Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

主动/被动机箱群集部署

了解主动/被动机箱群集部署

在这种情况下,集群中的单个设备用于路由所有流量,而其他设备仅在出现故障时使用(请参阅 图 1)。发生故障时,备份设备将成为主设备,并控制所有转发。

图 1:主动/被动机箱群集场景 Active/Passive Chassis Cluster Scenario

通过使用分配给同一冗余组的冗余以太网接口(reths),即可实现主动/被动 机箱群集 。如果节点中活动组中的任何接口发生故障,则表示组处于非活动状态,并且组中的所有接口都无法连接到另一个节点。

此配置最大程度地减少了通过结构链路的流量,因为群集中只有一个节点在任何给定时间转发流量。

另请参阅

示例:在 SRX5800 设备上配置主动/被动机箱群集

此示例说明如何在 SRX5800 设备上设置基本主动/被动机箱群集。

要求

开始之前:

  • 您需要两个硬件配置相同的 SRX5800 服务网关,或者一台 MX240 边缘路由器和一台 EX8208 以太网交换机来发送端到端数据流量。

  • 物理连接两台设备(从后至后的交换矩阵和控制端口),并确保它们是相同的型号。

  • 在群集形成之前,您必须为每个设备配置控制端口,并为每个设备分配一个群集 ID 和节点 ID,然后重新启动。当系统启动时,两个节点都以群集的身份出现。

    SRX5400、SRX5600 和 SRX5800 设备需要控制端口配置。

现在,这些设备是一对。从此时开始,群集配置在节点成员之间同步,两个独立的设备作为一个设备工作。

概述

此示例说明如何在 SRX 系列设备上设置基本的主动/被动机箱群集。基本主动/被动示例是最常见的机箱群集类型。

基本主动/被动机箱群集由两台设备构成:

  • 一台设备主动提供路由、防火墙、NAT、VPN 和安全服务,同时保持对机箱群集的控制。

  • 如果活动设备处于非活动状态,另一台设备将被动维护其群集故障切换功能状态。

SRX5800 服务网关的此主动/被动模式示例不会详细描述其他配置,例如如何配置 NAT、安全策略或 VPN。它们与独立配置基本相同。但是,如果您在机箱群集配置中执行代理 ARP,则必须将代理 ARP 配置应用到 reth 接口,而不是成员接口,因为 RETH 接口具有逻辑配置。请参阅 为 NAT 配置代理 ARP(CLI 过程)。您也可使用 SRX5800 服务网关中的 VLAN 和中继接口配置单独的逻辑接口配置。这些配置类似于使用 VLAN 和中继接口的独立实施。

图 2 显示了此示例中使用的拓扑。

图 2:SRX 系列设备拓扑上的基本主动/被动机箱群集 Basic Active/Passive Chassis Clustering on an SRX Series Device Topology Example

配置

配置控制端口并启用群集模式

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

在 {primary:Node0} 上

(可选)要快速配置 EX8208 核心交换机,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit

在 {primary:Node0} 上

(可选)要快速配置 MX240 边缘路由器,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

在 {primary:Node0} 上

逐步过程

以下示例要求您在配置层次结构中导航各个级别。

要在 SRX 系列设备上配置机箱群集:

在群集模式下,当您执行 commit 命令时,配置将通过节点之间的控制链路同步。无论从哪个设备配置了命令,所有命令都将应用于这两个节点。

  1. 使用备份路由器目标配置配置配置两个独立设备,以便在设备处于群集模式下后,在备份节点上提供管理访问。通过主节点上的路由启用对主节点的访问。

  2. 由于 SRX5000 系列服务网关机箱群集配置包含在单个通用配置中,因此要仅将配置的某些元素分配给特定成员,您必须使用称为组的 Junos OS 节点特定配置方法。命令 set apply-groups ${node} 使用节点变量来定义如何将组应用到节点;每个节点均可识别其编号并相应地接受配置。您还必须在 SRX5000 系列服务网关的 fxp0 接口上配置带外管理,为集群的各个控制平面使用单独的 IP 地址。

    不允许将备份路由器目标地址配置为 x.x.x.0/0。

    上述组节点0 和节点 1 配置已提交,但未应用。设备在集群中运行后,这些命令将使用 set apply-groups “${node}”

