AWS 部署中的多节点高可用性
阅读本主题可了解 Amazon Web Services (AWS) 部署中 vSRX 虚拟防火墙实例的多节点高可用性支持。
AWS 中的多节点高可用性
您可以在 AWS 上部署的 vSRX 虚拟防火墙防火墙上配置多节点高可用性。参与节点同时运行主动控制平面和数据平面,并且节点相互备份,以确保在发生系统或硬件故障时实现快速同步的故障切换。两台设备之间的机箱间链路 (ICL) 连接可同步和维护状态信息,并处理设备故障切换场景。
让我们首先熟悉特定于 AWS 部署的多节点高可用性条款。
术语
术语 | 描述 |
---|---|
弹性 IP 地址 |
可从指定网络或互联网路由的公共 IPv4 地址。弹性 IP 地址动态绑定到多节点高可用性设置中任何节点的接口。在任何给定时间,这些地址都只绑定到一个接口,并且还绑定到同一个节点。多节点高可用性设置使用弹性 IP 地址来控制 AWS 部署中的流量。弹性 IP 地址的作用类似于第 3 层部署中的浮动 IP 地址,或者类似于默认网关部署中的虚拟 IP 地址。具有活动 SRG1 的节点拥有弹性 IP 地址,并将流量吸引到该地址。 |
机箱间链路 (ICL) |
在多节点高可用性系统中通过路由网络连接节点的基于 IP 的链路(逻辑链路)。安全设备使用 ICL 来同步和维护状态信息,并处理设备故障切换场景。您只能使用 ge-0/0/0 接口来配置 ICL。ICL 使用 AWS 分配的 MAC 地址(而不是 vSRX 虚拟防火墙创建的虚拟 MAC)。配置ICL时,请确保IP地址为VPC的子网。请注意,Multibode High Availability 不支持跨 VPC 部署 |
瞻博网络服务冗余协议 (jsrpd) 进程 | 管理主动性确定和实施以及提供裂脑保护的流程。 |
IPsec VPN 支持
从 Junos OD 24.4R1 版开始,我们支持使用 IPsec VPN 在 AWS 部署中实现主动/备份多节点高可用性。
限度
多节点高可用性在公共云部署中不支持多个 SRG 配置(主动/主动)。主动/备份模式支持 SRG0 和 SRG1。SRG1 上的 IPsec VPN 隧道锚点,在有状态的主动/备份模式下工作。所有 VPN 隧道都终止于 SRG1 处于活动状态的设备上。
建筑
图 1 显示了在 AWS 的多节点高可用性部署中组成高可用性部署中的两个 vSRX 虚拟防火墙实例。一个 vSRX 虚拟防火墙实例充当活动节点,另一个充当备份节点。

在多节点高可用性设置中,ICL 连接两个节点(vSRX 虚拟防火墙实例),并帮助同步控制平面和数据平面状态。
在多节点高可用性设置中,两个 vSRX 虚拟防火墙实例在主动/备份模式下运行。两个节点使用 ICL 相互连接,用于同步控制和数据平面状态。SRG1 处于活动状态的 vSRX 虚拟防火墙实例托管弹性 IP 地址。活动节点使用弹性 IP 地址将流量引导到该节点。备份节点保持待机模式,并在故障切换时接管。
瞻博网络服务冗余协议 (jsrpd) 进程与 AWS 基础设施通信以执行活动性确定和实施,并提供裂脑保护。
在故障转移期间,弹性 IP 地址通过触发 AWS SDK API 从旧的活动节点移动到新的活动节点,并将流量吸引到新的活动节点。AWS 更新路由表以将流量转移到新的活动节点。此机制使客户端能够使用单个 IP 地址与节点通信。您可以在连接到参与网络/分段的接口上配置弹性 IP 地址。
裂脑保护
当两个节点之间的 ICL 出现故障时,每个节点都开始使用探针对等节点的接口 IP 地址 ping 操作。如果对等节点运行状况良好,它将响应探测。否则,jsrpd 进程将与 AWS 基础设施通信,以强制执行正常节点的活动角色。
示例:在 AWS 部署中配置多节点高可用性
在此示例中,我们将向您展示如何在 Amazon Virtual Private Cloud (Amazon VPC) 中的两个 vSRX 虚拟防火墙实例上配置多节点高可用性。
要求
此示例使用以下组件:
-
两个 vSRX 虚拟防火墙实例
-
Junos OS 22.3R1 版
-
Amazon Web Services (AWS) 账户和身份与访问管理 (IAM) 角色,具有访问、创建、修改和删除 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (S3) 和 Amazon Virtual Private Cloud (Amazon VPC) 对象所需的所有权限。有关详细信息,请参阅 为 vSRX 配置 Amazon Virtual Private Cloud 。
-
配置了关联的 Internet 网关、子网、路由表和安全组的 Amazon VPC。请参阅 为 vSRX 配置 Amazon Virtual Private Cloud。
-
在 Amazon VPC 中启动和配置的 vSRX 虚拟防火墙实例。请参阅 在 Amazon Virtual Private Cloud 上启动 vSRX 实例。
拓扑学
图 2 显示了此示例中使用的拓扑。

如拓扑所示,Amazon VPC 中部署了两个 vSRX 虚拟防火墙实例(vSRX 虚拟防火墙-1 和 vSRX 虚拟防火墙-2)。节点使用可路由 IP 地址(弹性 IP 地址)相互通信。不信任端连接到公共网络,而信任端连接到受保护的资源。
在 vSRX 虚拟防火墙实例上配置多节点高可用性之前,请完成以下配置:
-
在 AWS 中使用实例标签将两个 vSRX 虚拟防火墙实例标识为多节点高可用性对等方。例如,可以使用 vsrx-node-1 作为一个对等方的名称(Name 选项),将 vsrx-node-2 用作 HA 对等方(ha 对等 方选项)。
- 在同一 Amazon VPC 和可用区中部署两个 vSRX 虚拟防火墙实例。
- 为 vSRX 虚拟防火墙实例分配 IAM 角色,并将 vSRX 虚拟防火墙实例作为具有完全权限的 Amazon Elastic Compute Cloud (EC2) 实例启动。
- 通过将 vSRX 虚拟防火墙实例放置在公共子网中,启用与 Internet 的通信。在 Amazon VPC 中,公有子网可以访问 Internet 网关。
- 配置具有多个子网的 VPC 以托管高可用性对。子网用于通过逻辑连接(类似于物理电缆连接端口)连接两个 vSRX 虚拟防火墙节点。在此示例中,我们将 VPC 的 CIDR 定义为 10.0.0.0/16,并总共创建了四个子网来托管 vSRX 虚拟防火墙流量。两个 vSRX 虚拟防火墙实例至少需要四个接口。 表 1 提供了子网和接口详细信息。
