配置群集 (HA) 设置
准备工作:
在两台设备之间建立机箱群集连接,确保您对两台设备都有物理访问权限。
您必须分别配置这两个设备。
您的其他设备必须与当前设备具有相同的硬件和软件版本。
请注意,两个设备都将被擦除并重新启动,之后所有现有数据都将无法恢复。您可以选择在重新启动之前保存配置的备份副本。
您在此处: 设备管理 > 群集管理 > 群集配置。
Junos OS 通过使用机箱群集在 SRX 系列防火墙上提供高可用性。SRX 系列防火墙可配置为在群集模式下运行,其中一对设备可以连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。
机箱群集可在以下模式下进行配置:
主动/被动模式:在主动/被动模式下,传输流量通过主节点,而备份节点仅在发生故障时使用。发生故障时,备份设备将成为主设备并接管所有转发任务。
主动/主动模式:在主动/主动模式下,传输流量始终通过群集的两个节点。
在 J-Web 集群 (HA) 设置中,您只能配置主动/被动模式 (RG1)。
当独立 SRX 系列防火墙处于出厂默认设置时,您可以使用简化的群集 (HA) 模式向导设置机箱群集。当设备已在网络中时,您还可以使用设备管理>重置配置中的相同向导创建 HA。
在出厂默认设置中,SRX300、SRX320、SRX320-POE、SRX340、SRX345 和 SRX380 设备中将显示一条警告消息,要求断开两个节点之间的端口。这是为了避免显示其他节点的详细信息。
设备管理 > 群集管理 > 群集配置
要设置群集 (HA),请执行以下操作:
- 选择 群集 (HA) 设置。
注意:
对于要设置的辅助节点,或者如果主节点和辅助节点尚未连接,请单击 继续。如果要设置主节点,请断开两个节点之间背对背连接的端口,然后单击 刷新 以重新加载浏览器。
此时将显示“设置机箱群集”向导页面。此向导将指导您完成在双机群集上配置机箱群集的过程。
选择单位
欢迎页面显示可为 SRX 系列防火墙配置的可能机箱群集连接。它显示了主设备(节点 0)和辅助设备(节点 1)的图形表示,并指导您首先配置主设备(节点 0)。
- 选择是,这是主设备(节点 0)。以选择设备。
注意:
如果已配置主节点设置,请选择 否,这是辅助设备(节点 1), 然后按照步骤 8 中的说明进行操作。
- 单击 下一步。
- 要配置主设备,请根据 表 1 中提供的准则完成配置。
表 1:主设备配置 领域
描述
行动
系统标识 节点 0 群集 ID
指定标识群集的编号。
输入一个介于 1 到 255 之间的数字。默认情况下,分配 1。
节点 0 优先级
指定被选为 VRRP 组中主设备的设备优先级。
输入一个介于 1 到 255 之间的数字。默认情况下,分配 200。
节点 1 优先级
指定被选为 VRRP 组中主设备的设备优先级。
输入一个介于 1 到 255 之间的数字。默认情况下,分配 100。
节点 0 主机名
指定节点 0 的设备主机名。
默认情况下,将分配主机名。例如,SRX1500-01。
节点 1 主机名
指定节点 1 的设备主机名。
默认情况下,将分配主机名。例如,SRX1500-02。
允许根用户 SSH 登录
允许用户通过 SSH 以 root 身份登录设备。
启用此选项。
管理接口 IPv4 地址 注意:记下 IPv4 地址,因为在提交配置后,您需要该地址来访问设置。
节点 0 管理 IPv4
指定节点 0 的管理 IPv4 地址。
为管理接口输入有效的 IPv4 地址。
节点 0 子网掩码
指定 IPv4 地址的子网掩码。
输入 IPv4 地址的子网掩码。
节点 1 管理 IPv4
指定节点 1 的管理 IPv4 地址。
为管理接口输入有效的 IPv4 地址。
节点 1 子网掩码
指定 IPv4 地址的子网掩码。
输入 IPv4 地址的子网掩码。
静态路由 IP
定义如何路由到其他网络设备。
输入静态路由的 IPv4 地址。
静态路由子网
指定静态路由 IPv4 地址的子网。
输入静态路由 IPv4 地址的子网掩码。
下一跳 IPv4
指定 IPv4 地址的下一跃点网关。
为下一跃点输入有效的 IPv4 地址。
IPv6 地址(可选) 节点 0 管理 IPv6
指定节点 0 的管理 IPv6 地址。
为管理接口输入有效的 IPv6 地址。
节点 0 子网前缀
指定 IPv6 地址的子网前缀。
输入 IPv6 地址的子网前缀。
节点 1 管理 IPv6
指定节点 1 的管理 IPv6 地址。
为管理接口输入有效的 IPv6 地址。
节点 1 子网前缀
指定 IPv6 地址的子网前缀。
输入 IPv6 地址的子网前缀。