  3. 配置每个设备的控制端口,然后提交配置。

    确保根据配置在两个节点上的 SPC 卡之间建立物理控制链路连接。

    控制端口基于机箱中的 SPC 位置派生,而偏移值则基于平台。在下面的示例中,SPC 存在于收入插槽 1 中,由于 SRX5800 抵消了 12,因此控制端口为 1、13。您可以使用 “jwhoami -c” shell 模式中的命令查看特定平台的偏移值。您必须在两台设备上输入以下命令。例如:

    • 在节点 0 上:

    • 在节点 1 上:

  4. 将两台设备设置为群集模式。设置集群 ID 和节点 ID 后,需要重新启动才能进入群集模式。您可以将参数包括 reboot 在 CLI 命令行中,从而导致系统自动启动。您必须在两台设备上输入操作模式命令。例如:

    • 在节点 0 上:

    • 在节点 1 上:

    集群中两台设备的群集 ID 必须相同,但是节点 ID 必须不同,因为一台设备为节点 0,另一台设备为节点 1。群集 ID 的范围为 1 到 255。将群集 ID 设置为 0 等同于禁用群集。但是建议使用 set chassis cluster disable 它来打破群集的节点。

  5. 使用以下命令配置节点 0(主节点 0)。节点 1 在提交节点配置之前是无法到达的。节点 0 将通过控制端口自动同步配置到节点 1,并且无需显式配置节点 1。

  6. 为机箱集群配置冗余组。每个节点在冗余组中都有接口,其中接口在活动冗余组中处于活动状态(多个活动接口可存在于一个冗余组中)。冗余组 0 控制控制平面,冗余组 1+ 控制数据平面,并包括数据平面端口。对于此主动/被动模式示例,每次只有一个机箱群集成员处于活动状态,因此您只需定义冗余组 0 和 1。除了冗余组,您还必须定义:

    • 冗余以太网组 — 配置设备上有多少冗余以太网接口(成员链路)处于活动状态,以便系统可以为其分配相应的资源。

    • 控制平面和数据平面的优先级 — 定义控制平面的优先级(机箱群集,优先级高,优先级高),以及哪个设备优先用于数据平面。

      • 在主动/被动或主动/主动模式下,控制平面(冗余组 0)可以在不同于数据平面(冗余组 1+ 和组)机箱的机箱上处于活动状态。但是,对于此示例,我们建议在同一个机箱成员中同时保持控制平面和数据平面活动。当信息流通过结构链路进入另一个成员节点时,将引入延迟(z 线路模式信息流)。

      • 在 SRX 系列设备(SRX5000 系列)上,活动/主动机箱群集配置(即存在多个 RG1+ 冗余组时)不支持 IPsec VPN。

  7. 配置集群的结构(数据)端口,用于在主动/被动模式下通过 RTO。例如,使用一个营收端口。定义两个结构接口(每个机箱上一个)以将它们连接在一起。

    配置平台上的数据接口,以便在发生数据平面故障转移时,其他机箱群集成员可以无缝接管连接。如果出现数据平面故障转移,将无缝过渡到新的活动节点。如果控制平面故障转移,所有守护程序都会在新节点上重新启动,从而能够平稳重新启动,以避免失去与对等方(ospf、bgp)的邻接关系。这可促进无缝过渡到新节点,而不会造成任何数据包丢失。

    您必须定义以下项:

    • 定义成员接口到 reth 接口的成员信息。

    • 定义 reth 接口是其中的哪个冗余组。对于此主动/被动示例,始终为 1。

    • 定义 reth 接口信息,例如接口的 IP 地址。

  8. (可选)在发生故障时配置机箱群集行为。对于 SRX5800 服务网关,故障转移阈值设置为 255。您可以更改重量以确定对机箱故障转移的影响。您还必须配置控制链路恢复。如果控制链路出现故障,恢复会自动导致辅助节点重新启动,然后返回联机。在节点 0 上输入这些命令。

    此步骤将完成 SRX5800 服务网关主动/被动模式示例中的机箱群集配置部分。本过程的其余部分介绍如何配置区域、虚拟路由器、路由、EX8208 核心交换机和 MX240 边缘路由器以完成部署场景。

  9. (可选)配置 reth 接口并将其连接到相应的区域和虚拟路由器。例如,将 reth0 和 reth1 接口保留在默认虚拟路由器 inet.0 中,不需要任何其他配置。

