Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

主动/被动机箱群集部署

了解主动/被动机箱群集部署

在这种情况下,群集中的单个设备用于路由所有流量,而其他设备仅在发生故障时使用(请参阅 图 1)。发生故障时,备份设备将成为主设备并控制所有转发。

图 1:主动/被动机箱群集场景 Active/Passive Chassis Cluster Scenario

通过使用全部分配给同一冗余组的冗余以太网接口(reths),可以实现主动/被动机箱 群集 。如果某个节点中一个活动组中的任何一个接口发生故障,则此组将声明为非活动,并且该组中的所有接口都故障转移到另一个节点。

此配置可最大程度地减少通过交换矩阵链路的流量,因为任何给定时间,群集中只有一个节点转发流量。

另请参阅

示例:在 SRX5800 设备上配置主动/被动机箱群集

此示例说明如何在 SRX5800 设备上设置基本的主动/被动机箱群集。

要求

开始之前:

  • 您需要两个硬件配置完全相同的 SRX5800 服务网关,并可选择一台 MX240 边缘路由器和一台 EX8208 以太网交换机来发送端到端数据流量。

  • 物理连接这两台设备(交换矩阵和控制端口由后到后连接),并确保它们型号相同。

  • 在形成群集之前,您必须为每个设备配置控制端口,并为每个设备分配群集 ID 和节点 ID,然后重新启动。系统启动时,这两个节点都作为一个群集出现。

    SRX5400、SRX5600 和 SRX5800 设备需要控制端口配置。

现在,这些设备都是一对从这一点起,群集的配置在节点成员之间同步,两个独立的设备作为一台设备运行。

概述

此示例说明如何在 SRX 系列设备上设置基本的主动/被动机箱群集。基本的主动/被动示例是最常见的机箱群集类型。

基本的主动/被动机箱群集由两台设备组成:

  • 一台设备主动提供路由、防火墙、NAT、VPN 和安全服务,同时保持对机箱群集的控制。

  • 如果活动设备处于非活动状态,另一个设备被动地维护其群集故障切换功能的状态。

此 SRX5800 服务网关的主动/被动模式示例没有详细描述其他配置,例如如何配置 NAT、安全策略或 VPN。它们与独立配置基本相同。但是,如果在机箱群集配置中执行代理 ARP,则必须将代理 ARP 配置应用于 reth 接口,而不是成员接口,因为 RETH 接口保存了逻辑配置。请参阅 为 NAT 配置代理 ARP(CLI 过程)。您还可以在 SRX5800 服务网关中使用 VLAN 和中继接口配置单独的逻辑接口配置。这些配置类似于使用 VLAN 和中继接口的独立实施。

图 2 显示了此示例中使用的拓扑。

图 2:SRX 系列设备拓扑上的基本主动/被动机箱群集示例 Basic Active/Passive Chassis Clustering on an SRX Series Device Topology Example

配置

配置控制端口和启用群集模式

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

在 {primary:node0}

(可选)要快速配置 EX8208 核心交换机,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

在 {primary:node0}

(可选)要快速配置 MX240 边缘路由器,请将以下命令复制粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

在 {primary:node0}

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。

在 SRX 系列设备上配置机箱群集:

在群集模式下,执行 commit 命令时,通过节点之间的控制链路同步配置。无论从哪个设备配置命令,所有命令都会应用于两个节点。

  1. 在设备处于群集模式启动后,使用备份路由器目标配置来配置独立设备,从而在备份节点上提供管理访问权限。通过主节点上的路由启用对主节点的访问。

  2. 由于 SRX5000 系列服务网关机箱群集配置包含在单个通用配置中,因此要仅将配置的某些元素分配给特定成员,必须使用特定于 Junos OS 节点的配置方法(称为组)。命令 set apply-groups ${node} 使用节点变量来定义如何将组应用于节点;每个节点都会识别其编号并相应地接受配置。您还必须在 SRX5000 系列服务网关的 fxp0 接口上配置带外管理,为群集的单个控制平面使用单独的 IP 地址。

