参考说明分析d01-nsrp

1、高可用性EDU-JUNIP-FWV-ADV课程目标高可用性（High Availability） NSRP基本概念NSRP A/P基本配置NSRP注意事项2课程目标高可用性（High Availability）3高可用性（HA）可用性（Availability）指得是用户（群体）问可能是 “添加新的配置”，也可能是“（某个）系统的能力。访”。与可用性相对的是不可用性（Unavailability）。表征不可用性的指标是中断时间（Downtime）。越短的中断时间，就意味着越高的可用性。所以，高可用性（HighAvailability）就是指某种用来缩短系统中断时间的技术。实现高可用性的主要方法

2、是“冗余”。“冗余”的涵盖面非常广：包括电源冗余、冗余、设备冗余和链路冗余等等内容。4课程目标NSRP基本概念5NSRP基本概念为Juniper（Netscreen）提供接口、设备的冗余/产品提供冗余/故障切换功能NSRP是Juniper（Netscreen）的私有协议现有NSRP协议版本是2.0,支持的模式有A/P,A/A,full meshed A/A具体可支持的HA模式跟产品的具体型号有关的接口/链路在主、备系统间传输需要同步的会话信息使用同步的数据与用户的应用流量，完全没有干扰6NSRP 模式之Active/Passive 模式主用HA Link网络备用处于A/P模式时，只有主用设备处

3、理业务流量。只有当主用设备出现故障后，业务流量才会切换到备用设备上。7NSRP 模式之Active/Active 模式主用1HA Link网络主用2处于A/A模式时，两台设备同时处理业务流量。当一台设备出现故障时，其上的业务流量会切换到另一台设备上去。8NSRP 模式之 Active/Active full-meshed模式主用1HA Link网络主用2处于A/A full-meshed模式下，可提供最高等级的高可用性：网络中任一链路的故障都不会影响到业务流量的正常传输。9NSRP协议术语 之 HA Link/Port/ZoneHA ZoneHA Port百兆接口千兆接口在标准的NSRP模型下

4、，需要建立两条HA链路来维系NSRP的正常。一条用于传输控制信息（心跳、配置信息、同步信息）。一条用于传输数据信息（A/A模式下的重转发数据）。用于建立HA链路的物理端口称为HA端口。从属于HA Zone的物理端口可以作为HA端口。如果HA端口为百兆接口（如NS208），那么需要两个HA端口来建立HA链路，保证NSRP的正常。如果HA端口为千兆端口（如ISG1000的自带端口），则一个HA端口即可（如果接口数量充足，建议还是使用两个HA端口）10NSRP协议术语 之 NSRP ClusterNSRP ClusterNSRP应用的一组称为NSRP Cluster。每一组形成NSRP关系的组都有一

5、个Cluster ID号。所有与NSRP相关的设置都在特定的cluster下配置。Cluster成员拥有相同的策略及对象、相同的系统配置。11NSRP协议术语 之 VSD/VSI/VSD GroupVSD Group 0VSD: Virtual Security Device一台逻辑上的，包含两台物理上的VSI: Virtual SecurityerfaceVSI 1VSI 1一个逻辑上的接口，包含两个物理上的接口VSD Group ：VSD/VSI的集合VSD 0VSD 0当建立Cluster以后，会自己动建立一个VSD Group0，并把所有物理接口变为VSI，并加入VSDGroup0。其

6、他的VSD Group需要手动建立，从属于其他VSD Group的VSI也要通过手动建立。12NSRP协议术语 之 VSD Group PriorityVSD Group 0VSD Group Priority：用来权衡VSD Group中Master/Backup的参数。 Priority的数值设置范围是：1255。Priority的数值越小，则该设备越可能成为主用设备系统的默认Priority数值是100。Priority：50Priority：100MasterBackup通过手工调整Priority的数值，来达到控制主/从设备的目的。13NSRP协议术语 之 RTORTO：Real T

7、ime Object是指在主要包括：会话表 ARP表DHCP租约的SA正常工作时，动态存放在内存当中的对象默认情况下，系统不会进行RTO的同步。需要手动在NSRP设置中打开该功能。14VSD Ses and Failover主（Master）由优先级（priority）决定可以设置抢占（Preempt）备（Backup）初始状态（Initial） Ineligible InoperableMasterBackupVXSI E1VSD 0VSI E1VSD 0VSI E2VSI E2故障切换（Failover）VSI E1 主动/无偿ARPs（Gratuitous ARPs）VSI E1VSD

8、0InoperableMasterVSI E2VSI E215NSRP VSD Group - Active/Passive左边的设备是VSD Group 0的Master。左边设备的属于VSD group 0 的VSI转发数据左边的设备是VSD Group 0的Primary Backup。右边设备的属于VSD group 0的VSI不转发数据VSI E1VSI E1VSDGrou0VSD 0VSD 0Priority 50 ActiveVSI E2VSI E216VSDGrou0Priority 100BackupNSRP VSD Group - Active/ActiveVSD 10Pr

