(1 vote(s), 
Loading...Tutoriel rapide concernant les pare-feux Juniper sous ScreenOS (netscreen), comme ceux de la gamme SSG.
Voici comment basculer un cluster porté par l'équipement master vers le slave qui deviendra actif (ou inversement). Utile pour lancer un reboot de chaque équipement sans créer d'indisponibilité (suite à mise à jour ou simplement dans le cadre de MCO).
Configuration
Nous partons du principe que nous avons un cluster :
- firewall 1 : master (actif)
- firewall 2 : slave (passif)
Fonctionnement
Il faut indiquer à l'hôte master de passer comme secours, dans ce cas le HA fera basculer l'hôte passif comme actif.
Forcer la synchronisation
Assurez-vous que le master et le slave disposent bien de la même configuration, c'est à dire que la synchronisation fonctionne bien.
Pour le vérifier dans Network > NSRP > Cluster ou en CLI :
exec nsrp sync global-config diff
ssg(M)-> rcv_sys_config_diff: get local config sucess
Local have 0 different cmd lines:
Peer have 0 different cmd lines:
notez le "(M)" qui signifie "master"
Pour forcer la synchronisation depuis le slave à partir du master :
exec nsrp sync global save
Pour la forcer vers tous les membres (depuis le master) :
exec nsrp sync rto all
Lancer la bascule
Admettons que nous avons un cluster (NSRP) avec l'identifiant "0", vous pouvez le vérifier dans l'interface web Network > NSRP > VSD Group > Group ID
Connectez vous en SSH sur le pare-feu et saisir :
exec nsrp vsd-group 0 mode backup
Si tout se passe bien le nombre de sessions basculées apparaît :
Start deactivate session (vsd=0) ...
4027 sessions deactivated
Relancez ensuite la commande sur le passif pour qu'il redevienne esclave du cluster.
Si le mode preempt est activé la ligne de bascule change un peu :
exec nsrp vsd-group 0 mode ineligible
bonus : excellent post sur le fonctionnement des clusters ScreenOS
Le premier commentaire c'est pour vous 👇