Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

新一代服务 NAT、有状态防火墙和 IDS 流的机箱间高可用性概述

适用于新一代服务的 NAT、有状态防火墙和 IDS 流的机箱间高可用性概述

运营商级 NAT、状态防火墙和 IDS 流可配置双机箱冗余数据路径。虽然可以通过使用 AMS 接口在 MX 系列设备中使用机箱内高可用性,但此方法仅在本地处理服务 PIC 故障。如果由于路由器中的其他故障而导致流量因任何原因切换到备用路由器,则服务 PIC 的会话状态将丢失,除非您在备份路由器上配置服务会话状态与服务 PIC 的同步。

机箱间高可用性提供这种同步,并控制冗余对中服务 PIC 之间的切换。机箱间高可用性是主-辅助模式,而非主动-主动群集。冗余对中只有一个服务 PIC(当前主 PIC)接收要服务的流量。

要为 NAT、状态防火墙和 IDS 配置机箱间高可用性,请配置:

  1. 有状态同步,将会话状态从主机箱上的主要服务 PIC 复制到另一个机箱上的备份服务 PIC。

  2. 机箱间服务冗余,可根据监控的事件控制服务 PIC 冗余对中的主要角色切换。大多数运营商不希望在不实施服务冗余的情况下采用有状态同步。

优势

机箱间高可用性支持从一个机箱上的服务 PIC 到另一个机箱上的服务 PIC 的自动切换,同时为客户流量提供不间断的服务。

示例:新一代服务 机箱间 NAT 和有状态防火墙的有状态高可用性

此示例说明如何为状态防火墙和 NAT 服务配置新一代服务机箱间高可用性。

概述

两台路由器的配置相同,以便在机箱发生故障时方便防火墙和 NAT 服务进行有状态故障切换。

配置

要为此示例配置机箱间高可用性,请执行以下作:

CLI 快速配置

要在路由器上快速配置此示例,请在删除换行符并替换特定于您站点的接口信息后,复制以下命令并将其粘贴到路由器终端窗口中。

注意:

以下配置适用于机箱 1。
注意:

以下配置适用于机箱 2。机箱 1 和 2 的 NAT、状态防火墙和服务集信息必须相同。

为机箱 1 配置接口。

分步程序

每个 高可用性路由器对的接口配置相同,但以下服务 PIC 选项除外:

  • redundancy-options redundancy-peer ipaddress address

  • unit unit-number family inet address address的单元(0 除外)包含选项ip-address-owner service-plane

要配置接口:

  1. 在机箱 1 上配置冗余服务 PIC。

  2. 配置机箱 1 的接口,用作同步流量的机箱间链路。

  3. 根据需要配置其余接口。

结果

配置机箱 1 的路由信息

分步程序

此示例不包含详细的路由配置。机箱之间的高可用性同步流量需要路由实例,如下所示:

  • 为机箱 1 配置路由实例。

结果

为机箱 1 配置 NAT 和有状态防火墙

分步程序

在两台路由器上以相同的方式配置 NAT 和状态防火墙。要配置 NAT 和状态防火墙,请执行以下作:

  1. 根据需要配置 NAT。

  2. 根据需要配置有状态防火墙。

结果

配置服务集

分步程序

在两台路由器上以相同的方式配置服务集。要配置服务集:

  1. 配置服务集复制选项。

  2. 为服务集配置对 NAT 和状态防火墙规则的引用。

  3. 在 vms-PIC 上配置下一跃点服务接口。

  4. 配置所需的日志记录选项。

结果

为机箱 2 配置接口

分步程序

每个 高可用性路由器对的接口配置相同,但以下服务 PIC 选项除外:

  • redundancy-options redundancy-peer ipaddress address

  • unit unit-number family inet address address的单元(0 除外)包含选项ip-address-owner service-plane

  1. 在机箱 2 上配置冗余服务 PIC。

    指向 redundancy-peer ipaddress 机箱 1 上机箱上的 vms-4/0/0 上包含语句的 ip-address-owner service-plane 单元(单元 10)地址。

  2. 配置机箱 2 的接口,用作同步流量的机箱间链路

  3. 根据需要配置机箱 2 的其余接口。

结果

配置机箱 2 的路由信息

分步程序

此示例不包含详细的路由配置。两个机箱之间的高可用性同步流量需要路由实例,此处包含。

  • 为机箱 2 配置路由实例。

    注意:

    以下配置步骤与机箱 1 显示的步骤 相同

    • 配置 NAT 和有状态防火墙

    • 配置服务集

结果

相关文档