机箱群集中的聚合以太网接口
通过 IEEE 802.3ad 链路聚合,您可以将以太网接口分组以形成单个链路层接口,也称为链路聚合组 (LAG) 或捆绑包。Reth LAG 接口结合了 reth 接口和 LAG 接口的特性。有关详细信息,请参阅以下主题:
了解机箱群集中的链路聚合组
支持基于 IEEE 802.3ad 的以太网链路聚合组 (LAG),从而可以在独立设备上聚合物理接口。独立设备上的 LAG 可提供更高的接口带宽和链路可用性。 机箱群集 中的链路聚合允许冗余以太网接口添加两个以上的物理子接口,从而创建冗余以太网接口 LAG。对于SRX4600和SRX5000系列设备,冗余以太网接口 LAG 每个节点的每个冗余以太网接口最多可以有 8 个链路(每个冗余以太网接口总共有 16 个链路)。对于 SRX300 系列、SRX1500、SRX1600、SRX2300、SRX4100/SRX4200 和 SRX4300 设备,冗余以太网接口 LAG 对于每个节点的每个冗余以太网接口最多可以有 4 条链路(每个冗余以太网接口总共 8 条链路)。
冗余以太网接口 LAG 中的聚合链路提供与独立设备上的 LAG 相同的带宽和冗余优势,并具有机箱群集冗余的额外优势。冗余以太网接口 LAG 具有两种类型的同时冗余。每个节点上冗余以太网接口内的聚合链路都是冗余的;如果主聚合中的一个链路发生故障,其流量负载将由其余链路占用。如果主节点上有足够的子链路发生故障,则可以配置冗余以太网接口 LAG,以便将整个冗余以太网接口上的所有流量故障转移到另一个节点上的聚合链路。您还可以为启用了 LACP 的冗余组子链路配置接口监控,以增加保护。
聚合以太网接口(称为本地 LAG)在机箱群集的任一节点上也受支持,但不能添加到冗余以太网接口。本地 LAG 在系统接口列表中使用 ae- 前缀表示。同样,现有本地 LAG 的任何子接口也不能添加到冗余以太网接口,反之亦然。请注意,用于连接群集中节点的交换机必须配置LAG链路并为两个节点上的每个LAG启用802.3ad,以便聚合链路被识别并正确传递流量。每个群集组合的单个节点 LAG 接口 (ae) 和冗余以太网 (reth) 接口的最大总数为 128。
机箱群集中每个节点的冗余以太网接口 LAG 子链路必须连接到对等设备上的不同 LAG。如果使用单个对等交换机终止冗余以太网接口 LAG,则必须在交换机中使用两个单独的 LAG。
来自不同 PIC 或 IOC 以及使用不同电缆类型(例如,铜缆和光纤)的链路可以添加到同一冗余以太网接口 LAG,但接口的速度必须相同,并且所有接口都必须处于全双工模式。但是,为了减少流量处理开销,我们建议尽可能使用来自同一 PIC 或 IOC 的接口。无论如何,在冗余以太网接口 LAG 中配置的所有接口共享相同的虚拟 MAC 地址。
SRX 系列防火墙接口监控功能允许监控冗余以太网/聚合以太网接口。
冗余以太网接口配置还包括最小链路设置,允许您在给定冗余以太网接口的主节点上设置最小数量的物理子链路,这些物理子链路必须正常工作才能使接口启动。默认最小链路值为 1。请注意,最小链路数设置仅监控主节点上的子链路。冗余以太网接口不使用备份节点上的物理接口来处理入口或出口流量。
请注意以下支持详细信息:
-
冗余以太网接口 LAG 支持服务质量 (QoS)。但是,保证的带宽在所有链路上都是重复的。如果链路丢失,则保证带宽也会相应丢失。
-
冗余以太网接口 LAG 支持第 2 层透明模式和第 2 层安全功能。
-
机箱群集部署支持链路聚合控制协议 (LACP),其中聚合以太网接口和冗余以太网接口同时受支持。
-
机箱群集管理、控制和结构接口不能配置为冗余以太网接口 LAG,也不能添加到冗余以太网接口 LAG 中。
-
网络处理器 (NP) 捆绑可以与同一群集上的冗余以太网接口 LAG 共存。但是,不支持将接口同时分配给冗余以太网接口 LAG 和网络处理器捆绑包。
IOC2 卡没有网络处理器,但 IOC1 卡有网络处理器。
-
无论聚合接口的速度如何,单流吞吐量都限制为单个物理链路的速度。
在 SRX300、SRX320、SRX340、SRX345 和 SRX380 设备上,速度模式和链路模式配置可用于 reth 接口的成员接口。
有关以太网接口链路聚合和 LACP 的详细信息,请参阅 《安全设备接口用户指南》中的“聚合以太网”信息。
参见
示例:在机箱群集中配置链路聚合组
此示例说明如何为机箱群集配置冗余以太网接口链路聚合组。机箱群集配置支持冗余以太网接口中每个节点有多个子接口。当冗余以太网接口配置中包含来自每个节点的至少两个物理子接口链路时,这些接口将在冗余以太网接口内组合,形成冗余以太网接口链路聚合组。
要求
准备工作:
配置机箱群集冗余接口。请参阅 示例:配置机箱群集冗余以太网接口。
了解机箱群集冗余以太网接口链路聚合组。请参阅 了解机箱群集中的链路聚合组。
概述
要进行聚合,用于连接群集中节点的交换机必须为每个节点上的冗余以太网接口物理子链路启用 IEEE 802.3ad 链路聚合。由于大多数交换机支持 IEEE 802.3ad,并且还支持 LACP,因此建议您在 SRX 系列防火墙上启用 LACP。如果交换机上没有 LACP,则不得在 SRX 系列防火墙上启用 LACP。
在此示例中,您将六个以太网接口分配给 reth1 以形成以太网接口链路聚合组:
ge-1/0/1—reth1
ge-1/0/2—reth1
ge-1/0/3—reth1
ge-12/0/1—RETH1
ge-12/0/2—RETH1
ge-12/0/3—RETH1
配置冗余以太网接口 LAG 时,可以将群集中每个节点最多 8 个物理接口(总共 16 个子接口)分配给单个冗余以太网接口。
Junos OS 在冗余以太网接口(称为 RLAG)上支持 LACP 和 LAG。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
{primary:node0}[edit]
set interfaces ge-1/0/1 gigether-options redundant-parent reth1
set interfaces ge-1/0/2 gigether-options redundant-parent reth1
set interfaces ge-1/0/3 gigether-options redundant-parent reth1
set interfaces ge-12/0/1 gigether-options redundant-parent reth1
set interfaces ge-12/0/2 gigether-options redundant-parent reth1
set interfaces ge-12/0/3 gigether-options redundant-parent reth1
分步过程
要配置冗余以太网接口链路聚合组,请执行以下操作:
将以太网接口分配给 reth1。
{primary:node0}[edit] user@host# set interfaces ge-1/0/1 gigether-options redundant-parent reth1 user@host# set interfaces ge-1/0/2 gigether-options redundant-parent reth1 user@host# set interfaces ge-1/0/3 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/1 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/2 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/3 gigether-options redundant-parent reth1
结果
在配置模式下,输入 show interfaces reth1 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
user@host# show interfaces reth1
...
ge-1/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-1/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-1/0/3 {
gigether-options {
redundant-parent reth1;
}
}
ge-12/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-12/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-12/0/3 {
gigether-options {
redundant-parent reth1;
}
}
...
