Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监控机箱群集上的 IP 地址

冗余组 IP 地址监控可检查端到端连接,当 reth 接口无法到达配置的 IP 地址时,允许冗余组进行故障切换。群集中两台设备上的冗余组可配置为监控特定 IP 地址,以确定是否可到达网络的上游设备。有关详细信息,请参阅以下主题:

IP 监控概述

IP 监控可检查配置的 IP 地址的端到端连接,当受监控 IP 地址无法通过冗余以太网 (reth) 接口到达时,允许冗余组自动执行故障切换。机箱集群中的主节点和辅助节点都监控特定 IP 地址,以确定是否可以到达网络的上游设备。

IP 监控允许根据配置的受监控 IP 地址的端到端可达性进行故障切换。在 SRX 系列设备上,可以通过 reth 接口向主节点和辅助节点的受监控 IP 地址发送 ping,并检查是否返回响应,以完成可达性测试。受监控 IP 地址可位于与 reth 接口相同的子网中的直接连接主机上,也可位于可通过下一跃点路由器到达的远程设备上。

所监控 IP 地址的可达性状态不可访问、无法到达且未知。如果数据包转发引擎尚未启动并运行,则状态为"未知"。状态将改变为"可达"或"不可访问",具体取决于来自"可访问"数据包转发引擎。

不建议在 SRX 系列设备的冗余组 0 (RG0) 上配置机箱群集 IP 监控。

表 1 提供了主节点和辅助节点不同受监控结果组合的详细信息,以及 瞻博网络 服务冗余协议 (jsrpd) 进程的相应操作。

表 1:IP 监控结果和故障切换操作

主节点监控状态

辅助节点监控状态

故障切换操作

到达

到达

无操作

遥 不可 及

到达

故障

到达

遥 不可 及

无操作

遥 不可 及

遥 不可 及

无操作

  • 您可以在 SRX5000 系列设备上配置多达 64 个 IP 地址用于 IP 监控。

  • 在 SRX Branch 系列设备上,如果 reth 接口配置了多个物理接口,则不支持对冗余组的 IP 监控。SRX 使用捆绑包中最低的接口在辅助节点上跟踪。如果对等方将回复转发到其他任何端口上,但接收该端口的端口除外,则 SRX 会丢弃此回复。

  • IP 监控的最小间隔为 1 秒,最大为 30 秒。默认间隔为 1 秒。

  • IP 监控的最小阈值为 5 个请求,最大为 15 个请求。如果 IP 监控请求连续请求(超过阈值)未收到响应,则 IP 监控报告受监控 IP 不可访问。阈值的默认值为 5。

  • 支持与 IP 监控和配置中的冗余组 (RG) CLI Reth 接口。

表 2 提供了关于 IOC2 和 IOC3 的多种接口组合以及最大 MAC 编号的详细信息。

表 2: IOC2 和 IOC3 上支持 IP 监控的最大 MAC 数

接口

IP 监控支持的最大 MAC 数

IOC2 (SRX5K-MPC)

10XGE

10

20GE

20

2 个 40GE

2

1 个 100GE

1

IOC3(SRX5K-MPC3-40G10G 或 SRX5K-MPC3-100G10G)

24 个 10GE

24

6 个 40GE

6

2 个 100GE + 4 个 10GE

6

请注意,SRX5000 系列 IOC2 和 IOC3 上的 IP 监控支持存在以下限制:

  • 通过 reth 或 RLAG 接口支持 IP 监控。如果配置未指定其中任何一个接口,则路由查找将返回一个非 reth/RLAG 接口,这会导致故障报告。

  • IP 监控中不支持等价多路径 (ECMP) 路由。

在机箱群集中监控 IP 地址的好处

  • 有助于确定机箱群集设置中特定 IP 地址的状态为未知、不可访问或不可访问。

  • 根据配置的受监控 IP 地址的端到端可达性启动故障切换。如果受监控的 IP 地址变得不可访问,冗余组可以故障切换至其备份来维护服务。

了解机箱群集冗余组 IP 地址监控

冗余组 IP 地址监控可检查端到端连接,由于冗余以太网接口(称为 reth)无法到达配置的 IP 地址,允许冗余组进行故障切换。群集中两台设备上的冗余组可配置为监控特定 IP 地址,以确定是否可到达网络的上游设备。可以配置冗余组,这样一来,如果受监控 IP 地址变得不可访问,冗余组将故障切换至其备份以维护服务。此监控功能与接口监控之间的主要差别在于,当接口仍在打开但所连接的网络设备因故无法到达时,IP 地址监控允许进行故障切换。在这种情况下,集群中的另一个节点可以围绕问题路由流量。