    不允许将备份路由器目标地址配置为 x.x.x.0/0。

    已提交上述组 node0 和 node1 配置,但未应用。设备处于群集中后,将使用应用 set apply-groups “${node}”这些命令。

  3. 为每个设备配置控制端口,然后提交配置。

    根据配置,确保两个节点上的 SPC 卡之间存在物理控制链路连接。

    控制端口基于机箱中的 SPC 位置派生,而偏移值基于平台。在以下示例中,SPC 存在于收入插槽 1 中,由于 SRX5800 的偏移量为 12,因此控制端口为 1、13。您可以在 shell 模式下使用 “jwhoami -c” 命令查看特定平台的 Offset 值。您必须在两台设备上输入以下命令。例如:

    • 在节点 0 上:

    • 在节点 1 上:

  4. 将两台设备设置为群集模式。设置群集 ID 和节点 ID 后,需要重新启动才能进入群集模式。您可以通过在 CLI 命令行中包含参数来使系统自动 reboot 启动。您必须在两台设备上输入操作模式命令。例如:

    • 在节点 0 上:

    • 在节点 1 上:

    群集中两台设备的群集 ID 必须相同,但节点 ID 必须不同,因为一台设备为节点 0,另一台设备为节点 1。群集 ID 的范围是 1 到 255。将群集 ID 设置为 0 相当于禁用群集。但建议使用 set chassis cluster disable 来断开群集中的节点。

  5. 使用以下命令配置主节点 0。在提交节点配置之前,节点 1 无法访问。节点 0 将自动通过控制端口将配置同步到节点 1,无需显式配置节点 1。

  6. 为机箱群集配置冗余组。每个节点在冗余组中都有接口,其中接口在主动冗余组中处于活动状态(一个冗余组中可以存在多个主动接口)。冗余组 0 控制控制平面,冗余组 1+ 控制数据平面,包括数据平面端口。在此主动/被动模式示例中,一次只有一个机箱群集成员处于活动状态,因此您需要仅定义冗余组 0 和 1。除了冗余组,您还必须定义:

    • 冗余以太网组 — 配置设备上处于活动状态的冗余以太网接口(成员链路)数量,以便系统可以为其分配适当的资源。

    • 控制平面和数据平面的优先级 — 定义哪个设备对控制平面具有优先级(对于机箱群集,高优先级是首选),以及哪个设备对数据平面具有主动性。

      • 在主动/被动或主动/主动模式下,控制平面(冗余组 0)可以在与数据平面(冗余组 1+ 和组)机箱不同的机箱上处于活动状态。但是,对于此示例,我们建议在同一机箱成员上同时激活控制平面和数据平面。当流量通过交换矩阵链路进入另一个成员节点时,会引入延迟(z 线模式流量)。

      • 在 SRX 系列设备(SRX5000 系列)上,Z 模式中的主动/主动机箱群集配置(即存在多个 RG1+ 冗余组时)不支持 IPsec VPN。

  7. 配置群集中用于在主动/被动模式下传递 RTO 的交换矩阵(数据)端口。对于此示例,请使用其中一个收入端口。定义两个交换矩阵接口(每个机箱上一个)以连接在一起。

    配置平台上的数据接口,以便在数据平面故障转移时,其他机箱群集成员可以无缝接管连接。数据平面故障转移将无缝过渡到新的活动节点。在控制平面故障转移的情况下,所有守护程序都会在新节点上重新启动,从而实现平稳的重启,以避免失去与对等方(ospf、bgp)的邻接关系。这促进了向新节点的无缝过渡,而不会丢失任何数据包。

    您必须定义以下各项:

    • 定义到 reth 接口的成员接口的成员信息。

    • 定义 reth 接口属于哪个冗余组。在此主动/被动示例中,始终为 1。

    • 定义 reth 接口信息,例如接口的 IP 地址。

  8. (可选)在发生故障时配置机箱群集行为。对于 SRX5800 服务网关,故障切换阈值设置为 255。您可以更改权重,以确定对机箱故障切换的影响。您还必须配置控制链路恢复。如果控制链路出现故障,恢复会自动导致辅助节点重新启动,然后重新联机。在节点 0 上输入这些命令。

    这一步完成 SRX5800 服务网关的主动/被动模式机箱群集配置部分。此过程的其余部分介绍如何配置区域、虚拟路由器、路由、EX8208 核心交换机和 MX240 边缘路由器,以完成部署场景。

  9. (可选)配置 reth 接口并将其连接到相应的区域和虚拟路由器。对于此示例,将 reth0 和 reth1 接口保留在默认虚拟路由器 inet.0 中,这两个接口不需要任何其他配置。

