监控机箱群集上的 IP 地址

IP 监控检查已配置 IP 地址的端到端连接，并允许冗余组在无法通过冗余以太网 （reth） 接口访问受监控的 IP 地址时自动进行故障转移。机箱群集中的主节点和辅助节点都会监控特定 IP 地址，以确定网络中的上游设备是否可访问。

IP 监控允许基于配置的受监控 IP 地址的端到端可访问性进行故障转移。在 SRX 系列防火墙上，可访问性测试是通过 reth 接口从主节点和辅助节点向受监控的 IP 地址发送 ping 并检查是否返回响应来完成的。受监控的 IP 地址可以位于与 reth 接口位于同一子网中的直接连接的主机上，也可以位于可通过下一跃点路由器访问的远程设备上。

受监视 IP 地址的可访问性状态为“可访问”、“无法访问”和“未知”。如果数据包转发引擎尚未启动并运行，则状态为“未知”。状态将更改为“可访问”或“无法访问”，具体取决于来自数据包转发引擎的相应消息。

建议不要在 SRX 系列防火墙的冗余组 0 （RG0） 上配置机箱群集 IP 监控。

表 1 详细介绍了主节点和辅助节点的不同监控结果组合，以及瞻博网络服务冗余协议 （jsrpd） 流程的相应操作。

表 1：IP 监控结果和故障切换操作

主节点监控状态	辅助节点监控状态	故障转移操作
到达	到达	无操作
遥 不可 及	到达	故障
到达	遥 不可 及	无操作
遥 不可 及	遥 不可 及	无操作

• 您最多可以配置 64 个 IP 地址，以便在SRX5000线路设备上进行 IP 监控。

• 在 SRX 分支系列设备上，当 reth 接口配置了多个物理接口时，不支持对冗余组进行 IP 监控。SRX 使用捆绑包中最低的接口在辅助节点上进行跟踪。如果对等方在收到回复的端口之外的任何其他端口上转发回复，SRX 将丢弃该回复。

• IP 监控的最小间隔为 1 秒，最大间隔为 30 秒。默认间隔为 1 秒。

• IP 监控的最小阈值为 5 个请求，最大值为 15 个请求。如果 IP 监控请求未收到连续请求的响应（超过阈值），则 IP 监控报告无法访问受监控的 IP。阈值的默认值为 5。

• 支持 IP 监控 CLI 配置中未与冗余组 （RG） 关联的 Reth 接口。

表 2 提供了具有最大 MAC 编号的 IOC2 和 IOC3 的多个接口组合的详细信息。

表 2：IOC2 和 IOC3 上的 IP 监控支持的最大 MAC 数

卡	接口	IP 监控支持的最大 MAC 数
IOC2 （SRX5K-MPC）	10XGE	10
	20GE	20
	2X40GE	2
	1X100GE	1
IOC3（SRX5K-MPC3-40G10G 或 SRX5K-MPC3-100G10G）	24x10GE	24
	6x40GE	6
	2x100GE + 4x10GE	6

请注意SRX5000线路 IOC2 和 IOC3 上的 IP 监控支持存在以下限制：

• 通过 reth 或 RLAG 接口支持 IP 监控。如果您的配置未指定这些接口中的任何一个，路由查找将返回非 reth/RLAG 接口，从而导致故障报告。

• IP 监控不支持等价多路径 （ECMP） 路由。

冗余组 IP 地址监控检查端到端连接，并允许冗余组进行故障转移，因为冗余以太网接口（称为 reth）无法访问配置的 IP 地址。可以将群集中两台设备上的冗余组配置为监控特定 IP 地址，以确定网络中的上游设备是否可访问。可以配置冗余组，以便在无法访问受监视的 IP 地址时，冗余组将故障转移到其备份以维持服务。此监控功能与接口监控之间的主要区别在于，IP 地址监控允许在接口仍处于打开状态但由于某种原因无法访问其连接到的网络设备时进行故障转移。在这些情况下，群集中的另一个节点可能会围绕问题路由流量。

如果要抑制由于 IP 地址监视失败而发生的故障转移，请使用该 hold-down-interval 语句。

IP 地址监控配置不仅允许您设置要监控的地址及其故障转移权重，还可以设置全局 IP 地址监控阈值和权重。只有在由于累积监控地址可达性故障而达到 IP 地址监控全局阈值后，才会从冗余组的故障转移阈值中扣除监控全局权重值的 IP 地址。因此，可以同时监控和监控多个地址，以反映它们对维护流量的重要性。此外，无法访问然后再次变得可访问的 IP 地址的阈值将还原到监视阈值。但是，除非启用了抢占选项，否则这不会导致故障回复。

配置后，将考虑 IP 地址监控故障切换值（全局权重）以及接口监控（如果已设置）和内置故障切换监控，包括 SPU 监控、冷同步监控和 NPC 监控（在支持的平台上）。应监控的主要 IP 地址是路由器网关地址，以确保进入服务网关的有效流量可以转发到相应的网络路由器。

