本页内容

示例：在 SRX 系列防火墙上配置机箱群集
查看机箱群集配置
查看机箱群集统计信息
清除机箱群集统计信息
了解主节点和辅助节点之间的机箱群集自动同步
验证机箱群集配置同步状态

在 SRX 系列设备上配置机箱群集

SRX 系列服务网关可配置为在群集模式下运行，其中，一对设备可以连接在一起并配置为像单个设备一样运行，以提供高可用性。配置为机箱群集后，两个节点彼此备份，一个节点充当主设备，另一个作为辅助设备，确保在发生系统或硬件故障时进行有状态的进程和服务故障切换。如果主设备发生故障，辅助设备将接管流量处理。

对于 SRX300、SRX320、SRX340、SRX345 和 SRX380 设备，将节点 0 上的 ge-0/0/1 连接到节点 1 上的 ge-0/0/1。出厂默认配置不包括 HA 配置。要启用高可用性，如果高可用性使用的物理接口具有某些配置，则需要移除这些配置。表 1 列出了 SRX300、SRX320、SRX340、SRX345 和 SRX380 上 HA 使用的物理接口。

表 1.. 高可用性接口与物理接口之间的映射
装置	fxp0 接口（HA MGT）	fxp1 接口（HA 控制）	晶圆厂接口
SRX300	ge-0/0/0	ge-0/0/1	用户定义
SRX320	ge-0/0/0	ge-0/0/1	用户定义
SRX340	耿耿	ge-0/0/1	用户定义
SRX345	耿耿	ge-0/0/1	用户定义
SRX380	耿耿	ge-0/0/1	用户定义

有关更多信息，请参阅以下主题：

示例：在 SRX 系列防火墙上配置机箱群集

此示例说明如何在SRX 系列防火墙上设置机箱群集（以 SRX1500 或 SRX1600 为例）。

要求
概述
配置
验证

要求

开始之前：

物理连接两台设备，并确保其型号相同。例如，在 SRX1500 或 SRX1600 防火墙上，连接节点 0 和节点 1 上的专用控制端口。
将两台设备设置为群集模式并重新启动设备。您必须在两台设备上输入以下作模式命令，例如：
- 在节点 0 上：
- 在节点 1 上：
两台设备上的群集 ID 相同，但节点 ID 必须不同，因为一台设备为节点 0，另一台设备为节点 1。群集 ID 的范围为 0 到 255，将其设置为 0 相当于禁用群集模式。
为设备设置群集后，继续SRX1500或SRX1600防火墙示例，节点 1 上的 ge-0/0/0 接口将改为 ge-7/0/0。

设置群集后，
- 对于 SRX300 设备，节点 1 上的 ge-0/0/1 接口将改为 ge-1/0/1。
- 对于 SRX320 设备，节点 1 上的 ge-0/0/1 接口将改为 ge-3/0/1。
- 对于 SRX340 和 SRX345 设备，节点 1 上的 ge-0/0/1 接口将改为 ge-5/0/1。
重新启动后，将分配以下接口并改变其用途以形成群集：
- 对于 SRX300 和 SRX320 设备，ge-0/0/0 将变为 fxp0，用于机箱群集的单独管理。
- SRX340 和 SRX345 设备包含一个专用端口 fxp0。
- 对于所有 SRX300、SRX320、SRX340、SRX345 和 SRX380 设备，ge-0/0/1 将变为 fxp1，用作机箱群集中的控制链路。
- 其他接口也会在辅助设备上重命名。
有关 SRX 系列防火墙的完整映射，请参阅了解 SRX 系列机箱群集插槽编号以及物理端口和逻辑接口命名。

从此时开始，群集的配置将在节点成员之间同步，两台独立的设备作为一台设备运行。

概述

此示例说明如何在SRX 系列防火墙上设置机箱群集，以SRX1500或SRX1600设备为例。

节点 1 将系统 FPC 的总数添加到接口的原始 FPC 数量中，从而对其接口重新进行编号。请参阅表 2 ，了解 SRX 系列防火墙上的接口重新编号。

表 2：SRX 系列防火墙接口重新编号
SRX 系列服务网关	重新编号常量	节点 0 接口名称	节点 1 接口名称
SRX300	1	ge-0/0/0	GE-1/0/0
SRX320	3	ge-0/0/0	GE-3/0/0
SRX340 SRX345 SRX380	5	ge-0/0/0	GE-5/0/0
SRX1500	7	ge-0/0/0	GE-7/0/0
SRX1600	7	ge-0/0/0	GE-7/0/0

