机箱群集上的组播路由和非对称路由
机箱群集中的组播路由支持允许不同的组播协议跨接口向多个接收方发送流量。非对称路由是指数据包从源主机到目标主机,但路径与从目标主机到源主机的数据包路径不同。有关更多信息,请参阅以下主题:
了解机箱群集上的组播路由
机箱群集中节点的组播路由支持允许组播协议(如协议无关组播 (PIM) 版本 1 和 2、互联网组管理协议 (IGMP)、会话公告协议 (SAP) 和距离矢量组播路由协议 (DVMRP))跨群集中的接口发送流量。但请注意,不应在机箱管理接口 (fxp0) 或交换矩阵接口 (fab0 和 fab1)上启用组播协议。组播会话在群集中同步,并在冗余组故障转移期间进行维护。故障转移期间,与其他类型的流量一样,可能会有一些组播数据包丢失。
机箱群集中的组播数据转发使用传入接口来确定会话是否保持活动状态。如果叶会话的传出接口在对等节点上,而不是在传入接口的节点上,则数据包将被转发至对等节点。机箱群集上的组播路由支持传入和传出接口的隧道。
组播流量在流量流中具有上游(朝向源)和下游(朝向订阅者)的方向。设备将单个组播数据包复制(扇出)到包含订阅者的多个网络。在机箱群集环境中,组播数据包扇出可以在任一节点上处于活动状态。
如果传入接口在当前节点上处于活动状态,并在对等节点上备份,则会话在当前节点上处于活动状态,并在对等节点上备份。
机箱群集上的组播配置与独立设备上的组播配置相同。有关更多信息,请参阅 《组播协议用户指南 》。
了解 PIM 数据转发
设备之间使用协议无关组播 (PIM) 来跟踪要转发给彼此的组播数据包。
PIM 会话将组播数据封装到 PIM 单播数据包中。PIM 会话创建以下会话:
控制会话
数据会话
数据会话保存控制会话 ID。控制会话和数据会话独立关闭。传入接口用于确定 PIM 会话是否处于活动状态。如果传出接口在对等节点上处于活动状态,则数据包将被传输至对等节点进行传输。
了解组播和 PIM 会话同步
同步组播和 PIM 会话有助于防止由于故障转移而导致的数据包丢失,因为在发生故障转移时不需要再次设置会话。
在 PIM 会话中,控制会话将同步到备份节点,然后同步数据会话。
在组播会话中,模板会话同步到对等节点,然后同步所有叶会话,最后再次同步模板会话。
另见
了解机箱群集上的非对称路由
您可以在机箱群集非对称路由场景中使用 SRX 系列防火墙(参见 图 1)。节点接收的流量将与该节点的会话表进行匹配。此查找的结果将确定该节点是处理数据包还是通过结构链路将其转发给其他节点。会话锚定在创建会话的第一个数据包的出口节点上。如果在未锚定会话的节点上接收到流量,则这些数据包将通过交换矩阵链路转发至锚定会话的节点。
如果会话期间路由发生变化,则会话的锚点节点可能会发生更改。
在此方案中,使用两个 Internet 连接,其中一个是首选连接。通过使用冗余以太网接口为信任区域中的设备提供 LAN 冗余,可以完成与信任区域的连接。此方案描述了两种故障转移情况,其中会话源自目标为 Internet 的信任区域(不信任区域)。
了解信任区域中的故障 冗余以太网接口
在正常作条件量从属于 reth0.0 的信任区域接口 ge-0/0/1 流向互联网。由于主 Internet 连接位于节点 0 上,因此会在节点 0 中创建会话并同步到节点 1。但是,会话仅在节点 0 上处于活动状态。
接口 ge-0/0/1 中发生故障会触发冗余组的故障切换,从而导致节点 1 中的接口 ge-7/0/1 变为活动状态。故障切换后,流量会到达节点 1。会话查找后,流量将发送到节点 0,因为该会话在此节点上处于活动状态。然后,节点 0 处理流量并将其转发到互联网。返回流量遵循类似的过程。流量到达节点 0,出于安全目的(例如,反垃圾邮件扫描、防病毒扫描和安全策略应用)在节点 0 上进行处理,因为会话锚定到节点 0。然后,数据包通过交换矩阵接口发送至节点 1,进行出口处理,并最终通过接口 ge-7/0/1 从节点 1 传输出去。
了解不信任区域中的故障 接口
在这种情况下,会话会从一个节点迁移到另一个节点。在正常作条件下,仅由节点 0 处理流量。节点 0 上的接口 ge-0/0/0 故障会导致路由表发生更改,因此它现在指向节点 1 中的接口 ge-7/0/0。发生故障后,节点 0 中的会话变为非活动状态,节点 1 中的被动会话变为活动状态。从信任区域到达的流量仍通过接口 ge-0/0/1 接收,但会转发至节点 1 进行处理。流量在节点 1 中处理完后,会通过接口 ge-7/0/0 转发到互联网。
在此机箱群集配置中,冗余组 1 用于控制连接到信任区域的冗余以太网接口。根据此方案中的配置,仅当接口 ge-0/0/1 或 ge-7/0/1 发生故障时,冗余组 1 才会进行故障切换,而当连接到 Internet 的接口发生故障时,冗余组 1 不会进行故障切换。或者,可以修改配置,以允许冗余组 1 监控连接到 Internet 的所有接口,并在 Internet 链路发生故障时进行故障切换。因此,例如,配置可以允许冗余组 1 监视 ge-0/0/0,并在 ge-0/0/0 互联网链路发生故障时使 ge-7/0/1 在 reth0 处于活动状态。(以下配置示例中未介绍此选项。
另见
示例:配置非对称机箱群集对
此示例说明如何配置机箱群集以允许非对称路由。为机箱群集配置非对称路由,可以无缝处理任一设备上收到的流量。
要求
开始之前:
-
将一对设备物理连接在一起,确保其型号相同。此示例使用一对 SRX1500 或 SRX1600 设备。
-
要创建交换矩阵链路,请将一台设备上的千兆以太网接口连接到另一台设备上的另一个千兆以太网接口。
-
要创建控制链路,请连接两台SRX1500设备的控制端口。
-
-
使用控制台端口连接到其中一台设备。(这是形成群集的节点。
-
设置群集 ID 和节点编号。
user@host> set chassis cluster cluster-id 1 node 0 reboot
-
-
使用控制台端口连接到另一台设备。
-
设置群集 ID 和节点编号。
user@host> set chassis cluster cluster-id 1 node 1 reboot
-
概述
在此示例中,机箱群集提供非对称路由。如 图 2 所示,使用了两个 Internet 连接,其中一个是首选连接。与信任区域的连接由冗余以太网接口提供,以便为信任区域中的设备提供 LAN 冗余。
在此示例中,您将配置组(使用 apply-groups 命令应用配置)和机箱群集信息。然后,配置安全区域和安全策略。请参阅 表 1 到 表 4。
| 特征 |
名字 |
配置参数 |
|---|---|---|
| 组 |
节点0 |
|
| 节点 1 |
|
| 特征 |
名字 |
配置参数 |
|---|---|---|
| 结构链路 |
晶圆厂0 |
接口:ge-0/0/7 |
| 晶圆厂1 |
接口:ge-7/0/7 |
|
| 心跳间隔 |
– |
1000 |
| 检测信号阈值 |
– |
3 |
| 冗余组 |
1 |
|
| 接口监控
|
||
| 冗余以太网接口数量 |
– |
1 |
| 接口 |
ge-0/0/1 |
|
| GE-7/0/1型 |
|
|
| ge-0/0/3 |