  10. (可选)对于此主动/被动模式示例,由于网络架构简单,因此使用静态路由来定义如何路由到其他网络设备。

  11. (可选)对于 EX8208 以太网交换机,以下命令仅概述适用的配置,因为它涉及到 SRX5800 服务网关的此主动/被动模式示例:尤其是 VLAN、路由和接口配置

  12. (可选)对于 MX240 边缘路由器,以下命令仅概述与 SRX5800 服务网关的此主动/被动模式示例相关的适用配置:最值得注意的是,您必须在交换机上的虚拟交换机实例中使用 IRB 接口。

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证有关机箱群集接口的信息。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关机箱群集服务和控制链路统计信息(发送和接收的心跳)、交换矩阵链路统计信息(发送和接收的探测)以及为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的心跳)和交换矩阵链路统计信息(发送和接收的探测)的信息。

行动

在操作模式下,输入 show chassis cluster control-plane statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障切换的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志可以识别任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入以下命令 show log

另请参阅

示例:配置主动/被动机箱群集对 (SRX1500)

此示例说明如何为 SRX1500 设备配置主动/被动机箱群集。

要求

开始之前:

  1. 将一对设备物理连接在一起,确保它们型号相同。

  2. 通过将一个设备上的一个千兆以太网接口连接到另一个设备上的另一个千兆以太网接口,创建交换矩阵链路。

  3. 通过连接两个 SRX1500 设备的控制端口来创建控制链路。

  4. 使用控制台端口连接到其中一台设备。(这是形成群集的节点。)并设置群集 ID 和节点编号

  5. 使用控制台端口连接到其他设备,并设置群集 ID 和节点编号。

概述

在此示例中,群集中的单个设备用于路由所有流量,仅在出现故障时使用另一台设备。(参见 图 3。)发生故障时,备份设备将成为主设备并控制所有转发。

图 3:主动/被动机箱群集拓扑 Active/Passive Chassis Cluster Topology

您可以通过配置全部分配给同一冗余组的冗余以太网接口(reth),来创建主动/被动机箱群集。此配置可最大程度地减少通过交换矩阵链路的流量,因为任何给定时间,群集中只有一个节点转发流量。

在此示例中,您将配置组(使用 apply-groups 命令应用配置)和机箱群集信息。然后,配置安全区域和安全策略。参见 表 1表 4

表 1:组和机箱群集配置参数

特征

名字

配置参数

node0

  • 主机名:srx1500-A

  • 接口:fxp0

    • 单元 0

    • 192.0.2.110/24

节点 1

  • 主机名:srx1500-B

  • 接口:fxp0

    • 单元 0

    • 192.0.2.111/24
表 2:机箱群集配置参数

特征

名字

配置参数

交换矩阵链路

fab0

接口:ge-0/0/1

fab1

接口:ge-7/0/1

心跳间隔

1000

心跳阈值

3

冗余组

0

  • 优先:

    • 节点 0:254

    • 节点 1:1

1

  • 优先:

    • 节点 0:254

    • 节点 1:1

接口监控

  • ge-0/0/4

  • ge-7/0/4

  • ge-0/0/5

  • ge-7/0/5

冗余以太网接口数

2

接口

ge-0/0/4

冗余父项:reth0

ge-7/0/4

冗余父项:reth0

ge-0/0/5

冗余父级:reth1

ge-7/0/5

冗余父级:reth1

reth0

冗余组:1

  • 单元 0

  • 198.51.100.1/24

reth1

冗余组:1

  • 单元 0

  • 203.0.113.233/24
表 3:安全区域配置参数

名字

配置参数

信任

reth1.0 接口绑定到此区域。

untrust

reth0.0 接口绑定到此区域。
表 4:安全策略配置参数

目的

名字

配置参数

此安全策略允许从信任区域到不信任区域的流量。

任何

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用任意

  • 操作:允许

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

要配置主动/被动机箱群集:

  1. 配置管理接口。

  2. 配置交换矩阵接口。

  3. 配置心跳设置。

  4. 配置冗余组。

  5. 配置冗余以太网接口。

  6. 配置安全区域。

  7. 配置安全策略。

结果

在配置模式下,输入命令以确认 show configuration 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

为简洁起想,此命令 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证有关机箱群集接口的信息。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关要同步的不同对象的统计信息、交换矩阵和控制接口发送以及群集中受监控接口的状态的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的心跳)和交换矩阵链路统计信息(发送和接收的探测)的信息。