静态路由 IPv6
定义如何路由到其他网络设备。
输入静态路由的 IPv6 地址。
静态路由子网前缀
指定静态路由 IPv6 地址的子网前缀。
输入静态路由 IPv6 地址的子网前缀。
下一跳 IPv6
指定 IPv6 地址的下一跃点网关。
为下一跃点输入有效的 IPv6 地址。
设备密码 根密码
指定设备的 root 密码。
如果尚未为设备配置 root 密码,请输入 root 密码。
重新输入密码
-
重新输入根密码。
控制端口 注意:此选项仅适用于SRX5600和SRX5800设备。
双链路
为故障转移提供冗余链路。
默认情况下,此选项处于禁用状态。
启用此选项后,将显示以下字段:
链接 1
节点 0 FPC - 从列表中选择一个选项。
节点 0 端口 — 从列表中选择一个选项。
节点 1 FPC。
节点 1 端口。
链接 2(可选)
节点 0 FPC - 从列表中选择一个选项。
节点 0 端口 — 从列表中选择一个选项。
节点 1 FPC。
节点 1 端口。
节点 0 FPC
指定要在其上配置控制端口的 FPC 插槽号。
从列表中选择一个选项。
节点 0 端口
指定要在其上配置控制端口的端口号。
从列表中选择一个选项。
节点 1 FPC
选。指定要在其上配置控制端口的 FPC 插槽号。
从列表中选择一个选项。
节点 1 端口
选。指定要在其上配置控制端口的端口号。
从列表中选择一个选项。
保存备份(可选) 保存备份(到客户端)
将当前配置的备份保存到客户端本地计算机。
注意:重新启动主设备时,J-Web 会删除现有配置以配置机箱群集。因此,建议您在提交新配置之前保存当前设置的备份文件。
启用保存设置备份文件的选项。
- 单击重新启动 并继续重新启动 主设备以配置机箱群集。
- 重新启动主设备(节点 0)后,连接到辅助设备的管理端口以切换到辅助设备。
- 如果辅助设备的管理 IP 地址与现有设备默认 IP 地址相同,请单击 刷新 。如果没有,请使用新的辅助设备 IP 地址打开新浏览器。
- 要配置辅助设备,请根据 表 2 中提供的准则完成配置。
表 2:辅助设备配置 领域
描述
行动
辅助单元信息 群集 ID
指定标识群集的编号。
注意:主设备和辅助设备的群集 ID 必须相同。
输入一个介于 1 到 255 之间的数字。默认情况下,分配 1。
设备密码 根密码
指定设备的 root 密码。
输入新的根密码。
重新输入密码
-
重新输入根密码。
控制端口 注意:此选项仅适用于SRX5600和SRX5800设备。
双链路
为故障转移提供冗余链路。
默认情况下,此选项处于禁用状态。
启用双链接选项后,将显示以下字段:
链接 1
节点 0 FPC - 从列表中选择一个选项。
节点 0 端口 — 从列表中选择一个选项。
节点 1 FPC。
节点 1 端口。
链接 2(可选)
节点 0 FPC - 从列表中选择一个选项。
节点 0 端口 — 从列表中选择一个选项。
节点 1 FPC。
节点 1 端口。
节点 0 FPC
指定要在其上配置控制端口的 FPC 插槽号。
从列表中选择一个选项。
节点 0 端口
指定要在其上配置控制端口的端口号。
从列表中选择一个选项。
节点 1 FPC
选。指定要在其上配置控制端口的 FPC 插槽号。
从列表中选择一个选项。
节点 1 端口
选。指定要在其上配置控制端口的端口号。
从列表中选择一个选项。
保存备份(可选) 保存备份(到客户端)
将当前配置的备份保存到客户端本地计算机。
注意:重新启动辅助设备时,J-Web 会删除现有配置以配置机箱群集。因此,建议您在提交新配置之前保存当前设置的备份文件。
启用保存设置备份文件的选项。
- 单击 重新启动并继续 重新启动辅助设备以配置机箱群集。
- 重新启动辅助设备(节点 1)后,使用主设备管理 IP 地址启动 J-Web UI。
- 导航到 群集管理 > 群集 (HA) 设置。
将打开“群集向导”页,并显示“群集状态”步骤。
注意:J-Web 用于
show chassis cluster status
验证控制链路状态。链路上的数字表示它是单链路 (1) 还是双链路 (2)。控件和结构链路状态颜色如下所示:
绿色 - 表示链路已启动。
红色 - 表示链路已关闭。
橙色 - 表示其中一个双链路已启动。
灰色 — 表示未配置结构链路。
如果未连接机箱群集,则连接将失败,并显示所有可能的故障原因。有关故障排除提示的信息,请参阅 瞻博网络知识搜索。
只有在形成机箱群集后,您才能配置结构链路。首次配置时,机箱状态显示为
The fabric ports links is not yet configured
。
- 要配置结构链路,请根据 表 3 中提供的准则完成配置。