表 1:子网配置 功能 端口号 接口 连接 流量类型 子网 管理 0 fxp0 管理界面 管理流量 10.0.254.0/24 ICL公司 1 ge-0/0/0 ICL 到对等节点 RTO、同步和探测相关流量 10.0.253.0/24 公共 2 ge-0/0/1 连接到公共网络。(收入接口) 外部流量 10.0.1.0/24 私人 3 ge-0/0/2 连接到专用网络。(收入接口) 内部流量 10.0.2.0/24 请注意,表中提到的接口映射功能仅适用于默认配置。我们建议在配置中使用相同的映射。
- 使用主 IP 地址和辅助 IP 地址配置接口。您可以将弹性 IP 地址分配为接口的辅助 IP 地址。启动实例时,您需要主 IP 地址。故障切换期间,辅助 IP 地址可从一个 vSRX 虚拟防火墙节点转移到另一个节点。 表 2 显示了此示例中使用的接口和 IP 地址映射。
表 2:接口和 IP 地址映射 实例 接口 主 IP 地址 辅助 IP 地址(弹性 IP 地址) vSRX 虚拟防火墙-1 ge-0/0/1 10.0.1.101 10.0.1.103 ge-0/0/2 10.0.2.201 10.0.2.203 vSRX 虚拟防火墙-2 ge-0/0/1 10.0.1.102 10.0.1.103 ge-0/0/2 10.0.2.202 10.0.2.203 -
将相邻路由器配置为在数据路径中包括 vSRX 虚拟防火墙,并将 vSRX 虚拟防火墙标记为流量的下一跃点。您可以使用弹性 IP 地址来配置路由。例如,使用命令
sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203
,其中 10.0.2.203 地址是弹性 IP 地址。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit]
级的 CLI 中,然后从配置模式进入 commit
。
这些配置是从实验室环境中捕获的,仅供参考。实际配置可能因环境的具体要求而异。
在 vSRX 虚拟防火墙-1 上
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.3.10 set chassis high-availability peer-id 2 peer-ip 10.0.3.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.102 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.10/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.101/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.201/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
在 vSRX 虚拟防火墙-2 上
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.3.11 set chassis high-availability peer-id 1 peer-ip 10.0.3.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
分步过程
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
-
将 ge-0/0/0 配置为 ICL 的接口
[edit] user@host# set interfaces ge-0/0/0 mtu 9192 user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24
- 为内部和外部流量配置接口。
[edit] user@host# set interfaces ge-0/0/1 mtu 9192 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 user@host# set interfaces ge-0/0/2 mtu 9192 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24
我们将使用分配给 ge-0/0/1 和 ge-0/0/2 的辅助 IP 地址作为弹性 IP 地址。
-
配置安全区域,为这些区域分配接口,并为安全区域指定允许的系统服务。
[edit] user@host# set security zones security-zone fab host-inbound-traffic system-services all user@host# set security zones security-zone fab host-inbound-traffic protocols all user@host# set security zones security-zone fab interfaces ge-0/0/0.0 user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/2.0
-
配置路由选项。
[edit] user@host# set routing-instances s1-router instance-type virtual-router user@host# set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 user@host# set routing-instances s1-router interface ge-0/0/1.0 user@host# set routing-instances s1-router interface ge-0/0/2.0
在这里,您需要单独的路由实例类型
virtual router
来分离管理流量和收入流量。 -
配置本地节点和对等节点详细信息。
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.0.3.10 user@host# set chassis high-availability peer-id 2 peer-ip 10.0.3.11
-
将接口关联到对等节点进行接口监控,并配置活体检测详情。
[edit] user@host# set chassis high-availability peer-id 2 interface ge-0/0/0.0 user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
