Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

机箱群集中的逻辑系统

机箱群集在 SRX 系列防火墙上提供高可用性,其中两个设备作为单个设备运行。机箱群集包括配置文件的同步和 SRX 系列防火墙之间的动态运行时会话状态,这些是机箱群集设置的一部分。有关更多信息,请参阅以下主题:

了解机箱群集环境中的逻辑系统

机箱群集的节点由运行逻辑系统的 SRX 系列防火墙组成,其行为与群集中 SRX 系列节点未运行逻辑系统的群集的行为相同。导致节点故障转移的事件之间没有差异。特别是,如果与单个逻辑系统关联的链路发生故障,则该设备会故障转移到群集中的另一个节点。

主管理员在创建和配置逻辑系统之前配置机箱群集(包括主节点和辅助节点)。群集中的每个节点的配置都相同,对于不运行逻辑系统的群集中的节点也是如此。所有逻辑系统配置都会在群集中的两个节点之间同步和复制。

使用在机箱群集内运行逻辑系统的 SRX 系列防火墙时,必须为机箱群集中的每个节点购买和安装相同数量的许可证。逻辑系统许可证适用于机箱群集内的单个机箱或节点,而不是群集的统一许可。

从 Junos OS 12.3X48-D50 版开始,当您在机箱群集中配置逻辑系统时,如果配置时 commit 备份节点上的逻辑系统许可证不足,也会显示有关备份节点所需许可证数的警告消息,就像在之前所有版本中的主节点上一样。

另请参阅

示例:在主动/被动机箱群集中配置逻辑系统(仅限主管理员)

此示例说明如何在基本的主动/被动机箱群集中配置逻辑系统。

注意:

主管理员配置机箱群集并创建逻辑系统(包括可选的互连逻辑系统)、管理员和安全配置文件。主管理员或用户逻辑系统管理员配置用户逻辑系统。配置在群集中的节点之间同步。

要求

开始之前:

注意:

对于此示例,主管理员在主(节点 0)设备上执行机箱群集和逻辑系统配置。以主管理员身份登录设备。请参阅 了解主要逻辑系统和主要管理员角色
注意:

使用在机箱群集中运行逻辑系统的 SRX 系列防火墙时,必须为机箱群集中的每个节点购买和安装相同数量的逻辑系统许可证。逻辑系统许可证适用于机箱群集内的单个机箱或节点,而不是群集的统一许可。

概述

在此示例中,基本的主动/被动机箱群集由两台设备组成:

  • 一台设备主动提供逻辑系统,同时保持对机箱群集的控制。

  • 如果主动设备变为非活动状态,另一个设备被动地维护其群集故障切换功能的状态。

注意:

主动/主动机箱群集中的逻辑系统配置方式与主动/被动机箱群集中的逻辑系统类似。对于主动/主动机箱群集,可以有多个冗余组,这些冗余组可以位于不同的节点上。

主管理员在主设备(节点 0)上配置以下逻辑系统:

  • 主逻辑系统 — 主管理员配置安全配置文件,将系统部分安全资源调配到主逻辑系统,并配置主逻辑系统的资源。

  • 用户逻辑系统 LSYS1 和 LSYS2 及其管理员 — 主管理员还配置安全配置文件,以便将系统部分安全资源调配到用户逻辑系统。然后,用户逻辑系统管理员可以配置分配给其逻辑系统的接口、路由和安全资源。

  • 连接设备上的逻辑系统的互连逻辑系统 LSYS0 — 主管理员在互连逻辑系统和每个逻辑系统之间配置逻辑隧道接口。这些对等接口有效地允许建立隧道。

注意:

此示例不介绍逻辑系统的 NAT、IDP 或 VPN 等配置功能。有关可以为逻辑系统配置的功能的更多信息,请参阅 SRX 系列逻辑系统主管理员配置任务概述和用户逻辑系统配置概述。

如果在机箱群集配置中执行代理 ARP,则必须将代理 ARP 配置应用于 reth 接口,而不是成员接口,因为 reth 接口包含逻辑配置。请参阅为 NAT 配置代理 ARP(CLI 过程)。

拓扑

图 1 显示了此示例中使用的拓扑。

图 1:机箱群集 Logical Systems in a Chassis Cluster中的逻辑系统

配置

机箱群集配置(主管理员)

CLI 快速配置

要快速创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请将以下命令复制粘贴到文本文件中,删除所有换行符,更改必要的详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 [edit] CLI 中。

在 {primary:node0}

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置机箱群集:

注意:

在主设备(节点 0)上执行以下步骤。当您执行 commit 命令时,它们会自动复制到辅助设备(节点 1)。

  1. 为群集配置控制端口。

  2. 配置群集中用于在主动/被动模式下传递 RTO 的交换矩阵(数据)端口。

  3. 将配置的某些元素分配给特定成员。在 SRX 服务网关的 fxp0 接口上配置带外管理,为群集的单个控制平面使用单独的 IP 地址。

  4. 为机箱群集配置冗余组。

  5. 配置平台上的数据接口,以便在数据平面故障转移时,其他机箱群集成员可以无缝接管连接。

结果

在操作模式下,输入命令以确认 show configuration 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

逻辑系统配置(主管理员)

CLI 快速配置

要快速创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请将以下命令复制粘贴到文本文件中,删除所有换行符,更改必要的详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 [edit] CLI 中。

注意:

系统会提示您输入纯文本密码,然后再次输入纯文本密码。

在 {primary:node0}

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅在 配置模式下使用 CLI 编辑器

要创建逻辑系统和用户逻辑系统管理员以及配置主逻辑系统和互连逻辑系统:

  1. 创建互连和用户逻辑系统。

  2. 配置用户逻辑系统管理员。

    逐步过程

    1. 为 LSYS1 配置用户逻辑系统管理员。

    2. 为 LSYS2 配置用户逻辑系统管理员。

  3. 配置安全配置文件并将其分配给逻辑系统。

    逐步过程

    1. 配置安全配置文件并将其分配给根逻辑系统。

    2. 为互连逻辑系统 LSYS0 分配一个不含资源的虚拟安全配置文件。

    3. 配置安全配置文件并将其分配给 LSYS1。

    4. 配置安全配置文件并将其分配给 LSYS2。

  4. 配置主逻辑系统。

    逐步过程

    1. 配置逻辑隧道接口。

    2. 配置路由实例。

    3. 配置区域。

    4. 配置安全策略。

  5. 配置互连逻辑系统。

    逐步过程

    1. 配置逻辑隧道接口。

    2. 配置 VPLS 路由实例。

  6. 为用户逻辑系统配置逻辑隧道接口。

    逐步过程

    1. 为 LSYS1 配置逻辑隧道接口。

    2. 为 LSYS2 配置逻辑隧道接口。

结果

在配置模式下,输入命令,确认 LSYS0 的配置 show logical-systems LSYS0 。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

在配置模式下,输入 、 show routing-instancesshow security命令,show interfaces以确认主逻辑系统的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

用户逻辑系统配置(用户逻辑系统管理员)

CLI 快速配置

要快速配置用户逻辑系统,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层次结构级别的 CLI 中 [edit]

以 LSYS1 的用户逻辑系统管理员身份登录时输入以下命令:

以 LSYS2 的用户逻辑系统管理员身份登录时输入以下命令:

逐步过程
注意:

用户逻辑系统管理员在登录到自己的用户逻辑系统时会执行以下配置。主管理员还可以在 [edit logical-systems logical-system] 层次结构级别上配置用户逻辑系统。

以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要配置 LSYS1 用户逻辑系统:

  1. 配置接口。

  2. 配置路由。

  3. 配置区域和安全策略。

逐步过程

要配置 LSYS2 用户逻辑系统:

  1. 配置接口。

  2. 配置路由。

  3. 配置区域和安全策略。

结果

在配置模式下,输入 、 show routing-instancesshow routing-optionsshow security命令,show interfaces以确认 LSYS1 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

在配置模式下,输入 、 show routing-instancesshow security命令,show interfaces以确认 LSYS2 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

使用日志排除机箱群集故障

目的

通过查看两个节点上的日志识别任何机箱群集问题。

行动

在操作模式下,输入以下命令 show log

验证逻辑系统许可证

目的

验证有关逻辑系统许可证的信息。

行动

在操作模式下,输入 show system license status logical-system all 命令。

验证逻辑系统许可证使用情况

目的

验证有关逻辑系统许可证使用的信息。

注意:

实际使用的许可证数仅显示在主节点上。
行动

在操作模式下,输入 show system license 命令。

验证逻辑系统上的逻辑系统内流量

目的

验证有关逻辑系统中当前活动安全会话的信息。

行动

在操作模式下,输入 show security flow session logical-system LSYS1 命令。

验证所有逻辑系统中的逻辑系统内流量

目的

验证有关所有逻辑系统上当前活动安全会话的信息。

行动

在操作模式下,输入 show security flow session logical-system all 命令。

验证用户逻辑系统之间的流量

目的

验证有关逻辑系统之间当前活动安全会话的信息。

行动

在操作模式下,输入 show security flow session logical-system logical-system-name 命令。

另请参阅

示例:在主动/被动机箱群集 (IPv6) 中配置逻辑系统(仅限主管理员)

