Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

机箱群集中的逻辑系统

机箱群集可在两个设备作为单个设备运行的 SRX 系列防火墙上提供高可用性。机箱群集包括配置文件同步和 SRX 系列防火墙之间的动态运行时会话状态,这些防火墙是机箱群集设置的一部分。有关更多信息,请参阅以下主题:

了解机箱群集中的逻辑系统

箱群集 的行为与其节点由运行逻辑系统的 SRX 系列防火墙组成的群集的行为与群集中的 SRX 系列节点不运行逻辑系统的行为相同。导致节点故障转移的事件之间没有区别。特别是,如果与单个逻辑系统关联的链路发生故障,则设备将故障转移到群集中的另一个节点。

主管理员在创建和配置逻辑系统之前,可先配置机箱群集(包括主节点和辅助节点)。群集中的每个节点都具有相同的配置,就像群集中未运行逻辑系统的节点一样。所有逻辑系统配置都会在群集中的两个节点之间同步和复制。

使用SRX 系列防火墙在机箱群集内运行逻辑系统时,必须为机箱群集中的每个节点购买并安装相同数量的许可证。逻辑系统许可证与机箱群集内的单个机箱或节点相关,而不是群集的全部内容。

从 Junos OS 12.3X48-D50 版开始,在机箱群集内配置逻辑系统时,如果在配置时 commit 备份节点上的逻辑系统许可证不足,则会显示一条警告消息,说明备份节点上所需的许可证数量,就像之前所有版本中的主节点一样。

也可以看看

示例:在主动/被动机箱群集中配置逻辑系统(仅限主管理员)

此示例说明如何在基本的主动/被动机箱群集中配置逻辑系统。

注意:

主管理员负责配置机箱群集,并创建逻辑系统(包括可选的互连逻辑系统)、管理员和安全配置文件。主管理员或用户逻辑系统管理员可配置用户逻辑系统。配置在群集中的节点之间同步。

要求

开始之前:

注意:

在此示例中,机箱群集和逻辑系统配置由主管理员在根级别的主(节点 0)设备上执行。以主管理员身份登录设备。请参阅 了解主逻辑系统和主管理员角色
注意:

使用SRX 系列防火墙在机箱群集中运行逻辑系统时,必须为机箱群集中的每个节点购买并安装相同数量的逻辑系统许可证。逻辑系统许可证与机箱群集内的单个机箱或节点相关,而非该群集的全部内容。

概述

在此示例中,基本的主动/被动机箱群集由两台设备组成:

  • 一台设备会主动提供逻辑系统,并保持对机箱群集的控制。

  • 如果活动设备变为非活动状态,另一台设备会被动维护其群集故障切换功能的状态。

注意:

主动/主动机箱群集中的逻辑系统的配置方式与主动/被动机箱群集中的逻辑系统类似。对于主动/主动机箱群集,可以存在多个冗余组,这些组可以在不同节点上作为主节点。

主管理员在主设备(节点 0)上配置以下逻辑系统:

  • 主逻辑系统 — 主管理员配置安全配置文件,以便将部分系统安全资源配置到主逻辑系统,并配置主逻辑系统的资源。

  • 用户逻辑系统 LSYS1 和 LSYS2 及其管理员 — 主管理员还可配置安全配置文件,以便将部分系统安全资源配置到用户逻辑系统。然后,用户逻辑系统管理员可以配置分配给其逻辑系统的接口、路由和安全资源。

  • 连接设备上逻辑系统的互连逻辑系统 LSYS0 — 主管理员在互连逻辑系统和每个逻辑系统之间配置逻辑隧道接口。这些对等接口有效地允许建立隧道。

注意:

此示例不介绍如何为逻辑系统配置 NAT、IDP 或 VPN 等功能。有关可为逻辑系统配置的功能的更多信息,请参阅 SRX 系列逻辑系统主管理员配置任务概述用户逻辑系统配置概述

如果在机箱群集配置中执行代理 ARP,则必须将代理 ARP 配置应用于 reth 接口,而不是成员接口,因为 reth 接口包含逻辑配置。请参阅为 NAT 配置代理 ARP (CLI 过程)。

拓扑结构

图 1 显示了此示例中使用的拓扑。

图 1:机箱群集中 Network architecture diagram showing logical systems and virtual routers within a device. It depicts two interconnected physical devices, a management console, and a hierarchy of logical systems and virtual routers. Root logical system connects to LSYS0, which connects to LSYS1 and LSYS2. End devices connect to LSYS1 and LSYS2, illustrating network segmentation and virtualization.的逻辑系统

