监控机箱群集上的 IP 地址

IP 监控可检查配置的 IP 地址的端到端连接，当受监控 IP 地址无法通过冗余以太网 （reth） 接口到达时，允许冗余组自动执行故障切换。机箱集群中的主节点和辅助节点都监控特定 IP 地址，以确定是否可以到达网络的上游设备。

IP 监控允许根据配置的受监控 IP 地址的端到端可达性进行故障切换。在 SRX 系列设备上，可以通过 reth 接口向主节点和辅助节点的受监控 IP 地址发送 ping，并检查是否返回响应，以完成可达性测试。受监控 IP 地址可位于与 reth 接口相同的子网中的直接连接主机上，也可位于可通过下一跃点路由器到达的远程设备上。

所监控 IP 地址的可达性状态不可访问、无法到达且未知。如果数据包转发引擎尚未启动并运行，则状态为"未知"。状态将改变为"可达"或"不可访问"，具体取决于来自"可访问"数据包转发引擎。

不建议在 SRX 系列设备的冗余组 0 （RG0） 上配置机箱群集 IP 监控。

表 1 提供了主节点和辅助节点不同受监控结果组合的详细信息，以及 瞻博网络 服务冗余协议 （jsrpd） 进程的相应操作。

表 1：IP 监控结果和故障切换操作

主节点监控状态	辅助节点监控状态	故障切换操作
到达	到达	无操作
遥 不可 及	到达	故障
到达	遥 不可 及	无操作
遥 不可 及	遥 不可 及	无操作

• 您可以在 SRX5000 系列设备上配置多达 64 个 IP 地址用于 IP 监控。

• 在 SRX Branch 系列设备上，如果 reth 接口配置了多个物理接口，则不支持对冗余组的 IP 监控。SRX 使用捆绑包中最低的接口在辅助节点上跟踪。如果对等方将回复转发到其他任何端口上，但接收该端口的端口除外，则 SRX 会丢弃此回复。

• IP 监控的最小间隔为 1 秒，最大为 30 秒。默认间隔为 1 秒。

• IP 监控的最小阈值为 5 个请求，最大为 15 个请求。如果 IP 监控请求连续请求（超过阈值）未收到响应，则 IP 监控报告受监控 IP 不可访问。阈值的默认值为 5。

• 支持与 IP 监控和配置中的冗余组 （RG） CLI Reth 接口。

表 2 提供了关于 IOC2 和 IOC3 的多种接口组合以及最大 MAC 编号的详细信息。

表 2： IOC2 和 IOC3 上支持 IP 监控的最大 MAC 数

卡	接口	IP 监控支持的最大 MAC 数
IOC2 （SRX5K-MPC）	10XGE	10
	20GE	20
	2 个 40GE	2
	1 个 100GE	1
IOC3（SRX5K-MPC3-40G10G 或 SRX5K-MPC3-100G10G）	24 个 10GE	24
	6 个 40GE	6
	2 个 100GE + 4 个 10GE	6

请注意，SRX5000 系列 IOC2 和 IOC3 上的 IP 监控支持存在以下限制：

• 通过 reth 或 RLAG 接口支持 IP 监控。如果配置未指定其中任何一个接口，则路由查找将返回一个非 reth/RLAG 接口，这会导致故障报告。

• IP 监控中不支持等价多路径 （ECMP） 路由。

冗余组 IP 地址监控可检查端到端连接，由于冗余以太网接口（称为 reth）无法到达配置的 IP 地址，允许冗余组进行故障切换。群集中两台设备上的冗余组可配置为监控特定 IP 地址，以确定是否可到达网络的上游设备。可以配置冗余组，这样一来，如果受监控 IP 地址变得不可访问，冗余组将故障切换至其备份以维护服务。此监控功能与接口监控之间的主要差别在于，当接口仍在打开但所连接的网络设备因故无法到达时，IP 地址监控允许进行故障切换。在这种情况下，集群中的另一个节点可以围绕问题路由流量。

如果您希望降低因 IP 地址监控故障而发生的故障切换，请使用 语句 hold-down-interval 。

IP 地址监控配置不仅允许您设置要监控的地址及其故障切换重量，还允许您设置全局 IP 地址监控阈值和重量。只有在 IP 地址监控全局阈值因累积监控的地址可达性失败而达到后，IP 地址监控全局权重值才能从冗余组的故障切换阈值中扣除。因此，可同时监控多个地址并监控这些地址，以体现它们对于保持信息流的重要性。此外，不可访问且随后再次接触的 IP 地址的阈值将恢复为监控阈值。但是，除非已启用抢占选项，否则不会导致故障回电。

配置时，IP 地址监控故障切换值（全局权重）与接口监控（如果已设置）和内置故障切换监控一起考虑，包括 SPU 监控、冷同步监控和 NPC 监控（在支持的平台上）。应监控的主要 IP 地址是路由器网关地址，以确保进入服务网关的有效信息流可转发至相应的网络路由器。