此示例说明如何在具有 IPv6 地址的基本主动/被动机箱群集中配置逻辑系统。

注意:

主管理员配置机箱群集并创建逻辑系统(包括可选的互连逻辑系统)、管理员和安全配置文件。主管理员或用户逻辑系统管理员配置用户逻辑系统。配置在群集中的节点之间同步。

要求

开始之前:

  • 获取两个具有相同硬件配置的 SRX 系列防火墙。请参阅 示例:在SRX5800设备上配置主动/被动机箱群集。此机箱群集部署场景包括 SRX 系列防火墙的配置,用于连接到 MX240 边缘路由器和 EX8208 以太网交换机。

  • 物理连接这两台设备(交换矩阵和控制端口由后到后连接),并确保它们型号相同。您可以在SRX5000线上配置交换矩阵和控制端口。对于SRX1400、SRX1500设备或SRX3000系列,您只能配置交换矩阵端口。(平台是否支持取决于安装中的 Junos OS 版本。)

  • 设置每台设备上的机箱群集 ID 和节点 ID,然后重新启动设备以启用群集。请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID

注意:

对于此示例,主管理员在主(节点 0)设备上执行机箱群集和逻辑系统配置。以主管理员身份登录设备。请参阅 了解主要逻辑系统和主要管理员角色
注意:

使用在机箱群集中运行逻辑系统的 SRX 系列防火墙时,必须为机箱群集中的每个节点购买和安装相同数量的逻辑系统许可证。逻辑系统许可证适用于机箱群集内的单个机箱或节点,而不是群集的统一许可。

概述

在此示例中,基本的主动/被动机箱群集由两台设备组成:

  • 一台设备主动提供逻辑系统,同时保持对机箱群集的控制。

  • 如果主动设备变为非活动状态,另一个设备被动地维护其群集故障切换功能的状态。

注意:

主动/主动机箱群集中的逻辑系统配置方式与主动/被动机箱群集中的逻辑系统类似。对于主动/主动机箱群集,可以有多个冗余组,这些冗余组可以位于不同的节点上。

主管理员在主设备(节点 0)上配置以下逻辑系统:

  • 主逻辑系统 — 主管理员配置安全配置文件,将系统部分安全资源调配到主逻辑系统,并配置主逻辑系统的资源。

  • 用户逻辑系统 LSYS1 和 LSYS2 及其管理员 — 主管理员还配置安全配置文件,以便将系统部分安全资源调配到用户逻辑系统。然后,用户逻辑系统管理员可以配置分配给其逻辑系统的接口、路由和安全资源。

  • 连接设备上的逻辑系统的互连逻辑系统 LSYS0 — 主管理员在互连逻辑系统和每个逻辑系统之间配置逻辑隧道接口。这些对等接口有效地允许建立隧道。

注意:

此示例不介绍逻辑系统的 NAT、IDP 或 VPN 等配置功能。有关可以为逻辑系统配置的功能的更多信息,请参阅 SRX 系列逻辑系统主管理员配置任务概述和用户逻辑系统配置概述。

如果在机箱群集配置中执行代理 ARP,则必须将代理 ARP 配置应用于 reth 接口,而不是成员接口,因为 reth 接口包含逻辑配置。请参阅为 NAT 配置代理 ARP(CLI 过程)。

拓扑

图 2 显示了此示例中使用的拓扑。

图 2:机箱群集 (IPv6) Logical Systems in a Chassis Cluster (IPv6) 中的逻辑系统

配置

使用 IPv6 地址的机箱群集配置(主管理员)

CLI 快速配置

要快速创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请将以下命令复制粘贴到文本文件中,删除所有换行符,更改必要的详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 [edit] CLI 中。

在 {primary:node0}

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置机箱群集:

注意:

在主设备(节点 0)上执行以下步骤。当您执行 commit 命令时,它们会自动复制到辅助设备(节点 1)。

  1. 为群集配置控制端口。

  2. 配置群集中用于在主动/被动模式下传递 RTO 的交换矩阵(数据)端口。

  3. 将配置的某些元素分配给特定成员。在 SRX 服务网关的 fxp0 接口上配置带外管理,为群集的单个控制平面使用单独的 IP 地址。

  4. 为机箱群集配置冗余组。

  5. 配置平台上的数据接口,以便在数据平面故障转移时,其他机箱群集成员可以无缝接管连接。

结果

在操作模式下,输入命令以确认 show configuration 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