如果完成设备配置,请从配置模式输入 commit 。
验证
验证冗余以太网接口 LAG 配置
目的
验证冗余以太网接口 LAG 配置。
行动
在操作模式下,输入 show interfaces terse | match reth 命令。
{primary:node0}
user@host> show interfaces terse | match reth
ge-1/0/1.0 up down aenet --> reth1.0
ge-1/0/2.0 up down aenet --> reth1.0
ge-1/0/3.0 up down aenet --> reth1.0
ge-12/0/1.0 up down aenet --> reth1.0
ge-12/0/2.0 up down aenet --> reth1.0
ge-12/0/3.0 up down aenet --> reth1.0
reth0 up down
reth0.0 up down inet 10.10.37.214/24
reth1 up down
reth1.0 up down inet
了解机箱群集中的链路聚合组故障切换
您可以通过两种方式控制冗余以太网 (reth) 接口的故障切换:
minimum-links使用配置设置。此参数确定冗余组在声明关闭之前必须启动的物理成员数。默认情况下,此参数设置为 1,这意味着如果主节点上启动单个物理接口,冗余组将保持活动状态。最小链接的默认值为 1。
interface-monitor使用 configure 语句以及weightLAG 中每个成员的值。接口加权机制的工作原理是从冗余组中减去故障接口的配置权重。该组的权重为 255,当该组降至或低于 0 时,冗余组将声明为 down。注意:值得注意的是,
minimum-links和interface-monitor配置语句独立工作。超过最小链路阈值(在主节点上)或冗余组上的阈值 0 将触发切换。
在大多数情况下,最佳做法是根据设置配置接口监控 minimum-links 的权重。此配置要求权重在受监控链路之间平均分配,以便当活动物理接口链路数低于设置时 minimum-links ,该冗余组的计算权重也会降至或低于零。这将触发冗余以太网接口链路聚合组 (LAG) 的故障切换,因为物理链路数均低于该 minimum-links 值,且 LAG 组的权重均低于 0。
要演示这种交互,请考虑具有四个底层物理链路的 reth0 接口 LAG:
- LAG 配置的
minimum-links设置为 2。使用此设置,当主节点上的活动物理链路数小于 2 时,将触发故障转移。注意:当物理链路为“启动”且 LACP 为“关闭”时,将触发冗余以太网接口链路聚合组 (LAG) 的故障切换。
-
Interface-monitor权重值用于监控 LAG 链路状态并正确计算故障转移权重。
配置连接到冗余以太网 LAG 的底层接口。
{primary:node0}[edit]
user@host# set interfaces ge-0/0/4 gigether-options redundant-parent reth0
user@host# set interfaces ge-0/0/5 gigether-options redundant-parent reth0
user@host# set interfaces ge-0/0/6 gigether-options redundant-parent reth0
user@host# set interfaces ge-0/0/7 gigether-options redundant-parent reth0
将冗余以太网接口的最小链路数指定为 2。
{primary:node0}[edit]
user@host# set interfaces reth0 redundant-ether-options minimum-links 2
配置接口监控以监控接口的运行状况并触发冗余组故障切换。
这些场景提供了冗余以太网 LAG 故障切换如何运作的示例:
场景 1:监控接口权重为 255
将每个底层接口的受监控接口权重指定为 255。
{primary:node0}[edit]
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 255
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 255
当 4 个接口中有 1 个发生故障时,冗余以太网 LAG 中仍有 3 条活动物理链路。当此数字超过配置的最小链路参数时,丢失一个权重为 255 的接口会导致组的权重降至 0,从而触发故障切换。
场景 2:受监控接口权重为 75
将每个底层接口的受监控接口权重指定为 75。
{primary:node0}[edit]
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 75
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 75
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 75
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 75
在这种情况下,当三个物理链路关闭时,冗余以太网接口将因低于配置的值而 minimum-links 关闭。请注意,在这种情况下,LAG 组权重保持在 0 以上。
场景 3:监控接口权重为 100
将每个底层接口的受监控接口权重指定为 100。
{primary:node0}[edit]
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 100
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 100
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 100
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 100
在这种情况下,当 4 个物理链路中的 3 个关闭时,冗余以太网接口将被声明为关闭,因为未达到该 minimum-links 值,以及接口监控权重导致 LAG 组的权重达到 0。
在所有三种方案中,方案 3 说明了管理冗余以太网 LAG 故障转移的最理想方法,并且流量损失最小。
了解机箱群集上的 LACP
您可以组合多个物理以太网端口以形成逻辑点对点链路(称为链路聚合组 (LAG) 或捆绑包),这样媒体访问控制 (MAC) 客户端就可以将 LAG 视为单个链路。
可以在 机箱群集 中的节点之间建立 LAG,以提供更高的接口带宽和链路可用性。
链路聚合控制协议 (LACP) 为 LAG 提供了附加功能。独立部署(支持聚合以太网接口)和机箱群集部署(同时支持聚合以太网接口和冗余以太网接口)支持 LACP。
您可以通过使用语句为 lacp 父链路设置 LACP 模式,从而在冗余以太网接口上配置 LACP。LACP 模式可以是关闭的(默认)、主动模式或被动模式。
本主题包含以下部分:
机箱群集冗余以太网接口链路聚合组
冗余以太网接口的活动和备用链路位于机箱群集中的两个节点上。所有活动链路都位于一个节点上,所有备用链路位于另一个节点上。您最多可以为每个节点配置 8 个活动链路和 8 个备用链路。
当冗余以太网接口配置中包含来自每个节点的至少两个物理子接口链路时,这些接口将在冗余以太网接口内组合,以形成冗余以太网接口 LAG。
拥有多个活动的冗余以太网接口链路可降低故障转移的可能性。例如,当活动链路停止服务时,此链路上的所有流量都将分发到其他活动冗余以太网接口链路,而不是触发冗余以太网主动/备用故障切换。
聚合以太网接口(称为本地 LAG)在机箱群集的任一节点上也受支持,但不能添加到冗余以太网接口。同样,现有本地 LAG 的任何子接口都不能添加到冗余以太网接口,反之亦然。每个群集组合的单个节点 LAG 接口 (ae) 和冗余以太网 (reth) 接口的最大总数为 128。
但是,聚合以太网接口和冗余以太网接口可以共存,因为冗余以太网接口的功能依赖于 Junos OS 聚合以太网框架。
有关更多信息,请参阅 了解机箱群集冗余以太网接口链路聚合组。
最少链接
冗余以太网接口配置包括一个 minimum-links 设置,允许您在冗余以太网接口 LAG 中设置最小数量的物理子链路,该链路必须在主节点上工作才能使接口启动。默认值 minimum-links 为 1。当冗余以太网接口中主节点上的物理链路数低于该 minimum-links 值时,即使某些链路仍在工作,接口也可能关闭。有关更多信息,请参阅 示例:配置机箱群集最小链路。
子滞后
LACP 保持点对点 LAG。连接到第三点的任何端口都将被拒绝。但是,根据设计,冗余以太网接口确实可以连接到两个不同的系统或两个远程聚合以太网接口。
为了在冗余以太网接动和备用链路上支持 LACP,系统会自动创建一个冗余以太网接口,由两个不同的子 LAG 组成,其中所有活动链路构成一个活动子 LAG,所有备用链路构成一个备用子 LAG。
在此模型中,将应用 LACP 选择逻辑,并且一次限制为一个子 LAG。这样,可以同时保留两个冗余以太网接口子 LAG,同时保留每个子 LAG 的所有 LACP 优势。
用于连接群集中节点的交换机必须为两个节点上的每个 LAG 配置 LAG 链路并启用 802.3ad,以便聚合链路被识别并正确传递流量。
机箱群集中每个节点的冗余以太网接口 LAG 子链路必须连接到对等设备上的不同 LAG。如果使用单个对等交换机终止冗余以太网接口 LAG,则必须在交换机中使用两个单独的 LAG。
支持无中断故障转移
借助 LACP,冗余以太网接口可在正常运行时支持主用链路和备用链路之间的无中断故障切换。 术语“无中断 ”表示冗余以太网接口状态在故障转移期间保持开启状态。
lacpd 进程管理冗余以太网接口的活动和备用链路。当活动上行链路数等于或大于配置的最小链路数时,冗余以太网接口状态将保持 up。因此,为了支持无中断故障切换,必须在发生故障切换之前收集并分发冗余以太网接口备用链路上的 LACP 状态。
管理链路聚合控制 PDU
协议数据单元 (PDU) 包含有关链路状态的信息。默认情况下,聚合和冗余以太网链路不交换链路聚合控制 PDU。
您可以通过以下方式配置 PDU 交换:
配置以太网链路以主动传输链路聚合控制 PDU
将以太网链路配置为被动传输 PDU,仅当从同一链路的远程端接收到链路聚合控制 PDU 时,才发送链路聚合控制 PDU
子链路的本地端称为参与者,链路的远程端称为伙伴。也就是说,参与者向其协议伙伴发送链路聚合控制 PDU,以传达执行组件对其自身状态和伙伴状态的了解。
您可以通过在本地端的接口上配置 periodic 语句来配置链路远程端的接口传输链路聚合控制 PDU 的时间间隔。本地端的配置指定了远程端的行为。也就是说,远程端以指定的间隔传输链路聚合控制PDU。间隔可以是 fast (每秒)或 slow (每 30 秒)。
有关更多信息,请参阅 示例:在机箱群集上配置 LACP。
默认情况下,参与者和合作伙伴每秒传输链路聚合控制 PDU。您可以在主动和被动接口上配置不同的定期速率。以不同的速率配置主动接口和无源接口时,发射器将遵循接收器的速率。
示例:在机箱群集上配置 LACP
此示例说明如何在机箱群集上配置 LACP。
要求
准备工作:
完成启用机箱群集、配置接口和冗余组等任务。有关更多详细信息,请参阅 SRX 系列机箱群集配置概述 和 示例:配置机箱群集冗余以太网接口 。
概述
您可以组合多个物理以太网端口以形成逻辑点对点链路,称为链路聚合组 (LAG) 或捆绑包。您可以在机箱群集中 SRX 系列防火墙的冗余以太网接口上配置 LACP。
在此示例中,您将 reth1 接口的 LACP 模式设置为活动,并将链路聚合控制 PDU 传输间隔设置为慢速,即每 30 秒一次。
启用 LACP 时,聚合以太网链路的本地端和远程端将交换协议数据单元 (PDU),其中包含有关链路状态的信息。您可以将以太网链路配置为主动传输 PDU,也可以将链路配置为被动传输 PDU(仅当它们从其他链路接收 LACP PDU 时,才发送 LACP PDU)。链路的一端必须配置为活动状态,链路才能打开。
图 1 显示了此示例中使用的拓扑。
的 LAG 拓扑
