Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do cluster (HA)

Antes de começar:

  • Estabeleça uma conexão de cluster de chassi entre as duas unidades e garanta que você tenha acesso físico a ambos os dispositivos.

  • Você deve configurar os dois dispositivos separadamente.

  • Sua outra unidade deve estar na mesma versão de hardware e software que a unidade atual.

  • Observe que ambas as unidades são apagadas e reiniciadas, após as quais todos os dados existentes são irrecuperáveis. Você tem a opção de salvar uma cópia de backup de sua configuração antes de reiniciar.

Você está aqui: Administração de dispositivos > gerenciamento de clusters > configuração de clusters.

O Junos OS oferece alta disponibilidade no firewall da Série SRX usando clusters de chassi. Os firewalls da Série SRX podem ser configurados para operar no modo cluster, onde um par de dispositivos pode ser conectado em conjunto e configurado para operar como um único nó, fornecendo redundância de dispositivo, interface e nível de serviço.

Nota:

A partir do Junos OS Release 23.4R1, a J-Web oferece suporte a firewalls SRX1600 e SRX2300.

Um cluster de chassi pode ser configurado nos seguintes modos:

  • Modo ativo/passivo: no modo ativo/passivo, o tráfego de trânsito passa pelo nó primário enquanto o nó de backup é usado apenas em caso de falha. Quando ocorre uma falha, o dispositivo de backup se torna primário e assume todas as tarefas de encaminhamento.

  • Modo ativo/ativo: no modo ativo/ativo, o tráfego de trânsito passa por ambos os nós do cluster o tempo todo.

Nota:

Na configuração do cluster J-Web (HA), você só pode configurar o modo ativo/passivo (RG1).

Você pode configurar o cluster do chassi usando um assistente de modo cluster (HA) simplificado quando os firewalls autônomos da Série SRX estão em padrão de fábrica. Você também pode criar HA usando o mesmo assistente da Administração de Dispositivos > Redefinir a Configuração quando os dispositivos já estão na rede.

Nota:

Nas configurações padrão da fábrica, uma mensagem de aviso é exibida em dispositivos SRX300, SRX320, SRX320-POE, SRX340, SRX345 e SRX380 para desconectar as portas entre os dois nós. Isso é para evitar exibir os detalhes dos outros nós.

Administração de dispositivos > gerenciamento de clusters > configuração de cluster

Para configurar cluster (HA):

  1. Selecione a configuração do cluster (HA).
    Nota:

    Para que o nó secundário seja configurado ou se os nós primários e secundários ainda não estiverem conectados, clique em Prosseguir. Se você quiser configurar o nó principal, desconecte-o para portas conectadas de volta entre os dois nós e clique em Atualizar para recarregar o navegador.

    A página de assistente de cluster de chassi de configuração aparece. Este assistente orienta você através da configuração do cluster do chassi em um cluster de duas unidades.

    Selecione a unidade

    A página de boas-vindas mostra as possíveis conexões de cluster de chassi que você pode configurar para o seu firewall da Série SRX. Ele mostra uma representação gráfica para unidade primária (nó 0) e unidade secundária (nó 1) e orienta você a configurar primeiro a unidade primária (nó 0).

  2. Selecione Sim, esta é a unidade primária (nó 0). para selecionar a unidade.
    Nota:

    Se você já tiver configurado as configurações de nó principal, selecione Não, esta é a unidade secundária (nó 1) e siga as instruções da Etapa 8.
  3. Clique em seguida.
  4. Para configurar a unidade primária, preencha a configuração de acordo com as diretrizes fornecidas na Tabela 1.
    Tabela 1: Configuração da unidade primária

    Campo

    Descrição

    Ação
    Identidade do sistema

    ID do cluster de nós 0

    Especifica o número pelo qual um cluster é identificado.

    Insira um número de 1 a 255. Por padrão, 1 é atribuído.

    Prioridade do nó 0

    Especifica a prioridade do dispositivo para ser eleito como o dispositivo principal do grupo VRRP.

    Insira um número de 1 a 255. Por padrão, 200 são atribuídos.

