机箱群集描述和部署方案
机箱群集的各种部署
防火墙部署可以是主动/被动或主动/主动。
主动/被动机箱群集模式是最常见的机箱群集防火墙部署类型,由群集的两个防火墙成员组成。One 主动提供路由、防火墙、NAT、虚拟专用网络 (VPN) 和安全服务,同时保持对机箱群集的控制。如果活动防火墙变为非活动状态,另一个防火墙会被动地保持其群集故障转移功能的状态。
SRX 系列设备支持主动/主动机箱群集模式,适用于您希望尽可能在两个机箱群集成员上维护流量的环境。在 SRX 系列设备主动/主动部署中,只有数据平面处于主动/主动模式,而控制平面实际上处于主动/被动模式。这允许一个控制平面将两个机箱成员作为单个逻辑设备进行控制,并且在控制平面发生故障时,控制平面可以故障切换至另一台设备。这也意味着数据平面可以独立于控制平面进行故障转移。主动/主动模式还允许入口接口位于一个集群成员上,出口接口位于另一个集群成员上。发生这种情况时,数据流量必须通过数据结构才能到达其他集群成员并流出出口接口。这称为 Z 模式。主动/主动模式还允许路由器在各个集群成员上具有本地接口,这些接口在故障转移时不在集群之间共享,而仅存在于单个机箱上。这些接口通常与动态路由协议结合使用,后者可在需要时将流量故障转移到其他集群成员。 图 1 显示了群集中的两个SRX5800设备。
要有效管理 SRX 群集,网络管理应用程序必须执行以下操作:
识别和监控主节点和辅助节点
监控冗余组和接口
监视控制和数据平面
监控切换和故障
图 2 显示了用于带外管理和管理的 SRX 系列高端设备配置。
图 3 显示了用于带外管理和管理的 SRX 系列分支设备配置。
连接主节点和辅助节点
以下是从管理系统连接到群集的最佳配置。此配置可确保管理系统能够连接到主节点和辅助节点。
user@host# show groups
node0 {
system {
host-name SRX3400-1;
backup-router 172.19.100.1 destination 10.0.0.0/8;
services {
outbound-ssh {
client nm-10.200.0.1 {
device-id A9A2F7;
secret "$9$T3Ct0BIEylIRs24JDjO1IRrevWLx-VeKoJUDkqtu0BhS"; ## SECRET-DATA
services netconf;
10.200.0.1 port 7804;
}
}
}
syslog {
file messages {
any notice;
structured-data;
}
}
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.164/24;
}
}
}
}
}
node1 {
system {
host-name SRX3400-2;
backup-router 172.19.100.1 destination 10.0.0.0/8;
services {
outbound-ssh {
client nm-10.200.0.1 {
device-id F007CC;
secret "$9$kPFn9ApOIEAtvWXxdVfTQzCt0BIESrIR-VsYoa9At0Rh"; ## SECRET-DATA
services netconf;
10.200.0.1 port 7804;
}
}
}
}
}
# The following syslog configuration is not applicable for Branch SRX Series Services Gateways:
syslog {
file default-log-messages {
any notice;
structured-data;
}
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.165/24;
}
}
}
}
user@host# show apply-groups
apply-groups "${node}";
{primary:node0} [edit]
user@host# show interfaces
interfaces {
fxp0 {
unit 0 {
family inet {
filter {
input protect;
}
address 172.19.100.166/24 {
master-only;
}
}
}
}
}
{primary:node0}[edit]
user@host# show snmp
location "Systest lab";
contact "Lab Admin";
view all {
oid .1 include;
}
community srxread {
view all;
}
community srxwrite {
authorization read-write;
}
trap-options {
source-address 172.19.100.166;
}
trap-group test {
targets {
10.200.0.1;
}
}
v3 {
vacm {
security-to-group {
security-model usm {
