主动/被动机箱群集部署

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层 [edit] 级的 CLI 中，然后从配置模式进入 commit 。

在 {primary：node0} 上

（选答）要快速配置 EX9214 核心交换机，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层级的 CLI [edit] 中，然后从配置模式进入 commit 。

在 EX 设备上

（选答）要快速配置 MX480 边缘路由器，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层 [edit] 级的 CLI 中，然后从配置模式进入 commit 。

在 MX 设备上

分步过程

下面的示例要求您在各个配置层级中进行导航。

要在 SRX 系列防火墙上配置机箱群集：

在群集模式下，当您执行 commit 命令时，配置将通过节点之间的控制链路进行同步。无论从哪台设备配置命令，所有命令都将应用于这两个节点。

1. 由于 SRX5000 防火墙机箱群集配置包含在单个通用配置中，要仅将配置的某些元素分配给特定成员，必须使用特定于节点的Junos OS配置方法（称为组）。 set apply-groups ${node} 命令使用节点变量来定义如何将组应用于节点;每个节点都能识别其编号并相应地接受配置。您还必须在 SRX5000 防火墙的 fxp0 接口上配置带外管理，为群集的各个控制平面使用单独的 IP 地址。

   不允许将备份路由器目的地址配置为 x.x.x.0/0。

   上述组 node0 和 node1 配置已提交，但未应用。设备在群集中启动后，将使用 set apply-groups “${node}”应用这些命令。

2. 使用以下命令配置节点 0，该节点是主节点。在提交节点配置之前，节点 1 是无法访问的。节点 0 会自动通过控制端口将配置同步到节点 1，无需显式配置节点 1。

3. 为每台设备配置控制端口，然后提交配置。

   确保按照配置在两个节点上的 SPC 卡之间建立物理控制链路连接。

   控制端口根据机箱中的 SPC 位置派生，偏移值基于平台。在以下示例中，SPC 位于收入插槽 1 中，由于 SRX5800 的偏移量为 12，因此控制端口为 1， 13。您可以在 shell 模式下使用 “jwhoami -c” 命令查看特定平台的偏移值。您必须在两台设备上输入以下命令。例如：

   • 在节点 0 上：

   • 在节点 1 上：

4. 将两台设备设置为群集模式。设置群集 ID 和节点 ID 后，需要重新启动才能进入群集模式。您可以通过在 CLI 命令行中包含参数 reboot 来使系统自动启动。您必须在两台设备上输入作模式命令。例如：

   • 在节点 0 上：

   • 在节点 1 上：

   群集中两台设备上的群集 ID 必须相同，但节点 ID 必须不同，因为一台设备为节点 0，另一台设备为节点 1。群集 ID 的范围为 1 到 255。将群集 ID 设置为 0 相当于禁用群集。但建议使用 set chassis cluster disable 来断开集群中的节点。

5. 为机箱群集配置冗余组。每个节点在冗余组中都有接口，其中接口在活动冗余组中处于活动状态（一个冗余组中可以存在多个活动接口）。冗余组 0 控制控制平面，冗余组 1+ 控制数据平面，并包括数据平面端口。对于此主动/被动模式示例，一次只有一个机箱群集成员处于活动状态，因此您只需要定义冗余组 0 和 1。除了冗余组，您还必须定义：

   • 冗余以太网组 — 配置设备上将处于活动状态的冗余以太网接口（成员链路）数量，以便系统为其分配适当的资源。

   • 控制平面和数据平面的优先级 — 定义哪个设备对控制平面具有优先级（对于机箱群集，优先级较高），以及哪个设备在数据平面中处于活动状态的首选。

     • 在主动/被动或主动/主动模式下，控制平面（冗余组 0）可以在与数据平面（冗余组 1+ 和组）机箱不同的机箱上处于活动状态。但是，对于此示例，我们建议在同一机箱成员上同时激活控制平面和数据平面。当流量通过交换矩阵链路到达另一个成员节点时，会引入延迟（z 线模式流量）。

     • 在 SRX 系列防火墙（SRX5000 系列）上，处于 Z 模式的主动/主动机箱群集配置（即，当存在多个 RG1+ 冗余组时）不支持 IPsec VPN。

6. 配置群集的交换矩阵（数据）端口，用于在主动/被动模式下传递 RTO。在此示例中，请使用其中一个收入端口。定义两个交换矩阵接口（每个机箱上一个）以连接在一起。

   在平台上配置数据接口，以便在发生数据平面故障切换时，其他机箱群集成员可以无缝接管连接。通过数据平面故障切换，将无缝过渡到新的活动节点。在控制平面故障切换的情况下，所有守护程序都将在新节点上重新启动，从而实现平稳重启，以避免失去与对等方（OSPF、BGP）的邻居关系。这促进了无缝过渡到新节点，而不会丢失任何数据包。

   您必须定义以下项目：

   • 定义 reth 接口的成员接口的成员身份信息。

   • 定义 reth 接口所属的冗余组。对于此主动/被动示例，它始终为 1。

   • 定义其他接口信息，例如接口的 IP 地址。

7. （选答）配置发生故障时的机箱群集行为。对于SRX5800防火墙，故障切换阈值设置为 255。您可以更改权重以确定对机箱故障切换的影响。您还必须配置控制链路恢复。如果控制链路出现故障，恢复会自动使辅助节点重新启动，然后重新联机。在节点 0 上输入以下命令。