    Prioridade do nó 1

    Especifica a prioridade do dispositivo para ser eleito como o dispositivo principal do grupo VRRP.

    Insira um número de 1 a 255. Por padrão, 100 são atribuídos.

    Nome do host do nó 0

    Especifica o nome do host do dispositivo do nó 0.

    Por padrão, o nome do host é atribuído. Por exemplo, SRX1500-01.

    Nome do host do nó 1

    Especifica o nome do host do dispositivo do nó 1.

    Por padrão, o nome do host é atribuído. Por exemplo, SRX1500-02.

    Permitir o login SSH do usuário raiz

    Permite que os usuários façam login no dispositivo como raiz através do SSH.

    Habilite essa opção.
    Interface de gerenciamento
    Endereço IPv4
    Nota:

    Observe o endereço IPv4 conforme você precisa para acessar as configurações após confirmar a configuração.

    IPv4 de gerenciamento de nós 0

    Especifica o endereço IPv4 de gerenciamento do nó 0.

    Insira um endereço IPv4 válido para a interface de gerenciamento.

    Máscara de sub-rede de nós 0

    Especifica a máscara de sub-rede para endereço IPv4.

    Digite uma máscara de sub-rede para o endereço IPv4.

    IPv4 de gerenciamento de nós 1

    Especifica o endereço IPv4 de gerenciamento do nó 1.

    Insira um endereço IPv4 válido para a interface de gerenciamento.

    Máscara de sub-rede de nós 1

    Especifica a máscara de sub-rede para endereço IPv4.

    Digite uma máscara de sub-rede para o endereço IPv4.

    IP de rota estática

    Define como rotear para os outros dispositivos de rede.

    Insira um endereço IPv4 para a rota estática.

    Sub-rede de rota estática

    Especifica a sub-rede para o endereço IPv4 de rota estática.

    Digite uma máscara de sub-rede para o endereço IPv4 de rota estática.

    Próximo Salto IPv4

    Especifica o gateway de próximo salto para o endereço IPv4.

    Digite um endereço IPv4 válido para o próximo salto.
    Endereço IPv6 (opcional)

    IPv6 de gerenciamento de nós 0

    Especifica o endereço IPv6 de gerenciamento do nó 0.

    Insira um endereço IPv6 válido para a interface de gerenciamento.

    Prefixo de sub-rede de nós 0

    Especifica o prefixo de sub-rede para endereço IPv6.

    Insira um prefixo de sub-rede para o endereço IPv6.

    IPv6 de gerenciamento de nós 1

    Especifica o endereço IPv6 de gerenciamento do nó 1.

    Insira um endereço IPv6 válido para a interface de gerenciamento.

    Prefixo de sub-rede de nós 1

    Especifica o prefixo de sub-rede para endereço IPv6.

    Insira um prefixo de sub-rede para o endereço IPv6.

    IPv6 de rota estática

    Define como rotear para os outros dispositivos de rede.

    Insira um endereço IPv6 para a rota estática.

    Prefixo de sub-rede de rota estática

    Especifica o prefixo de sub-rede para o endereço IPv6 de rota estática.

    Digite um prefixo de sub-rede para o endereço IPv6 de rota estática.

    IPv6 do próximo salto

    Especifica o gateway de próximo salto para o endereço IPv6.

    Insira um endereço IPv6 válido para o próximo salto.
    Senha do dispositivo

    Senha-raiz

    Especifica a senha raiz do dispositivo.

    Digite a senha raiz se ainda não estiver configurada para o dispositivo.

    Re-digite senha

    -

    Reentra a senha raiz.
    Portas de controle
    Nota:

    Essa opção está disponível apenas para dispositivos de SRX5600 e SRX5800.

    Link duplo

    Fornece um link redundante para failover.

    Por padrão, essa opção é desativada.

    Assim que você habilitar essa opção, os seguintes campos aparecem:

    • Link 1

      • Nó 0 FPC — Selecione uma opção da lista.

      • Porta de nó 0 — Selecione uma opção da lista.

      • Nó 1 FPC.

      • Porta de nó 1.

    • Link 2 (opcional)

      • Nó 0 FPC — Selecione uma opção da lista.