表 3:交换矩阵链路配置 领域
描述
行动
交换矩阵链路详细信息 双链路
为故障转移提供冗余链路。
启用此选项。
链接 1 结构 0
指定节点 0 的结构端口链路。
从列表中选择一个接口。
交换矩阵 1
指定节点 1 的结构端口链路。
-
链接 2(可选) 结构 0
指定节点 0 的辅助结构端口链路。
从列表中选择一个接口。
交换矩阵 1
指定节点 1 的辅助结构端口链路。
-
- 单击 配置链接。
- 单击 下一步。
- 要添加冗余以太网 (reth) 接口,请单击 + 并根据 表 4 中提供的准则完成配置。
注意:
您也可以使用铅笔图标编辑 reth 接口,使用删除图标删除 reth 接口。
表 4:添加 Reth 接口 领域
描述
行动
瑞斯名称
指定 reth 接口名称。
输入 reth 接口的名称。
节点 0 接口
指定节点 0 接口的列表。
从“可用”列中选择一个接口,然后将其移动到“已选择”列。
节点 1
指定基于节点 0 接口的节点 1 接口。
-
高级设置 LACP 配置
选。配置链路聚合控制协议 (LACP)。
-
LACP 模式
选。指定 LACP 模式。
可用的选项包括:
活动 — 启动 LACP 数据包的传输。
被动 — 响应 LACP 数据包。
定期 — 定期传输 LACP 数据包的时间间隔。
从列表中选择一个选项。
周期性
选。指定链路远程端的接口传输链路聚合控制协议数据单元 (PDU) 的间隔。
可用的选项包括:
fast — 每秒传输链路聚合控制 PDU。
慢速 — 每 30 秒传输一次链路聚合控制 PDU。
从列表中选择一个选项。
描述
选。指定 LACP 的说明。
输入描述。
VLAN 标记
选。指定是否启用 VLAN 标记。
启用此选项。
冗余组
指定 reth 接口所属的冗余组的编号。
-
- 单击 保存。
创建虚拟接口。
- 要向新的虚拟 reth 接口添加逻辑接口,请根据 表 5 中提供的准则完成配置。
表 5:添加系列逻辑接口 领域
描述
行动
一般 Reth 接口名称
指定 reth 接口的名称。
输入接口的名称。
逻辑接口单元
指定逻辑接口单元。
输入逻辑接口单元。
描述
指定 reth 接口的说明。
输入说明。
虚拟帧 ID
选。指定 VLAN ID。
输入 VLAN ID。
IPv4 地址 IPv4 地址
指定 IPv4 地址。
单击 + 并输入有效的 IP 地址。
子网掩码
指定 IPv4 地址的子网掩码。
输入有效的子网掩码。
IPv6 地址(可选) IPv6 地址
指定 IPv6 地址。
输入有效的 IP 地址。
前缀长度
指定子网掩码中设置的位数。
输入前缀长度。
- 单击“确定”。
- 要配置区域,请根据 表 6 中提供的准则完成配置。
注意:
使用出厂默认配置时,默认情况下会显示信任和不信任区域。
您可以编辑安全区域、添加新区域以及删除新添加的区域。如果尝试删除默认区域,则在提交时将收到错误消息。这是因为,默认区域是在安全策略中引用的。
您还可以编辑区域描述、应用程序跟踪、源身份日志、接口、系统服务、协议和流量控制选项。
表 6:创建区域 领域
描述
行动
基本信息 名字
指定区域的名称。
输入区域的名称。
描述
指定区域的说明。
输入区域的说明。
应用程序跟踪
启用应用程序跟踪 (AppTrack),以收集设备上应用程序使用情况以及会话关闭时的统计信息
启用此选项。
源标识日志
将 source-identity-log 参数指定为区域配置的一部分,以便在该区域用作安全策略中的源区域(从区域)时触发用户身份日志记录。
启用此选项。
接口 接口
指定可用接口的列表。
从“可用”列中选择一个接口,然后将其移动到“已选择”列。
系统服务 除了
删除选定的服务。
如果要删除所选服务,请启用此选项。
服务
对于区域中的所有接口,指定可以到达设备的传入系统服务流量的类型。
从“可用”列中选择一个服务,然后将其移动到“已选择”列。
协议 除了
删除选定的协议。
如果要删除选定的协议,请启用此选项。
协议
指定每个接口可以到达设备的路由协议流量类型。
从“可用”列中选择一个协议,然后将其移动到“已选择”列。
流量控制选项 TCP 重置
指定设备发送 RST(重置)标志设置为 1(一)的 TCP 分段,以响应设置了 SYN 以外的任何标志且不属于现有会话的 TCP 分段。
启用此选项。
- 单击“确定”。
- 单击 完成。
此时将显示群集设置成功消息。
如果再次单击群集 (HA) 设置菜单,将显示群集设置成功消息,您可以单击群集配置以查看和编辑机箱 群集配置 。
注意:如果机箱群集配置在单击 完成后失败,请根据需要编辑配置并再次提交更改。