行动

在操作模式下,输入 show chassis cluster control-plane statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障切换的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志可以识别任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入以下命令 show

另请参阅

示例:配置主动/被动机箱群集对 (J-Web)

  1. 启用群集。请参阅示例中的步骤 1:配置主动/被动机箱群集对 (CLI)。

  2. 配置管理接口。请参阅示例中的步骤 2:配置主动/被动机箱群集对 (CLI)。

  3. 配置交换矩阵接口。请参阅示例中的步骤 3 :配置主动/被动机箱群集对 (CLI)

  4. 配置冗余组。

    • 选择 Configure>Chassis Cluster

    • 输入以下信息,然后单击 Apply

      1. 冗余以太网接口计数: 2

      2. 心跳间隔: 1000

      3. 心跳阈值: 3

      4. 节点: 0

      5. 组号: 0

      6. 优先 级: 100

    • 输入以下信息,然后单击 Apply

      1. 节点: 0

      2. 组号: 1

      3. 优先 级: 1

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 0

      3. 优先 级: 100

  5. 配置冗余以太网接口。

    • 选择 Configure>Chassis Cluster

    • 选择 ge-0/0/4

    • 在冗余父框中输入 reth1

    • 单击 Apply

    • 选择 ge-7/0/4

    • 在冗余父框中输入 reth1

    • 单击 Apply

    • 选择 ge-0/0/5

    • 在冗余父框中输入 reth0

    • 单击 Apply

    • 选择 ge-7/0/5

    • 在冗余父框中输入 reth0

    • 单击 Apply

    • 请参阅示例中的步骤 5 :配置主动/被动机箱群集对 (CLI), 了解最后四个配置设置。

  6. 配置安全区域。请参阅示例中的步骤 6:配置主动/被动机箱群集对 (CLI)。

  7. 配置安全策略。请参阅示例中的步骤 7 :配置主动/被动机箱群集对 (CLI)

  8. 单击OK以检查您的配置并将其保存为候选配置,然后单击 >Commit OptionsCommit

另请参阅

了解使用 IPsec 隧道的主动/被动机箱群集部署

在这种情况下,群集中的单个设备在 IPsec 隧道中终止,用于处理所有流量,而其他设备仅在出现故障时才会使用(请参阅 图 4)。发生故障时,备份设备将成为主设备并控制所有转发。

图 4:具有 IPsec 隧道的主动/被动机箱群集(SRX 系列设备) Active/Passive Chassis Cluster with IPsec Tunnel Scenario (SRX Series Devices)

通过使用全部分配给同一冗余组的冗余以太网接口(reths),可以实现主动/被动机箱 群集 。如果某个节点中一个活动组中的任何一个接口发生故障,则此组将声明为非活动,并且该组中的所有接口都故障转移到另一个节点。

此配置提供了一种方法,让站点到站点的 IPsec 隧道在主动/被动群集中终止,其中一个冗余以太网接口用作隧道端点。发生故障时,备份 SRX 系列设备上的冗余以太网接口将变为活动状态,从而强制隧道更改端点在新活动 SRX 系列设备中终止。由于机箱群集成员之间会同步隧道密钥和会话信息,因此故障切换不需要重新协商隧道,并且会维护所有已建立的会话。

如果 RG0(路由引擎)故障,需要在新的主节点上重新建立路由协议。如果配置了 VPN 监控或失效对等方检测,并且其计时器在新的 RG0 Primary 上的路由重新融合之前到期,则 VPN 隧道将关闭并重新协商。

动态隧道无法跨不同 SPC 实现负载平衡。

另请参阅

示例:使用 IPsec 隧道配置主动/被动机箱群集对

此示例说明如何使用 SRX 系列设备的 IPsec 隧道配置主动/被动机箱群集。

要求

开始之前:

  • 获取两个硬件配置相同的 SRX5000 型号,一台 SRX1500 设备和四台 EX 系列以太网交换机。

  • 物理连接这两台设备(交换矩阵和控制端口由后到后连接),并确保它们型号相同。您可以在 SRX5000 系列上配置交换矩阵和控制端口。

  • 将两台设备设置为群集模式,然后重新启动设备。您必须在两台设备上输入以下操作模式命令,例如:

    • 在节点 0 上:

    • 在节点 1 上:

    两个设备上的群集 ID 相同,但节点 ID 必须不同,因为一个设备是节点 0,另一个设备是节点 1。群集 ID 的范围是 1 到 255。将群集 ID 设置为 0 相当于禁用群集。

    只有在交换矩阵和控制链路接口从后连接时,才能设置大于 15 的群集 ID。

  • 获取两个硬件配置相同的 SRX5000 型号、一台 SRX1500 边缘路由器和四台 EX 系列以太网交换机。

  • 物理连接这两台设备(交换矩阵和控制端口由后到后连接),并确保它们型号相同。您可以在 SRX5000 系列上配置交换矩阵和控制端口。

从此时起,群集的配置在节点成员之间同步,两个独立设备作为一台设备运行。使用配置组输入特定于成员的配置(例如,每个成员管理端口的 IP 地址)。

概述

在此示例中,群集中的单个设备在 IPsec 隧道中终止,用于处理所有流量,仅在出现故障时使用另一台设备。(参见 图 5。)发生故障时,备份设备将成为主设备并控制所有转发。

图 5:采用 IPsec 隧道拓扑的主动/被动机箱群集(SRX 系列设备) Active/Passive Chassis Cluster with IPsec Tunnel Topology (SRX Series Devices)

在此示例中,您将配置组(使用 apply-groups 命令应用配置)和机箱群集信息。然后,配置 IKE、IPsec、静态路由、安全区域和安全策略参数。请参阅 表 5表 11

表 5:组和机箱群集配置参数

特征

名字

配置参数

node0

  • 主机名:SRX5800-1

  • 接口:fxp0

    • 单元 0

    • 172.19.100.50/24

节点 1

  • 主机名:SRX5800-2

  • 接口:fxp0

    • 单元 0

    • 172.19.100.51/24
表 6:机箱群集配置参数

特征

名字

配置参数

交换矩阵链路

fab0

接口:xe-5/3/0

fab1

接口:xe-17/3/0

冗余以太网接口数

2

心跳间隔

1000

心跳阈值

3

冗余组

0

  • 优先:

    • 节点 0:254

    • 节点 1:1

1

  • 优先:

    • 节点 0:254

    • 节点 1:1

接口监控

  • xe-5/0/0

  • xe-5/1/0

  • xe-17/0/0

  • xe-17/1/0

接口

xe-5/1/0

冗余父级:reth1

xe-5/1/0

冗余父级:reth1

xe-5/0/0

冗余父项:reth0

xe-17/0/0

冗余父项:reth0

reth0

冗余组:1

  • 单元 0

  • 10.1.1.60/16

reth1

冗余组:1

  • 单元 0

  • 10.10.1.1/30

st0

  • 单元 0

  • 10.10.1.1/30
表 7:IKE 配置参数

特征

名字

配置参数

建议

提议设定标准

-

政策

预共享

  • 模式:主

  • 提案参考:提案设定标准

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ascii-text

网关

SRX1500-1

  • IKE 策略参考:按共享

  • 外部接口:reth0.0

  • 网关地址:10.1.1.90

注意:

在 SRX 机箱群集中,IKE 外部接口配置仅支持 reth 和 lo0 接口。可以配置其他接口类型,但 IPsec VPN 可能无法正常工作。如果 lo0 逻辑接口用作 IKE 网关外部接口,则无法配置 RG0。
表 8:IPsec 配置参数

特征

名字

配置参数

建议

提议设定标准

政策

性病

Vpn

SRX1500-1

  • IKE 网关参考:SRX1500-1

  • IPsec 策略参考:标准

  • 绑定到接口:st0.0

  • VPN 监控:VPN 监控优化

  • 已建立隧道:立即建立隧道

注意:

手动 VPN 名称和站点到站点网关名称不能相同。
注意:

从 st0.16000 到 st0.16385 的安全隧道接口 (st0) 保留用于机箱群集中的多节点高可用性和 HA 控制链路加密。这些接口不是用户可配置的接口。只能使用 st0.0 到 st0.15999 的接口。
表 9:静态路由配置参数