如果您希望降低因 IP 地址监控故障而发生的故障切换,请使用 语句 hold-down-interval

IP 地址监控配置不仅允许您设置要监控的地址及其故障切换重量,还允许您设置全局 IP 地址监控阈值和重量。只有在 IP 地址监控全局阈值因累积监控的地址可达性失败而达到后,IP 地址监控全局权重值才能从冗余组的故障切换阈值中扣除。因此,可同时监控多个地址并监控这些地址,以体现它们对于保持信息流的重要性。此外,不可访问且随后再次接触的 IP 地址的阈值将恢复为监控阈值。但是,除非已启用抢占选项,否则不会导致故障回电。

配置时,IP 地址监控故障切换值(全局权重)与接口监控(如果已设置)和内置故障切换监控一起考虑,包括 SPU 监控、冷同步监控和 NPC 监控(在支持的平台上)。应监控的主要 IP 地址是路由器网关地址,以确保进入服务网关的有效信息流可转发至相应的网络路由器。

从 Junos OS 12.1X46-D35 Junos OS和 17.3R1 开始,对于所有 SRX 系列设备,reth 接口都支持代理 ARP。

每个节点指定一个服务处理单元 (SPU) 或 数据包转发引擎 (PFE) 为群集上的受监控 IP 地址发送互联网控制消息协议 (ICMP) ping 数据包。主 PFE 使用地址解析协议 (ARP) 请求发送由 路由引擎 (RE) 解决的 ping 数据包。这些 ping 的源是冗余以太网接口 MAC 和 IP 地址。辅助 PFE 可解决受监控 IP 地址本身的 ARP 请求。这些 ping 的源是物理子层MAC 地址和冗余以太网接口上配置的辅助 IP 地址。对于在辅助接口上接收的 ping 回复,I/O 卡 (IOC)、中央 PFE 处理器或 Flex IOC 会将物理子层 MAC 地址 和冗余以太网接口 MAC 地址 添加到 MAC 表中。次要 PFE 响应物理子层MAC 地址发送至冗余以太网接口上配置的辅助 IP 地址的 ARP 请求。

注意:

如果冗余以太网接口配置为 VPN 路由和转发 (VRF) 实例,则 SRX5000 系列设备不支持 IP 地址监控。

检查受监控 IP 地址是否可达性的默认间隔为每秒一次。您可使用 命令调整间隔 retry-interval 时间。连续失败 ping 尝试允许的默认数量为 5。可以使用 命令调整连续失败的 ping 尝试次数 retry-count 。连续多次配置尝试无法到达受监控 IP 地址后,将确定 IP 地址不可访问,并且从冗余组的全局阈值中扣除其故障切换值。

在 SRX5600 和 SRX5800 设备上,40 端口 1 千兆位以太网 I/O 卡 (IPC) 上每个 PIC 上的 10 个端口中只有两个端口可同时启用 IP 地址监控。由于每个 IOC 有四个 IOC,因此总共允许监控每个 IOC 八个端口。如果将 40 端口 1 千兆位以太网 IIC 上每个 PIC 的两个以上端口配置为 IP 地址监控,则提交将成功,但将生成日志条目,并且无法确保 IP 地址监控的准确性和稳定性。此限制不适用于任何其他 IPC 或设备。