在图 1 中,SRX1500 设备用于配置 node0 和 node1 上的接口。有关 EX 系列交换机配置的详细信息,请参阅配置聚合以太网 LACP(CLI 过程)。
配置
在机箱群集上配置 LACP
分步过程
要在机箱群集上配置 LACP:
-
指定冗余以太网接口的数量。
[edit chassis cluster] user@host# set reth-count 2
-
指定冗余组在群集的每个节点上的首要优先级。数字越大优先。
[edit chassis cluster] user@host# set redundancy-group 1 node 0 priority 200 user@host# set redundancy-group 1 node 1 priority 100
-
创建安全区域并将接口分配给区域。
[edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust interfaces reth1.0
-
将冗余子物理接口绑定到 reth1。
[edit interfaces] user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-0/0/5 gigether-options redundant-parent reth1 user@host# set ge-9/0/4 gigether-options redundant-parent reth1 user@host# set ge-9/0/5 gigether-options redundant-parent reth1
-
将 reth1 添加到冗余组 1。
[edit interfaces] user@host# set reth1 redundant-ether-options redundancy-group 1
-
将 LACP 设置为 reth1。
[edit interfaces] user@host# set reth1 redundant-ether-options lacp active user@host# set reth1 redundant-ether-options lacp periodic slow
-
为 reth1 分配一个 IP 地址。
[edit interfaces] user@host# set reth1 unit 0 family inet address 192.168.2.1/24
-
在聚合以太网接口 (ae1) 上配置 LACP。
-
在聚合以太网接口 (ae2) 上配置 LACP。
-
如果完成设备配置,请提交配置。
[edit interfaces] user@host# commit
结果
在配置模式下,输入 show chassis、 show security zones和 show interfaces 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]user@host#show chassis cluster { reth-count 2; redundancy-group 1 { node 0 priority 200; node 1 priority 100; } } [edit]user@host#show security zones security-zone trust { host-inbound-traffic { system-services { all; } } interfaces { reth1.0; } } [edit]user@host#show interfaces reth1 { redundant-ether-options { redundancy-group 1; lacp { active; periodic slow; } } unit 0 { family inet { address 192.168.2.1/24; } } }
在 EX 系列交换机上配置 LACP
分步过程
在 EX 系列交换机上配置 LACP。
-
设置聚合以太网接口的数量。
[edit chassis] user@host# set aggregated-devices ethernet device-count 3
-
将物理接口与聚合以太网接口关联。
[edit interfaces] user@host# set ge-0/0/1 gigether-options 802.3ad ae1 user@host# set ge-0/0/2 gigether-options 802.3ad ae1 user@host# set ge-0/0/3 gigether-options 802.3ad ae2 user@host# set ge-0/0/4 gigether-options 802.3ad ae2
-
在聚合以太网接口 (ae1) 上配置 LACP。
[edit interfaces] user@host# set interfaces ae1 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ae1 unit 0 family ethernet-switching vlan members RETH0_VLAN
-
在聚合以太网接口 (ae2) 上配置 LACP。
[edit interfaces] user@host# set interfaces ae2 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ae2 unit 0 family ethernet-switching vlan members RETH0_VLAN
-
配置 VLAN。
user@host#set vlans RETH0_VLAN vlan-id 10 user@host# set vlans RETH0_VLAN l3-interface vlan.10 user@host# set interfaces vlan unit 10 family inet address 192.168.2.254/24
结果
在配置模式下,输入 show chassis 和 show interfaces 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]user@host#show chassis aggregated-devices { ethernet { device-count 3; } }user@host#show vlans RETH0_VLAN { vlan-id 10; l3-interface vlan.10; }user@host>show vlans RETH0_VLAN Routing instance VLAN name Tag Interfaces default-switch RETH0_VLAN 10 ae1.0* ae2.0*user@host>show ethernet-switching interface ae1 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ae1.0 131072 untagged RETH0_VLAN 10 131072 Forwarding untaggeduser@host>show ethernet-switching interface ae2 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ae2.0 131072 untagged RETH0_VLAN 10 131072 Forwarding untaggeduser@host#show interfaces ge-0/0/1 { ether-options { 802.3ad ae1; } } ge-0/0/2 { ether-options { 802.3ad ae1; } } ge-0/0/3 { ether-options { 802.3ad ae2; } } ge-0/0/4 { ether-options { 802.3ad ae2; } } ae1 { aggregated-ether-options { lacp { active; periodic slow; } } unit 0 { family ethernet-switching { interface-mode access; vlan { members RETH0_VLAN; } } } } ae2 { aggregated-ether-options { lacp { active; periodic slow; } } unit 0 { family ethernet-switching { interface-mode access; vlan { members RETH0_VLAN; } } } } vlan { unit 10 { family inet { address 192.168.2.254/24 { } } } }
验证
验证冗余以太网接口上的 LACP
目的
显示冗余以太网接口的 LACP 状态信息。
行动
在操作模式下,输入 show chassis cluster status 命令。
{primary:node0}[edit]
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 1 primary no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 1
node0 200 primary no no None
node1 100 secondary no no None
{primary:node0}[edit]
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 fxp1 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 ge-0/0/2 Up / Up Enabled
fab0
fab1 ge-9/0/2 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Down Not configured
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
在操作模式下,输入 show lacp interfaces reth1 命令。
{primary:node0}[edit]
user@host> show lacp interfaces reth1
Aggregated interface: reth1
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
ge-0/0/4 Actor No No Yes Yes Yes Yes Slow Active
ge-0/0/4 Partner No No Yes Yes Yes Yes Slow Active
ge-0/0/5 Actor No No Yes Yes Yes Yes Slow Active
ge-0/0/5 Partner No No Yes Yes Yes Yes Slow Active
ge-9/0/4 Actor No No Yes Yes Yes Yes Slow Active
ge-9/0/4 Partner No No Yes Yes Yes Yes Slow Active
ge-9/0/5 Actor No No Yes Yes Yes Yes Slow Active
ge-9/0/5 Partner No No Yes Yes Yes Yes Slow Active
LACP protocol: Receive State Transmit State Mux State
ge-0/0/4 Current Slow periodic Collecting distributing
ge-0/0/5 Current Slow periodic Collecting distributing
ge-9/0/4 Current Slow periodic Collecting distributing
ge-9/0/5 Current Slow periodic Collecting distributing
输出显示冗余以太网接口信息,如下所示:
LACP 状态 — 指示捆绑包中的链路是参与者(链路的本地或近端)还是伙伴(链路的远程或远端)。
LACP 模式 — 指示聚合以太网接口的两端是否已启用(主动或被动)— 捆绑接口的至少一端必须处于活动状态。
周期性链路聚合控制PDU传输速率。
LACP 协议状态 — 指示如果链路正在收集和分发数据包,则链路已启动。
示例:配置机箱群集最小链路数
此示例说明如何指定分配给主节点上冗余以太网接口的最小物理链路数,该接口必须正常工作才能启动。
要求
准备工作:
配置冗余以太网接口。请参阅 示例:配置机箱群集冗余以太网接口。
了解冗余以太网接口链路聚合组。请参阅 示例:在机箱群集中配置链路聚合组。
概述
当冗余以太网接口具有两个以上的子链路时,您可以设置分配给主节点上接口的最小物理链路数,该物理链路必须正常工作才能使接口启动。当主节点上的物理链路数低于最小链路值时,即使某些链路仍在工作,接口也会关闭。
在此示例中,您指定主节点上绑定到 reth1(最小链路值)的三个子链路工作以防止接口关闭。例如,在将六个接口分配给 reth1 的冗余以太网接口 LAG 配置中,将最小链路值设置为 3 意味着主节点上的所有 reth1 子链路都必须正常工作,以防止接口的状态更改为关闭。
虽然可以为只有两个子接口(每个节点一个)的冗余以太网接口设置最小链路值,但我们不建议这样做。
配置
程序
分步过程
要指定最小链接数:
指定冗余以太网接口的最小链路数。
{primary:node0}[edit] user@host# set interfaces reth1 redundant-ether-options minimum-links 3如果完成设备配置,请提交配置。
{primary:node0}[edit] user@host# commit
验证
验证机箱群集最小链路配置
目的
要验证配置是否正常工作,请输入 show interface reth1 命令。
行动
在操作模式下,输入 show show interfaces reth1 命令。
{primary:node0}[edit]user@host> show interfaces reth1Physical interface: reth1, Enabled, Physical link is Down Interface index: 129, SNMP ifIndex: 548 Link-level type: Ethernet, MTU: 1514, Speed: Unspecified, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Minimum links needed: 3, Minimum bandwidth needed: 0 Device flags : Present Running Interface flags: Hardware-Down SNMP-Traps Internal: 0x0 Current address: 00:10:db:ff:10:01, Hardware address: 00:10:db:ff:10:01 Last flapped : 2010-09-15 15:54:53 UTC (1w0d 22:07 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface reth1.0 (Index 68) (SNMP ifIndex 550) Flags: Hardware-Down Device-Down SNMP-Traps 0x0 Encapsulation: ENET2 Statistics Packets pps Bytes bps Bundle: Input : 0 0 0 0 Output: 0 0 0 0 Security: Zone: untrust Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping ntp sip Protocol inet, MTU: 1500 Flags: Sendbcast-pkt-to-re
示例:在使用 IOC2 或 IOC3 的 SRX5000 系列设备上配置机箱群集冗余以太网接口链路聚合组
支持基于 IEEE 802.3ad 的以太网链路聚合组 (LAG),从而可以在独立设备上聚合物理接口。独立设备上的 LAG 可提供更高的接口带宽和链路可用性。机箱群集中的链路聚合允许冗余以太网接口添加两个以上的物理子接口,从而创建冗余以太网接口 LAG。
要求
此示例使用以下软件和硬件组件:
适用于 SRX 系列防火墙的 Junos OS 版本 15.1X49-D40 或更高版本。
使用 IOC2 或 IOC2 和 IOC3 启用快速路径的 IOC3 进行SRX5800。有关详细信息,请参阅 示例:在 SRX5000 系列设备上配置 SRX5K-MPC3-100G10G (IOC3) 和 SRX5K-MPC3-40G10G (IOC3) 以支持 Express Path。
概述
此示例说明如何在 Express Path 模式下使用 IOC2 或 IOC3 中的端口在 SRX 系列防火墙上的机箱群集上配置冗余以太网接口链路聚合组和配置 LACP。请注意,不支持通过混合来自 IOC2 和 IOC3 的链路来配置子接口。
冗余以太网接口或聚合以太网接口 (aex) 必须包含来自 IOC2 和 IOC3 相同 IOC 类型的子接口。例如,如果一个子链路来自 IOC2 上的 10 千兆以太网,则第二个子链路也应来自 IOC2。如果 IOC3 和 IOC4 子接口具有相同的速度,则此限制不适用于这两个接口。
不支持以下组合:
- 来自 IOC2 的节点 0-100GbE 和来自 IOC3 的 10GbE/40GbE/100GbE
- 来自 IOC2 的节点 1-100GbE 和来自 IOC3 的 10GbE/40GbE/100GbE
支持以下组合(接口速度相同):
- 来自 IOC3 的节点 0-100GbE 和来自 IOC4 的 100GbE
- 来自 IOC3 的节点 1-100GbE 和来自 IOC4 的 100GbE
此示例中使用以下成员链接:
-
XE-1/0/0
-
xe-3/0/0
-
XE-14/0/0
-
XE-16/0/0
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,删除,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set chassis cluster reth-count 5 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 redundant-ether-options lacp active set interfaces reth0 redundant-ether-options lacp periodic fast set interfaces reth0 redundant-ether-options minimum-links 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set interfaces xe-1/0/0 gigether-options redundant-parent reth0 set interfaces xe-3/0/0 gigether-options redundant-parent reth0 set interfaces xe-14/0/0 gigether-options redundant-parent reth0 set interfaces xe-16/0/0 gigether-options redundant-parent reth0
程序
分步过程
要配置 LAG 接口:
指定要创建的聚合以太网接口的数量。
[edit chassis] user@host# set chassis cluster reth-count 5
将冗余子物理接口绑定到 reth0。
[edit interfaces] user@host# set xe-1/0/0 gigether-options redundant-parent reth0 user@host# set xe-3/0/0 gigether-options redundant-parent reth0 user@host# set xe-14/0/0 gigether-options redundant-parent reth0 user@host# set xe-16/0/0 gigether-options redundant-parent reth0
将 reth0 添加到冗余组 1。
user@host#set reth0 redundant-ether-options redundancy-group 1
为 reth0 分配一个 IP 地址。
[edit interfaces] user@host# set reth0 unit 0 family inet address 192.0.2.1/24
将 LACP 设置为 reth0。
[edit interfaces] user@host# set reth0 redundant-ether-options lacp active user@host# set reth0 redundant-ether-options lacp periodic fast user@host# set reth0 redundant-ether-options minimum-links 1
结果
在配置模式下,输入 show interfaces 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show interfaces
xe-1/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-3/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-14/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-16/0/0 {
gigether-options {
redundant-parent reth0;
}
}
reth0 {
redundant-ether-options {
lacp {
active;
periodic fast;
}
minimum-links 1;
}
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ae1 {
aggregated-ether-options {
lacp {
active;
}
}
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
}
[edit]
user@host# show chassis
chassis cluster {
reth-count 5;
}
如果完成设备配置,请从配置模式输入 commit 。
验证
验证冗余以太网接口上的 LACP
目的
显示冗余以太网接口的 LACP 状态信息。
行动
在操作模式下,输入命令以 show lacp interfaces 检查 LACP 是否已在一端启用为活动状态。
user@host> show lacp interfaces
Aggregated interface: reth0
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
xe-16/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-16/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-14/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-14/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-1/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-1/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-3/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-3/0/0 Partner No No Yes Yes Yes Yes Fast Active
