junos SRX550 HA配置

简单介绍一下，SRX系列防火墙HA采用的是JSRP协议。对应netscreen的NSRP。JSRP和NSRP之间的最大区别就是JSRP采用的是cluster，两台防火墙虚拟成一台。而NSRP通常采用的是主备模式，备机须要单独的管理。

JSRP要求两台设备的型号、版本、板卡等彻底一致。

下面开始SRX550的HA配置。

一、首选肯定SRX550防火墙之间作HA的control-link接口。经过官方文档能够查到SRX550的g0/0/0 为带外管理口，g0/0/1为固定的control-link接口。把两台防火墙的g0/0/1口互联。

二、对两台设备的g0/0/0、g0/0/一、g0/0/2接口进行初始化配置，删除全部有关的原有配置

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/0 unit 0 family ethernet-switching

delete set interfaces ge-0/0/0 unit 0 

delete set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/1unit 0 family ethernet-switching

delete set interfaces ge-0/0/1 unit 0 

delete set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust

delete set interfaces ge-0/0/2unit 0 family ethernet-switching

delete set interfaces ge-0/0/2 unit 0 

三、配置cluster-id和node-id

SRX-A>set chassis cluster cluster-id 1 node 0 reboot

SRX-B>set chassis cluster cluster-id 1 node 1 reboot

两台设备重启后，会发现逻辑上已经成为一台防火墙。能够看到ge-9/0/0等接口，这是第二台设备的接口。

四、指定Fabric Link Port

set interfaces fab0 fabric-options member-interfaces ge-0/0/2

set interfaces fab1 fabric-options member-interfaces ge-9/0/2

control-link主要用来两台设备之间心跳检测、配置同步等。而Fabric Link 用于session的同步。

作完这个步骤，经过命令：

show chassis cluster interface

show chassis cluster status

能够查看到如今两台设备的HA已经完成。这个时候还有一个问题。

如今两台防火墙之间HA一共用了两条线，一条control-link，一条fabric-link。

一、若是把control-link断开，这个时候HA就断开了，可是主防火墙仍是正常工做的。把control-link恢复，HA状态仍是异常的。这个时候只有把背墙手动的重启，HA才会恢复。

二、若是把fabric-link断开，这个时候HA没有断开，可是主防火墙仍是正常工做的，备墙没法同步session，没法切换。把fabric-link恢复，HA状态仍是异常的。这个时候只有把备墙手动的重启，HA才会恢复。

那么有没有办法让防火墙本身去识别HA线路的问题而作相应的操做呢？

经过以下命令：

set chassis cluster control-link-recovery 

若是fabric-link断开再恢复，HA状态会自动恢复，session会继续同步。

若是control-link断开在恢复，备墙会自动重启，完成HA。