配置

机箱群集配置(主管理员)

CLI 快速配置

要快速创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请将以下命令复制粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。

在 {primary:node0} 上

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置机箱群集,请执行以下作:

注意:

在主设备(节点 0)上执行以下步骤。当您执行 commit 命令时,它们会自动复制到辅助设备(节点 1)。

  1. 为群集配置控制端口。

  2. 配置用于在主动/被动模式下传递 RTO 的群集的交换矩阵(数据)端口。

  3. 将配置的某些元素分配给特定成员。在 SRX 服务网关的 fxp0 接口上为群集的各个控制平面使用单独的 IP 地址配置带外管理。

  4. 为机箱群集配置冗余组。

  5. 配置平台上的数据接口,以便在发生数据平面故障切换时,其他机箱群集成员可以无缝接管连接。

结果

在作模式下,输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

逻辑系统配置(主管理员)

CLI 快速配置

要快速创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请将以下命令复制粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。

注意:

系统会提示您输入纯文本密码,然后再次输入。

在 {primary:node0} 上

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器

要创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请执行以下作:

  1. 创建互连和用户逻辑系统。

  2. 配置用户逻辑系统管理员。

    分步程序

    1. 为 LSYS1 配置用户逻辑系统管理员。

    2. 为 LSYS2 配置用户逻辑系统管理员。

  3. 配置安全配置文件并将其分配给逻辑系统。

    分步程序

    1. 配置安全配置文件并将其分配给根逻辑系统。

    2. 将不包含资源的虚拟安全配置文件分配给互连逻辑系统 LSYS0。

    3. 配置安全配置文件并将其分配给 LSYS1。

    4. 配置安全配置文件并将其分配给 LSYS2。

  4. 配置主逻辑系统。

    分步程序

    1. 配置逻辑隧道接口。

    2. 配置路由实例。

    3. 配置区域。

    4. 配置安全策略。

  5. 配置互连逻辑系统。

    分步程序

    1. 配置逻辑隧道接口。

    2. 配置 VPLS 路由实例。

  6. 为用户逻辑系统配置逻辑隧道接口。

    分步程序

    1. 为 LSYS1 配置逻辑隧道接口。

    2. 为 LSYS2 配置逻辑隧道接口。

结果

在配置模式下,输入 show logical-systems LSYS0 命令以确认 LSYS0 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 show interfacesshow routing-instancesshow security 命令确认主逻辑系统的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

用户逻辑系统配置(用户逻辑系统管理员)

CLI 快速配置

要快速配置用户逻辑系统,请复制以下命令,将其粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。

以 LSYS1 的用户逻辑系统管理员身份登录时,输入以下命令:

以 LSYS2 的用户逻辑系统管理员身份登录时,输入以下命令:

分步程序
注意:

用户逻辑系统管理员在登录到其用户逻辑系统时执行以下配置。主管理员还可以在 [edit logical-systems logical-system] 层级配置用户逻辑系统。

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器

要配置 LSYS1 用户逻辑系统,请执行以下作:

  1. 配置接口。

  2. 配置路由。

  3. 配置区域和安全策略。

分步程序

要配置 LSYS2 用户逻辑系统,请执行以下作:

  1. 配置接口。

  2. 配置路由。

  3. 配置区域和安全策略。

结果

在配置模式下,输入 show interfacesshow routing-instancesshow routing-optionsshow security 命令以确认 LSYS1 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 show interfacesshow routing-instancesshow security 命令以确认 LSYS2 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在作模式下,输入命令 show chassis cluster status

使用日志对机箱群集进行故障排除

目的

通过查看两个节点上的日志来确定任何机箱群集问题。

行动

在作模式下,输入以下 show log 命令。

验证逻辑系统许可证

目的

验证有关逻辑系统许可证的信息。

行动

在作模式下,输入命令 show system license status logical-system all

验证逻辑系统许可证使用情况

目的

验证有关逻辑系统许可证使用情况的信息。

注意:

实际使用的许可证数仅显示在主节点上。
行动

在作模式下,输入命令 show system license

验证逻辑系统上的逻辑系统内流量

目的

验证有关逻辑系统中当前活动安全会话的信息。

行动

在作模式下,输入命令 show security flow session logical-system LSYS1

验证所有逻辑系统内的逻辑系统内流量

目的

验证有关所有逻辑系统上当前活动安全会话的信息。

行动

在作模式下,输入命令 show security flow session logical-system all

验证用户逻辑系统之间的流量

目的

验证有关逻辑系统之间当前活动安全会话的信息。

行动

在作模式下,输入命令 show security flow session logical-system logical-system-name

也可以看看

示例:在主动/被动机箱群集中配置逻辑系统 (IPv6)(仅限主管理员)

