Netscreen 冗余协议(NSRP).doc

Nsrp协议提供了灵活的设备和路径冗余保护功能,在设备和链路发生故障的情况下进行快速切换,切换时现有会话连接不会受到影响。设计nsrp架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。NSRP部署建议:l      基于端口和设备的冗余环境中,无需启用端口和设备级的抢占模式(preempt),避免因交换机端口不稳定而引发nsrp反复切换。l      当配置两组或两组以上的防火墙到同一组交换机上时,每组nsrp集群应设置不同的clusterID号,避免因相同的clusterID号引发接口MAC地址冲突现象。l      防火墙nsrp集群建议采用接口监控方式,仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能够更快更准确的反映网络状态变化。l      在单台防火墙设备提供的session和带宽完全可以满足网络需求时,建议采用基于路由的Active-Passive主备模式,该模式组网结构清晰,便于维护和管理。l      设备运行时应保证HA线缆连接可靠,为确保HA心跳连接不会出现中断,建议配置HA备份链路“secondary-path”。l      NSRP许多配置参数是经过检验的推荐配置,通常情况下建议采用这些缺省参数。NSRP常用维护命令l      getlicense-key查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。l      srpsyncglobal-configcheck-sum检查双机配置命令是否同步l      srpsyncglobal-configsave如双机配置信息没有自动同步,请手动执行此同步命令,需要重启系统。l      getnsrp查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。l      srpsyncrtoallfrompeer手动执行RTO信息同步,使双机保持会话信息一致l      srpvsd-group0modebackup手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。l      srpvsd-group0modeineligible手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。l      setfailoveron/setfailoverauto启用并容许冗余接口自动切换l      execfailoverforce手动执行将主用端口切换为备用端口。l      execfailoverrevert手动执行将备用端口切换为主用端口。l      getalarmevent检查设备告警信息,其中将包含NSRP状态切换信息四、策略配置与优化(Policy)防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多,因此建议在设置策略时尽量保证统一规划以提高设置效率,提高可读性,降低维护难度。策略配置与维护需要注意地方有:l      试运行阶段最后一条策略定义为所有访问允许并作log,以便在不影响业务的情况下找漏补遗;当确定把所有的业