一旦确定 IP 地址不可到达,其权重将从全局阈值中扣除。如果重新计算的全局阈值值不是 0,则 IP 地址将被标记为不可访问,但是不会从冗余组的阈值中扣除全局权重。如果冗余组 IP 监控全局阈值达到 0 且有不可访问的 IP 地址,冗余组将在节点之间持续故障转移和故障回电,直到无法到达的 IP 地址变得可用,或者配置更改会从监控中删除不可访问的 IP 地址。请注意,默认和配置的"抑制间隔故障转移"衰减仍然有效。

每个冗余组 x 都有一个阈值容限值,初始设置为 255。当由冗余组 x 监控的 IP 地址不可用时,从冗余组 x 的阈值中减去 权重。当冗余组 x 的阈值达到 0 时,其故障将到达另一个节点。例如,如果冗余组 1 在节点 0 上是主组,在阈值交叉事件上,冗余组 1 在节点 1 上变为主组。在这种情况下,冗余组 1 的冗余以太网接口的所有子接口开始处理信息流。

冗余组 x 故障切换发生是因为冗余组 x 的受监控 IP 地址的累积权重和其他监控将阈值提高至 0。当两个节点上的冗余组 x 的受监控 IP 地址同时达到其阈值时,冗余组 x 在具有较低节点 ID 的节点上是主设备,通常是节点 0。

SRX 系列设备 支持机箱集群 的上游设备故障检测。

从 Junos OS 15.1X49-D60 和 Junos OS 17.3R1 开始,SRX5000 系列设备支持配置地址解析协议 (ARP) 请求限制。此功能允许您绕过先前硬编码的 ARP 请求限制时间默认值(每个 IP 地址每个 SPU 10 秒),并且将时间设置为更大的值(10 到 100 秒)。将节流时间设置为更高的值可减少网络的高利用率路由引擎从而更高效地工作。您可以使用 命令配置 ARP set forwarding-options next-hop arp-throttle <seconds> 请求限制时间。

只有在冗余以太网接口(CLI 命令和接口清单中称为 reth)上可以到达 IP 地址且 IP 地址无法通过隧道进行监控时,监控才能完成。要通过辅助群集节点上的冗余以太网接口监控 IP 地址,接口必须配置辅助 IP 地址。IP 地址监控不能在以透明模式运行的机箱群集上使用。每个群集可配置的最大监控 IP 地址数为 SRX5000 系列设备、SRX1500 系列SRX4000 64。

IPv6 目标不支持冗余组 IP 地址监控。

示例:配置机箱群集冗余组 IP 地址监控

此示例演示如何为机箱集群中的 SRX 系列设备配置冗余组 IP 地址监控。

要求

开始之前:

概述

您可以配置冗余组,通过 ping 通过集群中任一节点上的冗余以太网接口到达的特定 IP 地址,来监控上游资源。您还可以为冗余组配置全局阈值、权重、重试间隔和重试计数参数。当受监控 IP 地址变得无法到达时,将从冗余组 IP 地址监控全局阈值中扣除该受监控 IP 地址的重量。当全局阈值达到 0 时,将从冗余组阈值中扣除全局权重。重试间隔确定冗余组监控的每个 IP 地址的 ping 间隔时间。在提交配置后,会立即发送 ping。重试计数可设置冗余组监控的每个 IP 地址允许的连续 ping 失败次数。

此示例为冗余组 1 配置以下设置:

  • 要监控的 IP 地址 — 10.1.1.10

  • IP 地址监控全局权重 — 100

  • IP 地址监控全局阈值 — 200

    阈值累积应用于冗余组监控的所有 IP 地址。

  • IP 地址重试间隔 — 3 秒

  • IP 地址重试计数 — 10

  • 重量 — 100

  • 冗余以太网接口 — reth1.0

  • 二级 IP 地址 — 10.1.1.101

配置

程序

CLI快速配置

[edit]commit快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

要配置冗余组 IP 地址监控:

  1. 指定全局监控权重。

  2. 指定全局监控阈值。

  3. 指定重试间隔时间。

  4. 指定重试计数。

  5. 指定要监控的 IP 地址、权重、冗余以太网接口和辅助 IP 地址。

结果

在配置模式下,输入 命令以确认您的 show chassis cluster redundancy-group 1 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

