示例:将 SRX 系列服务网关配置为全网状机箱群集
此示例说明如何在高端 SRX 系列设备上设置基本的主动/被动全网状机箱群集。
要求
此示例使用以下硬件和软件组件:
-
两个运行 Junos OS 9.6 或更高版本瞻博网络具有相同硬件配置的 SRX5800 服务网关。
-
两台运行 Junos OS 9.6 或更高版本的瞻博网络 MX480 3D 通用边缘路由器。
-
两台运行 Junos OS 9.6 或更高版本的瞻博网络 EX9214 以太网交换机。
此配置示例已经过使用列出的软件版本进行测试,并假定适用于所有更高版本。
开始之前:
-
物理连接两个 SRX 服务网关(交换矩阵和控制端口为背对背)。
概述
此示例说明如何在一对高端 SRX 系列设备上设置基本的主动/无源全网状机箱群集。全网状主动/被动群集允许您设置一个没有单点故障的环境,不仅在 SRX 系列设备上,而且在周围的网络设备上也是如此。此示例中描述的全网状部署与 配置主动/被动机箱群集部署 中描述的基本主动/被动部署的主要区别在于,必须考虑其他设计元素以适应可能故障场景的恢复。
全网状机箱群集要求您为每个节点配置 reth 接口,并确保它们通过一个或多个交换机连接在一起。在此场景中, 如图 1 所示,有四个 reth 接口(reth0、reth1、reth2 和 reth3)。reth 接口将两个物理接口(每个节点一个)捆绑在一起。reth 接口是冗余组的一部分。只有冗余组的主节点(活动)上的成员才处于活动状态。辅助(被动)节点上的成员完全处于非活动状态,也就是说,它不发送或接收任何流量。
每个 reth 接口可以有一个或多个逻辑接口或子接口(例如,reth 0.0、reth0.1 等)。每个站点都必须使用不同的 VLAN 标记。
全网状主动/被动机箱群集由两台设备组成:
-
一台设备主动提供路由、防火墙、NAT、VPN 和安全服务,同时保持对机箱群集的控制。
-
如果活动设备处于非活动状态,另一台设备会被动地维护其状态,以实现群集故障切换功能。
图 1 显示了此示例中使用的拓扑。
配置
要配置此示例,请执行以下过程:
配置控制端口
分步过程
选择 FPC 1/13,因为中心点 (CP) 始终位于群集中最低的 SPC/SPU 上(在本例中,它是插槽 0)。为获得最大可靠性,请将控制端口放置在与中心点分开的 SPC 上(在本例中,请使用插槽 1 中的 SPC)。您必须在两台设备上输入作模式命令。
SRX5600 设备和 SRX5800 设备需要配置控制端口。
要为每台设备配置控制端口并提交配置,请执行以下作:
-
配置 SRX5800-1(节点 0)的控制端口并提交配置。
user@SRX5800-1# set chassis cluster control-ports fpc 1 port 0 user@SRX5800-1# set chassis cluster control-ports fpc 13 port 0 user@SRX5800-1# commit and-quit -
配置 SRX5800-2(节点 1)的控制端口并提交配置。
user@SRX5800-2# set chassis cluster control-ports fpc 1 port 0 user@SRX5800-2# set chassis cluster control-ports fpc 13 port 0 user@SRX5800-2# commit and-quit
启用群集模式
分步过程
将两台设备设置为群集模式。设置群集 ID 和节点 ID 后,需要重新启动才能进入群集模式。您可以通过在 CLI 中包含该 reboot 参数来使系统自动启动。您必须在两台设备上输入作模式命令。当系统启动时,两个节点都作为一个群集启动。
由于分段上只有一个集群,此示例使用集群 ID 1,其中设备 SRX5800-1 为节点 0,设备 SRX5800-2 为节点 1。
要将两台设备设置为群集模式:
-
在 SRX5800-1(节点 0)上启用群集模式。
user@SRX5800-1> set chassis cluster cluster-id 1 node 0 reboot -
在 SRX5800-2(节点 1)上启用群集模式。
user@SRX5800-2> set chassis cluster cluster-id 1 node 1 reboot注意:如果单个广播域上有多个 SRX 设备群集,请确保为每个群集分配不同的群集 ID,以避免 MAC 地址冲突。
两台设备上的群集 ID 相同,但节点 ID 必须不同,因为一台设备为节点 0,另一台设备为节点 1。群集 ID 的范围为 1 到 15。将群集 ID 设置为 0 相当于禁用群集。
现在设备是一对。从此时开始,群集的配置将在节点成员之间同步,两台独立的设备作为一台设备运行。
配置群集模式
分步过程
在群集模式下,当您执行 commit 命令时,群集将在节点之间同步。无论在哪台设备上配置命令,所有命令都将应用于这两个节点。
要在高端 SRX 系列设备上配置机箱群集:
-
配置群集的交换矩阵(数据)端口,用于在主动/被动模式下传递实时对象 (RTO)。定义两个交换矩阵接口(每个机箱上一个)以连接在一起。
user@SRX5800-1# set interfaces fab0 fabric-options member-interfaces xe-11/3/0 user@SRX5800-1# set interfaces fab1 fabric-options member-interfaces xe-23/3/0 -
由于 SRX 服务网关机箱群集配置包含在单个通用配置中,因此请使用 Junos OS 节点特定的配置方法(称为组)仅将配置的某些元素分配给特定成员。
命令
set apply-groups ${node}使用节点变量定义如何将组应用于节点。每个节点都能识别其编号并接受相应的配置。您还必须在 SRX5800 服务网关的 fxp0 接口上配置带外管理,为群集的各个控制平面使用单独的 IP 地址。注意:不允许将备份路由器目的地址配置为 x.x.x.0/0。
user@SRX5800-1# set groups node0 system host-name SRX5800-1 user@SRX5800-1# set groups node0 system backup-router 10.52.63.254 user@SRX5800-1# set groups node0 system backup-router destination 10.0.0.0/8 user@SRX5800-1# set groups node0 interfaces fxp0 unit 0 family inet address 10.52.43.57/19 user@SRX5800-1# set groups node1 system host-name SRX5800-2 user@SRX5800-1# set groups node1 system backup-router 10.52.63.254 user@SRX5800-1# set groups node1 system backup-router destination 10.0.0.0/8 user@SRX5800-1# set groups node1 interfaces fxp0 unit 0 family inet address 10.52.52.27/19 user@SRX5800-1# set apply-groups “${node}” -
