机箱群集上的组播路由和非对称路由
机箱群集中的组播路由支持允许不同的组播协议跨接口将流量发送到多个接收方。非对称路由是指数据包从源主机到目标主机,但遵循与从目标主机到源主机的数据包不同的路径的情况。有关详细信息,请参阅以下主题:
了解机箱群集上的组播路由
机箱群集中跨节点的组播路由支持允许组播协议(如协议无关组播 (PIM) 版本 1 和 2、互联网组管理协议 (IGMP)、会话公告协议 (SAP) 和距离矢量组播路由协议 (DVMRP))跨群集中的接口发送流量。但请注意,不应在机箱管理接口 () 或结构接口 (fxp0 和 fab1)fab0 上启用组播协议。组播会话在整个群集中同步,并在冗余组故障转移期间进行维护。在故障转移期间,与其他类型的流量一样,可能会出现一些组播数据包丢失的情况。
机箱群集中的组播数据转发使用传入接口来确定会话是否保持活动状态。如果叶会话的传出接口位于对等方而不是传入接口的节点上,则数据包将被转发到对等节点。机箱群集上的组播路由支持传入和传出接口的隧道。
组播流量在流量流中具有上游(朝向源)和下游(朝向订阅者)方向。设备将单个组播数据包复制(扇出)到包含订阅者的多个网络。在机箱群集环境中,组播数据包扇出可以在任一节点上处于活动状态。
如果传入接口在当前节点上处于活动状态,而在对等节点上备份,则会话在当前节点上处于活动状态,在对等节点上备份。
机箱群集上的组播配置与独立设备上的组播配置相同。有关更多信息,请参阅 组播协议用户指南 。
了解 PIM 数据转发
设备之间使用协议无关组播 (PIM) 来跟踪要转发给彼此的组播数据包。
PIM 会话将组播数据封装到 PIM 单播数据包中。PIM 会话创建以下会话:
控制会话
数据会话
数据会话保存控制会话 ID。控制会话和数据会话是独立关闭的。传入接口用于确定 PIM 会话是否处于活动状态。如果传出接口在对等节点上处于活动状态,则数据包将传输到对等节点进行传输。
了解多播和 PIM 会话同步
同步多播和 PIM 会话有助于防止由于故障转移而导致的数据包丢失,因为在发生故障转移时不需要再次设置会话。
在 PIM 会话中,控制会话同步到备份节点,然后同步数据会话。
在组播会话中,模板会话同步到对等节点,然后同步所有叶会话,最后再次同步模板会话。
参见
了解机箱群集上的非对称路由
您可以在机箱群集非对称路由方案中使用 SRX 系列防火墙(请参阅 图 1)。节点接收的流量将与该节点的会话表进行匹配。此查找的结果确定节点是处理数据包还是通过结构链路将其转发到其他节点。会话锚定在创建会话的第一个数据包的出口节点上。如果在会话未锚定的节点上收到流量,则这些数据包将通过结构链路转发到锚定会话的节点。
如果在会话期间路由发生更改,则会话的锚点节点可能会更改。
在此方案中,使用两个互联网连接,其中一个是首选。通过使用冗余以太网接口为信任区域中的设备提供 LAN 冗余,可以连接到信任区域。此方案描述两种故障转移情况,其中会话源自目标为 Internet 的信任区域(不信任区域)。
了解信任区域冗余以太网接口中的故障
在正常运行条件下,流量从属于 reth0.0 的信任区域接口 ge-0/0/1 流向互联网。由于主互联网连接位于节点 0 上,因此将在节点 0 中创建会话并将其同步到节点 1。但是,会话仅在节点 0 上处于活动状态。
接口 ge-0/0/1 中的故障会触发冗余组的故障切换,从而导致节点 1 中的接口 ge-7/0/1 变为活动状态。故障转移后,流量将到达节点 1。会话查找后,流量将发送到节点 0,因为会话在此节点上处于活动状态。然后,节点 0 处理流量并将其转发到互联网。返回流量遵循类似的过程。流量到达节点 0,出于安全目的(例如,反垃圾邮件扫描、防病毒扫描和安全策略的应用)在节点 0 上进行处理,因为会话已锚定到节点 0。然后,数据包通过交换矩阵接口发送到节点 1,以进行出口处理,并最终通过接口 ge-7/0/1 从节点 1 传输出去。
了解不信任区域接口中的故障
在这种情况下,会话会在节点之间迁移。在正常运行条件下,流量仅由节点 0 处理。节点 0 上的接口 ge-0/0/0 故障会导致路由表发生更改,因此它现在指向节点 1 中的接口 ge-7/0/0。发生故障后,节点 0 中的会话变为非活动会话,节点 1 中的被动会话变为活动会话。从信任区域到达的流量仍会在接口 ge-0/0/1 上接收,但会转发到节点 1 进行处理。节点 1 处理流量后,通过接口 ge-7/0/0 转发至公网。
在此机箱群集配置中,冗余组 1 用于控制连接到信任区域的冗余以太网接口。在此方案中配置,仅当接口 ge-0/0/1 或 ge-7/0/1 发生故障时,冗余组 1 才会发生故障,但如果连接到 Internet 的接口出现故障,则不会故障转移。或者,可以修改配置以允许冗余组 1 监控连接到互联网的所有接口,并在互联网链路出现故障时进行故障转移。因此,例如,配置可以允许冗余组 1 监控 ge-0/0/0,并在 ge-0/0/0 Internet 链路出现故障时使 reth0 的 ge-7/0/1 处于活动状态。(以下配置示例中未介绍此选项。
参见
示例:配置非对称机箱群集对
此示例说明如何配置机箱群集以允许非对称路由。为机箱群集配置非对称路由允许无缝处理任一设备上接收的流量。
要求
准备工作:
-
将一对设备物理连接在一起,确保它们的型号相同。此示例使用一对 SRX1500 或 SRX1600 设备。
-
要创建结构链路,请将一台设备上的千兆以太网接口连接到另一台设备上的另一个千兆以太网接口。
-
要创建控制链路,请连接两个SRX1500设备的控制端口。
-
-
使用控制台端口连接到其中一台设备。(这是构成群集的节点。
-
设置群集 ID 和节点号。
user@host> set chassis cluster cluster-id 1 node 0 reboot
-
-
使用控制台端口连接到其他设备。
-
设置群集 ID 和节点号。
user@host> set chassis cluster cluster-id 1 node 1 reboot
-
概述
在此示例中,机箱群集提供非对称路由。 如图 2 所示,使用了两个互联网连接,其中一个是首选连接。与信任区域的连接由冗余以太网接口提供,以便为信任区域中的设备提供 LAN 冗余。
在此示例中,您将配置组(使用命令应用 apply-groups 配置)和机箱群集信息。然后配置安全区域和安全策略。请参阅表 1 至 表 4。
特征 |
名字 |
配置参数 |
|---|---|---|
组 |
节点0 |
|
|
节点 1 |
|
特征 |
名字 |
配置参数 |
|---|---|---|
结构链路 |
晶圆厂0 |
接口:ge-0/0/7 |
|
晶圆厂1 |
接口:ge-7/0/7 |
检测信号间隔 |
– |
1000 |
检测信号阈值 |
– |
3 |
冗余组 |
1 |
|
|
|
接口监控
|
冗余以太网接口数量 |
– |
1 |
接口 |
ge-0/0/1 |
|
|
GE-7/0/1 |
|
|
ge-0/0/3 |
冗余父级:reth0 |
|
GE-7/0/3 |
冗余父级:reth0 |
|
reth0 |