      • Porta de nó 0 — Selecione uma opção da lista.

      • Nó 1 FPC.

      • Porta de nó 1.

    Nó 0 FPC

    Especifica o número de slot do FPC no qual configurar a porta de controle.

    Selecione uma opção da lista.

    Porta de nós 0

    Especifica o número de porta em que configurar a porta de controle.

    Selecione uma opção da lista.

    Nó 1 FPC

    Opcional. Especifica o número de slot do FPC no qual configurar a porta de controle.

    Selecione uma opção da lista.

    Porta de nós 1

    Opcional. Especifica o número de porta em que configurar a porta de controle.

    Selecione uma opção da lista.
    Economize backup (opcional)

    Economize backup (para o cliente)

    Economiza backup da configuração atual para a máquina local do cliente.

    Nota:

    Ao reiniciar a unidade primária, a J-Web apaga a configuração existente para configurar o cluster do chassi. Portanto, é recomendável salvar um arquivo de backup de suas configurações atuais antes de comprometer a nova configuração.

    Habilite a opção de salvar o arquivo de backup de suas configurações.
  5. Clique em Reiniciar e continue reiniciando a unidade primária para configurar o cluster do chassi.
  6. Após a reinicialização da unidade primária (nó 0), conecte-se à porta de gerenciamento da unidade secundária para mudar para a unidade secundária.
  7. Clique em Atualizar se o endereço IP de gerenciamento da unidade secundária for o mesmo que o endereço IP padrão do dispositivo existente. Caso contrário, abra um novo navegador com o novo endereço IP de dispositivo secundário.
  8. Para configurar a unidade secundária, preencha a configuração de acordo com as diretrizes fornecidas na Tabela 2.
    Tabela 2: Configuração da unidade secundária

    Campo

    Descrição

    Ação
    Informações da unidade secundária

    Cluster ID

    Especifica o número pelo qual um cluster é identificado.

    Nota:

    A ID do cluster deve ser a mesma para unidades primárias e secundárias.

    Insira um número de 1 a 255. Por padrão, 1 é atribuído.
    Senha do dispositivo

    Senha-raiz

    Especifica a senha raiz do dispositivo.

    Digite uma nova senha raiz.

    Re-digite senha

    -

    Reentra a senha raiz.
    Portas de controle
    Nota:

    Essa opção está disponível apenas para dispositivos de SRX5600 e SRX5800.

    Link duplo

    Fornece um link redundante para failover.

    Por padrão, essa opção é desativada.

    Assim que você habilitar a opção de link duplo, os seguintes campos aparecem:

    • Link 1

      • Nó 0 FPC — Selecione uma opção da lista.

      • Porta de nó 0 — Selecione uma opção da lista.

      • Nó 1 FPC.

      • Porta de nó 1.

    • Link 2 (opcional)

      • Nó 0 FPC — Selecione uma opção da lista.

      • Porta de nó 0 — Selecione uma opção da lista.

      • Nó 1 FPC.

      • Porta de nó 1.

    Nó 0 FPC

    Especifica o número de slot do FPC no qual configurar a porta de controle.

    Selecione uma opção da lista.

    Porta de nós 0

    Especifica o número de porta em que configurar a porta de controle.

    Selecione uma opção da lista.

    Nó 1 FPC

    Opcional. Especifica o número de slot do FPC no qual configurar a porta de controle.

    Selecione uma opção da lista.

    Porta de nós 1

    Opcional. Especifica o número de porta em que configurar a porta de controle.

    Selecione uma opção da lista.
    Economize backup (opcional)

    Economize backup (para o cliente)

    Economiza backup da configuração atual para a máquina local do cliente.

    Nota:

    Ao reiniciar a unidade secundária, a J-Web apaga a configuração existente para configurar o cluster do chassi. Portanto, é recomendável salvar um arquivo de backup de suas configurações atuais antes de comprometer a nova configuração.

    Habilite a opção de salvar o arquivo de backup de suas configurações.
  9. Clique em Reiniciar e continue reiniciando a unidade secundária para configurar o cluster do chassi.
  10. Após a reinicialização da unidade secundária (nó 1), inicie a UI J-Web usando endereço IP de gerenciamento de unidade primária.
  11. Navegar até a configuração do cluster de gerenciamento de clusters > (HA).