为机箱群集配置冗余组。每个节点在冗余组中都有接口,其中接口在活动冗余组中处于活动状态(一个冗余组中可以存在多个活动接口)。
冗余组 0 控制控制平面,冗余组 1+ 控制数据平面,并包括数据平面端口。对于任何主动/被动模式群集,只需配置冗余组 0 和 1。使用四个 reth 接口,所有这些接口都是冗余组 1 的成员。除了冗余组,您还必须定义:
-
冗余以太网接口计数 — 配置可能配置的冗余以太网接口数,以便系统为其分配适当的资源。
-
控制平面和数据平面的优先级 — 定义哪个设备对控制平面具有优先级(对于机箱群集,优先级较高),以及哪个设备在数据平面中处于活动状态的首选。
注意:在主动/被动或主动/主动模式下,控制平面(冗余组 0)可以在与数据平面(冗余组 1+ 和组)机箱不同的机箱上处于活动状态。但是,对于此示例,我们建议在同一机箱成员上同时激活控制平面和数据平面。当流量通过交换矩阵链路流向另一个成员节点时,就会引入延迟。
user@SRX5800-1# set chassis cluster reth-count 4 user@SRX5800-1# set chassis cluster redundancy-group 0 node 0 priority 129 user@SRX5800-1# set chassis cluster redundancy-group 0 node 1 priority 128 user@SRX5800-1# set chassis cluster redundancy-group 1 node 0 priority 129 user@SRX5800-1# set chassis cluster redundancy-group 1 node 1 priority 128 -
-
在平台上配置数据接口,以便在发生数据平面故障切换时,其他机箱群集成员可以无缝接管连接。
通过数据平面故障切换,可以无缝过渡到新的活动节点。在控制平面故障切换的情况下,所有守护程序都将在新节点上重新启动。因此,强烈建议为相关路由协议启用平滑重启,以避免失去与对等方的邻居关系。这促进了无缝过渡到新节点,而不会丢失任何数据包。
定义以下项目:
-
reth 接口的成员接口的成员身份信息。
user@SRX5800-1# set interfaces xe-6/0/0 gigether-options redundant-parent reth0 user@SRX5800-1# set interfaces xe-6/1/0 gigether-options redundant-parent reth1 user@SRX5800-1# set interfaces xe-6/2/0 gigether-options redundant-parent reth2 user@SRX5800-1# set interfaces xe-6/3/0 gigether-options redundant-parent reth3 user@SRX5800-1# set interfaces xe-18/0/0 gigether-options redundant-parent reth0 user@SRX5800-1# set interfaces xe-18/1/0 gigether-options redundant-parent reth1 user@SRX5800-1# set interfaces xe-18/2/0 gigether-options redundant-parent reth2 user@SRX5800-1# set interfaces xe-18/3/0 gigether-options redundant-parent reth3 -
reth 接口属于哪个冗余组。对于此主动/被动示例,它始终为 1。
user@SRX5800-1# set interfaces reth0 redundant-ether-options redundancy-group 1 user@SRX5800-1# set interfaces reth1 redundant-ether-options redundancy-group 1 user@SRX5800-1# set interfaces reth2 redundant-ether-options redundancy-group 1 user@SRX5800-1# set interfaces reth3 redundant-ether-options redundancy-group 1 -
reth 接口信息,例如接口的 IP 地址。
user@SRX5800-1# set interfaces reth0 unit 0 family inet address 10.1.1.1/24 user@SRX5800-1# set interfaces reth1 unit 0 family inet address 10.2.2.1/24 user@SRX5800-1# set interfaces reth2 unit 0 family inet address 10.3.3.1/24 user@SRX5800-1# set interfaces reth3 unit 0 family inet address 10.4.4.1/24
-
-
配置发生故障时的机箱群集行为。
每个接口都配置了一个权重值,当链路丢失时,该值将从冗余组阈值 255 中扣除。故障切换阈值硬编码为 255,无法更改。您可以更改接口链路的权重,以确定对机箱故障切换的影响。
当冗余组阈值达到 0 时,该冗余组将故障转移到辅助节点。
在 SRX5800-1 上输入以下命令:
user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-6/2/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-6/3/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-18/2/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-18/3/0 weight 255 user@SRX5800-1# set chassis cluster control-link-recovery user@SRX5800-1# set chassis cluster redundancy-group 1 preempt此步骤将完成SRX5800的主动/被动模式示例的机箱群集配置部分。此过程的其余部分介绍如何配置区域、虚拟路由器、路由、EX9214 和 MX480 以完成部署方案。
配置区域、安全策略和协议
分步过程
