Juniper SRX 防火墙双机配置步骤
JSRP 是 Juniper SRX 的私有 HA 协议,对应 ScreenOS 的 NSRP 双机集群协议,
支持 A/P 和 A/A 模式,JSRP 对 ScreenOS NSRP 协议和 JUNOS Cluster 集群技术进
行了整合集成,熟悉 NSRP 协议有助于对 JSRP 协议的理解。JSRP 和 NSRP 最大的区
别在于 JSRP 是完全意义上的 Cluster 概念,两台设备完全当作一台设备来看待,两台
设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行
ScreenOS 的配置和会话同步等操作,而 ScreenOS NSRP 可看作在同步配置和动态
对象(session)基础上独立运行的两台单独设备。
JSRP 要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面
严格一一对应。由于 SRX 是转发与控制层面完全分裂架构,JSRP 需要控制层面 (配置
同步)和数据层面(Session 同步)两个平面的互联,建议控制和数据层面互联链路使用
光纤链路直连(部分平台强制要求光纤链路直连)。
JSRP 接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,
如上所示的 SRX5800,每个 SRX5800 机箱有 12 个业务槽位,节点 0 槽位号从 0 开
始编号,节点 1 槽位号从 12 开始往后编。
整个 JSRP 配置过程包括如下 7 个步骤
配置 Cluster id 和 Node id (对应 ScreenOS NSRP 的 cluster id 并需手工指定
设备使用节点 id)
指定 Control Port (指定控制层面使用接口,用于配置同步及心跳)
指定 Fabric Link Port (指定数据层面使用接口,主要 session 等 RTO
同步)