|
名字 |
配置参数 |
|---|---|
信任 |
reth0.0 接口绑定到此区域。 |
不信任 |
ge-0/0/1 和 ge-7/0/1 接口绑定到此区域。 |
目的 |
名字 |
配置参数 |
|---|---|---|
此安全策略允许从信任区域到不信任区域的流量。 |
任何 |
|
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
{primary:node0}[edit]
set groups node0 system host-name srxseries-1
set groups node0 interfaces fxp0 unit 0 family inet address 192.168.100.50/24
set groups node1 system host-name srxseries-2
set groups node1 interfaces fxp0 unit 0 family inet address 192.168.100.51/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces ge-0/0/7
set interfaces fab1 fabric-options member-interfaces ge-7/0/7
set chassis cluster reth-count 1
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/3 weight 255
set interfaces ge-0/0/1 unit 0 family inet address 1.4.0.202/24
set interfaces ge-0/0/3 gigether-options redundant-parent reth0
set interfaces ge-7/0/1 unit 0 family inet address 10.2.1.233/24
set interfaces ge-7/0/3 gigether-options redundant-parent reth0
set interfaces reth0 unit 0 family inet address 10.16.8.1/24
set routing-options static route 0.0.0.0/0 qualified-next-hop 10.4.0.1 metric 10
set routing-options static route 0.0.0.0/0 qualified-next-hop 10.2.1.1 metric 100
set security zones security-zone untrust interfaces ge-0/0/1.0
set security zones security-zone untrust interfaces ge-7/0/1.0
set security zones security-zone trust interfaces reth0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone untrust policy ANY then permit
分步过程
要配置非对称机箱群集对:
配置管理接口。
{primary:node0}[edit] user@host# set groups node0 system host-name srxseries-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 192.168.100.50/24 user@host# set groups node1 system host-name srxseries-2 user@host#set groups node1 interfaces fxp0 unit 0 family inet address 192.168.100.51/24 user@host# set apply-groups “${node}”配置结构接口。
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/7 user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/7配置冗余以太网接口的数量。
{primary:node0}[edit] user@host# set chassis cluster reth-count 1配置冗余组。
{primary:node0}[edit] user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3 user@host# set chassis cluster node 0 user@host# set chassis cluster node 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 100 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/3 weight 255配置冗余以太网接口。
{primary:node0}[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 1.4.0.202/24 user@host# set interfaces ge-0/0/3 gigether-options redundant-parent reth0 user@host# set interfaces ge-7/0/1 unit 0 family inet address 10.2.1.233/24 user@host# set interfaces ge-7/0/3 gigether-options redundant-parent reth0 user@host# set interfaces reth0 unit 0 family inet address 10.16.8.1/24配置静态路由(每个 ISP 一个,首选路由通过 ge-0/0/1)。
{primary:node0}[edit] user@host# set routing-options static route 0.0.0.0/0 qualified-next-hop 10.4.0.1 metric 10 user@host# set routing-options static route 0.0.0.0/0 qualified-next-hop 10.2.1.1 metric 100配置安全区域。
{primary:node0}[edit] user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone untrust interfaces ge-7/0/1.0 user@host# set security zones security-zone trust interfaces reth0.0配置安全策略。
