Netscreen冗余协议(NSRP).docVIP

Nsrp协议提供了灵活的设备和路径冗余保护功能，在设备和链路发生故障的情况下进行快速切换，切换时现有会话连接不会受到影响。设计nsrp架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。 NSRP部署建议： ??????? 基于端口和设备的冗余环境中，无需启用端口和设备级的抢占模式（preempt），避免因交换机端口不稳定而引发nsrp反复切换。 ??????? 当配置两组或两组以上的防火墙到同一组交换机上时，每组nsrp集群应设置不同的cluster ID号，避免因相同的cluster ID号引发接口MAC地址冲突现象。 ??????? 防火墙nsrp集群建议采用接口监控方式，仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能够更快更准确的反映网络状态变化。 ??????? 在单台防火墙设备提供的session和带宽完全可以满足网络需求时，建议采用基于路由的Active-Passive主备模式，该模式组网结构清晰，便于维护和管理。 ??????? 设备运行时应保证HA线缆连接可靠，为确保HA心跳连接不会出现中断，建议配置HA备份链路“secondary－path”。 ??????? NSRP许多配置参数是经过检验的推荐配置，通常情况下建议采用这些缺省参数。 NSRP常用维护命令 ??????? get license-key 查看防火墙支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是简化版，支持设备和链路冗余切换，不支持配置和会话同步。 ??????? exec nsrp sync global-config check-sum 检查双机配置命令是否同步 ??????? exec nsrp sync global-config save 如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。 ??????? get nsrp 查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。 ??????? Exec nsrp sync rto all from peer 手动执行RTO信息同步，使双机保持会话信息一致 ??????? exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。 ??????? exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。 ??????? set failover on/set failover auto启用并容许冗余接口自动切换 ??????? exec failover force 手动执行将主用端口切换为备用端口。 ??????? exec failover revert 手动执行将备用端口切换为主用端口。 ??????? get alarm event 检查设备告警信息，其中将包含NSRP状态切换信息 四、策略配置与优化（Policy） 防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。 策略配置与维护需要注意地方有： ??????? 试运行阶段最后一条策略定义为所有访问允许并作log，以便在不影响业务的情况下找漏补遗；当确定把所有的业务流量都调查清楚并放行后，可将最后一条定义为所有访问禁止并作log，以便在试运行阶段观察非法流量行踪。试运行阶段结束后，再将最后一条“禁止所有访问”策略删除。 ??????? 防火墙按从上至下顺序有哪些信誉好的足球投注网站策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。 ??????? 策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作，但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。另外，对于策略配置中的Count(流量统计)选项，如非必要建议在业务时段不使用。 ??????? 简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。 ??????? 策略用于区段间单方向网络访问控制。如果源区段和目的区段不同，则防火墙在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断，则防火墙在区段内部策略表中执行策略查找。如果在区段间