security-name test123 {
group test1;
}
security-name juniper {
group test1;
}
}
}
access {
group test1 {
default-context-prefix {
security-model any {
security-level authentication {
read-view all;
}
}
}
context-prefix MGMT_10 {
security-model any {
security-level authentication {
read-view all;
}
}
}
}
}
}
target-address petserver {
address 116.197.178.20;
tag-list router1;
routing-instance MGMT_10;
target-parameters test;
}
target-parameters test {
parameters {
message-processing-model v3;
security-model usm;
security-level authentication;
security-name juniper;
}
notify-filter filter1;
}
notify server {
type trap;
tag router1;
}
notify-filter filter1 {
oid .1 include;
}
}
{primary:node0}[edit]
user@host# show routing-options
static {
route 10.200.0.1/32 next-hop 172.19.100.1;
}
primary:node0}[edit]
root@SRX3400-1# show firewall
term permit-ssh {
from {
source-address {
10.200.0.0/24;
}
protocol tcp;
destination-port [ ssh telnet ];
}
then accept;
}
term permit-udp {
from {
source-address {
207.17.137.28/32;
}
protocol udp;
}
then accept;
}
term permit-icmp {
from {
protocol icmp;
icmp-type [ echo-reply echo-request ];
}
then accept;
}
term permit-ntp {
from {
source-address {
149.20.68.16/32;
}
protocol udp;
port ntp;
}
then accept;
}
term permit-ospf {
from {
protocol ospf;
}
then accept;
}
term permit-snmp {
from {
source-address {
10.200.0.0/24;
}
protocol udp;
port [ snmp snmptrap ];
}
then accept;
}
term deny-and-count {
from {
source-address {
0.0.0.0/0;
}
}
then {
count denied;
reject tcp-reset;
}
}
}
配置说明
通过 fxp0 接口(一种新型接口)连接到 SRX 系列机箱群集的最佳方式是使用组为主节点和辅助节点上的管理端口分配 IP 地址。
在整个群集中使用仅主 IP 地址。这样,您可以查询单个 IP 地址,并且该 IP 地址始终是冗余组 0 的主 IP 地址。如果不使用仅主 IPv4 地址,则必须添加并监控每个节点 IP 地址。辅助节点监控受到限制,如本主题中所述。
注意:我们建议使用仅主 IPv4 地址进行管理,尤其是在使用 SNMP 时。这样,即使在故障转移后,设备也可以访问。
根据前面显示的 fxp0 接口配置,无法访问机箱群集中辅助节点的 fxp0 接口上的管理 IPv4 地址。辅助节点路由子系统未运行。与管理 IPv4 地址位于同一子网上的主机可以访问 fxp0 接口。如果主机与管理 IPv4 地址位于不同的子网上,则通信将失败。这是预期行为,并按设计工作。辅助集群成员的路由引擎在故障切换之前无法运行。当主节点处于活动状态时,路由协议进程在辅助节点中不起作用。当需要管理访问权限时,
backup-router
可以使用配置语句。backup-router
使用该语句,可以从外部子网访问辅助节点以进行管理。由于系统限制,请勿将中backup-router
指定的目标地址配置为“0.0.0.0/0”或“::/0”。掩码必须是非零值。如果您的管理 IP 地址范围不连续,则可以包含多个目标。在此示例中,备份路由器 172.19.100.1 可通过 fxp0 接口访问,目标网络管理系统 IPv4 地址为 10.200.0.1。可通过备份路由器访问网络管理地址。要使备份路由器到达网络管理系统,请在备份路由器配置中包含目标子网。建议使用 SSH 协议、NETCONF XML 管理协议或 Junos OS XML 管理协议,使用出站 SSH 地址连接到管理系统。这可确保设备即使在切换后也能自动重新连接。
