junos SRX550 HA配置

簡單介紹一下，SRX系列防火墻HA采用的是JSRP協議。對應netscreen的NSRP。JSRP和NSRP之間的最大區別就是JSRP采用的是cluster，兩臺防火墻虛擬成一臺。而NSRP一般采用的是主備模式，備機需要單獨的管理。

JSRP要求兩臺設備的型號、版本、板卡等完全一致。

下面開始SRX550的HA配置。

1、首選確定SRX550防火墻之間做HA的control-link接口。通過官方文檔可以查到SRX550的g0/0/0 為帶外管理口，g0/0/1為固定的control-link接口。把兩臺防火墻的g0/0/1口互聯。

2、對兩臺設備的g0/0/0、g0/0/1、g0/0/2接口進行初始化配置，刪除所有有關的原有配置

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching

delete set interfaces ge-0/0/0 unit 0 

delete set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/1unit 0 family ethernet-switching

delete set interfaces ge-0/0/1 unit 0 

delete set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/2unit 0 family ethernet-switching

delete set interfaces ge-0/0/2 unit 0 

3、配置cluster-id和node-id

SRX-A>set chassis cluster cluster-id 1 node 0 reboot

SRX-B>set chassis cluster cluster-id 1 node 1 reboot

兩臺設備重啟后，會發現邏輯上已經成為一臺防火墻。可以看到ge-9/0/0等接口，這是第二臺設備的接口。

4、指定Fabric Link Port

set interfaces fab0 fabric-options member-interfaces ge-0/0/2

set interfaces fab1 fabric-options member-interfaces ge-9/0/2

control-link主要用來兩臺設備之間心跳檢測、配置同步等。而Fabric Link 用于session的同步。

做完這個步驟，通過命令：

show chassis cluster interface

show chassis cluster status

可以查看到現在兩臺設備的HA已經完成。這個時候還有一個問題。

現在兩臺防火墻之間HA一共用了兩條線，一條control-link，一條fabric-link。

1、如果把control-link斷開，這個時候HA就斷開了，但是主防火墻還是正常工作的。把control-link恢復，HA狀態還是異常的。這個時候只有把背墻手動的重啟，HA才會恢復。

2、如果把fabric-link斷開，這個時候HA沒有斷開，但是主防火墻還是正常工作的，備墻無法同步session，無法切換。把fabric-link恢復，HA狀態還是異常的。這個時候只有把備墻手動的重啟，HA才會恢復。

那么有沒有辦法讓防火墻自己去識別HA線路的問題而做相應的操作呢？

通過如下命令：

set chassis cluster control-link-recovery 

如果fabric-link斷開再恢復，HA狀態會自動恢復，session會繼續同步。

如果control-link斷開在恢復，備墻會自動重啟，完成HA。