LACP protocol: Receive State Transmit State Mux State
xe-16/0/0 Current Fast periodic Collecting distributing
xe-14/0/0 Current Fast periodic Collecting distributing
xe-1/0/0 Current Slow periodic Collecting distributing
xe-3/0/0 Current Slow periodic Collecting distributing
输出指示 LACP 已正确设置且一端处于活动状态。
了解 SRX 系列防火墙上的 VRRP
SRX 系列防火墙支持虚拟路由器冗余协议 (VRRP) 和适用于 IPv6 的 VRRP。本主题涵盖:
SRX 系列防火墙上的 VRRP 概述
使用静态默认路由配置网络上的终端主机可最大程度地减少配置工作量和复杂性,并减少终端主机上的处理开销。当主机配置静态路由时,默认网关的故障通常会导致灾难性事件,从而隔离无法检测到到其网关的可用备用路径的所有主机。通过使用虚拟路由器冗余协议 (VRRP),您可以在主网关发生故障时为终端主机动态提供备用网关。
您可以在千兆以太网接口、10 千兆以太网接口和 SRX 系列防火墙上的逻辑接口上为 IPv6 配置虚拟路由器冗余协议 (VRRP) 或 VRRP。VRRP 使 LAN 上的主机能够利用该 LAN 上的冗余设备,而只需要主机上单个默认路由的静态配置。配置了 VRRP 的设备共享与主机上配置的默认路由对应的 IP 地址。在任何时候,其中一个配置了 VRRP 的设备是主设备(活动设备),其他设备是备份设备。如果主设备发生故障,则其中一个备份设备将成为新的主设备,从而提供虚拟默认设备,并使 LAN 上的流量能够在不依赖单个设备的情况下进行路由。使用 VRRP,备份 SRX 系列防火墙可以在几秒钟内接管发生故障的默认设备。这是在 VRRP 流量损失最小的情况下完成的,并且无需与主机进行任何交互。管理接口不支持虚拟路由器冗余协议。
与 IPv6 邻居发现 (ND) 过程相比,适用于 IPv6 的 VRRP 提供了到备用默认设备的切换速度要快得多。IPv6 版 VRRP 不支持 authentication-type 或 authentication-key 语句。
运行 VRRP 的设备会动态选择主设备和备份设备。您还可以使用 1 到 255 之间的优先级强制分配主设备和备份设备,其中 255 是最高优先级。在 VRRP 操作中,默认主设备定期向备份设备发送播发。默认间隔为 1 秒。如果备份设备在设定的时间段内未收到播发,则优先级最高的备份设备将接管为主设备并开始转发数据包。
备份设备不会尝试抢占主设备,除非它具有更高的优先级。这消除了服务中断,除非有更优选的路径可用。可以在管理上禁止所有抢占尝试,但 VRRP 设备成为与其拥有的地址关联的任何设备的主要设备除外。
VRRP 不支持成员之间的会话同步。如果主设备发生故障,优先级最高的备份设备将接管为主设备,并开始转发数据包。备份设备上的任何现有会话都将作为状态外删除。
不能为路由 VLAN 接口 (RVI) 设置优先级 255。
VRRP 在 RFC 3768 《虚拟路由器冗余协议》中定义。
VRRP 的优势
VRRP 可在发生故障时提供 IP 地址从一台设备到另一台设备的动态故障转移。
您可以实施 VRRP 以提供到网关的高可用性默认路径,而无需在终端主机上配置动态路由或路由器发现协议。
示例 VRRP 拓扑
图 2 显示了使用 SRX 系列防火墙的基本 VRRP 拓扑。在此示例中,设备 A 和 B 正在运行 VRRP 并共享虚拟 IP 地址 192.0.2.1。每个客户端的默认网关为 192.0.2.1。
上的基本 VRRP
下面使用 图 2 说明了 VRRP 的基本行为以供参考:
当任何服务器想要从 LAN 发送流量时,它会将流量发送到默认网关地址 192.0.2.1。这是 VRRP 组 100 拥有的虚拟 IP 地址 (VIP)。由于设备 A 是组的主设备,因此 VIP 与设备 A 上的“真实”地址 192.0.2.251 相关联,并且来自服务器的流量实际上发送到此地址。(设备 A 是主设备,因为它已配置了更高的优先级值。
如果设备 A 出现故障,导致其无法将流量转发到服务器或从服务器转发流量(例如,连接到 LAN 的接口出现故障),则设备 B 将成为主设备 B 并取得 VIP 的所有权。服务器继续向 VIP 发送流量,但由于 VIP 现在与设备 B 上的“真实”地址 192.0.2.252 相关联(由于主地址的更改),因此流量将发送到设备 B 而不是设备 A。
如果导致设备 A 故障的问题得到纠正,设备 A 将再次成为主设备 A 并重新声明 VIP 的所有权。在这种情况下,服务器将恢复向设备 A 发送流量。
请注意,无需在服务器上更改配置,即可在向设备 A 和设备 B 发送流量之间切换。当 VIP 在 192.0.2.251 和 192.0.2.252 之间移动时,正常的 TCP-IP 行为会检测到更改,并且不需要在服务器上进行配置或干预。
SRX 系列防火墙支持 VRRPv3
使用 VRRPv3 的优点是 VRRPv3 同时支持 IPv4 和 IPv6 地址族,而 VRRP 仅支持 IPv4 地址。
仅当可以在网络中配置了 VRRP 的所有设备上启用 VRRPv3 时,才在网络中启用 VRRPv3,因为 VRRPv3 (IPv4) 不与以前版本的 VRRP 互操作。例如,如果启用了 VRRPv3 的设备接收 VRRP IPv4 通告数据包,则设备会将自身转换为备份状态,以避免在网络中创建多个主数据库。
您可以通过在层次结构级别配置 [edit protocols vrrp] version-3 语句来启用 VRRPv3(对于 IPv4 或 IPv6 网络)。在 LAN 上的所有 VRRP 设备上配置相同的协议版本。
VRRPv3 功能的局限性
以下是一些 VRRPv3 功能限制。
VRRPv3 身份验证
启用 VRRPv3(对于 IPv4)时,它不允许身份验证。
authentication-type不能为任何 VRRP 组配置 andauthentication-key语句。您必须使用非 VRRP 身份验证。
VRRPv3 通告间隔
VRRPv3(对于 IPv4 和 IPv6)播发间隔必须在 [编辑接口-名称单元 0 系列“inet 地址 IP 地址 VRRP-组-名称] 层次结构级别使用快速间隔语句进行设置。
不要使用该
advertise-interval语句(对于 IPv4)。不要使用该
inet6-advertise-interval语句(对于 IPv6)。
参见
VRRP 故障切换延迟概述
故障转移是一种备份操作模式,在这种模式下,当主设备由于故障或计划停机时间而不可用时,网络设备的功能由辅助设备承担。故障转移通常是任务关键型系统不可或缺的一部分,必须在网络上始终可用。
VRRP 不支持成员之间的会话同步。如果主设备发生故障,优先级最高的备份设备将接管为主设备,并开始转发数据包。备份设备上的任何现有会话都将作为状态外删除。
快速故障转移需要较短的延迟。因此,故障转移延迟为 VRRP 和 IPv6 操作的 VRRP 配置故障转移延迟时间(以毫秒为单位)。Junos OS 支持 50 到 100000 毫秒的故障切换延迟范围。
路由引擎上运行的 VRRP 进程 (vrrpd) 为每个 VRRP 会话将 VRRP 主要角色更改传达给数据包转发引擎。每个 VRRP 组都可以触发此类通信,以使用自己的状态或从活动 VRRP 组继承的状态更新数据包转发引擎。为避免此类消息使数据包转发引擎过载,您可以配置故障切换延迟以指定后续路由引擎与数据包转发引擎通信之间的延迟。
路由引擎将 VRRP 主要角色更改通知数据包转发引擎,以便数据包转发引擎上的必要状态更改,例如重新编程数据包转发引擎硬件过滤器、VRRP 会话等。以下部分详细介绍了路由引擎到数据包转发引擎在两种情况下的通信:
未配置故障转移延迟时
如果未配置故障切换延迟,则从路由引擎操作的 VRRP 会话的事件顺序如下:
当路由引擎检测到的第一个 VRRP 组更改状态且新状态为主状态时,路由引擎将生成相应的 VRRP 公告消息。数据包转发引擎会收到有关状态更改的通知,以便立即对该组的硬件过滤器进行重新编程。然后,新的主服务器将无偿 ARP 消息发送到 VRRP 组。
故障转移计时器中的延迟启动。默认情况下,故障转移延迟计时器为:
500 毫秒 - 当配置的 VRRP 通告间隔小于 1 秒时。
2 秒 — 当配置的 VRRP 公告间隔为 1 秒或更长时间,并且路由器上的 VRRP 组总数为 255 时。
10 秒 — 当配置的 VRRP 通告间隔为 1 秒或更长时间,并且路由器上的 VRRP 组数超过 255 时。
路由引擎对后续 VRRP 组执行逐个状态更改。每当状态发生更改,并且特定 VRRP 组的新状态为主状态时,路由引擎都会生成相应的 VRRP 公告消息。但是,在故障转移延迟计时器过期之前,与数据包转发引擎的通信将被抑制。
故障切换延迟计时器过期后,路由引擎会向数据包转发引擎发送有关设法更改状态的所有 VRRP 组的消息。因此,这些组的硬件过滤器将被重新编程,对于那些新状态为主要状态的组,将发送无偿的 ARP 消息。
此过程将重复,直到所有 VRRP 组的状态转换完成。
因此,如果不配置故障切换延迟,第一个 VRRP 组的完整状态转换(包括路由引擎和数据包转发引擎上的状态)将立即执行,而数据包转发引擎上其余 VRRP 组的状态转换将延迟至少 0.5-10 秒,具体取决于配置的 VRRP 公告计时器和 VRRP 组的数量。在此中间状态期间,由于硬件过滤器的延迟重新配置,尚未在数据包转发引擎上完成状态更改的 VRRP 组的接收流量可能会在数据包转发引擎级别丢弃。
配置故障转移延迟时
配置故障切换延迟后,将按如下方式修改从路由引擎运行的 VRRP 会话的事件顺序:
路由引擎检测到某些 VRRP 组需要更改状态。
故障转移延迟在配置的时间段内开始。允许的故障转移延迟计时器范围为 50 到 100000 毫秒。
路由引擎对 VRRP 组执行逐个状态更改。每当状态发生更改,并且特定 VRRP 组的新状态为主状态时,路由引擎都会生成相应的 VRRP 公告消息。但是,在故障转移延迟计时器过期之前,与数据包转发引擎的通信将被抑制。
故障切换延迟计时器过期后,路由引擎会向数据包转发引擎发送有关设法更改状态的所有 VRRP 组的消息。因此,这些组的硬件过滤器将被重新编程,对于那些新状态为主要状态的组,将发送无偿的 ARP 消息。
此过程将重复,直到所有 VRRP 组的状态转换完成。
因此,当配置故障转移延迟时,甚至第一个 VRRP 组的数据包转发引擎状态也会延迟。但是,网络运营商的优势在于配置最适合网络部署需求的故障转移延迟值,以确保在 VRRP 状态更改期间将中断降至最低。
故障切换延迟仅影响路由引擎上运行的 VRRP 进程 (VRRPD) 操作的 VRRP 会话。对于分发到数据包转发引擎的 VRRP 会话,故障转移延迟配置不起作用。
参见
示例:在机箱群集冗余以太网接口上配置 VRRP/VRRPv3
配置虚拟路由器冗余协议 (VRRP) 后,VRRP 会将多个设备分组到一个虚拟设备中。任何时候,配置了 VRRP 的设备之一都是主设备(活动设备),其他设备是备份设备。如果主设备发生故障,其中一个备份设备将成为新的主设备。
此示例介绍如何在冗余接口上配置 VRRP:
要求
此示例使用以下硬件和软件组件:
适用于 SRX 系列防火墙的 Junos OS 18.1 R1 或更高版本。
在机箱群集中连接的两个 SRX 系列防火墙。
一个作为独立设备连接的 SRX 系列防火墙。
概述
您可以通过在机箱群集设备上的冗余接口和独立设备上的千兆以太网接口上配置 VRRP 组来配置 VRRP。机箱群集设备的冗余接口和独立设备的千兆以太网接口可以是一个或多个 VRRP 组的成员。在 VRRP 组中,必须配置机箱群集设备的主冗余接口和独立设备的备份千兆以太网接口。
要配置 VRRP 组,必须为作为 VRRP 组成员的冗余接口和千兆以太网接口配置组标识符和虚拟 IP 地址。VRRP 组中的所有接口的虚拟 IP 地址必须相同。然后,将冗余接口和千兆以太网接口的优先级配置为主接口。