9、iority 50 ActiveVSD 11Priority 50 ActiveVSI E1:10VSI E1:11VSI E1:10 VSI E1:11VSD 10VSD 11VSD 10VSD 11VSI E2:10VSI E2:11VSI E2:10 VSI E2:11VSD 11Priority 100 BackupVSD 10Priority 100 Backup17课程目标NSRP A/P基本配置18NSRP 配置步骤 之 A/P模式下的配置步骤在两台设备上1.为HA Zone分配物理接口（如果产品上有的HA Port除外）2.Cluster的配置（两台设备需设定相同的Cluste

10、r ID，以便建立NSRP联系）3.VSD-Group的配置（如果是A/P模式，默认就会有VSD-Group 0可供使用）4.Priority的设置（需在一台设备上调整Priority值，大于或者小于100)5.RTO的设置（两台设备都需要设定RTO同步）6.erface Monitor的设置（两台设备上设定需要的接口，并设定阀值）7.根据实际情况，调整NSRP的参数。19NSRP A/P实验环境明VLAN 102Trust ZoneUntrust Zone Default VLANEth1：Trust Zone；IP address：192.168.1.1；管理地址：192.168.1.2；

11、 Eth3：Untrust Zone；IP address：10.101.1.100设置策略：Trust Zone to Untrust Zone Any Any Any PermitVLAN 102：Port 9 to 16；IP address：192.168.1.253； Default VLAN：Port 1 to 8；IP address：10.101.1.253；20NSRP A/P实验环境 之要求VLAN 102Trust ZoneUntrust Zone Default VLAN使用cluster id 1给NSRP使用；使用系统默认的vsd group进行VSD的配置；在一台

12、设备上设置Priority为50，使其成为Master。Untrust接口、Trust接口。查看系统配置是否同步；查看 RTO是否同步；模拟接口故障，看ICMP应用是否受到影响。211: 将接口加入HA ZoneNetworkerfa处于HA Zone的接口用于设备间心跳线连接之用。222: Cluster设置NetworkNSRPCluster处于HA Zone的接口用于设备间心跳线连接之用。Locait后面的数字（此例中为1907680）表征本机，Active Units Discovered后面的数字如果为两个，则说明NSRP已经通过心跳接口找到了对端设备。的方式来加密NSRP之间的数据

13、。可以通过设置验证和加密233: 设置接口NetworkNSRPMonitorerface的接口链路故障，则该设备会进入“inoperable”模式。常用的方式是端口方式的。 如果被244: 调整VSD设置NetworkNSRPVSD GroupConfiguration开启Enable Preempt后，Priority更低的设备会主动抢占Master状态，255: 查看NSRP配置NetworkNSRPVSD GroupNetworkNSRPMonitorerface26课程目标NSRP注意事项27NSRP的几个关注点系统配置的同步28System change se to Active(

14、1)configuration in sync (local checksum 1213013518 = remote checksum 1213013518)Received all run-time-object from peer.left(B)- exec nsrp sync global save left(B)- loeer system config to save Save global configuration sucsfully.Save local configuration sucsfully. done.Please reset your box to let cl

15、uster configuration take effect!left(B)- exec nsrp sync global-config check-sumleft(B)- Warning: configuration out of syncNSRP的几个关注点其他设备的冗余NSRP 只是整个冗余系统的一部分是冗余了 那交换机呢? 路由器呢?GoodProtected NetworkBetter!Protected Network29NSRP的几个关注点心跳链路失效Network NSRP Link如果是双HA接口/链路：剩余的链路承担所有工作。如果是单HA接口/链路：NSRP将停止工作。需

16、要通过设置second-path的方式来解决这个问题。30Enable HA Link Probe后，系统将心跳链路的状态。NSRP的几个关注点调整故障切换参数的对象erface Zone目的地址故障切换计算公式参数默认值Failover threshold: 255Individual object weights: 25531如果 FailedObject Weight Failover Threshold, 发生切换FailedObject Weight = sum(erface Weight) + sum(Zeight)+ IPTrack WeightNSRP的几个关注点调整接口权重值

17、Network NSRP Monitor erface32NSRP的几个关注点调整Zone权重Network NSRP Monitor Zone该Zone的所有接口都Down，该ZONE才会Down。33NSRP的几个关注点- IP Tracking通过测试连通性来实际了解故障对业务的影响参数默认值IP Track Threshold: 255 IP Track Weight: 255IP Address Weight: 1来测试连通性 (主机测试) or ARP (直连主机测通过试)34如果 sum(FailedAddress) IPTrackThreshold, IP Track fail

18、s Send IP Track Weight to device failover calculationNSRP的几个关注点- 配置 IP Tracking1.打开 IP Tracking设置IP Tracking的 failure threshold值设置IP Tracking的Weight值2.配置tracked addresses设置tracking的方法与参数设置每个tracked addresses的weight值351: 打开IP TrackingNetwork NSRP Monitor TrackIPIP Tracking的Weight值不能通过webui修改36set nsrp track-ipset nsrp track-ip threshold set nsrp track-ip