我们建议对每个节点使用相同的 SNMP 引擎 ID。这是因为 SNMPv3 使用 SNMP 引擎 ID 值对协议数据单元 (PDU) 进行身份验证,如果每个节点的 SNMP 引擎 ID 值不同,则 SNMPv3 可能会在路由引擎切换后发生故障。
使其他 SNMP 配置(如 SNMP 社区、陷阱组等)在节点之间保持通用,如示例配置所示。
注意:SNMP 陷阱仅从主节点发送。这包括在辅助节点上检测到的事件和故障。辅助节点从不发送 SNMP 陷阱或警报。
client-only
使用可配置选项将 SNMP 访问限制为仅对所需客户端。使用 SNMPv3 进行加密和身份验证。系统日志消息应分别从两个节点发送,因为日志消息是特定于节点的。
如果管理站与管理 IP 地址位于不同的子网上,请在备份路由器配置中指定同一子网,并根据需要在层次结构级别下
[edit routing-options]
添加静态路由。在前面的示例配置中,可通过备份路由器访问网络管理地址 10.200.0.1。因此,配置了静态路由。您可以使用防火墙过滤器限制对设备的访问。前面的示例配置显示 SSH、SNMP 和 Telnet 仅限于 10.0.0.0/8 网络。此配置允许 UDP、ICMP、OSPF 和 NTP 流量,并拒绝其他流量。此过滤器应用于 fxp0 接口。
您还可以使用安全区域来限制流量。有关详细信息,请参阅 Junos OS 安全配置指南。
SRX 系列分支设备的其他配置
SRX100、SRX210 和 SRX240 设备的出厂默认配置会自动启用第 2 层以太网交换。由于机箱群集模式不支持第 2 层以太网交换,因此对于这些设备,如果使用出厂默认配置,则必须在启用机箱群集之前删除以太网交换配置。
没有专用的 fxp0 管理接口。fxp0 接口是从内置接口重新调整用途的。例如,在 SRX100 设备上,fe-0/0/06 接口将重新用作管理接口,并自动重命名为 fxp0。有关管理接口的详细信息,请参阅 Junos OS 安全配置指南。
应谨慎使用系统日志。这可能会导致群集不稳定。切勿通过 SRX 系列分支设备的系统日志发送数据平面日志记录。
管理机箱群集
通过冗余以太网接口管理机箱群集 — SRX 系列机箱群集可使用冗余以太网 (reth) 接口进行管理。冗余组和 reth 接口的配置因部署而异,例如主动/主动模式和主动/被动模式。有关配置的详细信息,请参阅 Junos OS 安全配置指南 。配置好 reth 接口并可从管理站访问后,即可通过 reth 接口访问辅助节点。
如果 reth 接口属于冗余组 1+,则与管理站的 TCP 连接将无缝过渡到新的主接口。但是,如果发生冗余组 0 故障切换,并且路由引擎切换到新节点,则所有会话的连接将丢失几秒钟。
通过中转接口管理集群 — 可以使用中转接口管理集群设备。传输接口不能直接用于访问辅助节点。
配置设备以进行带内管理和管理
Junos OS for SRX 系列服务网关中提供的机箱群集功能是根据基于 Junos OS 的设备中的冗余功能建模的。基于 Junos OS 的设备采用独立的控制平面和数据平面设计,可在两个平面上提供冗余。Junos OS 中的控制平面由路由引擎管理,路由引擎执行除其他功能外的所有路由和转发计算。控制平面收敛后,转发条目将被推送到系统中的所有数据包转发引擎。然后,数据包转发引擎执行基于路由的查找,以确定每个数据包的适当目的地,而无需路由引擎的任何干预。
在 SRX 系列服务网关中启用机箱群集时,将使用相同的型号设备来提供控制平面冗余,如图 4 所示。
与具有两个路由引擎的设备类似,SRX 系列集群的控制平面在主动/被动模式下运行,在任何给定时间只有一个节点主动管理控制平面。因此,转发平面始终将发送到控制平面的所有流量(也称为主机入站流量)定向到集群的主节点。此流量包括(但不限于):
路由进程的流量,例如 BGP、OSPF、IS-IS、RIP 和 PIM 流量
IKE 协商消息
定向到管理进程(如 SSH、Telnet、SNMP 和 NETCONF)的流量
监控协议,如 BFD 或 RPM
此行为仅适用于主机入站流量。直通流量(即由群集转发,但不发往群集的任何接口的流量)可由任一节点根据群集的配置进行处理。
由于转发平面始终将主机入站流量定向到主节点,因此无论控制平面的状态如何,fxp0 接口都会提供与每个节点的独立连接。发送到 fxp0 接口的流量不由转发平面处理,而是发送到 Junos OS 内核,从而提供了一种连接到节点控制平面的方法,即使在辅助节点上也是如此。
本主题介绍如何通过主节点管理机箱群集,而无需使用 fxp0 接口,即带内管理。这对于 SRX 系列分支机构设备尤其需要,因为这些设备的典型部署使得没有可用于监控远程分支机构的管理网络。
在 Junos OS 10.1 R2 版之前,SRX 系列分支机箱群集的管理需要连接到群集两个成员的控制平面,因此需要访问每个节点的 fxp0 接口。在 Junos OS 10.1 R2 及更高版本中,可以使用 reth 接口或第 3 层接口远程管理 SRX 系列分支设备。
通过主节点管理 SRX 系列分支机箱群集
