示例:SRX5000线路上配置 IP 监控
此示例说明如何在启用机箱群集的情况下监控 SRX 系列防火墙。
要求
您需要两个具有相同硬件配置的 SRX5800 服务网关、一个 SRX 系列防火墙和一个 EX8208 以太网交换机。
物理连接两台 SRX5800 设备(结构和控制端口背靠背),并确保它们的型号相同。在群集中配置/添加这两个设备。
概述
IP 地址监控检查已配置 IP 地址的端到端可访问性,并允许冗余组在无法通过冗余以太网接口(称为 reth)接口的子链路访问时自动进行故障转移。可以将群集中两台设备上的冗余组配置为监控特定 IP 地址,以确定网络中的上游设备是否可访问。
在机箱群集设置中的 reth 接口上配置多个 IP 地址时,IP 监控将使用为主节点上为该 reth 接口配置的 IP 地址列表中的第一个 IP 地址,以及备份节点上为该 reth 接口配置的辅助 IP 地址列表中的第一个 IP 地址。第一个 IP 地址是具有最小前缀(网络掩码)的地址。
此示例说明如何在 SRX 系列防火墙上设置 IP 监控。
NP-IOC 卡不支持 IP 监控。
IP 监控不支持 SRX 系列防火墙上的 MIC 联机/脱机状态。
拓扑学
图 1 显示了此示例中使用的拓扑。
在此示例中,机箱群集中的两台 SRX5800 设备通过 EX8208 以太网交换机连接到一台SRX1500设备。该示例显示了如何配置冗余组,以监控可通过群集中任一节点上的冗余以太网接口访问的关键上游资源。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set chassis cluster reth-count 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 199 set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80 set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 set chassis cluster redundancy-group 1 ip-monitoring retry-count 10 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-4/0/1 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3
在 SRX 系列防火墙上配置 IP 监控
分步过程
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要在 SRX 系列防火墙上配置 IP 监控:
指定冗余以太网接口的数量。
{primary:node0}[edit] user@host# set chassis cluster reth-count 1
指定冗余组在群集的每个节点上的首要优先级。数字越大优先。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 200 user@host# set chassis cluster redundancy-group 1 node 1 priority 199
将冗余以太网接口配置为冗余组 1。
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 192.0.2.1/24
为节点 0 和节点 1 中的冗余以太网接口分配子接口。
{primary:node0}[edit] user@host# set interfaces ge-0/0/1 gigether-options redundant-parent reth0 user@host# set interfaces ge-4/0/1 gigether-options redundant-parent reth0
配置到要监控的 IP 地址的静态路由。
{primary:node0}[edit] user@host# set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3
在冗余组 1 下配置具有全局权重和全局阈值的 IP 监控。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80
指定重试间隔。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3
指定重试计数。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10
为要监控的 IP 地址分配权重,并配置将用于从辅助节点发送 ICMP 数据包以跟踪受监控 IP 的辅助 IP 地址。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2
注:冗余以太网 (reth0) IP 地址 192.0.2.1/24用于从节点 0 发送 ICMP 数据包,以检查受监控 IP 的可访问性。
辅助 IP 地址 192.0.2.2应与 reth0 IP 地址属于同一网络。
辅助 IP 地址用于从节点 1 发送 ICMP 数据包,以检查受监控 IP 的可访问性。
验证
确认配置工作正常。
验证机箱群集状态 — 故障切换前
目的
在故障切换之前验证机箱群集状态、故障切换状态和冗余组信息。
操作
在操作模式下,输入 show chassis cluster status
命令。
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 0 node0 200 primary no no node1 199 secondary no no
验证机箱群集 IP 监控状态 — 故障切换前
目的
在故障转移之前,验证从两个节点监视的 IP 状态以及两个节点的故障转移计数。
操作
在操作模式下,输入 show chassis cluster ip-monitoring status redundancy-group 1
命令。
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a
验证机箱群集状态 — 故障切换后
目的
故障切换后验证机箱群集状态、故障切换状态和冗余组信息。
如果无法访问 IP 地址,将显示以下输出。
操作
在操作模式下,输入 show chassis cluster status
命令。
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 0 secondary no no node1 199 primary no no
验证机箱群集 IP 监控状态 — 故障切换后
目的
验证从两个节点监视的 IP 状态以及故障转移后两个节点的故障转移计数。
操作
在操作模式下,输入 show chassis cluster ip-monitoring status redundancy-group 1
命令。
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 unreachable 1 unknown node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a