从 Junos OS 12.1X46-D35 版和 Junos OS 17.3R1 版开始，对于所有 SRX 系列防火墙，reth 接口都支持代理 ARP。

为每个节点指定一个服务处理单元 （SPU） 或数据包转发引擎 （PFE），为群集上受监控的 IP 地址发送互联网控制消息协议 （ICMP） ping 数据包。主 PFE 使用路由引擎 （RE） 解析的地址解析协议 （ARP） 请求发送 ping 数据包。这些 ping 的来源是冗余以太网接口 MAC 和 IP 地址。辅助 PFE 解析受监控 IP 地址本身的 ARP 请求。这些 ping 的源是在冗余以太网接口上配置的物理子 MAC 地址和辅助 IP 地址。为了在辅助接口上接收 ping 回复，I/O 卡 （IOC）、中央 PFE 处理器或 Flex IOC 会将物理子 MAC 地址和冗余以太网接口 MAC 地址添加到其 MAC 表中。辅助 PFE 使用物理子 MAC 地址响应发送到冗余以太网接口上配置的辅助 IP 地址的 ARP 请求。

注意：

如果为 VPN 路由和转发 （VRF） 实例配置了冗余以太网接口，则SRX5000线路设备不支持 IP 地址监控。

检查受监控 IP 地址的可访问性的默认间隔为每秒一次。可以使用命令 retry-interval 调整间隔。允许的连续失败 ping 尝试的默认次数为 5。可以使用命令 retry-count 调整允许的连续失败 ping 尝试次数。在配置的连续尝试次数内未能到达受监控的 IP 地址后，将确定该 IP 地址无法访问，并从冗余组的全局阈值中扣除其故障切换值。

在 SRX5600 和 SRX5800 设备上，40 端口 1 Gb 以太网 I/O 卡 （IOC） 的每个 PIC 上的 10 个端口中只有 2 个可以同时启用 IP 地址监控。由于每个 IOC 有四个 PIC，因此允许监视每个 IOC 总共八个端口。如果在 40 端口 1 Gb 以太网 IOC 上为每个 PIC 配置了两个以上的端口进行 IP 地址监控，则提交将成功，但会生成日志条目，无法保证 IP 地址监控的准确性和稳定性。此限制不适用于任何其他 IOC 或设备。

一旦确定 IP 地址无法访问，就会从全局阈值中扣除其权重。如果重新计算的全局阈值不为 0，则会将 IP 地址标记为无法访问，但不会从冗余组的阈值中扣除全局权重。如果冗余组 IP 监控全局阈值达到 0，并且存在无法访问的 IP 地址，则冗余组将在节点之间不断进行故障转移和故障回复，直到无法访问的 IP 地址或配置更改从监控中删除无法访问的 IP 地址。请注意，默认和配置的抑制间隔故障转移抑制仍然有效。

每个冗余组 x 的阈值容差值最初设置为 255。当冗余组 x 监控的 IP 地址不可用时，将从冗余组 x 的阈值中减去其权重。当冗余组 x 的阈值达到 0 时，它会故障转移到另一个节点。例如，如果冗余组 1 在节点 0 上是主组，则在阈值交叉事件中，冗余组 1 将成为节点 1 上的主组。在这种情况下，冗余组 1 的冗余以太网接口的所有子接口都将开始处理流量。

发生冗余组 x 故障转移的原因是冗余组 x 的受监视 IP 地址和其他监视的累积权重已将其阈值变为 0。当两个节点上冗余组 x 的受监控 IP 地址同时达到其阈值时，冗余组 x 在节点 ID 较低的节点（通常为节点 0）上为主。

SRX 系列防火墙支持 机箱群集 功能的上游设备故障检测。

从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始，SRX5000系列设备都支持配置地址解析协议 （ARP） 请求限制。此功能允许您绕过以前硬编码的 ARP 请求限制时间默认值（每个 IP 地址的每个 SPU 10 秒），并将时间设置为更大的值（10 到 100 秒）。将限制时间设置为更大的值会降低路由引擎的高利用率，使其更高效地工作。您可以使用命令 set forwarding-options next-hop arp-throttle <seconds> 配置 ARP 请求限制时间。

仅当 IP 地址可在冗余以太网接口（在 CLI 命令和接口列表中称为 reth）上访问且无法通过隧道监控 IP 地址时，才能完成监控。对于要通过辅助群集节点上的冗余以太网接口监控的 IP 地址，该接口必须配置辅助 IP 地址。不能在透明模式下运行的机箱群集上使用 IP 地址监控。对于SRX5000系列设备、SRX1500、SRX1600、SRX2300 和 SRX4000 系列设备，每个群集可配置的最大监控 IP 地址数为 64。

IPv6 目标不支持冗余组 IP 地址监控。

此示例说明如何为机箱群集中的 SRX 系列防火墙配置冗余组 IP 地址监控。

此示例说明如何监控启用了机箱群集的 SRX5000 系列设备上的 IP 地址。