启用群集后，系统将创建 fxp0、fxp1 和 em0 接口。根据设备的不同，映射到物理接口的 fxp0、fxp1 和 em0 接口并非是用户定义。但是，fab 接口是由用户定义。

图 1 显示了此示例中使用的拓扑。

图 1：机箱群集中的SRX 系列防火墙（SRX1500） SRX Series Firewalls (SRX1500) In Chassis Cluster

配置

CLI 快速配置

要在 SRX1500 防火墙上快速配置机箱群集，请将以下命令复制粘贴到 CLI 中：

在 {primary：node0} 上

如果配置 SRX300、SRX320、SRX340、SRX345 和 SRX380 设备，请参阅表 3 ，了解设备的命令和接口设置，并将这些命令替换到 CLI 中。

表 3：SRX 系列防火墙接口设置
命令	SRX300	SRX320	SRX340 SRX345 SRX380
`set interfaces fab0 fabric-options member-interfaces`	`ge-0/0/2`	`ge-0/0/2`	`ge-0/0/2`
`set interfaces fab1 fabric-options member-interfaces`	`ge-1/0/2`	`ge-3/0/2`	`ge-5/0/2`
`set chassis cluster redundancy-group 1 interface-monitor`	`ge-0/0/3 weight 255`	`ge-0/0/3 weight 255`	`ge-0/0/3 weight 255`
`set chassis cluster redundancy-group 1 interface-monitor`	`ge-0/0/4 weight 255`	`ge-0/0/4 weight 255`	`ge-0/0/4 weight 255`
`set chassis cluster redundancy-group 1 interface-monitor`	`ge-1/0/3 weight 255`	`ge-3/0/3 weight 255`	`ge-5/0/3 weight 255`
`set chassis cluster redundancy-group 1 interface-monitor`	`ge-1/0/4 weight 255`	`ge-3/0/4 weight 255`	`ge-5/0/4 weight 255`
`set interfaces`	`ge-0/0/3 gigether-options redundant-parent reth0`	`ge-0/0/3 gigether-options redundant-parent reth0`	`ge-0/0/3 gigether-options redundant-parent reth0`
`set interfaces`	`ge-0/0/4 gigether-options redundant-parent reth1`	`ge-0/0/4 gigether-options redundant-parent reth1`	`ge-0/0/4 gigether-options redundant-parent reth1`
`set interfaces`	`ge-1/0/3 gigether-options redundant-parent reth0`	`ge-3/0/3 gigether-options redundant-parent reth0`	`ge-5/0/3 gigether-options redundant-parent reth0`
`set interfaces`	`ge-1/0/4 gigether-options redundant-parent reth1`	`ge-3/0/4 gigether-options redundant-parent reth1`	`ge-5/0/4 gigether-options redundant-parent reth1`

分步过程

下面的示例要求您在各个配置层级中进行导航。有关作说明，请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要在 SRX 系列防火墙上配置机箱群集：

在主设备（节点 0）上执行步骤 1 到 5。当您执行 commit 命令时，它们会自动复制到辅助设备（节点 1）。这些配置将会同步，因为控制链路和 fab 链路接口已激活。要验证配置，请使用 show interface terse 命令并查看输出。

使用配置组为每台设备设置主机名和管理 IP 地址。这些配置特定于每台设备，并且对于其特定节点是唯一的。

为每个节点设置默认路由和备份路由器。

apply-group设置命令，使先前命令设置的每个节点的单独配置仅应用于该节点。

使用每个节点的物理端口 ge-0/0/1，定义用于 fab 连接（用于 RTO 同步的数据平面链路）的接口。这些接口必须背对背或者通过第 2 层基础架构进行连接。

