Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:SRX5000线路上配置 IP 监控

此示例说明如何在启用机箱群集的情况下监控 SRX 系列防火墙。

要求

  • 您需要两个具有相同硬件配置的 SRX5800 服务网关、一个 SRX 系列防火墙和一个 EX8208 以太网交换机。

  • 物理连接两台 SRX5800 设备(结构和控制端口背靠背),并确保它们的型号相同。在群集中配置/添加这两个设备。

概述

IP 地址监控检查已配置 IP 地址的端到端可访问性,并允许冗余组在无法通过冗余以太网接口(称为 reth)接口的子链路访问时自动进行故障转移。可以将群集中两台设备上的冗余组配置为监控特定 IP 地址,以确定网络中的上游设备是否可访问。

在机箱群集设置中的 reth 接口上配置多个 IP 地址时,IP 监控将使用为主节点上为该 reth 接口配置的 IP 地址列表中的第一个 IP 地址,以及备份节点上为该 reth 接口配置的辅助 IP 地址列表中的第一个 IP 地址。第一个 IP 地址是具有最小前缀(网络掩码)的地址。

此示例说明如何在 SRX 系列防火墙上设置 IP 监控。

注:

NP-IOC 卡不支持 IP 监控。

注:

IP 监控不支持 SRX 系列防火墙上的 MIC 联机/脱机状态。

拓扑学

图 1 显示了此示例中使用的拓扑。

图 1: SRX 系列防火墙拓扑上的 IP 监控示例SRX 系列防火墙拓扑上的 IP 监控示例

在此示例中,机箱群集中的两台 SRX5800 设备通过 EX8208 以太网交换机连接到一台SRX1500设备。该示例显示了如何配置冗余组,以监控可通过群集中任一节点上的冗余以太网接口访问的关键上游资源。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

在 SRX 系列防火墙上配置 IP 监控

分步过程

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要在 SRX 系列防火墙上配置 IP 监控:

  1. 指定冗余以太网接口的数量。

  2. 指定冗余组在群集的每个节点上的首要优先级。数字越大优先。

  3. 将冗余以太网接口配置为冗余组 1。

  4. 为节点 0 和节点 1 中的冗余以太网接口分配子接口。

  5. 配置到要监控的 IP 地址的静态路由。

  6. 在冗余组 1 下配置具有全局权重和全局阈值的 IP 监控。

  7. 指定重试间隔。

  8. 指定重试计数。

  9. 为要监控的 IP 地址分配权重,并配置将用于从辅助节点发送 ICMP 数据包以跟踪受监控 IP 的辅助 IP 地址。

    注:
    • 冗余以太网 (reth0) IP 地址 192.0.2.1/24用于从节点 0 发送 ICMP 数据包,以检查受监控 IP 的可访问性。

    • 辅助 IP 地址 192.0.2.2应与 reth0 IP 地址属于同一网络。

    • 辅助 IP 地址用于从节点 1 发送 ICMP 数据包,以检查受监控 IP 的可访问性。

验证

确认配置工作正常。

验证机箱群集状态 — 故障切换前

目的

在故障切换之前验证机箱群集状态、故障切换状态和冗余组信息。

操作

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集 IP 监控状态 — 故障切换前

目的

在故障转移之前,验证从两个节点监视的 IP 状态以及两个节点的故障转移计数。

操作

在操作模式下,输入 show chassis cluster ip-monitoring status redundancy-group 1 命令。

验证机箱群集状态 — 故障切换后

目的

故障切换后验证机箱群集状态、故障切换状态和冗余组信息。

注:

如果无法访问 IP 地址,将显示以下输出。

操作

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集 IP 监控状态 — 故障切换后

目的

验证从两个节点监视的 IP 状态以及故障转移后两个节点的故障转移计数。

操作

在操作模式下,输入 show chassis cluster ip-monitoring status redundancy-group 1 命令。