配置区域并添加相应的 reth 接口,然后配置 OSPF。
要配置区域和 OSPF,请执行以下作:
-
配置两个区域并添加相应的 reth 接口。
user@SRX5800-1# set security zones security-zone Untrust interfaces reth0.0 user@SRX5800-1# set security zones security-zone Untrust interfaces reth1.0 user@SRX5800-1# set security zones security-zone Trust interfaces reth2.0 user@SRX5800-1# set security zones security-zone Trust interfaces reth3.0 -
允许适当的协议和服务访问“信任”和“不信任”区域中的接口。
user@SRX5800-1# set security zones security-zone Trust host-inbound-traffic protocols ospf user@SRX5800-1# set security zones security-zone Trust host-inbound-traffic system-services all user@SRX5800-1# set security zones security-zone Untrust host-inbound-traffic system-services ping user@SRX5800-1# set security zones security-zone Untrust host-inbound-traffic protocols ospf -
配置安全策略以允许从信任区域到不信任区域的流量。
user@SRX5800-1# set security policies from-zone Trust to-zone Untrust policy allow match source-address any user@SRX5800-1# set security policies from-zone Trust to-zone Untrust policy allow match destination-address any user@SRX5800-1# set security policies from-zone Trust to-zone Untrust policy allow match application any user@SRX5800-1# set security policies from-zone Trust to-zone Untrust policy allow then permit user@SRX5800-1# set security policies from-zone Untrust to-zone Trust policy allow match source-address any user@SRX5800-1# set security policies from-zone Untrust to-zone Trust policy allow match destination-address any user@SRX5800-1# set security policies from-zone Untrust to-zone Trust policy allow match application any user@SRX5800-1# set security policies from-zone Untrust to-zone Trust policy allow then permit -
配置 OSPF。
user@SRX5800-1# set protocols ospf area 0.0.0.0 interface reth0.0 user@SRX5800-1# set protocols ospf area 0.0.0.0 interface reth1.0 user@SRX5800-1# set protocols ospf area 0.0.0.0 interface reth2.0 user@SRX5800-1# set protocols ospf area 0.0.0.0 interface reth3.0
配置 EX9214-1
分步过程
对于 EX9214 以太网交换机,以下命令仅提供适用配置的概要,因为它与SRX5800服务网关的此主动/无源全网状示例相关;最明显的是 VLAN、路由和接口配置。
要配置 EX9214-1,请执行以下作:
-
配置接口。
user@EX9214-1# set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode access user@EX9214-1# set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH2 user@EX9214-1# set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode access user@EX9214-1# set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH2 user@EX9214-1# set interfaces xe-3/0/0 unit 0 family ethernet-switching interface-mode trunk user@EX9214-1# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH2 user@EX9214-1# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH3 -
在两台 EX 交换机之间配置 VRRP。
user@EX9214-1# set interfaces irb unit 50 family inet address 10.3.3.254/24 vrrp-group 1 virtual-address 10.3.3.100 user@EX9214-1# set interfaces irb unit 50 family inet address 10.3.3.254/24 vrrp-group 1 priority 200 user@EX9214-1# set interfaces irb unit 50 family inet address 10.3.3.254/24 vrrp-group 1 accept-data user@EX9214-1# set interfaces irb unit 60 family inet address 10.4.4.254/24 vrrp-group 2 virtual-address 10.4.4.100 user@EX9214-1# set interfaces irb unit 60 family inet address 10.4.4.254/24 vrrp-group 2 priority 100 user@EX9214-1# set interfaces irb unit 60 family inet address 10.4.4.254/24 vrrp-group 2 accept-data -