使用 IPv6 地址的逻辑系统配置(主管理员)

CLI 快速配置

要快速创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请将以下命令复制粘贴到文本文件中,删除所有换行符,更改必要的详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 [edit] CLI 中。

注意:

系统会提示您输入纯文本密码,然后再次输入纯文本密码。

在 {primary:node0}

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要创建逻辑系统和用户逻辑系统管理员以及配置主逻辑系统和互连逻辑系统:

  1. 创建互连和用户逻辑系统。

  2. 配置用户逻辑系统管理员。

    逐步过程

    1. 为 LSYS1 配置用户逻辑系统管理员。

    2. 为 LSYS2 配置用户逻辑系统管理员。

  3. 配置安全配置文件并将其分配给逻辑系统。

    逐步过程

    1. 配置安全配置文件并将其分配给根逻辑系统。

    2. 为互连逻辑系统 LSYS0 分配一个不含资源的虚拟安全配置文件。

    3. 配置安全配置文件并将其分配给 LSYS1。

    4. 配置安全配置文件并将其分配给 LSYS2。

  4. 配置主逻辑系统。

    逐步过程

    1. 配置逻辑隧道接口。

    2. 配置路由实例。

    3. 配置区域。

    4. 配置安全策略。

  5. 配置互连逻辑系统。

    逐步过程

    1. 配置逻辑隧道接口。

    2. 配置 VPLS 路由实例。

  6. 为用户逻辑系统配置逻辑隧道接口。

    逐步过程

    1. 为 LSYS1 配置逻辑隧道接口。

    2. 为 LSYS2 配置逻辑隧道接口。

结果

在配置模式下,输入命令,确认 LSYS0 的配置 show logical-systems LSYS0 。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

在配置模式下,输入 、 show routing-instancesshow security命令,show interfaces以确认主逻辑系统的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

使用 IPv6 的用户逻辑系统配置(用户逻辑系统管理员)

CLI 快速配置

要快速配置用户逻辑系统,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层次结构级别的 CLI 中 [edit]

以 LSYS1 的用户逻辑系统管理员身份登录时输入以下命令:

以 LSYS2 的用户逻辑系统管理员身份登录时输入以下命令:

逐步过程
注意:

用户逻辑系统管理员在登录到自己的用户逻辑系统时会执行以下配置。主管理员还可以在 [edit logical-systems logical-system] 层次结构级别上配置用户逻辑系统。

以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要配置 LSYS1 用户逻辑系统:

  1. 配置接口。

  2. 配置路由。

  3. 配置区域和安全策略。

逐步过程

要配置 LSYS2 用户逻辑系统:

  1. 配置接口。

  2. 配置路由。

  3. 配置区域和安全策略。

结果

在配置模式下,输入 、 show routing-instancesshow routing-optionsshow security命令,show interfaces以确认 LSYS1 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

在配置模式下,输入 、 show routing-instancesshow security命令,show interfaces以确认 LSYS2 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

验证机箱群集状态 (IPv6)

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

对带日志 (IPv6) 的机箱群集进行故障排除

目的

使用这些日志可以识别任何机箱群集问题。您应该在两个节点上运行这些日志。

行动

在操作模式下,输入以下命令 show log

验证逻辑系统许可证 (IPv6)

目的

验证有关逻辑系统许可证的信息。

行动

在操作模式下,输入 show system license status logical-system all 命令。

验证逻辑系统许可证使用情况 (IPv6)

目的

验证有关逻辑系统许可证使用的信息。

注意:

实际使用的许可证数仅显示在主节点上。
行动

在操作模式下,输入 show system license 命令。

验证逻辑系统上的逻辑系统内流量 (IPv6)

目的

验证有关逻辑系统中当前活动安全会话的信息。

行动

在操作模式下,输入 show security flow session logical-system LSYS1 命令。

验证所有逻辑系统 (IPv6) 内的逻辑系统内流量

目的

验证有关所有逻辑系统上当前活动安全会话的信息。

行动

在操作模式下,输入 show security flow session logical-system all 命令。

验证用户逻辑系统 (IPv6) 之间的流量

目的

验证有关逻辑系统之间当前活动安全会话的信息。

行动

在操作模式下,输入 show security flow session logical-system logical-system-name 命令。

另请参阅

版本历史记录表
释放
描述
12.3X48-D50
从 Junos OS 12.3X48-D50 版开始,当您在机箱群集中配置逻辑系统时,如果配置时 commit 备份节点上的逻辑系统许可证不足,也会显示有关备份节点所需许可证数的警告消息,就像在之前所有版本中的主节点上一样。