从 Junos OS 12.1X46-D35 Junos OS和 17.3R1 开始，对于所有 SRX 系列设备，reth 接口都支持代理 ARP。

每个节点指定一个服务处理单元 （SPU） 或 数据包转发引擎 （PFE） 为群集上的受监控 IP 地址发送互联网控制消息协议 （ICMP） ping 数据包。主 PFE 使用地址解析协议 （ARP） 请求发送由 路由引擎 （RE） 解决的 ping 数据包。这些 ping 的源是冗余以太网接口 MAC 和 IP 地址。辅助 PFE 可解决受监控 IP 地址本身的 ARP 请求。这些 ping 的源是物理子层MAC 地址和冗余以太网接口上配置的辅助 IP 地址。对于在辅助接口上接收的 ping 回复，I/O 卡 （IOC）、中央 PFE 处理器或 Flex IOC 会将物理子层 MAC 地址 和冗余以太网接口 MAC 地址 添加到 MAC 表中。次要 PFE 响应物理子层MAC 地址发送至冗余以太网接口上配置的辅助 IP 地址的 ARP 请求。

注意：

如果冗余以太网接口配置为 VPN 路由和转发 （VRF） 实例，则 SRX5000 系列设备不支持 IP 地址监控。

检查受监控 IP 地址是否可达性的默认间隔为每秒一次。您可使用 命令调整间隔 retry-interval 时间。连续失败 ping 尝试允许的默认数量为 5。可以使用 命令调整连续失败的 ping 尝试次数 retry-count 。连续多次配置尝试无法到达受监控 IP 地址后，将确定 IP 地址不可访问，并且从冗余组的全局阈值中扣除其故障切换值。

在 SRX5600 和 SRX5800 设备上，40 端口 1 千兆位以太网 I/O 卡 （IPC） 上每个 PIC 上的 10 个端口中只有两个端口可同时启用 IP 地址监控。由于每个 IOC 有四个 IOC，因此总共允许监控每个 IOC 八个端口。如果将 40 端口 1 千兆位以太网 IIC 上每个 PIC 的两个以上端口配置为 IP 地址监控，则提交将成功，但将生成日志条目，并且无法确保 IP 地址监控的准确性和稳定性。此限制不适用于任何其他 IPC 或设备。

一旦确定 IP 地址不可到达，其权重将从全局阈值中扣除。如果重新计算的全局阈值值不是 0，则 IP 地址将被标记为不可访问，但是不会从冗余组的阈值中扣除全局权重。如果冗余组 IP 监控全局阈值达到 0 且有不可访问的 IP 地址，冗余组将在节点之间持续故障转移和故障回电，直到无法到达的 IP 地址变得可用，或者配置更改会从监控中删除不可访问的 IP 地址。请注意，默认和配置的"抑制间隔故障转移"衰减仍然有效。

每个冗余组 x 都有一个阈值容限值，初始设置为 255。当由冗余组 x 监控的 IP 地址不可用时，从冗余组 x 的阈值中减去 其权重。当冗余组 x 的阈值达到 0 时，其故障将到达另一个节点。例如，如果冗余组 1 在节点 0 上是主组，在阈值交叉事件上，冗余组 1 在节点 1 上变为主组。在这种情况下，冗余组 1 的冗余以太网接口的所有子接口开始处理信息流。

冗余组 x 故障切换发生是因为冗余组 x 的受监控 IP 地址的累积权重和其他监控将阈值提高至 0。当两个节点上的冗余组 x 的受监控 IP 地址同时达到其阈值时，冗余组 x 在具有较低节点 ID 的节点上是主设备，通常是节点 0。

SRX 系列设备 支持机箱集群 的上游设备故障检测。

从 Junos OS 15.1X49-D60 和 Junos OS 17.3R1 开始，SRX5000 系列设备支持配置地址解析协议 （ARP） 请求限制。此功能允许您绕过先前硬编码的 ARP 请求限制时间默认值（每个 IP 地址每个 SPU 10 秒），并且将时间设置为更大的值（10 到 100 秒）。将节流时间设置为更高的值可减少网络的高利用率路由引擎从而更高效地工作。您可以使用 命令配置 ARP set forwarding-options next-hop arp-throttle <seconds> 请求限制时间。

只有在冗余以太网接口（CLI 命令和接口清单中称为 reth）上可以到达 IP 地址且 IP 地址无法通过隧道进行监控时，监控才能完成。要通过辅助群集节点上的冗余以太网接口监控 IP 地址，接口必须配置辅助 IP 地址。IP 地址监控不能在以透明模式运行的机箱群集上使用。每个群集可配置的最大监控 IP 地址数为 SRX5000 系列设备、SRX1500 系列SRX4000 64。

IPv6 目标不支持冗余组 IP 地址监控。

此示例演示如何为机箱集群中的 SRX 系列设备配置冗余组 IP 地址监控。

此示例演示如何在启用了机箱群集的 SRX5000 系列设备上监控 IP 地址。