配置 VLAN。
user@EX9214-1# set vlans SRX5800-RETH2 vlan-id 50 user@EX9214-1# set vlans SRX5800-RETH2 l3-interface irb.50 user@EX9214-1# set vlans SRX5800-RETH3 vlan-id 60 user@EX9214-1# set vlans SRX5800-RETH3 l3-interface irb.60 -
配置协议。
user@EX9214-1# set protocols ospf area 0.0.0.0 interface irb.50 user@EX9214-1# set protocols ospf area 0.0.0.0 interface irb.60 user@EX9214-1# set protocols rstp interface all
配置 EX9214-2
分步过程
要配置 EX9214-2,请执行以下作:
-
配置接口。
user@EX9214-2# set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode access user@EX9214-2# set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH3 user@EX9214-2# set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode access user@EX9214-2# set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH3 user@EX9214-2# set interfaces xe-3/0/0 unit 0 family ethernet-switching interface-mode trunk user@EX9214-2# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH2 user@EX9214-2# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH3 -
在两台 EX 交换机之间配置 VRRP。
user@EX9214-2# set interfaces irb unit 50 family inet address 10.3.3.250/24 vrrp-group 1 virtual-address 10.3.3.100 user@EX9214-2# set interfaces irb unit 50 family inet address 10.3.3.250/24 vrrp-group 1 priority 100 user@EX9214-2# set interfaces irb unit 50 family inet address 10.3.3.250/24 vrrp-group 1 accept-data user@EX9214-2# set interfaces irb unit 60 family inet address 10.4.4.250/24 vrrp-group 2 virtual-address 10.4.4.100 user@EX9214-2# set interfaces irb unit 60 family inet address 10.4.4.250/24 vrrp-group 2 priority 200 user@EX9214-2# set interfaces irb unit 60 family inet address 10.4.4.250/24 vrrp-group 2 accept-data -
配置 VLAN。
user@EX9214-2# set vlans SRX5800-RETH2 vlan-id 50 user@EX9214-2# set vlans SRX5800-RETH2 l3-interface irb.50 user@EX9214-2# set vlans SRX5800-RETH3 vlan-id 60 user@EX9214-2# set vlans SRX5800-RETH3 l3-interface irb.60 -
配置协议。
user@EX9214-2# set protocols ospf area 0.0.0.0 interface irb.50 user@EX9214-2# set protocols ospf area 0.0.0.0 interface irb.60 user@EX9214-2# set protocols rstp interface all
配置 MX480-1
分步过程
对于 MX480 边缘路由器,以下命令仅提供适用配置的概要,因为它与SRX5800服务网关的此主动/被动模式示例相关;最值得注意的是,您必须在交换机上的虚拟交换机实例中使用 IRB 接口。
要配置 MX480-1:
-
配置下游接口。
user@MX480-1# set interfaces xe-1/0/0 encapsulation ethernet-bridge user@MX480-1# set interfaces xe-1/0/0 unit 0 family bridge user@MX480-1# set interfaces xe-3/0/0 encapsulation ethernet-bridge user@MX480-1# set interfaces xe-3/0/0 unit 0 family bridge -
配置上游接口。
user@MX480-1# set interfaces xe-6/0/0 unit 0 family inet address 198.51.100.1/24 -
配置 IRB 接口。
user@MX480-1# set interfaces irb unit 0 family inet address 10.1.1.254/24 -
配置静态路由和平稳重启。
user@MX480-1# set routing-options static route 0.0.0.0/0 next-hop 198.51.100.254 user@MX480-1# set policy-options policy-statement def-route term 1 from protocol static user@MX480-1# set policy-options policy-statement def-route term 1 from route-filter 0.0.0.0/0 exact user@MX480-1# set policy-options policy-statement def-route term 1 then accept -