此示例说明如何在具有 IPv6 地址的基本主动/被动机箱群集中配置逻辑系统。

注意:

主管理员负责配置机箱群集,并创建逻辑系统(包括可选的互连逻辑系统)、管理员和安全配置文件。主管理员或用户逻辑系统管理员可配置用户逻辑系统。配置在群集中的节点之间同步。

要求

开始之前:

  • 获取两个硬件配置相同的 SRX 系列防火墙。请参阅 示例:在 SRX5800 设备上配置主动/被动机箱群集。此机箱群集部署方案包括用于连接到 MX240 边缘路由器和 EX8208 以太网交换机的 SRX 系列防火墙配置。

  • 物理连接两台设备(背对背连接交换矩阵和控制端口),并确保其型号相同。您可以在 SRX5000 系列上配置交换矩阵端口和控制端口。对于 SRX1400 或 SRX1500 设备或者 SRX3000 系列,只能配置交换矩阵端口。(平台是否支持取决于设备安装的 Junos OS 版本。)

  • 在每台设备上设置机箱群集 ID 和节点 ID,然后重新启动设备以启用群集。请参阅 示例:为机箱群集中的安全性设备设置节点 ID 和群集 ID

注意:

在此示例中,机箱群集和逻辑系统配置由主管理员在根级别的主(节点 0)设备上执行。以主管理员身份登录设备。请参阅 了解主逻辑系统和主管理员角色
注意:

使用SRX 系列防火墙在机箱群集中运行逻辑系统时,必须为机箱群集中的每个节点购买并安装相同数量的逻辑系统许可证。逻辑系统许可证与机箱群集内的单个机箱或节点相关,而非该群集的全部内容。

概述

在此示例中,基本的主动/被动机箱群集由两台设备组成:

  • 一台设备会主动提供逻辑系统,并保持对机箱群集的控制。

  • 如果活动设备变为非活动状态,另一台设备会被动维护其群集故障切换功能的状态。

注意:

主动/主动机箱群集中的逻辑系统的配置方式与主动/被动机箱群集中的逻辑系统类似。对于主动/主动机箱群集,可以存在多个冗余组,这些组可以在不同节点上作为主节点。

主管理员在主设备(节点 0)上配置以下逻辑系统:

  • 主逻辑系统 — 主管理员配置安全配置文件,以便将部分系统安全资源配置到主逻辑系统,并配置主逻辑系统的资源。

  • 用户逻辑系统 LSYS1 和 LSYS2 及其管理员 — 主管理员还可配置安全配置文件,以便将部分系统安全资源配置到用户逻辑系统。然后,用户逻辑系统管理员可以配置分配给其逻辑系统的接口、路由和安全资源。

  • 连接设备上逻辑系统的互连逻辑系统 LSYS0 — 主管理员在互连逻辑系统和每个逻辑系统之间配置逻辑隧道接口。这些对等接口有效地允许建立隧道。

注意:

此示例不介绍如何为逻辑系统配置 NAT、IDP 或 VPN 等功能。有关可为逻辑系统配置的功能的更多信息,请参阅 SRX 系列逻辑系统主管理员配置任务概述用户逻辑系统配置概述

如果在机箱群集配置中执行代理 ARP,则必须将代理 ARP 配置应用于 reth 接口,而不是成员接口,因为 reth 接口包含逻辑配置。请参阅为 NAT 配置代理 ARP (CLI 过程)。

拓扑结构

图 2 显示了此示例中使用的拓扑。

图 2:机箱群集中的逻辑系统 (IPv6) Network architecture diagram showing physical devices at the top, management device in the middle, and logical systems with virtual routers at the bottom.

配置

使用 IPv6 地址的机箱群集配置(主管理员)

CLI 快速配置

要快速创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请将以下命令复制粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。

在 {primary:node0} 上

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置机箱群集,请执行以下作:

注意:

在主设备(节点 0)上执行以下步骤。当您执行 commit 命令时,它们会自动复制到辅助设备(节点 1)。

  1. 为群集配置控制端口。

  2. 配置用于在主动/被动模式下传递 RTO 的群集的交换矩阵(数据)端口。

  3. 将配置的某些元素分配给特定成员。在 SRX 服务网关的 fxp0 接口上为群集的各个控制平面使用单独的 IP 地址配置带外管理。

  4. 为机箱群集配置冗余组。

  5. 配置平台上的数据接口,以便在发生数据平面故障切换时,其他机箱群集成员可以无缝接管连接。

结果

在作模式下,输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

使用 IPv6 地址的逻辑系统配置(主管理员)