  10. (可选)对于这个主动/被动模式示例,由于网络架构简单,使用静态路由来定义如何路由到其他网络设备。

  11. (可选)对于 EX8208 以太网交换机,以下命令仅提供与 SRX5800 服务网关的此主动/被动模式示例有关的适用配置概述;最明显的是 VLAN、路由和接口配置。

  12. (可选)对于 MX240 边缘路由器,以下命令仅提供与 SRX5800 服务网关的此主动/被动模式示例有关的适用配置概述;最值得注意的是,您必须在交换机上的虚拟交换机实例中使用 IRB 接口。

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证有关机箱群集接口的信息。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关机箱群集服务和控制链路统计信息(发送和接收的心跳)、结构链路统计信息(发送和接收的探查)以及为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的心跳)和结构链路统计信息(发送和接收的探查)的信息。

行动

在操作模式下,输入 show chassis cluster control-plane statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障转移的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志识别任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入这些 show log 命令。

另请参阅

示例:配置主动/被动机箱群集对 (SRX1500)

此示例说明如何为 SRX1500 设备配置主动/被动机箱群集。

要求

开始之前:

  1. 将一对设备物理连接在一起,确保它们是相同的型号。

  2. 通过将一台设备上的千兆以太网接口连接到另一台设备上的另一个千兆位以太网接口,创建结构链路。

  3. 通过连接两台 SRX1500 设备的控制端口来创建控制链路。

  4. 使用控制台端口连接到其中一台设备。(这是形成群集的节点。)并设置群集 ID 和节点编号

  5. 使用控制台端口连接到其他设备,然后设置群集 ID 和节点编号。

概述

在此示例中,集群中的单个设备用于路由所有流量,而另一台设备仅在发生故障时使用。(请参阅 图 3。)发生故障时,备份设备将成为主设备,并控制所有转发。

图 3:主动/被动机箱群集拓扑 Active/Passive Chassis Cluster Topology

您可通过配置所有分配给相同冗余组的冗余以太网接口(reths)来创建主动/被动机箱群集。此配置最大程度地减少了通过结构链路的流量,因为群集中只有一个节点在任何给定时间转发流量。

在此示例中,您将配置组(使用 命令应用配置 apply-groups )和机箱群集信息。然后配置安全区域和安全策略。请参阅 表 1表 4

表 1:组和机箱群集配置参数

特征

名字

配置参数

节点0

  • 主机名:srx1500-A

  • 接口:fxp0

    • 单元 0

    • 192.0.2.110/24

节点 1

  • 主机名:srx1500-B

  • 接口:fxp0

    • 单元 0

    • 192.0.2.111/24
表 2:机箱群集配置参数

特征

名字

配置参数

交换矩阵链路

fab0

接口:ge-0/0/1

fab1

接口:ge-7/0/1

心跳间隔

1000

心跳阈值

3

冗余组

0

  • 优先:

    • 节点 0:254

    • 节点 1:1

1

  • 优先:

    • 节点 0:254

    • 节点 1:1

接口监控

  • ge-0/0/4

  • ge-7/0/4

  • ge-0/0/5

  • ge-7/0/5

冗余以太网接口数

2

接口

ge-0/0/4

冗余家长:reth0

ge-7/0/4

冗余家长:reth0

ge-0/0/5

冗余家长:reth1

ge-7/0/5

冗余家长:reth1

reth0

冗余组:1

  • 单元 0

  • 198.51.100.1/24

reth1

冗余组:1

  • 单元 0

  • 203.0.113.233/24
表 3:安全区域配置参数

名字

配置参数

信任

reth1.0 接口绑定到此区域。

不信任

reth0.0 接口绑定到此区域。
表 4:安全策略配置参数

目的

名字

配置参数

此安全策略允许从信任区域到不信任区域的流量。

任何

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用程序任意

  • 操作:允许

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要配置主动/被动机箱群集:

  1. 配置管理接口。

  2. 配置结构接口。

  3. 配置心跳设置。

  4. 配置冗余组。

  5. 配置冗余以太网接口。

  6. 配置安全区域。

  7. 配置安全策略。

结果

在配置模式下,输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

简洁性,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。

如果完成设备配置,请在配置模式下输入 commit

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证有关机箱群集接口的信息。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关要同步的不同对象的统计信息、结构和控制接口 hello 以及集群中受监控接口的状态的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的心跳)和结构链路统计信息(发送和接收的探查)的信息。