您可以使用 1 到 255 之间的优先级强制分配主冗余接口和备份冗余接口以及千兆以太网接口,其中 255 是最高优先级。
配置 VRRP
在机箱群集冗余以太网接口上配置 VRRPv3、VRRP 组和优先级
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set protocols vrrp traceoptions file vrrp.logset protocols vrrp traceoptions file size 10000000set protocols vrrp traceoptions flag allset protocols vrrp version-3set protocols vrrp ignore-nonstop-routingset interfaces ge-0/0/0 gigether-options redundant-parent reth0set interfaces ge-0/0/3 gigether-options redundant-parent reth1set interfaces ge-5/0/0 gigether-options redundant-parent reth0set interfaces ge-5/0/3 gigether-options redundant-parent reth1set interfaces reth0 redundant-ether-options redundancy-group 1set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 virtual-address 192.0.2.3set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 priority 255set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 accept-dataset interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3set interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 priority 255set interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 accept-dataset interfaces reth1 redundant-ether-options redundancy-group 2set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 virtual-address 192.168.120.3set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 priority 150set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 accept-dataset interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4set interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 priority 150set interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 accept-data
分步过程
要在机箱群集设备上配置 VRRPv3、VRRP 组和优先级:
将文件名配置为跟踪选项以跟踪 VRRP 协议流量。
[edit protocols vrrp] user@host#
set traceoptions file vrrp.log指定最大跟踪文件大小。
[edit protocols vrrp] user@host#
set traceoptions file size 10000000启用 vrrp 跟踪选项。
[edit protocols vrrp] user@host#
set traceoptions flag all将 vrrp 版本设置为 3。
[edit protocols vrrp] user@host#
set version-3配置此命令以支持 VRRP 的平稳路由引擎切换 (GRES),以及在存在 VRRP 路由故障切换时支持不间断活动路由。使用 vrrp,辅助节点可以在几秒钟内接管发生故障的主节点,这是以最小的 VRRP 流量完成的,并且无需与主机进行任何交互
[edit protocols vrrp] user@host#
set ignore-nonstop-routing设置冗余以太网 (reth) 接口并将冗余接口分配给区域。
[edit interfaces] user@host#
set ge-0/0/0 gigether-options redundant-parent reth0user@host#set ge-0/0/3 gigether-options redundant-parent reth1user@host#set ge-5/0/0 gigether-options redundant-parent reth0user@host#set ge-5/0/3 gigether-options redundant-parent reth1user@host#set reth0 redundant-ether-options redundancy-group 1user@host#set reth1 redundant-ether-options redundancy-group 2配置冗余接口 0 单元 0 的家族 inet 地址和虚拟地址。
[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 virtual-address 192.168.110.3user@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3配置冗余接口 1 单元 0 的家族 inet 地址和虚拟地址。
[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 virtual-address 192.168.120.3user@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4将冗余接口 0 单元 0 的优先级设置为 255。
[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 priority 255user@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 priority 255将冗余接口 1 单元 0 的优先级设置为 150。
[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 priority 150user@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 priority 150将冗余接口 0 单元 0 配置为接受发送到虚拟 IP 地址的所有数据包。
[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 accept-datauser@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 accept-data将冗余接口 1 单元 0 配置为接受发送到虚拟 IP 地址的所有数据包。
[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 accept-datauser@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 accept-data
结果
在配置模式下,输入 show interfaces reth0 和 show interfaces reth1 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show interfaces reth0
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.2.2/24 {
vrrp-group 0 {
virtual-address 192.0.2.3;
priority 255;
accept-data;
}
}
}
family inet6 {
address 2001:db8::2/32 {
vrrp-inet6-group 2 {
virtual-inet6-address 2001:db8::3;
priority 255;
accept-data;
}
}
}
}
[edit]
user@host# show interfaces reth1
redundant-ether-options {
redundancy-group 2;
}
unit 0 {
family inet {
address 192.0.2.4/24 {
vrrp-group 1 {
virtual-address 192.0.2.5;
priority 150;
accept-data;
}
}
}
family inet6 {
address 2001:db8::3/32 {
vrrp-inet6-group 3 {
virtual-inet6-address 2001:db8::4;
priority 150;
accept-data;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
在独立设备上配置 VRRP 组
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set protocols vrrp version-3set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 virtual-address 192.0.2.3set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 priority 50set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 accept-dataset interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3set interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 priority 50set interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 accept-dataset interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 virtual-address 192.0.2.5set interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 priority 50set interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 accept-dataset interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4set interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 priority 50set interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 accept-data
分步过程
要在独立设备上配置 VRRP 组,请执行以下操作:
将 vrrp 版本设置为 3。
[edit protocols vrrp] user@host#