名字

配置参数

0.0.0.0/0

下一跳:10.2.1.1

10.3.0.0/16

下一跃点:10.10.1.2
表 10:安全区域配置参数

名字

配置参数

信任

  • 允许所有系统服务。

  • 允许所有协议。

  • reth0.0 接口绑定到此区域。

untrust

  • 允许所有系统服务。

  • 允许所有协议。

  • reth1.0 接口绑定到此区域。

Vpn

  • 允许所有系统服务。

  • 允许所有协议。

  • st0.0 接口绑定到此区域。
表 11:安全策略配置参数

目的

名字

配置参数

此安全策略允许从信任区域到不信任区域的流量。

任何

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用任意

  • 操作:允许

此安全策略允许从信任区域到 VPN 区域的流量。

vpn-any

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用任意

  • 操作:允许

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

要使用 IPsec 隧道配置主动/被动机箱群集对:

  1. 配置控制端口。

  2. 配置管理接口。

  3. 配置交换矩阵接口。

  4. 配置冗余组。

  5. 配置冗余以太网接口。

  6. 配置 IPsec 参数。

  7. 配置静态路由。

  8. 配置安全区域。

  9. 配置安全策略。

结果

在操作模式下,输入命令以确认 show configuration 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

为简洁起想,此命令 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证机箱群集接口。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关机箱群集服务和控制链路统计信息(发送和接收的心跳)、交换矩阵链路统计信息(发送和接收的探测)以及为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的心跳)和交换矩阵链路统计信息(发送和接收的探测)的信息。

行动

在操作模式下,输入 show chassis cluster control-panel statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障切换的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志可以识别任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入以下命令 show

示例:使用 IPsec 隧道 (J-Web) 配置主动/被动机箱群集对

  1. 启用群集。请参阅示例中的步骤 1 :使用 IPsec 隧道配置主动/被动机箱群集对

  2. 配置管理接口。请参阅示例中的步骤 2 :使用 IPsec 隧道配置主动/被动机箱群集对

  3. 配置交换矩阵接口。请参阅示例中的步骤 3 :使用 IPsec 隧道配置主动/被动机箱群集对

  4. 配置冗余组。

    • 选择 Configure>System Properties>Chassis Cluster

    • 输入以下信息,然后单击 Apply

      1. 冗余以太网接口计数: 2

      2. 心跳间隔: 1000

      3. 心跳阈值: 3

      4. 节点: 0

      5. 组号: 0

      6. 优先 级: 254

    • 输入以下信息,然后单击 Apply

      1. 节点: 0

      2. 组号: 1

      3. 优先 级: 254

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 0

      3. 优先 级: 1

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 1

      3. 优先 级: 1

      4. 抢先:选中复选框。

      5. 接口监控 — 接口: xe-5/0/0

      6. 接口监视器 — 权重: 255

      7. 接口监控 — 接口: xe-5/1/0

      8. 接口监视器 — 权重: 255

      9. 接口监控 — 接口: xe-17/0/0

      10. 接口监视器 — 权重: 255

      11. 接口监控 — 接口: xe-17/1/0

      12. 接口监视器 — 权重: 255

  5. 配置冗余以太网接口。

    • 选择 Configure>System Properties>Chassis Cluster

    • 选择 xe-5/1/0

    • 在冗余父框中输入 reth1

    • 单击 Apply

    • 选择 xe-17/1/0

    • 在冗余父框中输入 reth1

    • 单击 Apply

    • 选择 xe-5/0/0

    • 在冗余父框中输入 reth0

    • 单击 Apply

    • 选择 xe-17/0/0

    • 在冗余父框中输入 reth0

    • 单击 Apply

    • 请参阅示例中的步骤 5 :使用 IPsec 隧道配置主动/被动机箱群集对

  6. 配置 IPsec 配置。请参阅示例中的步骤 6 :使用 IPsec 隧道配置主动/被动机箱群集对

  7. 配置静态路由。

    • 选择 Configure>Routing>Static Routing

    • 单击 Add

    • 输入以下信息,然后单击 Apply

      1. 静态路由地址: 0.0.0.0/0

      2. 下一跳地址: 10.2.1.1

    • 输入以下信息,然后单击 Apply

      1. 静态路由地址: 10.3.0.0/16

      2. 下一跳地址: 10.10.1.2

  8. 配置安全区域。请参阅示例中的步骤 8 :使用 IPsec 隧道配置主动/被动机箱群集对

  9. 配置安全策略。请参阅示例中的步骤 9 :使用 IPsec 隧道配置主动/被动机箱群集对

  10. 单击OK以检查您的配置并将其保存为候选配置,然后单击 >Commit OptionsCommit

相关文档