为路由引擎故障切换属性设置冗余组 0，并设置冗余组 1（此例中所有接口都在一个冗余组中），以便为冗余以太网接口定义故障切换属性。

设置接口监控以监控接口的运行状况并触发冗余组故障切换。

不建议对冗余组 0 进行接口监控，因为它会导致控制平面在发生接口翻动时从一个节点切换到另一个节点。

接口故障切换只会在权重达到 0 后发生。

设置冗余以太网（reth）接口，并将冗余接口分配给一个区段。

结果

在作模式下，输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

为简洁起见，此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号（...）。

如果完成设备配置，请从配置模式输入 commit 。

验证

确认配置工作正常。

验证机箱群集状态
验证机箱群集接口
验证机箱群集统计信息
验证机箱群集控制平面统计信息
验证机箱群集数据平面统计信息
验证机箱群集冗余组状态
使用日志进行故障排除

验证机箱群集状态

目的
行动

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在作模式下，输入 show chassis cluster status 命令。

验证机箱群集接口

目的
行动

目的

验证有关机箱群集接口的信息。

行动

在作模式下，输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的
行动

目的

验证有关要同步的不同对象的统计信息、交换结构和控制接口查询以及群集中受监控接口的状态等信息。

行动

在作模式下，输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的
行动

目的

验证有关机箱群集控制平面统计信息（发送和接收的心跳）和交换结构链路统计信息（发送和接收的探查）的信息。

行动

在作模式下，输入 show chassis cluster control-plane statistics 命令。

验证机箱群集数据平面统计信息

目的
行动

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在作模式下，输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的
行动

目的

验证群集中两个节点的状态和优先级，以及有关主节点是否已被抢占或是否存在手动故障切换的信息。

行动

在作模式下，输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的
行动

目的

使用这些日志来确定任何机箱群集问题。您应该在两个节点上都运行这些日志。

行动

在作模式下，输入以下 show log 命令。

查看机箱群集配置

目的
行动

目的

显示机箱群集验证选项。

行动

从 CLI 中输入 show chassis cluster ? 命令：

查看机箱群集统计信息

目的
行动

目的

显示有关机箱群集服务和接口的信息。

行动

从 CLI 中输入 show chassis cluster statistics 命令：

清除机箱群集统计信息

要清除显示的有关机箱群集服务和接口的信息，请从 CLI 中输入 clear chassis cluster statistics 命令：

了解主节点和辅助节点之间的机箱群集自动同步

设置 SRX 系列机箱群集时，SRX 系列防火墙必须相同，包括其配置。当辅助节点加入主节点成为群集时，机箱群集同步功能会自动将主节点的配置同步到辅助节点。使用此功能，无需手动即可确保群集中每个节点上的配置都相同，从而降低支出。

如果想要禁用主节点与辅助节点之间的机箱群集自动同步功能，可通过在配置模式中输入 set chassis cluster configuration-synchronize no-secondary-bootup-auto 命令来实现。

任何时候，想要重新启用机箱群集自动同步，请在配置模式中使用 delete chassis cluster configuration-synchronize no-secondary-bootup-auto 命令。

要查看机箱群集自动同步是否已启用以及同步状态，请输入 show chassis cluster information configuration-synchronization 作命令。

要么主节点的整个配置已成功应用到辅助节点，要么辅助节点保留其原始配置。不存在部分同步。

如果创建群集 ID 大于 16 的群集，然后决定回滚到不支持扩展群集 ID 的早期版本映像，系统将启动为独立设备。

如果已设置群集并且运行的是早期版本的 Junos OS，则可以升级到 Junos OS 12.1X45-D10 版，然后重新创建群集 ID 大于 16 的群集。但是，如果出于任何原因决定恢复到不支持扩展群集 ID 的 Junos OS 早期版本，则系统将重启为独立设备。但是，如果群集 ID 集小于 16，并且您回滚到之前的版本，则系统将以之前的设置启动。

验证机箱群集配置同步状态

目的
行动

目的

显示机箱群集的配置同步状态了解主节点和辅助节点之间的自动机箱群集同步。

行动

从 CLI 中输入 show chassis cluster information configuration-synchronization 命令：