Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

监控机箱群集上的 IP 地址

冗余组 IP 地址监控检查端到端连接,并允许冗余组在 reth 接口无法到达配置的 IP 地址时进行故障切换。可以将群集中两台设备上的冗余组配置为监控特定 IP 地址,以确定网络中的上游设备是否可访问。有关更多信息,请参阅以下主题:

IP 监控概述

IP 监控检查已配置 IP 地址的端到端连接,并允许冗余组在无法通过冗余以太网 (reth) 接口访问受监控的 IP 地址时自动进行故障切换。机箱群集中的主节点和辅助节点都会监控特定 IP 地址,以确定网络中的上游设备是否可访问。

IP 监控允许根据配置的受监控 IP 地址的端到端可访问性进行故障转移。在 SRX 系列防火墙上,可访问性测试是通过 reth 接口从主节点和辅助节点向受监控的 IP 地址发送 ping 并检查是否返回响应来完成的。受监控的 IP 地址可以位于与 reth 接口相同的子网中的直接连接主机上,也可以位于可通过下一跳跃路由器访问的远程设备上。

受监控 IP 地址的可访问性状态为可访问、不可访问和未知。如果数据包转发引擎尚未启动并运行,则状态为“未知”。状态将变为“可访问”或“无法访问”,具体取决于来自数据包转发引擎的相应消息。

对于 SRX 系列防火墙,不建议在冗余组 0 (RG0) 上配置机箱群集 IP 监控。

表 1 详细介绍了来自主节点和辅助节点的监控结果的不同组合,以及瞻博网络服务冗余协议 (jsrpd) 进程的相应作。

表 1:IP 监控结果和故障切换作

主节点受监控状态

辅助节点受监控状态

故障切换作

到达

到达

无作

遥 不可 及

到达

故障切换

到达

遥 不可 及

无作

遥 不可 及

遥 不可 及

无作

  • 您最多可以为 SRX5000 系列设备上的 IP 监控配置 64 个 IP 地址。

  • 在 SRX 分支机构系列设备上,如果 reth 接口配置了多个物理接口,则不支持对冗余组进行 IP 监控。SRX 使用捆绑包中最低的接口进行辅助节点上的跟踪。如果对等方将应答转发到除接收应答的端口之外的任何其他端口上,则 SRX 会将其丢弃。

  • IP 监控的最小间隔为 1 秒,最长为 30 秒。默认间隔为 1 秒。

  • IP 监控的最小阈值为 5 个请求,最大为 15 个请求。如果 IP 监控请求未收到对连续请求的响应(超过阈值),则 IP 监控将报告无法访问受监控的 IP。阈值的默认值为 5。

  • 支持与 IP 监控中的冗余组 (RG) 未关联的 Reth 接口 CLI 配置。

表 2 提供了 IOC2 和 IOC3 的多个接口组合以及最大 MAC 数量的详细信息。

表 2:IOC2 和 IOC3 上的 IP 监控支持的最大 MAC

接口

IP 监控支持的最大 MAC 数

IOC2 (SRX5K-MPC)

10XGE

10

20GE

20

2X40GE

2

1 个 100GE

1

IOC3(SRX5K-MPC3-40G10G 或 SRX5K-MPC3-100G10G)

24x10GE

24

6 个 40GE

6

2 个 100GE + 4 个 10GE

6

请注意 SRX5000 系列 IOC2 和 IOC3 上 IP 监控支持的以下限制:

  • 通过 reth 或 RLAG 接口支持 IP 监控。如果您的配置未指定其中任一接口,则路由查找将返回一个非 reth/RLAG 接口,这将导致故障报告。

  • IP 监控不支持等价多路径 (ECMP) 路由。

监控机箱群集中 IP 地址的优势

  • 帮助确定机箱群集设置中特定 IP 地址的状态为未知、可访问或不可访问。

  • 根据已配置的受监控 IP 地址的端到端可访问性启动故障切换。如果受监控的 IP 地址变得无法访问,冗余组可以故障转移到其备份以维持服务。

另见

了解机箱群集冗余组 IP 地址监控

冗余组 IP 地址监控检查端到端连接,并允许冗余组进行故障切换,因为冗余以太网接口(称为 reth)无法到达配置的 IP 地址。可以将群集中两台设备上的冗余组配置为监控特定 IP 地址,以确定网络中的上游设备是否可访问。可以对冗余组进行配置,以便在受监视的 IP 地址变得无法访问时,冗余组将故障转移到其备份以维持服务。此监控功能与接口监控之间的主要区别在于,IP 地址监控允许在接口仍处于开启状态但由于某种原因无法访问其连接的网络设备时进行故障切换。在这些情况下,群集中的其他节点可能会绕过问题路由流量。

如果要抑制由于 IP 地址监控失败而发生的故障转移,请使用语 hold-down-interval 句。

通过 IP 地址监控配置,您不仅可以设置要监控的地址及其故障切换权重,还可以设置全局 IP 地址监控阈值和权重。仅当由于累积监控地址可访问性失败而达到 IP 地址监控全局阈值时,才会从冗余组的故障转移阈值中扣除 IP 地址监控全局权重值。因此,可以同时监控和监控多个地址,以反映它们对维护流量的重要性。此外,无法访问然后再次可访问的 IP 地址的阈值将还原为监控阈值。但是,除非启用抢占选项,否则这不会导致故障回复。

配置后,将 IP 地址监控故障转移值(全局权重)与接口监控(如果已设置)和内置故障切换监控(包括 SPU 监控、冷同步监控和 NPC 监控(在支持的平台上)一起考虑。应监控的主要 IP 地址是路由器网关地址,以确保进入服务网关的有效流量可以转发到相应的网络路由器。

从 Junos OS 12.1X46-D35 版和 Junos OS 17.3R1 版开始,对于所有 SRX 系列防火墙,reth 接口均支持代理 ARP。

每个节点指定一个服务处理单元 (SPU) 或数据包转发引擎 (PFE),用于为群集上的受监控 IP 地址发送互联网控制消息协议 (ICMP) ping 数据包。主 PFE 使用由路由引擎 (RE) 解析的地址解析协议 (ARP) 请求发送 ping 数据包。这些 ping 的来源是冗余以太网接口、MAC 和 IP 地址。辅助 PFE 解析对受监控 IP 地址本身的 ARP 请求。这些 ping 的来源是冗余以太网接口上配置的物理子 MAC 地址和辅助 IP 地址。为了在辅助接口上接收 ping 回复,I/O 卡 (IOC)、中央 PFE 处理器或 Flex IOC 会将物理子 MAC 地址和冗余以太网接口 MAC 地址添加到其 MAC 表中。对于发送到冗余以太网接口上配置的辅助 IP 地址的 ARP 请求,辅助 PFE 使用物理子 MAC 地址进行响应。

注意:

如果为 VPN 路由和转发 (VRF) 实例配置了冗余以太网接口,则 SRX5000 系列设备不支持 IP 地址监控。

检查受监控 IP 地址可访问性的默认间隔为每秒一次。可以使用 retry-interval 命令调整间隔。默认情况下,允许的连续失败 ping 尝试次数为 5。可以使用 retry-count 命令调整允许的连续失败 ping 尝试次数。在无法访问配置的连续尝试次数的受监视 IP 地址后,该 IP 地址将被确定为无法访问,并且其故障转移值将从冗余组的全局阈值中扣除。

在 SRX5600 和 SRX5800 设备上,40 端口 1 千兆以太网 I/O 卡 (IOC) 的每个 PIC 上的 10 个端口中,只有两个可以同时启用 IP 地址监控。由于每个 IOC 有四个 PIC,因此允许监视每个 IOC 总共八个端口。如果在 40 端口 1 千兆以太网 IOC 上的每个 PIC 配置了两个以上的端口用于 IP 地址监控,则提交将会成功,但会生成一个日志条目,并且无法保证 IP 地址监控的准确性和稳定性。此限制不适用于任何其他 IOC 或设备。