set version-3配置千兆以太网接口单元 0 的家族 inet 地址和虚拟地址。
[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 virtual-address 192.0.2.3user@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3user@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 virtual-address 192.0.2.5user@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4将千兆以太网接口单元的优先级设置为 0 到 50。
[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 priority 50user@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 priority 50user@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 priority 50user@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 priority 50将千兆以太网接口单元 0 配置为接受发送到虚拟 IP 地址的所有数据包。
[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 accept-datauser@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 accept-datauser@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 accept-datauser@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 accept-data
结果
在配置模式下,输入 show interfaces xe-5/0/5 和 show interfaces xe-5/0/6 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show interfaces xe-5/0/5
unit 0 {
family inet {
address 192.0.2.1/24 {
vrrp-group 0 {
virtual-address 192.0.2.3;
priority 50;
accept-data;
}
}
}
family inet6 {
address 2001:db8::1/32 {
vrrp-inet6-group 2 {
virtual-inet6-address 2001:db8::3;
priority 50;
accept-data;
}
}
}
}
[edit]
user@host# show interfaces xe-5/0/6
unit 0 {
family inet {
address 192.0.2.1/24 {
vrrp-group 1 {
virtual-address 192.0.2.5;
priority 50;
accept-data;
}
}
}
family inet6 {
address 2001:db8::5/32 {
vrrp-inet6-group 3 {
virtual-inet6-address 2001:db8::4;
priority 50;
accept-data;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
确认配置工作正常。
验证机箱群集设备上的 VRRP
目的
验证机箱群集设备上的 VRRP 是否已正确配置。
行动
在操作模式下,输入 show vrrp brief 命令以显示机箱群集设备上的 VRRP 状态。
user@host> show vrrp brief
Interface State Group VR state VR Mode Timer Type Address
reth0.0 up 0 master Active A 0.149 lcl 192.0.2.3
vip 192.0.2.3
reth0.0 up 2 master Active A 0.155 lcl 2001:db8::2
vip 2001:db8:5eff:fe00:202
vip 2001:db8::2
reth1.0 up 1 master Active A 0.445 lcl 192.0.2.4
vip 192.0.2.4
reth1.0 up 3 master Active A 0.414 lcl 2001:db8::4
vip 2001:db8:5eff:fe00:203
vip 2001:db8::4
意义
示例输出显示四个 VRRP 组处于活动状态,冗余接口已承担正确的主要角色。LCL 地址是接口的物理地址,VIP 地址是冗余接口共享的虚拟地址。计时器值(A 0.149、A 0.155、A 0.445 和 A 0.414)表示冗余接口期望从千兆以太网接口接收 VRRP 通告的剩余时间(以秒为单位)。如果组 0、1、2 和 3 的播发在计时器到期之前未到达,机箱群集设备会将自身断言为主设备。
验证独立设备上的 VRRP
目的
验证是否已在独立设备上正确配置 VRRP。
行动
在操作模式下,输入命令以 show vrrp brief 显示独立设备上 VRRP 的状态。
user@host> show vrrp brief
Interface State Group VR state VR Mode Timer Type Address
xe-5/0/5.0 up 0 backup Active D 3.093 lcl 192.0.2.2.1
vip 192.0.2.2
mas 192.0.2.2.2
xe-5/0/5.0 up 2 backup Active D 3.502 lcl 2001:db8::2:1
vip 2001:db8:200:5eff:fe00:202
vip 2001:db8::2
mas 2001:db8:210:dbff:feff:1000
xe-5/0/6.0 up 1 backup Active D 3.499 lcl 192.0.2.5.1
vip 192.0.2.5
mas 192.0.2.5.2
xe-5/0/6.0 up 3 backup Active D 3.282 lcl 2001:db8::5
vip 2001:db8:200:5eff:fe00:203
vip 2001:db8::4
mas 2001:db8:210:dbff:feff:1001
意义
示例输出显示四个 VRRP 组处于活动状态,并且千兆以太网接口已承担正确的备份角色。lcl 地址是接口的物理地址,VIP 地址是千兆以太网接口共享的虚拟地址。计时器值(D 3.093、D 3.502、D 3.499 和 D 3.282)表示千兆以太网接口期望从冗余接口接收 VRRP 通告的剩余时间(以秒为单位)。如果组 0、1、2 和 3 的播发在计时器到期之前未到达,则独立设备将继续作为备份设备。
示例:为 IPv6 配置 VRRP
此示例说明如何为 IPv6 配置 VRRP 属性。
要求
此示例使用以下硬件和软件组件:
-
三台路由器
-
Junos OS 11.3 或更高版本
- 此示例最近在 Junos OS 21.1R1 版上进行了更新和重新验证。
- 有关 VRRP 对特定平台和 Junos OS 版本组合的支持的详细信息,请参阅 功能浏览器。
概述
此示例使用具有 IPv6 虚拟地址的 VRRP 组。LAN 上的设备使用此虚拟地址作为其默认网关。如果主路由器发生故障,备份路由器将接管它。
配置 VRRP
配置路由器 A
CLI 快速配置
要快速配置此示例,请复制以下命令,粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中。
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 priority 110 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 accept-data set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 track interface ge-0/0/2 priority-cost 20 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:3::1/64 set protocols router-advertisement interface ge-0/0/1.0 virtual-router-only set protocols router-advertisement interface ge-0/0/1.0 prefix 2001:db8:1:1::/64 set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:3::2
分步过程
要配置此示例,请执行以下操作:
-
配置接口。
[edit] user@routerA# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 user@routerA# set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:3::1/64
-
配置 IPv6 VRRP 组标识符和虚拟 IP 地址。
[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254
-
配置路由器 A 高于路由器 B 成为主虚拟路由器的优先级。路由器 B 使用默认优先级 100。
[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 priority 110
-
配置为
track interface跟踪连接到互联网的接口是打开、关闭还是不存在,以更改 VRRP 组的优先级。[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 track interface ge-0/0/2 priority-cost 20
-
配置
accept-data以使主路由器能够接受发往虚拟 IP 地址的所有数据包。[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 accept-data
-
为流向互联网的流量配置静态路由。
[edit] user@routerA# set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:3::2
-
对于适用于 iPv6 的 VRRP,您必须配置将 VRRP 配置为为 VRRP 组发送 IPv6 路由器通告的接口。当接口收到 IPv6 路由器请求消息时,它会向其上配置的所有 VRRP 组发送 IPv6 路由器通告。
[edit protocols router-advertisement interface ge-0/0/1.0] user@routerA# set prefix 2001:db8:1:1::/64
-
将路由器通告配置为仅针对接口上配置的 VRRP IPv6 组发送(如果这些组处于主要状态)。
[edit protocols router-advertisement interface ge-0/0/1.0] user@routerA# set virtual-router-only
结果
在配置模式下,输入 show interfaces和 show protocols router-advertisement show routing-options 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@routerA# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1:1::1/64 {
vrrp-inet6-group 1 {