行动

在操作模式下,输入 show chassis cluster control-plane statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障转移的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志识别任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入这些 show 命令。

另请参阅

示例:配置主动/被动机箱群集对 (J-Web)

  1. 启用群集。请参阅示例中的步骤 1 :配置主动/被动机箱群集对 (CLI)

  2. 配置管理接口。请参阅示例中的步骤 2 :配置主动/被动机箱群集对 (CLI)

  3. 配置结构接口。请参阅示例中的步骤 3 :配置主动/被动机箱群集对 (CLI)

  4. 配置冗余组。

    • 选择 Configure>Chassis Cluster

    • 输入以下信息,然后单击 Apply

      1. 冗余以太接口计数: 2

      2. 心跳间隔: 1000

      3. 心跳阈值: 3

      4. 节点: 0

      5. 组号: 0

      6. 优先 级: 100

    • 输入以下信息,然后单击 Apply

      1. 节点: 0

      2. 组号: 1

      3. 优先 级: 1

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 0

      3. 优先 级: 100

  5. 配置冗余以太网接口。

    • 选择 Configure>Chassis Cluster

    • 选择 ge-0/0/4

    • 在“冗余家长”框中输入 reth1

    • 单击 Apply

    • 选择 ge-7/0/4

    • 在“冗余家长”框中输入 reth1

    • 单击 Apply

    • 选择 ge-0/0/5

    • 在“冗余家长”框中输入 reth0

    • 单击 Apply

    • 选择 ge-7/0/5

    • 在“冗余家长”框中输入 reth0

    • 单击 Apply

    • 请参阅示例中的步骤 5:为最后四个配置设置 配置主动/被动机箱群集对 (CLI)

  6. 配置安全区域。请参阅示例中的步骤 6 :配置主动/被动机箱群集对 (CLI)

  7. 配置安全策略。请参阅示例中的步骤 7 :配置主动/被动机箱群集对 (CLI)

  8. 单击 OK 以检查您的配置并将其保存为候选配置,然后单击 Commit Options>Commit

另请参阅

了解使用 IPsec 隧道的主动/被动机箱群集部署

在这种情况下,集群中的单个设备在 IPsec 隧道中终止,用于处理所有流量,而另一台设备仅在发生故障时使用(请参阅 图 4)。发生故障时,备份设备将成为主设备,并控制所有转发。

图 4:带 IPsec 隧道场景的主动/被动机箱群集(SRX 系列设备) Active/Passive Chassis Cluster with IPsec Tunnel Scenario (SRX Series Devices)

通过使用分配给同一冗余组的冗余以太网接口(reths),即可实现主动/被动 机箱群集 。如果节点中活动组中的任何接口发生故障,则表示组处于非活动状态,并且组中的所有接口都无法连接到另一个节点。

此配置为站点到站点 IPsec 隧道提供了一种方法,以便在主动/被动群集中终止,其中冗余以太网接口用作隧道端点。如果出现故障,备份 SRX 系列设备中的冗余以太网接口将处于活动状态,从而迫使隧道更改端点以在新活动 SRX 系列设备中终止。由于隧道密钥和会话信息在机箱群集成员之间同步,因此故障转移不需要重新协商隧道并维护所有已建立的会话。

如果 RG0(路由引擎)发生故障,路由协议需要在新主节点上重新建立。如果配置了 VPN 监控或死对等检测,并且其计时器在新 RG0 主设备上的路由重新交互之前到期,则 VPN 隧道将被关闭并重新协商。

动态隧道无法跨不同 SPC 实现负载平衡。

另请参阅

示例:使用 IPsec 隧道配置主动/被动机箱群集对

此示例说明如何使用适用于 SRX 系列设备的 IPsec 隧道配置主动/被动机箱群集。

要求

开始之前:

  • 获取两个硬件配置相同的 SRX5000 型号、一台 SRX1500 设备和四台 EX 系列以太网交换机。

  • 物理连接两台设备(从后至后的交换矩阵和控制端口),并确保它们是相同的型号。您可以配置 SRX5000 系列上的结构和控制端口。

  • 将两台设备设置为群集模式并重新启动设备。您必须在两台设备上输入以下操作模式命令,例如:

    • 在节点 0 上:

    • 在节点 1 上:

    两台设备上的群集 ID 相同,但节点 ID 必须不同,因为一台设备为节点 0,另一台设备为节点 1。群集 ID 的范围为 1 到 255。将群集 ID 设置为 0 等同于禁用群集。

    只有当交换矩阵和控制链路接口从后至后连接时,才能设置大于 15 的群集 ID。

  • 获取两个硬件配置相同的 SRX5000 型号、一台 SRX1500 边缘路由器和四台 EX 系列以太网交换机。

  • 物理连接两台设备(从后至后的交换矩阵和控制端口),并确保它们是相同的型号。您可以配置 SRX5000 系列上的结构和控制端口。

从此时开始,群集配置在节点成员之间同步,两个独立的设备作为一个设备工作。使用配置组输入成员特定配置(例如每个成员的管理端口的 IP 地址)。

概述

在此示例中,集群中的单个设备在 IPsec 隧道中终止,用于处理所有流量,另一台设备仅在发生故障时使用。(请参阅 图 5.)发生故障时,备份设备将成为主设备,并控制所有转发。

图 5:带 IPsec 隧道拓扑的主动/被动机箱群集(SRX 系列设备) Active/Passive Chassis Cluster with IPsec Tunnel Topology (SRX Series Devices)

在此示例中,您将配置组(使用 命令应用配置 apply-groups )和机箱群集信息。然后配置 IKE、IPsec、静态路由、安全区域和安全策略参数。请参阅 表 5表 11

表 5:组和机箱群集配置参数

特征

名字

配置参数

节点0

  • 主机名:SRX5800-1

  • 接口:fxp0

    • 单元 0

    • 172.19.100.50/24

节点 1

  • 主机名:SRX5800-2

  • 接口:fxp0

    • 单元 0

    • 172.19.100.51/24
表 6:机箱群集配置参数

特征

名字

配置参数

交换矩阵链路

fab0

接口:xe-5/3/0

fab1

接口:xe-17/3/0

冗余以太网接口数

2

心跳间隔

1000

心跳阈值

3

冗余组

0

  • 优先:

    • 节点 0:254

    • 节点 1:1

1

  • 优先:

    • 节点 0:254

    • 节点 1:1

接口监控

  • xe-5/0/0

  • xe-5/1/0

  • xe-17/0/0

  • xe-17/1/0

接口

xe-5/1/0

冗余家长:reth1

xe-5/1/0

冗余家长:reth1

xe-5/0/0

冗余家长:reth0

xe-17/0/0

冗余家长:reth0

reth0

冗余组:1

  • 单元 0

  • 10.1.1.60/16

reth1

冗余组:1

  • 单元 0

  • 10.10.1.1/30

st0

  • 单元 0

  • 10.10.1.1/30
表 7:IKE 配置参数

特征

名字

配置参数

建议

提议设定标准

-

政策

预共享

  • 模式:主

  • 提案参考:提议集标准

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ascii-文本

网关

SRX1500-1

  • IKE 策略参考:perShared

  • 外部接口:reth0.0

  • 网关地址:10.1.1.90

注意:

在 SRX 机箱群集中,IKE 外部接口配置仅支持 reth 和 lo0 接口。可以配置其他接口类型,但 IPsec VPN 可能不起作用。如果 lo0 逻辑接口用作 IKE 网关外部接口,则无法使用 RG0 配置。
表 8:IPsec 配置参数

特征

名字

配置参数

建议

提议设定标准

政策

性病

VPN

SRX1500-1

  • IKE 网关参考:SRX1500-1

  • IPsec 策略参考:std

  • 绑定到接口:st0.0

  • VPN 监控:经过优化的 vpn 监控

  • 已建立隧道:立即建立隧道

注意:

手动 VPN 名称和站点到站点网关名称不能相同。
表 9:静态路由配置参数

名字

配置参数

0.0.0.0/0

下一跳:10.2.1.1

10.3.0.0/16

下一跳:10.10.1.2
表 10:安全区域配置参数

名字

配置参数

信任

  • 允许所有系统服务。

  • 允许使用所有协议。

  • reth0.0 接口绑定到此区域。

不信任

  • 允许所有系统服务。

  • 允许使用所有协议。

  • reth1.0 接口绑定到此区域。

Vpn

  • 允许所有系统服务。

  • 允许使用所有协议。

  • st0.0 接口绑定到此区域。
表 11:安全策略配置参数

目的

名字

配置参数

此安全策略允许从信任区域到不信任区域的流量。

任何

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用程序任意

  • 操作:允许

此安全策略允许从信任区域到 vpn 区域的流量。

vpn-any

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用程序任意

  • 操作:允许

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要使用 IPsec 隧道配置主动/被动机箱群集对:

  1. 配置控制端口。

  2. 配置管理接口。

  3. 配置结构接口。

  4. 配置冗余组。

  5. 配置冗余以太网接口。

  6. 配置 IPsec 参数。

  7. 配置静态路由。

  8. 配置安全区域。

  9. 配置安全策略。

结果

在操作模式下,输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

简洁性,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。

如果完成设备配置,请在配置模式下输入 commit

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证机箱群集接口。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关机箱群集服务和控制链路统计信息(发送和接收的心跳)、结构链路统计信息(发送和接收的探查)以及为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的心跳)和结构链路统计信息(发送和接收的探查)的信息。

行动

在操作模式下,输入 show chassis cluster control-panel statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障转移的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志识别任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入这些 show 命令。

示例:使用 IPsec 隧道配置主动/被动机箱群集对 (J-Web)

  1. 启用群集。请参阅示例中的步骤 1 :使用 IPsec 隧道配置主动/被动机箱群集对

  2. 配置管理接口。请参阅示例中的步骤 2 :使用 IPsec 隧道配置主动/被动机箱群集对

  3. 配置结构接口。请参阅示例中的步骤 3 :使用 IPsec 隧道配置主动/被动机箱群集对

  4. 配置冗余组。

    • 选择 Configure>System Properties>Chassis Cluster

    • 输入以下信息,然后单击 Apply

      1. 冗余以太接口计数: 2

      2. 心跳间隔: 1000

      3. 心跳阈值: 3

      4. 节点: 0

      5. 组号: 0

      6. 优先 级: 254

    • 输入以下信息,然后单击 Apply

      1. 节点: 0

      2. 组号: 1

      3. 优先 级: 254

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 0

      3. 优先 级: 1

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 1

      3. 优先 级: 1

      4. 抢先:选择复选框。

      5. 接口监控 — 接口: xe-5/0/0

      6. 接口监控器 — 重量: 255

      7. 接口监控 — 接口: xe-5/1/0

      8. 接口监控器 — 重量: 255

      9. 接口监控 — 接口: xe-17/0/0

      10. 接口监控器 — 重量: 255

      11. 接口监控 — 接口: xe-17/1/0

      12. 接口监控器 — 重量: 255

  5. 配置冗余以太网接口。

    • 选择 Configure>System Properties>Chassis Cluster

    • 选择 xe-5/1/0

    • 在“冗余家长”框中输入 reth1

    • 单击 Apply

    • 选择 xe-17/1/0

    • 在“冗余家长”框中输入 reth1

    • 单击 Apply

    • 选择 xe-5/0/0

    • 在“冗余家长”框中输入 reth0

    • 单击 Apply

    • 选择 xe-17/0/0

    • 在“冗余家长”框中输入 reth0

    • 单击 Apply

    • 请参阅示例中的步骤 5 :使用 IPsec 隧道配置主动/被动机箱群集对

  6. 配置 IPsec 配置。请参阅示例中的步骤 6 :使用 IPsec 隧道配置主动/被动机箱群集对

  7. 配置静态路由。

    • 选择 Configure>Routing>Static Routing

    • 单击 Add

    • 输入以下信息,然后单击 Apply

      1. 静态路由地址: 0.0.0.0/0

      2. 下一跳地址: 10.2.1.1

    • 输入以下信息,然后单击 Apply

      1. 静态路由地址: 10.3.0.0/16

      2. 下一跳地址: 10.10.1.2

  8. 配置安全区域。请参阅示例中的步骤 8 :使用 IPsec 隧道配置主动/被动机箱群集对

  9. 配置安全策略。请参阅示例中的步骤 9 :使用 IPsec 隧道配置主动/被动机箱群集对

  10. 单击 OK 以检查您的配置并将其保存为候选配置,然后单击 Commit Options>Commit

相关文档