Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置群集 (HA) 设置

使用 功能浏览器 确认平台和版本对特定功能的支持。

开始之前:

  • 在两台设备之间建立机箱群集连接,确保您对两台设备都有物理访问权限。

  • 您必须分别配置这两台设备。

  • 您的其他设备必须与当前设备使用相同的硬件和软件版本。

  • 请注意,这两个单元都将被擦除并重新启动,之后所有现有数据都将无法恢复。您可以选择在重新启动之前保存配置的备份副本。

您的位置: 设备管理 > 群集管理 > 群集配置

Junos OS 通过使用机箱群集在 SRX 系列防火墙上提供高可用性。SRX 系列防火墙可配置为在群集模式下运行,其中,一对设备可以连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。

机箱群集可以在以下模式下配置:

  • 主动/被动模式:在主动/被动模式下,传输流量通过主节点,而备份节点仅在发生故障时使用。发生故障时,备份设备将成为主设备并接管所有转发任务。

  • 主动/主动模式:在主动/主动模式下,传输流量始终通过群集的两个节点。

注意:

在 J-Web 群集 (HA) 设置中,您只能配置主动/被动模式 (RG1)。

当独立 SRX 系列防火墙出厂默认设置时,您可以使用简化群集 (HA) 模式向导设置机箱群集。当设备已在网络中时,您也可以使用设备管理>重置配置中的同一向导创建 HA。

注意:

在出厂默认设置中,SRX300、SRX320、SRX320-POE、SRX340、SRX345 和 SRX380 设备中会显示一条警告消息,提示断开两个节点之间的端口。这是为了避免显示其他节点的详细信息。

设备管理 > 群集管理 > 群集配置

要设置群集 (HA):

  1. 选择 群集 (HA) 设置
    注意:

    对于要设置的辅助节点,或者如果主节点和辅助节点尚未连接,请单击 继续。如果要设置主节点,请断开两个节点之间背靠背连接的端口,然后单击 “刷新 ”以重新加载浏览器。

    此时将显示 Setup Chassis Cluster 向导页面。此向导将指导您在两单元群集上配置机箱群集。

    选择设备

    欢迎页面显示了您可以为 SRX 系列防火墙配置的机箱群集连接。它显示了主单元(节点 0)和辅助单元(节点 1)的图形表示,并指导您首先配置主单元(节点 0)。

  2. 选择 “是,这是主设备(节点 0)。 ”以选择设备。
    注意:

    如果已配置主节点设置,请选择否 ,这是辅助单元(节点 1), 然后按照步骤 8 中的说明进行作。
  3. 单击 “下一步”。
  4. 要配置主机,请按照 表 1 中提供的指南完成配置。
    表 1:主机配置

    描述

    行动
    系统标识

    节点 0 群集 ID

    指定用于标识群集的编号。

    输入一个从 1 到 255 的数字。默认情况下,分配 1。

    节点 0 优先级

    指定被选为 VRRP 组中的主设备的设备优先级。

    输入一个从 1 到 255 的数字。默认情况下,分配 200。

    节点 1 优先级

    指定被选为 VRRP 组中的主设备的设备优先级。

    输入一个从 1 到 255 的数字。默认情况下,分配 100。

    节点 0 主机名

    指定节点 0 的设备主机名。

    默认情况下,将分配主机名。例如,SRX1500-01。

    节点 1 主机名

    指定节点 1 的设备主机名。

    默认情况下,将分配主机名。例如,SRX1500-02。

    允许 root 用户 SSH 登录

    允许用户通过 SSH 以 root 身份登录设备。

    启用此选项。
    管理界面
    IPv4 地址
    注意:

    在提交配置后,根据需要记下 IPv4 地址以访问设置。

    节点 0 管理 IPv4

    指定节点 0 的管理 IPv4 地址。

    输入管理接口的有效 IPv4 地址。

    节点 0 子网掩码

    指定 IPv4 地址的子网掩码。

    输入 IPv4 地址的子网掩码。

    节点 1 管理 IPv4

    指定节点 1 的管理 IPv4 地址。

    输入管理接口的有效 IPv4 地址。

    节点 1 子网掩码

    指定 IPv4 地址的子网掩码。

    输入 IPv4 地址的子网掩码。

    静态路由 IP

    定义如何路由到其他网络设备。

    输入静态路由的 IPv4 地址。

    静态路由子网

    指定静态路由 IPv4 地址的子网。

    输入静态路由 IPv4 地址的子网掩码。

    下一跳 IPv4

    指定 IPv4 地址的下一跃点网关。

    输入下一跃点的有效 IPv4 地址。
    IPv6 地址(可选)

    节点 0 管理 IPv6

    指定节点 0 的管理 IPv6 地址。

    输入管理接口的有效 IPv6 地址。

    节点 0 子网前缀

    指定 IPv6 地址的子网前缀。

    输入 IPv6 地址的子网前缀。

    节点 1 管理 IPv6

    指定节点 1 的管理 IPv6 地址。

    输入管理接口的有效 IPv6 地址。

    节点 1 子网前缀

    指定 IPv6 地址的子网前缀。

    输入 IPv6 地址的子网前缀。

    静态路由 IPv6

    定义如何路由到其他网络设备。

    输入静态路由的 IPv6 地址。

    静态路由子网前缀

    指定静态路由 IPv6 地址的子网前缀。

    输入静态路由 IPv6 地址的子网前缀。

    下一跳 IPv6

    指定 IPv6 地址的下一跳网关。

    输入下一跃点的有效 IPv6 地址。
    设备密码

    Root 密码

    指定设备的 root 密码。

    如果尚未为设备配置 root 密码,请输入密码。

    重新输入密码

    -

    重新输入 root 密码。
    控制端口
    注意:

    此选项仅适用于 SRX5600 和 SRX5800 设备。

    双链路

    为故障转移提供冗余链路。

    默认情况下,此选项处于禁用状态。

    启用此选项后,将显示以下字段:

    • 链接 1

      • 节点 0 FPC — 从列表中选择一个选项。

      • 节点 0 端口 — 从列表中选择一个选项。

      • 节点 1:FPC。

      • 节点 1 端口。

    • 链接 2(可选)

      • 节点 0 FPC — 从列表中选择一个选项。

      • 节点 0 端口 — 从列表中选择一个选项。

      • 节点 1:FPC。

      • 节点 1 端口。

    节点 0 FPC

    指定要在其上配置控制端口的 FPC 插槽编号。

    从列表中选择一个选项。

    节点 0 端口

    指定要在其上配置控制端口的端口号。

    从列表中选择一个选项。

    节点 1 FPC

    自选。指定要在其上配置控制端口的 FPC 插槽编号。

    从列表中选择一个选项。

    节点 1 端口

    自选。指定要在其上配置控制端口的端口号。

    从列表中选择一个选项。
    保存备份(可选)

    保存备份(到客户端)

    将当前配置的备份保存到客户端本地计算机。

    注意:

    重新启动主机时,J-Web 会删除现有配置以配置机箱群集。因此,建议您在提交新配置之前保存当前设置的备份文件。

    启用选项以保存设置的备份文件。
  5. 单击 重新启动并继续 重新启动主机以配置机箱群集。
  6. 重新启动主机(节点 0)后,连接到辅助设备的管理端口以切换到辅助设备。
  7. 如果辅助设备的管理 IP 地址与现有设备的默认 IP 地址相同,请单击刷 。如果没有,请使用新的辅助设备 IP 地址打开新的浏览器。
  8. 要配置辅助设备,请按照 表 2 中提供的指南完成配置。
    表 2:辅助单元配置

    描述

    行动
    辅助设备信息

    群集 ID

    指定用于标识群集的编号。

    注意:

    主设备和辅助设备的群集 ID 必须相同。

    输入一个从 1 到 255 的数字。默认情况下,分配 1。
    设备密码

    Root 密码

    指定设备的 root 密码。

    输入新的 root 密码。

    重新输入密码

    -

    重新输入 root 密码。
    控制端口
    注意:

    此选项仅适用于 SRX5600 和 SRX5800 设备。

    双链路

    为故障转移提供冗余链路。

    默认情况下,此选项处于禁用状态。

    启用双链路选项后,将显示以下字段:

    • 链接 1

      • 节点 0 FPC — 从列表中选择一个选项。

      • 节点 0 端口 — 从列表中选择一个选项。

      • 节点 1:FPC。

      • 节点 1 端口。

    • 链接 2(可选)

      • 节点 0 FPC — 从列表中选择一个选项。

      • 节点 0 端口 — 从列表中选择一个选项。

      • 节点 1:FPC。

      • 节点 1 端口。

    节点 0 FPC

    指定要在其上配置控制端口的 FPC 插槽编号。

    从列表中选择一个选项。

    节点 0 端口

    指定要在其上配置控制端口的端口号。

    从列表中选择一个选项。

    节点 1 FPC

    自选。指定要在其上配置控制端口的 FPC 插槽编号。

    从列表中选择一个选项。

    节点 1 端口

    自选。指定要在其上配置控制端口的端口号。

    从列表中选择一个选项。
    保存备份(可选)

    保存备份(到客户端)

    将当前配置的备份保存到客户端本地计算机。

    注意:

    重新启动辅助设备时,J-Web 会删除现有配置以配置机箱群集。因此,建议您在提交新配置之前保存当前设置的备份文件。

    启用选项以保存设置的备份文件。
  9. 单击重新启动 并继续 重新启动辅助设备以配置机箱群集。
  10. 重新启动辅助设备(节点 1)后,使用主设备管理 IP 地址启动 J-Web UI。
  11. 导航到“ 群集管理 ”> “群集 (HA) 设置”

    “群集向导”页面将打开并显示“群集状态”步骤。

    注意:

    • J-Web 用于 show chassis cluster status 验证控制链路状态。链路上的数字表示它是单链路 (1) 还是双链路 (2)。

      控件和结构链接状态颜色如下:

      • 绿色 — 表示链路已开启。

      • 红色 - 表示链路已关闭。

      • 橙色 — 表示其中一个双链路已打开。

      • 灰色 — 表示未配置结构链路。

    • 如果机箱群集未连接,则连接失败,并将显示所有可能的故障原因。有关故障排除提示的信息,请参阅 瞻博网络知识搜索

    • 只有在机箱群集形成后才能配置交换矩阵链路。这是首次配置时,机箱状态显示为 The fabric ports links is not yet configured
  12. 要配置交换矩阵链路,请按照 表 3 中提供的准则完成配置。
    表 3:交换矩阵链路配置

    描述

    行动
    交换矩阵链路详细信息

    双链路

    为故障转移提供冗余链路。

    启用此选项。
    链接 1

    交换矩阵 0

    指定节点 0 的结构端口链路。

    从列表中选择一个接口。

    交换矩阵 1

    指定节点 1 的结构端口链路。

    -
    链接 2(可选)

    交换矩阵 0

    指定节点 0 的辅助交换矩阵端口链路。

    从列表中选择一个接口。

    交换矩阵 1

    指定节点 1 的辅助交换矩阵端口链路。

    -
  13. 单击 配置链接
  14. 单击 “下一步”。
  15. 要添加冗余以太网 (reth) 接口,请单击 + 并按照 表 4 中提供的指南完成配置。
    注意:

    您还可以使用铅笔图标编辑 reth 接口,删除图标以删除 reth 接口。
    表 4:添加 Reth 接口

    描述

    行动

    RETH 名称

    指定 reth 接口名称。

    输入 reth 接口的名称。

    节点 0 接口

    指定节点 0 接口的列表。

    从“可用”列中选择一个接口,并将其移动到“已选择”列。

    节点 1

    基于节点 0 接口指定节点 1 接口。

    -
    高级设置

    LACP 配置

    自选。配置链路聚合控制协议 (LACP)。

    -

    LACP 模式

    自选。指定 LACP 模式。

    可用选项包括:

    • 活动 — 启动 LACP 数据包的传输。

    • passive — 响应 LACP 数据包。

    • periodic — 定期传输 LACP 数据包的时间间隔。

    从列表中选择一个选项。

    周期性

    自选。指定链路远程端的接口传输链路聚合控制协议数据单元 (PDU) 的时间间隔。

    可用选项包括:

    • fast — 每秒传输一次链路聚合控制 PDU。

    • slow — 每 30 秒传输一次链路聚合控制 PDU。

    从列表中选择一个选项。

    描述

    自选。指定 LACP 的说明。

    输入描述。

    VLAN 标记

    自选。指定是否启用 VLAN 标记。

    启用此选项。

    冗余组

    指定 reth 接口所属的冗余组的编号。

    -
  16. 点击 保存

    虚拟 reth 接口已创建。

  17. 要将逻辑接口添加到新的虚拟 reth 接口,请按照 表 5 中提供的准则完成配置。
    表 5:添加 Reth 逻辑接口

    描述

    行动
    常规

    Reth 接口名称

    指定 reth 接口的名称。

    输入 reth 接口的名称。

    逻辑接口单元

    指定逻辑接口单元。

    输入逻辑接口单元。

    描述

    指定 reth 接口的说明。

    输入描述。

    VLAN ID

    自选。指定 VLAN ID。

    输入 VLAN ID。
    IPv4 地址

    IPv4 地址

    指定 IPv4 地址。

    单击 + 并输入有效的 IP 地址。

    子网掩码

    指定 IPv4 地址的子网掩码。

    输入有效的子网掩码。
    IPv6 地址(可选)

    IPv6 地址

    指定 IPv6 地址。

    输入有效的 IP 地址。

    前缀长度

    指定在子网掩码中设置的位数。

    输入前缀长度。
  18. 单击 “确定”
  19. 要配置区域,请按照 表 6 中提供的准则完成配置。
    注意:

    • 在出厂默认配置下,默认情况下会显示信任和不信任区域。

    • 您可以编辑安全区域、添加新区域以及删除新添加的区域。如果您尝试删除默认区域,则在提交时将收到一条错误消息。这是因为,安全策略中引用了默认区域。

    • 您还可以编辑区域描述、应用跟踪、源身份日志、接口、系统服务、协议和流量控制选项。
    表 6:创建区域

    描述

    行动
    一般信息

    名字

    指定区域的名称。

    输入区域的名称。

    描述

    指定区域的说明。

    输入区域的描述。

    应用跟踪

    启用应用程序跟踪 (AppTrack) 以收集设备上应用程序使用情况以及会话关闭时间的统计信息

    启用此选项。

    源身份日志

    将 source-identity-log 参数指定为区域配置的一部分,以便在将该区域用作安全策略中的源区域(from-zone)时,该区域能够触发用户身份日志记录。

    启用此选项。
    接口

    接口

    指定可用的 reth 接口列表。

    从“可用”列中选择一个接口,并将其移动到“已选择”列。
    系统服务

    除了

    丢弃选定的服务。

    如果要删除所选服务,请启用此选项。

    服务业

    对于区域中的所有接口,指定可到达设备的传入系统服务流量类型。

    从“可用”列中选择一项服务,并将其移动到“已选择”列。
    协议

    除了

    丢弃选定的协议。

    如果要删除所选协议,请启用此选项。

    协议

    指定可按接口到达设备的路由协议流量类型。

    从“可用”列中选择一个协议,并将其移动到“已选择”列。
    流量控制选项

    TCP 重置

    指定设备发送 RST(重置)标志设置为 1(一)的 TCP 分段,以响应 TCP 分段(设置了 SYN 以外的任何标志),并且不属于现有会话。

    启用此选项。
  20. 单击 “确定”
  21. 单击 Finish

    此时将显示群集设置成功消息。

    如果再次单击群集 (HA) 设置菜单,将显示群集设置成功消息,您可以单击群 集配置 来查看和编辑机箱群集配置。

    注意:

    如果在单击 “完成”后机箱群集配置失败,请根据需要编辑配置并再次提交更改。

相关主题