次台设备使可用的潜在带宽加倍。其次台主动设备也保证两台设备都具有网络连接功能。即双主动的配置方法的最大连接数保持为原单机时的数量，该数量对一个大型网络也已足够了，但是数据吞吐量则增大一倍。 除 NSRP 集群〔主要负责在组成员间传播配置并通告每个成员的当前 VSD 组状态〕外，还可以将设备 A 和设备 B 配置为 RTO 镜像组中的成员，该镜像组负责维持一对设备之间执行对象 (RTO)3 的同步性。主设备让位时，通过维持全部当前会话，备份设备可马上用最短的效劳停赶忙间担当主地位。 除冗余设备外，还可以在防火墙设备上配置冗余物理接口。假设一级端口失 去网络连接，则二级端口担当连接的任务。 在防火墙设备中，也存在冗余物理 HA 接口，它不仅处理不同种类的 HA 通信，而且彼此充当备份。缺省状况下， HA1 处理掌握消息， HA2 处理数据消息。假设失去任一 HA 链接，则另一链接可担当起两种消息类型。在没有专用 HA 接口的 Juniper 设备上，必需将一个或两个物理以太网接口绑定到 HA 区段上。由于 NSRP 通信的机密特性，可以通过加密和认证保障全部 NSRP 流量的安全。对于加密和认证，NSRP 分别支持 DES 和 MD5 算法。 通常，在 Juniper 的冗余协议 NSRP 的支持下，防火墙的冗余连接有以下几种形式： Active-Standby： 有冗余，无法同时工作 Active-Active： 有冗余，双机同时工作，仅能容忍 1 个故障点 Active-Active(全网状，Full Mesh)： 有冗余，双机同时工作，最多容忍 3 个故障点，网络构造较简单，可以检测切换非相邻设备的故障。 Juniper 的 NS500/208 防火墙设备通过两个高牢靠性端口 HA1 和 HA2 来实现NSRP。在实际配置时，可将第一个端口 HA1 配置为传递掌握信息的连接，实现两台防火墙的配置同步、心跳检测、故障检测、实时会话信息同步等功能，此时两台防火墙的会话状态表保持全都，传递信息的流量实际并不大〔主要是会话建立 的初期需要传递较多的会话的参数信息〕，所以两台防火墙的会话信息可以实时得到同步。其次个端口 HA2 配置