访问群集的主节点就像与节点的任何接口(fxp0 接口除外)建立连接一样简单。第 3 层和 reth 接口始终将流量定向到主节点,无论该节点位于哪个节点。这两种部署方案都很常见, 如图 5 和 图 6 所示。
在这两种情况下,建立与任何本地地址的连接都会连接到主节点。确切地说,您已连接到冗余组 0 的主节点。例如,即使冗余组 1 的成员 reth 接口在其他节点中处于活动状态,您也可以连接到主节点(这同样适用于第 3 层接口,即使它们实际驻留在备份节点中)。您可以使用 SSH、Telnet、SNMP 或 NETCONF XML 管理协议来监控 SRX 机箱群集。
图 5 显示了通过 reth 接口管理的 SRX 系列分支设备的示例。此型号也可用于使用 Junos OS 10.4 或更高版本的 SRX 系列高端设备。
图 6 显示了使用第 3 层接口进行带内管理的物理连接。
如果发生故障切换,只有带内连接需要能够通过 reth 或第 3 层接口到达新的主节点,以保持管理站与集群之间的连接。
表 1 列出了使用不同接口的优缺点。
fxp0 接口 |
Reth 和传输接口 |
---|---|
将 fxp0 接口与仅主 IP 地址结合使用,可以访问系统内的所有路由实例和虚拟路由器。fxp0 接口只能是 inet.0 路由表的一部分。由于 inet.0 路由表是默认路由实例的一部分,因此可用于访问所有路由实例和虚拟路由器的数据。 |
传输接口或 reth 接口只能访问其所属的路由实例或虚拟路由器的数据。如果它属于默认路由实例,则有权访问所有路由实例。 |
即使在故障转移后,具有仅主 IP 地址的 fxp0 接口也可用于设备管理,我们强烈建议这样做。 |
故障转移后(或者托管接口的设备出现故障或被禁用时),传输接口将失去连接,除非它们是 reth 组的一部分。 |
通过 fxp0 接口进行管理需要两个 IP 地址,每个节点一个。这也意味着需要存在交换机才能使用 fxp0 接口连接到群集节点。 |
reth 接口不需要两个 IP 地址,也不需要交换机即可连接到 SRX 系列机箱群集。每个节点上的传输接口(如果用于管理)需要为每个接口提供两个显式 IP 地址。但由于这是一个中转接口,因此除了管理之外,IP 地址还用于流量。 |
无法使用 fxp0 接口管理具有非以太网链路(ADSL、T1\E1)的 SRX 系列分支设备群集。 |
可以使用 reth 或中转接口管理具有非以太网链路的 SRX 系列分支设备。 |
与机箱群集设备通信
管理站可以使用以下方法连接到 SRX 系列机箱群集。这对于任何 Junos OS 设备都是相同的,不仅限于 SRX 系列机箱群集。我们建议对 SRX 系列机箱群集上的以下任何协议使用仅主 IP 地址。Reth 接口 IP 地址可用于通过以下任一接口连接到群集。
方法 |
描述 |
---|---|
用于 CLI 访问的 SSH 或 Telnet |
仅建议手动配置和监视单个群集。 |
Junos OS XML 管理协议 |
这是一个基于 XML 的接口,可以在 Telnet、SSH 和 SSL 上运行,它是 NETCONF XML 管理协议的前身。它提供对 Junos OS XML API 的访问,适用于可使用 CLI 输入的所有配置和操作命令。我们建议使用此方法访问操作信息。它也可以在 NETCONF XML 管理协议会话上运行。 |
NETCONF XML 管理协议 |
这是 IETF 定义的用于配置的标准 XML 接口。建议使用它来配置设备。此会话还可用于运行 Junos OS XML 管理协议远程过程调用 (RPC)。 |
Snmp |
从 SRX 系列机箱群集的角度来看,SNMP 系统将群集中的两个节点视为单个系统。主路由引擎上仅运行一个 SNMP 进程。初始化时,主协议会根据路由引擎主配置指示哪个 SNMP 进程 (snmpd) 应处于活动状态。无源路由引擎未运行 snmpd。因此,只有主节点在任何时间点响应 SNMP 查询并发送陷阱。可以直接查询辅助节点,但它的 MIB 支持有限,检索 机箱清单和接口中有详细说明。辅助节点不发送 SNMP 陷阱。可以使用辅助节点上的 fxp0 接口 IP 地址或 reth 接口 IP 地址发送到辅助节点的 SNMP 请求。 |
系统日志 |
标准系统日志消息可以发送到外部系统日志服务器。请注意,主节点和辅助节点都可以发送系统日志消息。我们建议您将主节点和辅助节点都配置为分别发送系统日志消息。 |
安全日志消息 (SPU) |
AppTrack 是一种应用程序跟踪工具,可提供用于分析网络带宽使用情况的统计信息。启用后,AppTrack 将收集指定区域中应用程序流的字节、数据包和持续时间统计信息。默认情况下,当每个会话关闭时,AppTrack 会生成一条消息,提供会话的字节和数据包计数以及持续时间,并将消息发送到主机设备。AppTrack 消息类似于会话日志消息,使用系统日志或结构化系统日志格式。该消息还包括会话的应用程序字段。如果 AppTrack 识别自定义应用程序并返回适当的名称,则日志消息中将包含自定义应用程序名称。请注意,必须配置应用程序标识才能发生这种情况。有关配置和使用应用程序识别和跟踪的详细信息,请参阅 Junos OS 安全配置指南 。 |
J-Web |
所有 Junos OS 设备都提供用于配置和管理的图形用户界面。此接口可用于管理单个设备。 |