   此步骤完成 SRX5800 防火墙的主动/被动模式示例的机箱群集配置部分。此过程的其余部分介绍如何配置区域、虚拟路由器、路由、EX9214 核心交换机和 MX480 边缘路由器以完成部署方案。

8. （选答）配置 reth 接口并将其连接到相应的区域和虚拟路由器。在此示例中，将 reth0 和 reth1 接口保留在默认的虚拟路由器 inet.0 中，这不需要任何其他配置。

9. 创建安全策略以允许从信任区域到不信任区域的流量。

10. （选答）对于 EX9214 以太网交换机，以下命令仅提供适用配置的概要，因为它与 SRX5800 防火墙的此主动/被动模式示例有关;最明显的是 VLAN、路由和接口配置。

11. （选答）对于 MX480 边缘路由器，以下命令仅提供适用配置的概要，因为它与 SRX5800 防火墙的此主动/被动模式示例相关;最值得注意的是，您必须在交换机上的虚拟交换机实例中使用 IRB 接口。

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在作模式下，输入 show chassis cluster status 命令。

目的

验证有关机箱群集接口的信息。

行动

在作模式下，输入 show chassis cluster interfaces 命令。

目的

验证有关机箱群集服务和控制链路统计信息（发送和接收的心跳）、交换结构链路统计信息（发送和接收的探查）以及为服务发送和接收的 RTO 数的信息。

行动

在作模式下，输入 show chassis cluster statistics 命令。

目的

验证有关机箱群集控制平面统计信息（发送和接收的心跳）和交换结构链路统计信息（发送和接收的探查）的信息。

行动

在作模式下，输入 show chassis cluster control-plane statistics 命令。

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在作模式下，输入 show chassis cluster data-plane statistics 命令。

目的

验证 EX 设备的连接状态。

行动

在作模式下，输入 ping 172.16.1.254 count 2 命令。

目的

验证群集中两个节点的状态和优先级，以及有关主节点是否已被抢占或是否存在手动故障切换的信息。

行动

在作模式下，输入 chassis cluster status redundancy-group 命令。

目的

使用这些日志来确定任何机箱群集问题。您必须在两个节点上都运行这些日志。

行动

在作模式下，输入以下 show log 命令。

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层 [edit] 级的 CLI 中，然后从配置模式进入 commit 。

分步过程

要配置主动/被动机箱群集：

1. 配置管理界面。

2. 配置交换矩阵接口。

3. 配置检测信号设置。

4. 配置冗余组。

5. 配置冗余以太网接口。

6. 配置安全区域。

7. 配置安全策略。

结果

在配置模式下，输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

为简洁起见，此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 （...）。

如果完成设备配置，请从配置模式输入 commit 。

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在作模式下，输入 show chassis cluster status 命令。

目的

验证有关机箱群集接口的信息。

行动

在作模式下，输入 show chassis cluster interfaces 命令。

目的

验证有关要同步的不同对象的统计信息、交换结构和控制接口查询以及群集中受监控接口的状态等信息。

行动

在作模式下，输入 show chassis cluster statistics 命令。

目的

验证有关机箱群集控制平面统计信息（发送和接收的心跳）和交换结构链路统计信息（发送和接收的探查）的信息。

行动

在作模式下，输入 show chassis cluster control-plane statistics 命令。

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在作模式下，输入 show chassis cluster data-plane statistics 命令。

目的

验证群集中两个节点的状态和优先级，以及有关主节点是否已被抢占或是否存在手动故障切换的信息。

行动

在作模式下，输入 chassis cluster status redundancy-group 命令。

目的

使用这些日志来确定任何机箱群集问题。您必须在两个节点上都运行这些日志。

行动

在作模式下，输入以下 show 命令。

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层 [edit] 级的 CLI 中，然后从配置模式进入 commit 。

分步过程

要配置具有 IPsec 隧道的主动/被动机箱群集对：

1. 配置控制端口。

2. 配置管理界面。

3. 配置交换矩阵接口。

4. 配置冗余组。

5. 配置冗余以太网接口。

6. 配置IPsec参数。

7. 配置静态路由。

8. 配置安全区域。

9. 配置安全策略。

结果

在作模式下，输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

为简洁起见，此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 （...）。

如果完成设备配置，请从配置模式输入 commit 。

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在作模式下，输入 show chassis cluster status 命令。

目的

验证机箱群集接口。

行动

在作模式下，输入 show chassis cluster interfaces 命令。

目的

验证有关机箱群集服务和控制链路统计信息（发送和接收的心跳）、交换结构链路统计信息（发送和接收的探查）以及为服务发送和接收的 RTO 数的信息。

行动

在作模式下，输入 show chassis cluster statistics 命令。

目的

验证有关机箱群集控制平面统计信息（发送和接收的心跳）和交换结构链路统计信息（发送和接收的探查）的信息。

行动

在作模式下，输入 show chassis cluster control-panel statistics 命令。

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在作模式下，输入 show chassis cluster data-plane statistics 命令。

目的

验证群集中两个节点的状态和优先级，以及有关主节点是否已被抢占或是否存在手动故障切换的信息。

行动

在作模式下，输入 chassis cluster status redundancy-group 命令。

目的

使用这些日志来确定任何机箱群集问题。您必须在两个节点上都运行这些日志。

行动

在作模式下，输入以下 show 命令。