冗余父级:reth0 |
|
| GE-7/0/3型 |
冗余父级:reth0 |
|
| reth0 |
|
|
| 名字 |
配置参数 |
|---|---|
| 信任 |
reth0.0 接口绑定到此区域。 |
| 不信任 |
ge-0/0/1 和 ge-7/0/1 接口绑定到此区域。 |
| 目的 |
名字 |
配置参数 |
|---|---|---|
| 此安全策略允许从信任区域到不信任区域的流量。 |
任何 |
|
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
{primary:node0}[edit]
set groups node0 system host-name srxseries-1
set groups node0 interfaces fxp0 unit 0 family inet address 192.168.100.50/24
set groups node1 system host-name srxseries-2
set groups node1 interfaces fxp0 unit 0 family inet address 192.168.100.51/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces ge-0/0/7
set interfaces fab1 fabric-options member-interfaces ge-7/0/7
set chassis cluster reth-count 1
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/3 weight 255
set interfaces ge-0/0/1 unit 0 family inet address 1.4.0.202/24
set interfaces ge-0/0/3 gigether-options redundant-parent reth0
set interfaces ge-7/0/1 unit 0 family inet address 10.2.1.233/24
set interfaces ge-7/0/3 gigether-options redundant-parent reth0
set interfaces reth0 unit 0 family inet address 10.16.8.1/24
set routing-options static route 0.0.0.0/0 qualified-next-hop 10.4.0.1 metric 10
set routing-options static route 0.0.0.0/0 qualified-next-hop 10.2.1.1 metric 100
set security zones security-zone untrust interfaces ge-0/0/1.0
set security zones security-zone untrust interfaces ge-7/0/1.0
set security zones security-zone trust interfaces reth0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone untrust policy ANY then permit
分步过程
要配置非对称机箱群集对:
-
配置管理界面。
{primary:node0}[edit] user@host# set groups node0 system host-name srxseries-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 192.168.100.50/24 user@host# set groups node1 system host-name srxseries-2 user@host#set groups node1 interfaces fxp0 unit 0 family inet address 192.168.100.51/24 user@host# set apply-groups “${node}” -
配置交换矩阵接口。
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/7 user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/7 -
配置冗余以太网接口的数量。
{primary:node0}[edit] user@host# set chassis cluster reth-count 1 -
配置冗余组。
{primary:node0}[edit] user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3 user@host# set chassis cluster node 0 user@host# set chassis cluster node 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 100 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/3 weight 255 -
配置冗余以太网接口。
{primary:node0}[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 1.4.0.202/24 user@host# set interfaces ge-0/0/3 gigether-options redundant-parent reth0 user@host# set interfaces ge-7/0/1 unit 0 family inet address 10.2.1.233/24 user@host# set interfaces ge-7/0/3 gigether-options redundant-parent reth0 user@host# set interfaces reth0 unit 0 family inet address 10.16.8.1/24 -
配置静态路由(每个 ISP 一个,首选路由通过 ge-0/0/1)。
{primary:node0}[edit] user@host# set routing-options static route 0.0.0.0/0 qualified-next-hop 10.4.0.1 metric 10 user@host# set routing-options static route 0.0.0.0/0 qualified-next-hop 10.2.1.1 metric 100 -
配置安全区域。