将部署类型配置为云的 SRG1,分配 ID,并设置抢占和活动优先级。
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type cloud user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 preemption user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
-
配置与 AWS 部署相关的选项。例如,将基于 eip 的指定为服务类型,并配置 AWS Peer Liveness 等监控选项。
[edit] user@host# set security cloud high-availability aws eip-based user@host# set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 user@host# set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router
在具有VMXNET3 vNIC 的 VMWare ESXi 环境中vSRX 虚拟防火墙实例的多节点高可用性中,以下语句不支持虚拟MAC 地址配置:
[set chassis high-availability services-redundancy-group <number> virtual-ip <id> use-virtual-mac
结果
vSRX 虚拟防火墙-1
在配置模式下,输入以下命令以确认您的配置。
如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show chassis high-availability local-id 1 local-ip 10.0.3.10; peer-id 2 { peer-ip 10.0.3.11; interface ge-0/0/0.0; liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 1 { deployment-type cloud; peer-id { 2; } preemption; activeness-priority 200; }
[edit] user@host# show routing-instances s1-router { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.1; } } interface ge-0/0/1.0; interface ge-0/0/2.0; }
[edit] user@host# show security zones security-zone security-zone fab { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } }
[edit] user@host# show interfaces ge-0/0/0 { mtu 9192; unit 0 { family inet { address 10.0.3.10/24; } } } ge-0/0/1 { mtu 9192; unit 0 { family inet { address 10.0.1.101/24 { primary; } address 10.0.1.103/24; } } } ge-0/0/2 { mtu 9192; unit 0 { family inet { address 10.0.2.201/24 { primary; } address 10.0.2.203/24; } } }
如果完成设备配置,请从配置模式输入 commit
。
vSRX 虚拟防火墙-2
在配置模式下,输入以下命令以确认您的配置。
如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show chassis high-availability local-id 2 local-ip 10.0.3.11; peer-id 1 { peer-ip 10.0.3.10; interface ge-0/0/0.0; liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 1 { deployment-type cloud; peer-id { 1; } preemption; activeness-priority 100; }
[edit] user@host# show routing-instances s1-router { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.1; } } interface ge-0/0/1.0; interface ge-0/0/2.0; }
[edit] user@host# show security zones security-zone fab { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } }
[edit] user@host# show interfaces ge-0/0/0 { mtu 9192; unit 0 { family inet { address 10.0.3.11/24; } } } ge-0/0/1 { mtu 9192; unit 0 { family inet { address 10.0.1.102/24 { primary; } address 10.0.1.103/24; } } } ge-0/0/2 { mtu 9192; unit 0 { family inet { address 10.0.2.202/24 { primary; } address 10.0.2.203/24; } } }
如果完成设备配置,请从配置模式输入 commit
。
验证
检查多节点高可用性详细信息
目的
查看并验证在 vSRX 虚拟防火墙实例上配置的多节点高可用性设置的详细信息。
行动
在操作模式下,运行以下命令:
vSRX 虚拟防火墙-1
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.0.3.10 HA Peer Information: Peer Id: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: NOT READY