    A página do Cluster Wizard abrirá e exibirá a etapa de Status do cluster.

    Nota:

    • A J-Web usa show chassis cluster status para verificar o status do link de controle. O número no link significa se é links únicos (1) ou duplos (2).

      As cores de status do link de controle e malha são as seguintes:

      • Verde — indica que os links estão funcionando.

      • Vermelho — indica que os links estão desativados.

      • Orange — indica que um dos links duplos está funcionando.

      • Cinza — indica que o link da malha não está configurado.

    • Se o cluster do chassi não estiver conectado, a conexão falhará e todos os possíveis motivos de falha serão exibidos. Para obter informações sobre dicas de solução de problemas, consulte Juniper Knowledge Search.

    • Você só pode configurar o link da malha após a formação do cluster do chassi. Pela primeira vez, a situação do chassi é exibida como The fabric ports links is not yet configured.
  12. Para configurar o link da malha, preencha a configuração de acordo com as diretrizes fornecidas na Tabela 3.
    Tabela 3: Configuração do link de malha

    Campo

    Descrição

    Ação
    Detalhes do link da malha

    Link duplo

    Fornece um link redundante para failover.

    Habilite essa opção.
    Link 1

    Malha 0

    Especifica o link de porta de malha para nó 0.

    Selecione uma interface da lista.

    Malha 1

    Especifica o link de porta de malha para nó 1.

    -
    Link 2 (opcional)

    Malha 0

    Especifica o link de porta de malha secundária para nó 0.

    Selecione uma interface da lista.

    Malha 1

    Especifica o link de porta de malha secundária para nó 1.

    -
  13. Clique em Configurar o link.
  14. Clique em seguida.
  15. Para adicionar uma interface Ethernet (reth) redundante, clique + e preencha a configuração de acordo com as diretrizes fornecidas na Tabela 4.
    Nota:

    Você também pode usar o ícone de lápis para editar a interface de reth e excluir o ícone para excluir as interfaces de reth.
    Tabela 4: Adicione a interface de reth

    Campo

    Descrição

    Ação

    Nome da RETH

    Especifica o nome da interface de reth.

    Insira um nome para interface de reth.

    Interfaces de nós 0

    Especifica a lista de interfaces de nós 0.

    Selecione uma interface da coluna Disponível e mova-a para a coluna Selecionada.

    Nó 1

    Especifica as interfaces de nós 1 com base nas interfaces de nós 0.

    -
    Configurações avançadas

    Configuração de LACP

    Opcional. Configure o protocolo de controle de agregação de enlaces (LACP).

    -

    Modo LACP

    Opcional. Especifica o modo LACP.

    As opções disponíveis são:

    • ativa — Inicie a transmissão de pacotes LACP.

    • passiva — Responda a pacotes LACP.

    • periódico — intervalo para transmissão periódica de pacotes LACP.

    Selecione uma opção da lista.

    Periodicidade

    Opcional. Especifica o intervalo em que as interfaces no lado remoto do link transmitem unidades de dados de protocolo de controle de agregação de enlaces (PDUs).

    As opções disponíveis são:

    • rápido — Transmita PDUs de controle de agregação de enlaces a cada segundo.

    • lento — transmita PDUs de controle de agregação de enlaces a cada 30 segundos.

    Selecione uma opção da lista.

    Descrição

    Opcional. Especifica a descrição do LACP.

    Insira uma descrição.

    Tags VLAN

    Opcional. Especifica se habilitar ou não a tags VLAN.

    Habilite essa opção.

    Grupo de redundância

    Especifica o número do grupo de redundância a que a interface de reth pertence.

    -
  16. Clique em Salvar.

    A interface de reth virtual é criada.

  17. Para adicionar uma interface lógica às novas interfaces de reth virtual, preencha a configuração de acordo com as diretrizes fornecidas na Tabela 5.
    Tabela 5: Adicione interface lógica de reth

    Campo

    Descrição

    Ação
    Geral

    Nome da interface de reth

    Especifica o nome da interface de reth.