virtual-inet6-address 2001:db8:1:1::254;
priority 110;
accept-data;
track {
interface ge-0/0/2 {
priority-cost 20;
}
}
}
}
}
}
}
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8:1:3::1/64;
}
}
}
[edit]
user@routerA# show protocols router-advertisement
interface ge-0/0/1.0 {
virtual-router-only;
prefix 2001:db8:1:1::/64;
}
[edit]
user@routerA# show routing-options
rib inet6.0 {
static {
route 0::0/0 next-hop 2001:db8:1:3::2;
}
}
如果完成设备配置,请从配置模式输入 commit 。
配置路由器 B
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中。
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 priority 110 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 accept-data set protocols router-advertisement interface ge-0/0/1.0 virtual-router-only set protocols router-advertisement interface ge-0/0/1.0 prefix 2001:db8:1:1::/64
分步过程
要配置此示例,请执行以下操作:
-
配置接口。
[edit] user@routerB# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 user@routerB# set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:4::1/64
-
配置 IPv6 VRRP 组标识符和虚拟 IP 地址。
[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64] user@routerB# set vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254
-
配置
accept-data以使备份路由器能够在备份路由器成为主路由器时接受发往虚拟 IP 地址的所有数据包。[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64] user@routerB# set vrrp-inet6-group 1 accept-data
-
为流向互联网的流量配置静态路由。
[edit] user@routerB# set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:4::2
-
配置 VRRP 配置为为 VRRP 组发送 IPv6 路由器通告的接口。当接口收到 IPv6 路由器请求消息时,它会向其上配置的所有 VRRP 组发送 IPv6 路由器通告。
[edit protocols router-advertisement interface ge-0/0/1.0] user@routerB# set prefix 2001:db8:1:1::/64
-
将路由器通告配置为仅针对接口上配置的 VRRP IPv6 组发送(如果这些组处于主要状态)。
[edit protocols router-advertisement interface ge-0/0/1.0] user@routerB# set virtual-router-only
结果
在配置模式下,输入 show interfaces和 show protocols router-advertisement show routing-options 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@routerB# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1:1::2/64 {
vrrp-inet6-group 1 {
virtual-inet6-address 2001:db8:1:1::254;
accept-data;
}
}
}
}
}
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8:1:4::1/64;
}
}
}
[edit]
user@routerB# show protocols router-advertisement
interface ge-0/0/1.0 {
virtual-router-only;
prefix 2001:db8:1:1::/64;
}
[edit]
user@routerB# show routing-options
rib inet6.0 {
static {
route 0::0/0 next-hop 2001:db8:1:4::2;
}
}
如果完成设备配置,请从配置模式输入 commit 。
配置路由器 C
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中。
set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:1:1::3/64 set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:1::254
验证
验证 VRRP 是否在路由器 A 上工作
目的
验证 VRRP 在路由器 A 上是否处于活动状态,以及它在 VRRP 组中的角色是否正确。
行动
使用以下命令验证 VRRP 在路由器 A 上是否处于活动状态,路由器是否为组 1 的主路由器,以及连接到互联网的接口是否正在被跟踪。
user@routerA> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 1 master Active A 0.690 lcl 2001:db8:1:1::1
vip fe80::200:5eff:fe00:201
vip 2001:db8:1:1::254
user@routerA> show vrrp track Track Int State Speed VRRP Int Group VR State Current prio ge-0/0/2.0 up 1g ge-0/0/1.0 1 master 110
意义
该 show vrrp 命令显示有关 VRRP 配置的基本信息。此输出显示 VRRP 组处于活动状态,并且此路由器已承担主要角色。地址 lcl 是接口的物理地址, vip 地址是两个路由器共享的虚拟地址。值 Timer (A 0.690) 表示此路由器期望从其他路由器接收 VRRP 通告的剩余时间(以秒为单位)。
验证 VRRP 是否在路由器 B 上工作
目的
验证 VRRP 在路由器 B 上是否处于活动状态,以及它在 VRRP 组中的角色是否正确。
行动
使用以下命令验证路由器 B 上的 VRRP 是否处于活动状态,以及路由器是否为组 1 备份。
user@routerB> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 1 backup Active D 2.947 lcl 2001:db8:1:1::2
vip fe80::200:5eff:fe00:201
vip 2001:db8:1:1::254
mas fe80::5668:a0ff:fe99:2d7d
意义
该 show vrrp 命令显示有关 VRRP 配置的基本信息。此输出显示 VRRP 组处于活动状态,并且此路由器已承担备份角色。地址 lcl 是接口的物理地址, vip 地址是两个路由器共享的虚拟地址。值 Timer (D 2.947) 表示此路由器期望从其他路由器接收 VRRP 通告的剩余时间(以秒为单位)。
验证路由器 C 是否到达互联网,传输路由器 A
目的
验证从路由器 C 到互联网的连接。
行动
使用以下命令验证路由器 C 是否可以访问互联网。
user@routerC> ping 2001:db8:16:255::1 count 2 PING6(56=40+8+8 bytes) 2001:db8:1:1::3 --> 2001:db8:16:255::1 16 bytes from 2001:db8:16:255::1, icmp_seq=0 hlim=63 time=12.810 ms 16 bytes from 2001:db8:16:255::1, icmp_seq=1 hlim=63 time=30.139 ms --- 2001:db8:16:255::1 ping6 statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/std-dev = 12.810/21.474/30.139/8.664 ms
user@routerC> traceroute 2001:db8:16:255::1 traceroute6 to 2001:db8:16:255::1 (2001:db8:16:255::1) from 2001:db8:1:1::3, 64 hops max, 12 byte packets 1 2001:db8:1:1::1 (2001:db8:1:1::1) 9.891 ms 32.353 ms 7.859 ms 2 2001:db8:16:255::1 (2001:db8:16:255::1) 257.483 ms 19.877 ms 7.451 ms
意义
该 ping 命令显示对互联网的可访问性,命令 traceroute 显示正在传输路由器 A。
验证路由器 B 是否为 VRRP 的主路由器
目的
验证当路由器 A 和互联网之间的接口出现故障时,路由器 B 是否成为 VRRP 的主路由器。
行动
使用以下命令验证路由器 B 是否为主路由器,以及路由器 C 是否可以访问通过路由器 B 的互联网。
user@routerA> show vrrp track detail
Tracked interface: ge-0/0/2.0
State: down, Speed: 1g
Incurred priority cost: 20
Tracking VRRP interface: ge-0/0/1.0, Group: 1
VR State: backup
Current priority: 90, Configured priority: 110
Priority hold-time: disabled
user@routerB> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 1 master Active A 0.119 lcl 2001:db8:1:1::2
vip fe80::200:5eff:fe00:201
vip 2001:db8:1:1::254
user@routerC> traceroute 2001:db8:16:255::1 traceroute6 to 2001:db8:16:255::1 (2001:db8:16:255::1) from 2001:db8:1:1::3, 64 hops max, 12 byte packets 1 2001:db8:1:1::2 (2001:db8:1:1::2) 52.945 ms 344.383 ms 29.540 ms 2 2001:db8:16:255::1 (2001:db8:16:255::1) 46.168 ms 24.744 ms 23.867 ms
意义
该 show vrrp track detail 命令显示路由器 A 上跟踪的接口已关闭,优先级已降至 90,路由器 A 现在是备份。命令 show vrrp 显示路由器 B 现在是 VRRP 的主路由器,命令 traceroute 显示路由器 B 现在正在传输。