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone untrust policy ANY then permit
结果
在操作模式下,输入 show configuration 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name srxseries-1;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.168.100.50/24;
}
}
}
}
}
node1 {
system {
host-name srxseries-2;
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.168.100.51/24;
}
}
}
}
}
}
apply-groups "${node}";
chassis {
cluster {
reth-count 1;
heartbeat-interval 1000;
heartbeat-threshold 3;
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
interface-monitor {
ge-0/0/3 weight 255;
ge-7/0/3 weight 255;
}
}
}
}
interfaces {
ge-0/0/3 {
gigether–options {
redundant–parent reth0;
}
}
ge-7/0/3 {
gigether–options {
redundant–parent reth0;
}
}
ge–0/0/1 {
unit 0 {
family inet {
address 10.4.0.202/24;
}
}
}
ge–7/0/1 {
unit 0 {
family inet {
address 10.2.1.233/24;
}
}
}
fab0 {
fabric–options {
member–interfaces {
ge–0/0/7;
}
}
}
fab1 {
fabric–options {
member–interfaces {
ge–7/0/7;
}
}
}
reth0 {
gigether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.16.8.1/24;
}
}
}
}
...
routing-options {
static {
route 0.0.0.0/0 {
next-hop 10.4.0.1;
metric 10;
}
}
}
routing-options {
static {
route 0.0.0.0/0 {
next-hop 10.2.1.1;
metric 100;
}
}
}
security {
zones {
security–zone untrust {
interfaces {
ge-0/0/1.0;
ge-7/0/1.0;
}
}
security–zone trust {
interfaces {
reth0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy ANY {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
确认配置工作正常。
验证机箱群集状态
目的
验证机箱群集状态、故障切换状态和冗余组信息。
行动
在操作模式下,输入 show chassis cluster status 命令。
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 1 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
验证机箱群集接口
目的
验证有关机箱群集接口的信息。
行动
在操作模式下,输入 show chassis cluster interfaces 命令。
{primary:node0}
user@host> show chassis cluster interfaces
Control link name: fxp1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
ge-0/0/3 255 Up 1
ge-7/0/3 255 Up 1
验证机箱群集统计信息
目的
验证有关正在同步的不同对象的统计信息、结构和控制接口问候以及集群中受监控接口的状态的信息。
行动
在操作模式下,输入 show chassis cluster statistics 命令。
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 228
Heartbeat packets received: 2370
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2272
Probes received: 597
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 160 0
Session close 147 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
验证机箱群集控制平面统计信息
目的
验证有关机箱群集控制平面统计信息(发送和接收的检测信号)和结构链路统计信息(发送和接收的探测)的信息。
行动
在操作模式下,输入 show chassis cluster control-plane statistics 命令。
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
验证机箱群集数据平面统计信息
目的
验证有关为服务发送和接收的 RTO 数量的信息。
行动
在操作模式下,输入 show chassis cluster data-plane statistics 命令。
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 160 0
Session close 147 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
验证机箱群集冗余组状态
目的
验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障转移的信息。
行动
在操作模式下,输入 chassis cluster status redundancy-group 命令。
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 100 primary no no
node1 1 secondary no no