    Insira um nome para a interface de reth.

    Unidade de interface lógica

    Especifica a unidade de interface lógica.

    Insira a unidade de interface lógica.

    Descrição

    Especifica a descrição da interface de reth.

    Digite a descrição.

    VLAN ID

    Opcional. Especifica o ID de VLAN.

    Insira a ID de VLAN.
    Endereço IPv4

    Endereço IPv4

    Especifica o endereço IPv4.

    Clique + e insira um endereço IP válido.

    Máscara de sub-rede

    Especifica a máscara de sub-rede para endereço IPv4.

    Insira uma máscara de sub-rede válida.
    Endereço IPv6 (opcional)

    Endereço IPv6

    Especifica o endereço IPv6.

    Digite um endereço IP válido.

    Comprimento do prefixo

    Especifica o número de bits definidos na máscara de sub-rede.

    Digite o comprimento do prefixo.
  18. Clique em OK.
  19. Para configurar zonas, preencha a configuração de acordo com as diretrizes fornecidas na Tabela 6.
    Nota:

    • Com a configuração padrão de fábrica, a confiança e as zonas não confiáveis são exibidas por padrão.

    • Você pode editar a zona de segurança, adicionar novas zonas e excluir as zonas recém-adicionadas. Você receberá uma mensagem de erro enquanto se compromete se tentar excluir uma zona padrão. Isso porque as zonas padrão são mencionadas nas políticas de segurança.

    • Você também pode editar a descrição da zona, rastreamento de aplicativos, log de identidade de origem, interfaces, serviços de sistema, protocolos e opções de controle de tráfego.
    Tabela 6: Crie zonas

    Campo

    Descrição

    Ação
    Informações gerais

    Nome

    Especifica o nome da zona.

    Insira um nome para a zona.

    Descrição

    Especifica uma descrição da zona.

    Insira uma descrição para a zona.

    Rastreamento de aplicativos

    Permite que o rastreamento de aplicativos (AppTrack) colete estatísticas para o uso do aplicativo no dispositivo, e quando a sessão se encerra

    Habilite essa opção.

    Log de identidade de origem

    Especifica o parâmetro de log de identidade de origem como parte da configuração para uma zona para permitir que ele ative o registro de identidade do usuário quando essa zona é usada como zona de origem (da zona) em uma política de segurança.

    Habilite essa opção.
    Interfaces

    Interfaces

    Especifica a lista de interfaces de reth disponíveis.

    Selecione uma interface da coluna Disponível e mova-a para a coluna Selecionada.
    Serviços de sistema

    Exceto

    Descarta os serviços selecionados.

    Habilite essa opção se quiser abandonar os serviços selecionados.

    Serviços

    Especifique os tipos de tráfego de serviço de sistema de entrada que podem chegar ao dispositivo para todas as interfaces em uma zona.

    Selecione um serviço da coluna Disponível e mova-o para a coluna Selecionada.
    Protocolos

    Exceto

    Descarta os protocolos selecionados.

    Habilite essa opção se quiser abandonar os protocolos selecionados.

    Protocolos

    Especifique os tipos de tráfego de protocolo de roteamento que podem chegar ao dispositivo por interface.

    Selecione um protocolo da coluna Disponível e mova-o para a coluna Selecionada.
    Opções de controle de tráfego

    TCP Reset

    Especifica o dispositivo para enviar um segmento de TCP com a bandeira RST (reset) definida para 1 (uma) em resposta a um segmento de TCP com qualquer bandeira que não seja o conjunto SYN e que não pertença a uma sessão existente.

    Habilite essa opção.
  20. Clique em OK.
  21. Clique em Finalizar.

    Uma mensagem de sucesso de configuração de cluster aparece.

    Se você clicar novamente no menu de configuração do cluster (HA), uma mensagem de sucesso da configuração de clusters aparecerá e poderá clicar em Configuração de cluster para visualizar e editar a configuração do cluster do chassi.

    Nota:

    Se a configuração do cluster do chassi falhar após clicar em Finalizar, edite a configuração conforme necessário e comprometa as mudanças novamente.

Documentação relacionada