Juniper 的NSRP协议

lxy777

　　Juniper的冗余协议NSRP(NetScreen Redundant  Protocol)，类似于VRRP（HSRP）但在其基础上有很大的改进，现详细介绍如下：
　　Juniper为了实现更安全、更有效的防火墙冗余体系，开发了专有的防火墙HA工作的协议NSRP，NSRP协议借鉴了VRRP协议，而且弥补了 VRRP协议的不足，是针对安全设备的HA协议。NSRP实现了：
　　1.在HA组成员之间镜像配置，在发生故障切换时确保正确的行为。
　　2.可以在HA组中维护所有活动会话和***隧道。
　　3.故障切换算法根据系统健康状态确定哪个系统是主系统，把状态与相邻系统连接起来或监控从本系统到远端的路径。
　　4.无论活动会话和***隧道的数量有多少，故障检测和切换到备用系统可以在低于一秒时间内完成。
　　5.整个系统的防火墙处理能力提高一倍。
　　6.Juniper 的中高端防火墙更支持全网状的Active/Active HA，避免低级的网络故障导致Juniper防火墙的不可用。
　　Juniper 设备处于“路由”或 NAT  模式时，可以将冗余集群中的两台设备都配置为主动，通过具有负载均衡能力的路由器，运行诸如“虚拟路由器冗余协议  (VRRP)”等协议，共享它们之间分配的流量。通过使用“NetScreen 冗余协议 (NSRP)”创建两个虚拟安全设备 (VSD) 组，每个组都具有自己的虚拟安 全接口 (VSI)，即可实现此目的。设备 A 充当 VSD 组 1 的主设备，并充当 VSD 组 2 的备份设备。设备 B 充当  VSD 组 2 的主设备，并充当 VSD 组 1  的备份设备。此配置称为双主动（请参阅下图）。由于设备冗余，因此不存在单一故障点。负载分担的方式是通过同一VLAN内一部分设备的网关指向一台防火墙 的端口ip地址，另一部分设备的网网关指向另一台防火墙的端口ip地址。故障切换后，该VLAN的所有设备都指向同一防火墙的物理端口（逻辑上具备两个同 网段的IP地址，作为不同设备的缺省网关IP地址）。

http://blog.51cto.com/1841cisco/51cto.com/uploads/allimg/100222/134R95421-0.jpg

　　设备 A 和设备 B 各接收 50% 的网络和 *** 流量。设备 A 出现故障时，设备 B 变成 VSD 组 1  的主设备，同时继续作为 VSD 组 2 的主设备，并处理 100% 的流量。在双主动配置中，故障切换产生的流量转移结果如下图所示。

http://blog.51cto.com/1841cisco/51cto.com/uploads/allimg/100222/134R93R9-1.jpg

　　尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的容量，但添加的第二台设备使可用的潜在带宽加倍。第二台主动设备也保证两台设备都具 有网络连接功能。即双主动的配置方法的最大连接数保持为原单机时的数量，该数量对一个大型网络也已足够了，但是数据吞吐量则增大一倍。
　　除 NSRP 集群（主要负责在组成员间传播配置并通告每个成员的当前 VSD 组状态）外，还可以将设备 A 和设备 B 配置为 RTO  镜像组中的成员，该镜像组负责维持一对设备之间执行对象 (RTO)3  的同步性。主设备让位时，通过维持所有当前会话，备份设备可立即用最短的服务停顿时间承担主地位。
　　除冗余设备外，还可以在防火墙设备上配置冗余物理接口。如果一级端口失去网络连接，则二级端口承担连接的任务。
　　在防火墙设备中，也存在冗余物理 HA 接口，它不仅处理不同种类的 HA 通信，而且彼此充当备份。缺省情况下， HA1 处理控制消息， HA2  处理数据消息。如果失去任一 HA 链接，则另一链接可承担起两种消息类型。在没有专用 HA 接口的 Juniper  设备上，必须将一个或两个物理以太网接口绑定到 HA 区段上。
　　由于 NSRP 通信的机密特性，可以通过加密和认证保障所有 NSRP 流量的安全。对于加密和认证，NSRP 分别支持DES 和 MD5 算法。
　　通常，在Juniper的冗余协议NSRP的支持下，防火墙的冗余连接有以下几种形式：
　　Active-Standby：
　　有冗余，无法同时工作
　　Active-Active：
　　有冗余，双机同时工作，仅能容忍1个故障点
　　Active-Active(全网状，Full Mesh)：
　　有冗余，双机同时工作，最多容忍3个故障点，网络结构较复杂，可以检测切换非相邻设备的故障。

http://blog.51cto.com/1841cisco/51cto.com/uploads/allimg/100222/134R910Q-2.jpg

　　Juniper的中高端防火墙设备通过一个或两个高可靠性端口HA1和HA2来实现NSRP。 在实际配置时，可将第一个端口HA1配置为传递控制信息的连接，实现两台防火墙的配置同步、心跳检测、故障检测、实时会话信息同步等功能，此时两台防火墙 的会话状态表保持一致，传递信息的流量实际并不大（主要是会话建立的初期需要传递较多的会话的参数信息），所以两台防火墙的会话信息可以实时得到同步。第 二个端口HA2配置为传递实际数据流量数据线路，主要是在不对称流量进出的情况发挥作用，即某一会话的流量进来是通过第一台防火墙，但是返回的流量却因为 相邻路由设备的原因发到了第二台防火墙，此时第二台防火墙进行会话状态检测后发现是基于现有会话的，而且属于第一台防火墙处理的流量，于是将返回的流量通 过HA2端口发给第一台防火墙。两个HA端口可以作为备份，即实际上一个HA就可以实现以上功能，保证了网络的高可靠性。
　　在实际应用中，可以通过网络优化、路由调整的方法将不对称的流量减少，从而使得第二个端口HA2的负载处在合理水平。
　　以上的故障切换均可在小于1秒内完成，并且对用户流量透明。具体切换的触发因素和检测方式列表如下：
　　故障描述NSRP / Juniper 保护
　　Juniper 保护的故障
　　数据端口故障 (物理层和链路层)                                                        冗余数据端口
　　HA端 口                                                                                           冗余HA端口
　　电源故 障                                                                                          冗余电源
　　设备完全掉 电                                                                                  心跳信号
　　ScreenOS 系统故障导致流量不通过但端口是up的 (layer 3 故障)        心跳信号
　　相邻设备故障
　　完全掉电和不提供服务                                                                       IP 路径检测
　　路由器故障
　　端口故 障                                                                                     链路监测
　　设备故 障                                                                                     IP 路径检测&链路监测
　　应用故 障                                                                                      IP 路径检测
　　交换机故障
　　端口故 障                                                                                       链路监测
　　设备故 障                                                                                       链路监测
　　应用故 障                                                                                      IP 路径检测
　　管理员控制的设备维护和down机                                                         IP 路径检测
　　多设备故障
　　Juniper 和周围设备在不同路径故障                                                       冗余端口
　　环境故障
　　物理接线故 障                                                                                     链路监测
　　电路故 障                                                                                           心跳信号, 多电源, 链路监测, IP路径检测
　　此外，由于实施了Juniper  的冗余协议NSRP，包括***、地址翻译等多种应用的实时信息都得到同步，即对***连接、地址翻译连接的切换也是在小于1秒完成，所以在实施时具备很 强的灵活性，适应了各种网络应用的情况。而且查错较为简单。所以该方案的优势还是比较明显的，只需在实施时注意减少不对称路由的条数，让大部分的流量对称 地传送，小部分不对称路由的流量通过HA2口做“h”型的转发即可。