配置桥接域。
user@MX480-1# set bridge-domains BD-50 vlan-id 50 user@MX480-1# set bridge-domains BD-50 domain-type bridge user@MX480-1# set bridge-domains BD-50 interface xe-1/0/0 user@MX480-1# set bridge-domains BD-50 interface xe-3/0/0 user@MX480-1# set bridge-domains BD-50 routing-interface irb.0 -
配置 OSPF。
user@MX480-1# set protocols ospf area 0.0.0.0 interface irb.0 user@MX480-1# set protocols ospf area 0.0.0.0 interface xe-6/0/0.0 passive user@MX480-1# set protocols ospf export def-route
配置 MX480-2
分步过程
要配置 MX480-2,请执行以下作:
-
配置下游接口。
user@MX480-2# set interfaces xe-1/0/0 encapsulation ethernet-bridge user@MX480-2# set interfaces xe-1/0/0 unit 0 family bridge user@MX480-2# set interfaces xe-3/0/0 encapsulation ethernet-bridge user@MX480-2# set interfaces xe-3/0/0 unit 0 family bridge -
配置上游接口。
user@MX480-2# set interfaces xe-6/0/0 unit 0 family inet address 203.0.113.1/24 -
配置 IRB 接口。
user@MX480-2# set interfaces irb unit 0 family inet address 10.2.2.250/24 -
配置静态路由和平稳重启。
user@MX480-2# set routing-options static route 0.0.0.0/0 next-hop 203.0.113.254 user@MX480-2# set policy-options policy-statement def-route term 1 from protocol static user@MX480-2# set policy-options policy-statement def-route term 1 from route-filter 0.0.0.0/0 exact user@MX480-2# set policy-options policy-statement def-route term 1 then accept -
配置桥接域。
user@MX480-2# set bridge-domains BD-60 vlan-id 60 user@MX480-2# set bridge-domains BD-60 domain-type bridge user@MX480-2# set bridge-domains BD-60 interface xe-1/0/0 user@MX480-2# set bridge-domains BD-60 interface xe-3/0/0 user@MX480-2# set bridge-domains BD-60 routing-interface irb.0 -
配置 OSPF。
user@MX480-2# set protocols ospf area 0.0.0.0 interface irb.0 user@MX480-2# set protocols ospf area 0.0.0.0 interface xe-6/0/0.0 passive user@MX480-2# set protocols ospf export def-route
配置其他设置
分步过程
此SRX5800的全网状机箱群集示例未详细描述其他配置,例如如何配置 NAT、安全策略或 VPN。它们本质上与独立配置相同。
但是,如果要在机箱群集配置中执行代理 ARP,则必须将代理 ARP 配置应用于 reth 接口而不是成员接口,因为 reth 接口保存逻辑配置。
您还可以使用SRX5800中的 VLAN 和中继接口配置单独的逻辑接口配置。这些配置类似于使用 VLAN 和中继接口的独立实施。
验证
要确认配置工作正常,请执行以下任务:
验证机箱群集状态
目的
验证机箱群集状态、故障切换状态和冗余组信息。
行动
在作模式下,输入 show chassis cluster status 命令。
{primary:node0}
user@SRX5800-1> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 129 primary no no None
node1 128 secondary no no None
Redundancy group: 1 , Failover count: 3
node0 129 primary yes no None
node1 128 secondary yes no None
意义
示例输出显示主节点和辅助节点的状态,并且没有手动故障转移。
验证机箱群集接口
目的
验证有关机箱群集接口的信息。
行动
在作模式下,输入 show chassis cluster interfaces 命令。
{primary:node0}
user@SRX5800-1> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-11/3/0 Up / Up Disabled
fab0
fab1 xe-23/3/0 Up / Up Disabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
reth2 Up 1
reth3 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
Interface Monitoring:
Interface Weight Status Redundancy-group
(Physical/Monitored)
xe-18/3/0 255 Up / Up 1
xe-18/1/0 255 Up / Up 1
xe-6/3/0 255 Up / Up 1
xe-6/1/0 255 Up / Up 1
xe-18/2/0 255 Up / Up 1
xe-6/2/0 255 Up / Up 1
xe-18/0/0 255 Up / Up 1
xe-6/0/0 255 Up / Up 1