为简洁起见,此命令 show 输出仅包含与此示例相关的配置。系统上的其他任何配置已替换为椭圆 (...)。

如果完成设备配置,请从配置 commit 模式输入 。

验证

验证冗余组的受监控 IP 地址状态

目的

验证冗余组的受监控 IP 地址状态。

行动

在操作模式下,输入 show chassis cluster ip-monitoring status 命令。有关特定组的信息,请输入 命令 show chassis cluster ip-monitoring status redundancy-group

示例:在适用于 IOC2 和 IOC3 的 SRX5000 系列设备上配置 IP 监控

此示例演示如何在启用了机箱群集的 SRX5000 系列设备上监控 IP 地址。

要求

此示例使用以下硬件和软件:

  • 两SRX5400台带 MIC (SRX-MIC-10XG-SFPP [IOC2] 的以太网服务网关)和一台以太网交换机

  • Junos OS版本15.1X49-D30

此示例中提及的过程也适用于 IOC3。

开始之前:

  • 物理连接两SRX5400设备(用于交换矩阵和控制端口的从后至后)。

  • 将两个设备配置为在机箱集群中运行。

概述

IP 地址监控可检查配置的 IP 地址的端到端可达性,允许冗余组在通过冗余以太网 (reth) 接口的子链路无法到达时自动进行故障切换。群集中的两台设备或节点上的冗余组可配置为监控特定 IP 地址,以确定是否可到达网络的上游设备。

拓扑

此示例将机箱集群SRX5400台设备连接到以太网交换机。示例说明了如何配置冗余组以监控可通过集群中任一节点上的冗余以太网接口到达的关键上游资源。

您可将系统设置为每秒发送 ping,并声明对等方不可访问性所需的 10 个损失。您也可设置辅助 IP 地址以允许从辅助节点测试。

此示例为冗余组 1 配置以下设置:

  • 要监控的 IP 地址 — 192.0.2.2、198.51.100.2、203.0.113.2

  • IP 监控全球重量 — 255

  • IP 监控全局阈值 — 240

  • IP 监控重试间隔 — 3 秒

  • IP 监控重试计数 — 10

  • 监控 IP 地址的重量 — 80

  • 二级 IP 地址 — 192.0.2.12、198.51.100.12、203.0.113.12

配置

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI [edit] commit 中,然后从配置模式进入 。

在 10x10GE SFP+ MIC 上配置 IP 监控

逐步过程

要配置 10x10GE SFP+ MIC 上的 IP 监控:

  1. 指定冗余以太网接口的数量。

  2. 配置控制端口。

  3. 配置结构接口。

  4. 指定冗余组在群集每个节点上的计算优先级。数字越高,优先级越高。

  5. 在冗余组 1 下配置 IP 监控,包括全局权重、全局阈值、重试间隔和重试计数。

  6. 将冗余以太网接口配置为冗余组 1。为要监控的 IP 地址分配权重,并配置一个辅助 IP 地址,用于从辅助节点发送数据包以跟踪正在监控的 IP 地址。

  7. 为节点 0、节点 1 和节点 2 的冗余以太网接口分配子接口。

  8. 将冗余以太网接口配置为冗余组 1。

  9. 创建安全区域并将接口分配给区域。

结果

在配置模式下,输入 和 命令以确认 show security chassis cluster 您的 show interfaces 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

确认配置工作正常。

验证 IP 监控状态

目的

验证两个节点正在监控的 IP 状态以及两个节点的故障计数。

行动

在操作模式下,输入 show chassis cluster ip-monitoring status 命令。

意义

所有受监控 IP 地址均可以到达。

版本历史记录表
释放
描述
15.1X49-D60
从 Junos OS 15.1X49-D60 和 Junos OS 17.3R1 开始,SRX5000 系列设备支持配置地址解析协议 (ARP) 请求限制。
12.1X46-D35
从 Junos OS 12.1X46-D35 Junos OS和 17.3R1 开始,对于所有 SRX 系列设备,reth 接口都支持代理 ARP。