一旦确定 IP 地址无法访问,将从全局阈值中扣除其权重。如果重新计算的全局阈值不为 0,则 IP 地址标记为不可访问,但不会从冗余组的阈值中扣除全局权重。如果冗余组 IP 监控全局阈值达到 0 且存在无法访问的 IP 地址,则冗余组将在节点之间持续进行故障切换和故障回复,直到无法访问的 IP 地址变为可访问地址或配置更改从监控中删除无法访问的 IP 地址。请注意,默认和配置的抑制间隔故障转移抑制仍然有效。

每个冗余组 x 的阈值容差值最初设置为 255。当冗余组 x 监控的 IP 地址不可用时,将从冗余组 x 的阈值中减去其权重。当冗余组 x 的阈值达到 0 时,它将故障转移到另一个节点。例如,如果冗余组 1 在节点 0 上是主冗余组,则在阈值交叉事件中,冗余组 1 在节点 1 上变为主冗余组。在这种情况下,冗余组 1 的冗余以太网接口的所有子接口都将开始处理流量。

发生冗余组 x 故障切换的原因是冗余组 x 的受监控 IP 地址和其他监控的累积权重使其阈值为 0。当两个节点上冗余组 x 的受监控 IP 地址同时达到其阈值时,冗余组 x 是节点 ID 较低(通常为节点 0)上的主节点上的主 IP 地址。

SRX 系列防火墙支持机 箱群集 功能的上游设备故障检测。

从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始,SRX5000 系列设备支持配置地址解析协议 (ARP) 请求限制。通过此功能,可以绕过之前硬编码的 ARP 请求限制时间默认值(每个 IP 地址每个 SPU 10 秒),并将时间设置为更大的值(10 到 100 秒)。将限制时间设置为更大的值可降低路由引擎的高利用率,从而使其更高效地工作。您可以使用 set forwarding-options next-hop arp-throttle <seconds> 命令配置 ARP 请求限制时间。

只有当可在冗余以太网接口(在 CLI 命令和接口列表中称为 reth)上访问 IP 地址,且无法通过隧道监控 IP 地址时,才能完成监控。要通过辅助群集节点上的冗余以太网接口监控 IP 地址,接口必须配置辅助 IP 地址。不能在以透明模式运行的机箱群集上使用 IP 地址监控。对于 SRX5000 系列防火墙、SRX1500、SRX1600、SRX2300、SRX4120 和 SRX4000 系列防火墙,每个集群可配置的最大监控 IP 地址数为 64。

冗余组 IPv6 目标不支持 IP 地址监控。

示例:配置机箱群集冗余组 IP 地址监控

此示例说明如何为机箱群集中的 SRX 系列防火墙配置冗余组 IP 地址监控。

要求

开始之前:

概述

您可以配置冗余组,通过对可通过群集中任一节点上的冗余以太网接口访问的特定 IP 地址执行 ping 命令,以此来监控上游资源。您还可以为冗余组配置全局阈值、权重、重试间隔和重试计数参数。当受监控的 IP 地址变得无法访问时,将从冗余组 IP 地址监控全局阈值中扣除该受监控 IP 地址的权重。当全局阈值达到 0 时,将从冗余组阈值中扣除全局权重。重试间隔确定冗余组监控的每个 IP 地址的 ping 间隔。一旦提交配置,就会发送 ping。重试计数设置冗余组监控的每个 IP 地址允许的连续 ping 失败次数。

在此示例中,您为冗余组 1 配置以下设置:

  • 要监控的 IP 地址—10.1.1.10

  • IP 地址监控 全局权重 - 100

  • IP 地址监控 全局阈值 - 200

    该阈值将累积应用于冗余组监控的所有 IP 地址。

  • IP 地址重试间隔 - 3 秒

  • IP 地址重试计数 - 10

  • 重量 - 100

  • 冗余以太网接口 — reth1.0

  • 辅助 IP 地址 - 10.1.1.101

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit

分步过程

要配置冗余组 IP 地址监控,请执行以下作:

  1. 指定全局监控权重。

  2. 指定全局监控阈值。

  3. 指定重试间隔。

  4. 指定重试计数。

  5. 指定要监控的 IP 地址、权重、冗余以太网接口和辅助 IP 地址。

结果

在配置模式下,输入 show chassis cluster redundancy-group 1 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式输入 commit

验证

验证冗余组的受监控 IP 地址的状态

目的

验证冗余组的受监控 IP 地址的状态。

行动

在作模式下,输入 show chassis cluster ip-monitoring status 命令。有关特定组的信息,请输入 show chassis cluster ip-monitoring status redundancy-group 命令。

示例:在 SRX5000 线路设备上配置 IOC2 和 IOC3 的 IP 监控

此示例说明如何监控启用了机箱群集的 SRX5000 系列设备上的 IP 地址。

要求

此示例使用以下硬件和软件:

  • 两个带 MIC (SRX-MIC-10XG-SFPP [IOC2]) 的 SRX5400 服务网关和一个以太网交换机

  • Junos OS 15.1X49-D30 版

此示例中提到的过程也适用于 IOC3。

开始之前:

  • 物理连接两个SRX5400设备(交换矩阵和控制端口为背对背)。

  • 将两台设备配置为在机箱群集中运行。

概述

IP 地址监控检查已配置 IP 地址的端到端可访问性,并允许冗余组在无法通过冗余以太网 (reth) 接口的子链路访问时自动进行故障切换。可以将群集中两个设备或节点上的冗余组配置为监控特定 IP 地址,以确定网络中的上游设备是否可访问。

拓扑学

在此示例中,机箱群集中的两台SRX5400设备连接到以太网交换机。该示例显示如何配置冗余组,以监控可通过群集中任一节点上的冗余以太网接口访问的关键上游资源。

您将系统设置为每秒发送一次 ping,需要 10 次丢包才能向对等方声明无法访问。您还可以设置辅助 IP 地址,以便从辅助节点进行测试。

在此示例中,您为冗余组 1 配置以下设置:

  • 要监控的 IP 地址 - 192.0.2.2、198.51.100.2、203.0.113.2

  • IP 监控 全局权重 - 255

  • IP 监控 全局阈值 - 240

  • IP 监控重试间隔 — 3 秒

  • IP 监控 重试计数 - 10

  • 受监控 IP 地址的权重 - 80

  • 辅助 IP 地址 — 192.0.2.12、198.51.100.12、203.0.113.12

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息以匹配您的网络配置,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit

在 10x10GE SFP+ MIC 上配置 IP 监控

分步过程

要在 10x10GE SFP+ MIC 上配置 IP 监控:

  1. 指定冗余以太网接口的数量。

  2. 配置控制端口。

  3. 配置交换矩阵接口。

  4. 指定冗余组在群集的每个节点上的优先优先级。数字越大越优先。

  5. 在冗余组 1 下配置 IP 监控,包括全局权重、全局阈值、重试间隔和重试次数。

  6. 将冗余以太网接口配置为冗余组 1。为要监控的 IP 地址分配权重,并配置一个辅助 IP 地址,该地址将用于从辅助节点发送数据包以跟踪被监控的 IP 地址。

  7. 为节点 0、节点 1 和节点 2 中的冗余以太网接口分配子接口。

  8. 将冗余以太网接口配置为冗余组 1。

  9. 创建安全区域并将接口分配到该区域。

结果

在配置模式下,输入 show security chassis clustershow interfaces 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 IP 监控状态

目的

验证两个节点正在监视的 IP 状态以及两个节点的故障计数。

行动

在作模式下,输入 show chassis cluster ip-monitoring status 命令。

意义

所有受监控的 IP 地址都是可访问的。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
15.1X49-D60
从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始,SRX5000 系列设备支持配置地址解析协议 (ARP) 请求限制。
12.1X46-D35
从 Junos OS 12.1X46-D35 版和 Junos OS 17.3R1 版开始,对于所有 SRX 系列防火墙,reth 接口均支持代理 ARP。