意义
示例输出显示每个接口的状态、权重值以及该接口所属的冗余组。
验证机箱群集统计信息
目的
验证有关机箱群集服务和控制链路统计信息(发送和接收的心跳)、交换结构链路统计信息(发送和接收的探查)以及为服务发送和接收的实时对象 (RTO) 数的信息。
行动
在作模式下,输入 show chassis cluster statistics 命令。
{primary:node0}
user@SRX5800-1> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 1191183
Heartbeat packets received: 1191154
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2387707
Probes received: 2387679
Child link 1
Probes sent: 0
Probes received: 0
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 251 7
IPv6 session create 0 0
IPv4/6 session RTO ACK 0 0
Session close 230 4
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 1
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 1 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Packet stats Pkts sent Pkts received
ICD Data 0 0
意义
使用示例输出可以:
-
验证是否 Heartbeat packets sent 在递增。
-
验证 是 Heartbeat packets received 不是接近 的数字 Heartbeats packets sent。
-
验证是否 Heartbeats packets errors 为零。
这将验证检测信号数据包的传输和接收是否正确无误。
验证机箱群集控制平面统计信息
目的
验证有关机箱群集控制平面统计信息(发送和接收的心跳)和交换结构链路统计信息(发送和接收的探查)的信息。
行动
在作模式下,输入 show chassis cluster control-plane statistics 命令。
{primary:node0}
user@SRX5800-1> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 1191222
Heartbeat packets received: 1191193
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2387785
Probes received: 2387757
Child link 1
Probes sent: 0
Probes received: 0
意义
使用示例输出可以:
-
验证是否 Heartbeat packets sent 在递增。
-
验证 是 Heartbeat packets received 不是接近 的数字 Heartbeats packets sent。
-
验证是否 Heartbeats packets errors 为零。
这将验证检测信号数据包的传输和接收是否正确无误。
验证机箱群集数据平面统计信息
目的
验证有关为服务发送和接收的实时对象 (RTO) 数量的信息。
行动
在作模式下,输入 show chassis cluster data-plane statistics 命令。
{primary:node0}
user@SRX5800-1> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 251 7
IPv6 session create 0 0
IPv4/6 session RTO ACK 0 0
Session close 230 4
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 1
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 1 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Packet stats Pkts sent Pkts received
ICD Data 0 0
意义
示例输出显示了为各种服务发送和接收的 RTO。
验证机箱群集冗余组状态
目的
验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障切换的信息。
行动
在作模式下,输入 chassis cluster status redundancy-group 命令。
{primary:node0}
user@SRX5800-1> show chassis cluster status redundancy-group 1
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 1 , Failover count: 3
node0 129 primary yes no None
node1 128 secondary yes no None
意义
示例输出显示主节点和辅助节点的状态,并且没有手动故障转移。
验证 EX 设备上的连接
目的
验证来自 EX 设备的连接。
行动
在作模式下,输入这些 ping 192.168.1.1 count 2 命令和 traceroute 192.168.1.1 命令。
user@@EX1-R3> ping 192.168.1.1 count 2 PING 192.168.1.1 (192.168.1.1): 56 data bytes 64 bytes from 192.168.1.1: icmp_seq=0 ttl=62 time=3.964 ms 64 bytes from 192.168.1.1: icmp_seq=1 ttl=62 time=20.603 ms --- 192.168.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.964/12.284/20.603/8.320 ms
user@@EX1-R3> traceroute 192.168.1.1 traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 52 byte packets 1 10.3.3.1 (10.3.3.1) 2.287 ms 1.700 ms 1.978 ms 2 10.1.1.254 (10.1.1.254) 3.164 ms 2.750 ms 2.537 ms 3 192.168.1.1 (192.168.1.1) 4.660 ms 4.144 ms 4.473 ms