Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置群集 (HA) 设置

开始之前:

  • 在两个设备之间建立机箱群集连接,确保您对两台设备都有物理访问权限。

  • 您必须单独配置这两台设备。

  • 您的另一个设备必须与当前设备采用相同的硬件和软件版本。

  • 请注意,这两个设备都会被擦除并重新启动,之后所有现有数据都无法恢复。您可以选择在重新启动之前保存配置的备份副本。

您的位置: 设备管理 > 群集管理 > 群集配置

Junos OS 通过使用机箱群集在 SRX 系列防火墙上提供高可用性。SRX 系列防火墙可配置为在群集模式下运行,其中一对设备可以连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。

机箱群集可配置为以下模式:

  • 主动/被动模式:在主动/被动模式下,传输流量会通过主节点,而备份节点仅在出现故障时使用。发生故障时,备份设备将成为主设备并接管所有转发任务。

  • 主动/主动模式:在主动/主动模式下,传输流量始终通过群集的两个节点。

注意:

在 J-Web 群集 (HA) 设置中,您只能配置主动/被动模式 (RG1)。

当独立 SRX 系列防火墙处于出厂默认状态时,您可以使用简化的群集 (HA) 模式向导设置机箱群集。当设备已在网络中时,您还可以使用相同的向导从设备管理>重置配置创建 HA。

注意:

在出厂默认设置中,SRX300、SRX320、SRX320-POE、SRX340、SRX345 和 SRX380 设备会显示警告消息,以断开两个节点之间的端口连接。这是为了避免显示其他节点的详细信息。

设备管理 > 群集管理 > 群集配置

要设置群集 (HA):

  1. 选择 群集 (HA) 设置
    注意:

    对于要设置的辅助节点,或者如果主节点和辅助节点尚未连接,请单击“ 继续”。如果要设置主节点,请断开这两个节点之间的连接端口,然后单击 Refresh 以重新加载浏览器。

    将显示“设置机箱群集”向导页面。此向导将指导您在双单元群集上配置机箱群集。

    选择设备

    欢迎页面显示了可以为 SRX 系列防火墙配置的机箱群集连接。其中显示了主要单元(节点 0)和辅助单元(节点 1)的图形表示,并指导您首次配置主单元(节点 0)。

  2. 选择 是,这是主要单元(节点 0)。 以选择单元。
    注意:

    如果已经配置了主节点设置,请选择 “否,这是辅助单元(节点 1) ”,然后按照步骤 8 中的说明操作。
  3. 单击 “下一步”。
  4. 要配置主设备,请根据 表 1 中提供的准则完成配置。
    表 1:主要设备配置

    领域

    描述

    行动
    系统标识

    节点 0 群集 ID

    指定标识群集的编号。

    输入 1 到 255 的数字。默认情况下,分配 1 个。

    节点 0 优先级

    指定被选为 VRRP 组中的主设备的设备优先级。

    输入 1 到 255 的数字。默认情况下,会分配 200。

    节点 1 优先级

    指定被选为 VRRP 组中的主设备的设备优先级。

    输入 1 到 255 的数字。默认情况下,分配 100。

    节点 0 主机名

    指定节点 0 的设备主机名。

    默认情况下,会分配主机名。例如,SRX1500-01。

    节点 1 主机名

    指定节点 1 的设备主机名。

    默认情况下,会分配主机名。例如,SRX1500-02。

    允许 root 用户 SSH 登录

    允许用户通过 SSH 以 root 身份登录设备。

    启用此选项。
    管理接口
    IPv4 地址
    注意:

    提交配置后,根据需要记下 IPv4 地址以访问设置。

    节点 0 管理 IPv4

    指定节点 0 的管理 IPv4 地址。

    为管理接口输入有效的 IPv4 地址。

    节点 0 子网掩码

    为 IPv4 地址指定子网掩码。

    输入 IPv4 地址的子网掩码。

    节点 1 管理 IPv4

    指定节点 1 的管理 IPv4 地址。

    为管理接口输入有效的 IPv4 地址。

    节点 1 子网掩码

    为 IPv4 地址指定子网掩码。

    输入 IPv4 地址的子网掩码。

    静态路由 IP

    定义如何路由到其他网络设备。

    输入静态路由的 IPv4 地址。

    静态路由子网

    为静态路由 IPv4 地址指定子网。

    输入静态路由 IPv4 地址的子网掩码。

    下一跳 IPv4

    为 IPv4 地址指定下一跃点网关。

    为下一跃点输入有效的 IPv4 地址。
    IPv6 地址(可选)

    节点 0 管理 IPv6

    指定节点 0 的管理 IPv6 地址。

    为管理接口输入有效的 IPv6 地址。

    节点 0 子网前缀

    为 IPv6 地址指定子网前缀。

    输入 IPv6 地址的子网前缀。

    节点 1 管理 IPv6

    指定节点 1 的管理 IPv6 地址。

    为管理接口输入有效的 IPv6 地址。

    节点 1 子网前缀

    为 IPv6 地址指定子网前缀。

    输入 IPv6 地址的子网前缀。

    静态路由 IPv6

    定义如何路由到其他网络设备。

    输入静态路由的 IPv6 地址。

    静态路由子网前缀

    为静态路由 IPv6 地址指定子网前缀。

    输入静态路由 IPv6 地址的子网前缀。

    下一跳 IPv6

    为 IPv6 地址指定下一跃点网关。

    为下一跃点输入有效的 IPv6 地址。
    设备密码

    Root 密码

    指定设备的 root 密码。

    如果尚未为设备配置 root 密码,请输入。

    重新输入密码

    -

    重新输入 root 密码。
    控制端口
    注意:

    此选项仅适用于 SRX5600 和 SRX5800 设备。

    双链路

    为故障切换提供冗余链路。

    默认情况下,此选项处于禁用状态。

    启用此选项后,将显示以下字段:

    • 链接 1

      • 节点 0 FPC — 从列表中选择一个选项。

      • 节点 0 端口 — 从列表中选择一个选项。

      • 节点 1 FPC。

      • 节点 1 端口。

    • 链路 2(可选)

      • 节点 0 FPC — 从列表中选择一个选项。

      • 节点 0 端口 — 从列表中选择一个选项。

      • 节点 1 FPC。

      • 节点 1 端口。

    节点 0 FPC

    指定配置控制端口的 FPC 插槽编号。

    从列表中选择一个选项。

    节点 0 端口

    指定配置控制端口的端口号。

    从列表中选择一个选项。

    节点 1 FPC

    选。指定配置控制端口的 FPC 插槽编号。

    从列表中选择一个选项。

    节点 1 端口

    选。指定配置控制端口的端口号。

    从列表中选择一个选项。
    保存备份(可选)

    保存备份(到客户端)

    将当前配置的备份保存到客户端本地计算机。

    注意:

    重新启动主设备时,J-Web 会删除用于配置机箱群集的现有配置。因此,建议在提交新配置之前保存当前设置的备份文件。

    启用选项以保存设置的备份文件。
  5. 单击 “重新启动”,然后继续 重新启动主设备以配置机箱群集。
  6. 重新启动主单元(节点 0)后,连接到辅助单元的管理端口,以切换到辅助设备。
  7. 如果辅助单元的管理 IP 地址与现有设备的默认 IP 地址相同,请单击 Refresh。如果没有,请打开带有新辅助设备 IP 地址的新浏览器。
  8. 要配置辅助设备,请根据 表 2 中提供的准则完成配置。
    表 2:辅助设备配置

    领域

    描述

    行动
    辅助单元信息

    群集 ID

    指定标识群集的编号。

    注意:

    主单元和辅助单元的群集 ID 必须相同。

    输入 1 到 255 的数字。默认情况下,分配 1 个。
    设备密码

    Root 密码

    指定设备的 root 密码。

    输入新的 root 密码。

    重新输入密码

    -

    重新输入 root 密码。
    控制端口
    注意:

    此选项仅适用于 SRX5600 和 SRX5800 设备。

    双链路

    为故障切换提供冗余链路。

    默认情况下,此选项处于禁用状态。

    启用双链路选项后,将显示以下字段:

    • 链接 1

      • 节点 0 FPC — 从列表中选择一个选项。

      • 节点 0 端口 — 从列表中选择一个选项。

      • 节点 1 FPC。

      • 节点 1 端口。

    • 链路 2(可选)

      • 节点 0 FPC — 从列表中选择一个选项。

      • 节点 0 端口 — 从列表中选择一个选项。

      • 节点 1 FPC。

      • 节点 1 端口。

    节点 0 FPC

    指定配置控制端口的 FPC 插槽编号。

    从列表中选择一个选项。

    节点 0 端口

    指定配置控制端口的端口号。

    从列表中选择一个选项。

    节点 1 FPC

    选。指定配置控制端口的 FPC 插槽编号。

    从列表中选择一个选项。

    节点 1 端口

    选。指定配置控制端口的端口号。

    从列表中选择一个选项。
    保存备份(可选)

    保存备份(到客户端)

    将当前配置的备份保存到客户端本地计算机。

    注意:

    重新启动辅助设备时,J-Web 会删除用于配置机箱群集的现有配置。因此,建议在提交新配置之前保存当前设置的备份文件。

    启用选项以保存设置的备份文件。
  9. 单击 “重新启动”,然后继续 重新启动辅助设备以配置机箱群集。
  10. 重新启动辅助单元(节点 1)后,使用主单元管理 IP 地址启动 J-Web UI。
  11. 导航至 群集管理 > 群集 (HA) 设置

    群集向导页面将打开并显示群集状态步骤。

    注意:

    • J-Web 使用 show chassis cluster status 验证控制链路状态。链路上的数字表示它是单 (1) 链路还是双链路 (2)。

      控制和交换矩阵链路状态颜色如下所示:

      • 绿色 — 表示链路已启动。

      • 红色 — 表示链路已关闭。

      • 橙色 — 表示其中一个双链路已启动。

      • 灰色 - 表示交换矩阵链路未配置。

    • 如果机箱群集未连接,则连接将失败,并且将显示所有可能的故障原因。有关故障排除提示的信息,请参阅 瞻博网络知识搜索

    • 只有在形成机箱群集后,您才能配置交换矩阵链路。首次配置机箱状态显示为 The fabric ports links is not yet configured
  12. 要配置交换矩阵链路,请根据 表 3 中提供的准则完成配置。
    表 3:交换矩阵链路配置

    领域

    描述

    行动
    交换矩阵链路详细信息

    双链路

    为故障切换提供冗余链路。

    启用此选项。
    链接 1

    交换矩阵 0

    指定节点 0 的交换矩阵端口链路。

    从列表中选择一个接口。

    交换矩阵 1

    为节点 1 指定交换矩阵端口链路。

    -
    链路 2(可选)

    交换矩阵 0

    为节点 0 指定辅助交换矩阵端口链路。

    从列表中选择一个接口。

    交换矩阵 1

    为节点 1 指定辅助交换矩阵端口链路。

    -
  13. 单击 配置链接
  14. 单击 “下一步”。
  15. 要添加冗余以太网 (reth) 接口,请单击 + ,并根据 表 4 中提供的准则完成配置。
    注意:

    您还可以使用铅笔图标编辑 reth 接口,使用删除图标删除 reth 接口。
    表 4:添加 reth 接口

    领域

    描述

    行动

    RETH 名称

    指定 reth 接口名称。

    输入 reth 接口的名称。

    节点 0 接口

    指定节点 0 接口列表。

    从“可用”列中选择一个接口,并将其移动到“选定”列。

    节点 1

    基于节点 0 接口指定节点 1 接口。

    -
    高级设置

    LACP 配置

    选。配置链路聚合控制协议 (LACP)。

    -

    LACP 模式

    选。指定 LACP 模式。

    可用选项包括:

    • 主动 — 启动 LACP 数据包的传输。

    • 被动 — 响应 LACP 数据包。

    • 周期性 — LACP 数据包定期传输的间隔。

    从列表中选择一个选项。

    周期性

    选。指定链路远程端接口传输链路聚合控制协议数据单元 (PDU) 的间隔。

    可用选项包括:

    • fast — 每秒传输链路聚合控制 PDU。

    • 慢 — 每 30 秒传输一次链路聚合控制 PDU。

    从列表中选择一个选项。

    描述

    选。指定 LACP 的描述。

    输入说明。

    VLAN 标记

    选。指定是否启用 VLAN 标记。

    启用此选项。

    冗余组

    指定 reth 接口所属的冗余组编号。

    -
  16. 单击 “保存”。

    创建虚拟 reth 接口。

  17. 要向新的虚拟 reth 接口添加逻辑接口,请根据 表 5 中提供的准则完成配置。
    表 5:添加 reth 逻辑接口

    领域

    描述

    行动
    一般

    Reth 接口名称

    指定 reth 接口的名称。

    输入 reth 接口的名称。

    逻辑接口单元

    指定逻辑接口单元。

    输入逻辑接口单元。

    描述

    指定 reth 接口的描述。

    输入说明。

    VLAN ID

    选。指定 VLAN ID。

    输入 VLAN ID。
    IPv4 地址

    IPv4 地址

    指定 IPv4 地址。

    单击 + 并输入有效的 IP 地址。

    子网掩码

    为 IPv4 地址指定子网掩码。

    输入有效的子网掩码。
    IPv6 地址(可选)

    IPv6 地址

    指定 IPv6 地址。

    输入有效的 IP 地址。

    前缀长度

    指定在子网掩码中设置的位数。

    输入前缀长度。
  18. 单击 确定
  19. 要配置区域,请根据 表 6 中提供的准则完成配置。
    注意:

    • 使用出厂默认配置,默认显示信任区域和不信任区域。

    • 您可以编辑安全区域,添加新区域,以及删除新添加的区域。如果尝试删除默认区域,在提交时,您将会收到一条错误消息。这是因为安全策略中引用了默认区域。

    • 您还可以编辑区域描述、应用程序跟踪、源身份日志、接口、系统服务、协议和流量控制选项。
    表 6:创建区域

    领域

    描述

    行动
    常规信息

    名字

    指定区域的名称。

    输入区域名称。

    描述

    指定区域说明。

    输入区域说明。

    应用程序跟踪

    允许应用程序跟踪 (AppTrack) 收集设备上应用程序使用情况的统计信息,并在会话关闭时

    启用此选项。

    源身份日志

    将源身份日志参数指定为区域配置的一部分,以便当区域用作安全策略中的源区域(from-zone)时,可触发用户身份日志记录。

    启用此选项。
    接口

    接口

    指定可用 reth 接口列表。

    从“可用”列中选择一个接口,并将其移动到“选定”列。
    系统服务

    除了

    丢弃所选服务。

    如果要丢弃所选服务,请启用此选项。

    服务

    指定可以针对一个区域中的所有接口访问设备的传入系统服务流量的类型。

    从“可用”列中选择一项服务,并将其移动到“选定”列。
    协议

    除了

    丢弃所选协议。

    如果要丢弃所选协议,请启用此选项。

    协议

    指定可按接口到达设备的路由协议流量类型。

    从“可用”列中选择一个协议,并将其移动到“选定”列。
    流量控制选项

    TCP 重置

    指定设备发送一个将 RST(重置)标记设置为 1(一)的 TCP 分段,以响应具有除 SYN 集以外的任何标志且不属于现有会话的 TCP 分段。

    启用此选项。
  20. 单击 确定
  21. 单击 完成

    将显示群集设置成功消息。

    如果再次单击群集 (HA) 设置菜单,将显示群集设置成功消息,您可以单击 群集配置 以查看和编辑机箱群集配置。

    注意:

    如果单击 Finish(完成)后机箱群集配置失败,请根据需要编辑配置,然后再次提交更改。

相关文档