{primary:node0}[edit] user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone untrust interfaces ge-7/0/1.0 user@host# set security zones security-zone trust interfaces reth0.0 -
配置安全策略。
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone untrust policy ANY then permit
结果
在作模式下,输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name srxseries-1;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.168.100.50/24;
}
}
}
}
}
node1 {
system {
host-name srxseries-2;
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.168.100.51/24;
}
}
}
}
}
}
apply-groups "${node}";
chassis {
cluster {
reth-count 1;
heartbeat-interval 1000;
heartbeat-threshold 3;
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
interface-monitor {
ge-0/0/3 weight 255;
ge-7/0/3 weight 255;
}
}
}
}
interfaces {
ge-0/0/3 {
gigether–options {
redundant–parent reth0;
}
}
ge-7/0/3 {
gigether–options {
redundant–parent reth0;
}
}
ge–0/0/1 {
unit 0 {
family inet {
address 10.4.0.202/24;
}
}
}
ge–7/0/1 {
unit 0 {
family inet {
address 10.2.1.233/24;
}
}
}
fab0 {
fabric–options {
member–interfaces {
ge–0/0/7;
}
}
}
fab1 {
fabric–options {
member–interfaces {
ge–7/0/7;
}
}
}
reth0 {
gigether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.16.8.1/24;
}
}
}
}
...
routing-options {
static {
route 0.0.0.0/0 {
next-hop 10.4.0.1;
metric 10;
}
}
}
routing-options {
static {
route 0.0.0.0/0 {
next-hop 10.2.1.1;
metric 100;
}
}
}
security {
zones {
security–zone untrust {
interfaces {
ge-0/0/1.0;
ge-7/0/1.0;
}
}
security–zone trust {
interfaces {
reth0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy ANY {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
确认配置工作正常。
验证机箱群集状态
目的
验证机箱群集状态、故障切换状态和冗余组信息。
行动
在作模式下,输入 show chassis cluster status 命令。
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 1 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
验证机箱群集接口
目的
验证有关机箱群集接口的信息。
行动
在作模式下,输入 show chassis cluster interfaces 命令。
{primary:node0}
user@host> show chassis cluster interfaces
Control link name: fxp1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
ge-0/0/3 255 Up 1
ge-7/0/3 255 Up 1
验证机箱群集统计信息
目的
验证有关要同步的不同对象的统计信息、交换结构和控制接口查询以及群集中受监控接口的状态等信息。
行动
在作模式下,输入 show chassis cluster statistics 命令。
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 228
Heartbeat packets received: 2370
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2272
Probes received: 597
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 160 0
Session close 147 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
验证机箱群集控制平面统计信息
目的
验证有关机箱群集控制平面统计信息(发送和接收的心跳)和交换结构链路统计信息(发送和接收的探查)的信息。
行动
在作模式下,输入 show chassis cluster control-plane statistics 命令。
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
验证机箱群集数据平面统计信息
目的
验证有关为服务发送和接收的 RTO 数量的信息。
行动
在作模式下,输入 show chassis cluster data-plane statistics 命令。
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 160 0
Session close 147 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
验证机箱群集冗余组状态
目的
验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障切换的信息。
行动
在作模式下,输入 chassis cluster status redundancy-group 命令。
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 100 primary no no
node1 1 secondary no no