CLI 快速配置

要快速创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请将以下命令复制粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。

注意:

系统会提示您输入纯文本密码,然后再次输入。

在 {primary:node0} 上

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器

要创建逻辑系统和用户逻辑系统管理员并配置主逻辑系统和互连逻辑系统,请执行以下作:

  1. 创建互连和用户逻辑系统。

  2. 配置用户逻辑系统管理员。

    分步程序

    1. 为 LSYS1 配置用户逻辑系统管理员。

    2. 为 LSYS2 配置用户逻辑系统管理员。

  3. 配置安全配置文件并将其分配给逻辑系统。

    分步程序

    1. 配置安全配置文件并将其分配给根逻辑系统。

    2. 将不包含资源的虚拟安全配置文件分配给互连逻辑系统 LSYS0。

    3. 配置安全配置文件并将其分配给 LSYS1。

    4. 配置安全配置文件并将其分配给 LSYS2。

  4. 配置主逻辑系统。

    分步程序

    1. 配置逻辑隧道接口。

    2. 配置路由实例。

    3. 配置区域。

    4. 配置安全策略。

  5. 配置互连逻辑系统。

    分步程序

    1. 配置逻辑隧道接口。

    2. 配置 VPLS 路由实例。

  6. 为用户逻辑系统配置逻辑隧道接口。

    分步程序

    1. 为 LSYS1 配置逻辑隧道接口。

    2. 为 LSYS2 配置逻辑隧道接口。

结果

在配置模式下,输入 show logical-systems LSYS0 命令以确认 LSYS0 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 show interfacesshow routing-instancesshow security 命令确认主逻辑系统的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

使用 IPv6 进行用户逻辑系统配置(用户逻辑系统管理员)

CLI 快速配置

要快速配置用户逻辑系统,请复制以下命令,将其粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。

以 LSYS1 的用户逻辑系统管理员身份登录时,输入以下命令:

以 LSYS2 的用户逻辑系统管理员身份登录时,输入以下命令:

分步程序
注意:

用户逻辑系统管理员在登录到其用户逻辑系统时执行以下配置。主管理员还可以在 [edit logical-systems logical-system] 层级配置用户逻辑系统。

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器

要配置 LSYS1 用户逻辑系统,请执行以下作:

  1. 配置接口。

  2. 配置路由。

  3. 配置区域和安全策略。

分步程序

要配置 LSYS2 用户逻辑系统,请执行以下作:

  1. 配置接口。

  2. 配置路由。

  3. 配置区域和安全策略。

结果

在配置模式下,输入 show interfacesshow routing-instancesshow routing-optionsshow security 命令以确认 LSYS1 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 show interfacesshow routing-instancesshow security 命令以确认 LSYS2 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

验证

确认配置工作正常。

验证机箱群集状态 (IPv6)

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在作模式下,输入命令 show chassis cluster status

使用日志对机箱群集进行故障排除 (IPv6)

目的

使用这些日志来确定任何机箱群集问题。您应该在两个节点上都运行这些日志。

行动

在作模式下,输入以下 show log 命令。

验证逻辑系统许可证 (IPv6)

目的

验证有关逻辑系统许可证的信息。

行动

在作模式下,输入命令 show system license status logical-system all

验证逻辑系统许可证使用情况 (IPv6)

目的

验证有关逻辑系统许可证使用情况的信息。

注意:

实际使用的许可证数仅显示在主节点上。
行动

在作模式下,输入命令 show system license

验证逻辑系统 (IPv6) 上的逻辑系统内流量

目的

验证有关逻辑系统中当前活动安全会话的信息。

行动

在作模式下,输入命令 show security flow session logical-system LSYS1

验证所有逻辑系统内的逻辑系统内流量 (IPv6)

目的

验证有关所有逻辑系统上当前活动安全会话的信息。

行动

在作模式下,输入命令 show security flow session logical-system all

验证用户逻辑系统之间的流量 (IPv6)

目的

验证有关逻辑系统之间当前活动安全会话的信息。

行动

在作模式下,输入命令 show security flow session logical-system logical-system-name

也可以看看

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
12.3X48-D50
从 Junos OS 12.3X48-D50 版开始,在机箱群集内配置逻辑系统时,如果在配置时 commit 备份节点上的逻辑系统许可证不足,则会显示一条警告消息,说明备份节点上所需的许可证数量,就像之前所有版本中的主节点一样。