vSRX 虚拟防火墙-2
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: BACKUP Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: NOT READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
意义
从命令输出中验证以下详细信息:
-
本地节点和对等节点详细信息,例如 IP 地址和 ID。
-
字段
Deployment Type: CLOUD
表示配置适用于云部署。 -
该字段
Services Redundancy Group: 1
表示该节点上 SRG1(ACTIVE 或 BACKUP)的状态。
在 AWS 上检查多节点高可用性信息
目的
检查 AWS 云中是否部署了多节点高可用性。
行动
在操作模式下,运行以下命令:
user@host> show security cloud high-availability information Cloud HA Information: Cloud Type Cloud Service Type Cloud Service Status AWS EIP Bind to Local Node
意义
从命令输出中验证以下详细信息:
-
该字段
Cloud Type: AWS
表示部署适用于 AWS。 -
该字段
Cloud Service Type: EIP
表示 AWS 部署使用 EIP 服务类型(对于弹性 IP 地址)来控制流量。 该字段
.Cloud Service Status: Bind to Local Node
表示弹性 IP 地址与本地节点的绑定。对于备份节点,此字段显示Bind to Peer Node
。
检查多节点高可用性对等节点状态
目的
检查多节点高可用性对等节点状态。
行动
在操作模式下,运行以下命令:
vSRX 虚拟防火墙-1
user@host> show chassis high-availability peer-info HA Peer Information: Peer-ID: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE Internal Interface: N/A Internal Local-IP: N/A Internal Peer-IP: N/A Internal Routing-instance: N/A Packet Statistics: Receive Error : 0 Send Error : 0 Packet-type Sent Received SRG Status Msg 7 6 SRG Status Ack 6 7 Attribute Msg 2 1 Attribute Ack 1 1
vSRX 虚拟防火墙-2
user@host> show chassis high-availability peer-info HA Peer Information: Peer-ID: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE Internal Interface: N/A Internal Local-IP: N/A Internal Peer-IP: N/A Internal Routing-instance: N/A Packet Statistics: Receive Error : 0 Send Error : 0 Packet-type Sent Received SRG Status Msg 9 9 SRG Status Ack 9 9 Attribute Msg 3 2 Attribute Ack 2 2
意义
从命令输出中验证以下详细信息:
-
对等节点详细信息,包括 ID、IP 地址、接口。
-
跨节点的数据包统计信息。
检查多节点高可用性 SRG
目的
在多节点高可用性中查看并验证 SRG 详细信息。
行动
在操作模式下,运行以下命令:
user@host> show chassis high-availability services-redundancy-group 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: READY Split-brain Prevention Probe Info: DST-IP: 10.0.1.102 SRC-IP: 0.0.0.0 Routing Instance: s1-router Status: NOT RUNNING Result: N/A Reason: N/A
意义
从命令输出中验证以下详细信息:
-
SRG 详细说明了此类部署类型。该字段
Status: ACTIVE
表示特定 SRG1 处于活动角色。您还可以在输出中查看活动性、优先级和抢占状态。 -
对等节点详细信息。
-
裂脑预防探针详细信息。
验证故障切换前后的多节点高可用性状态
目的
在多节点高可用性设置中检查故障转移前后的节点状态变化。
行动
检查备份节点 (SRX-2) 上的多节点高可用性状态。
在操作模式下,运行以下命令:
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: BACKUP Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: NOT READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
意义
在部分中 Services Redundancy Group: 1
,您可以看到 Status: BACKUP
.此字段表示 SRG-1 处于备份模式。
行动
在主动节点 (vSRX 虚拟防火墙-1) 上启动故障切换,然后在备份节点 (vSRX 虚拟防火墙-2) 上再次运行命令。
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : BACKUP Health Status: HEALTHY Failover Readiness: NOT READY
意义
在本节 Services Redundancy Group: 1
中,SRG1 的状态从 BACKUP
变为 ACTIVE
。字段值的变化表示该节点已转换为活动角色,而另一个节点(以前处于活动状态)已转换为备份角色。您可以在选项 Peer Information
中看到另一个节点的状态,该选项显示 BACKUP
。