示例：配置主动/被动群集部署

分步过程

选择 FPC 1/13，因为中心点 （CP） 始终位于群集中最低的 SPC/SPU 上（在本例中，它是插槽 0）。为获得最大可靠性，请将控制端口放在与中心点不同的 SPC 上（对于此示例，请使用插槽 1 中的 SPC）。您必须在两台设备上输入操作模式命令。

要为每个设备配置控制端口并提交配置，请执行以下操作：

1. 为 SRX5800-1（节点 0）配置控制端口并提交配置。

2. 为 SRX5800-2（节点 1）配置控制端口并提交配置。

分步过程

在形成群集之前，必须为每个设备配置控制端口，并为每个设备分配群集 ID 和节点 ID。

设置群集 ID 和节点 ID 后，需要重新启动才能进入群集模式。您可以通过在 reboot CLI 命令行中包含参数来使系统自动引导。您必须在两台设备上输入操作模式命令。当系统启动时，两个节点都作为群集启动。

要将两台设备设置为群集模式：

1. 在 SRX5800-1（节点 0）上启用群集模式。

2. 在 SRX5800-2（节点 1）上启用群集模式。

   最佳实践：

   最佳实践是将每个 SRX 集群放置在其自己的广播域 （BD） 中，并为每个 SRX 集群提供唯一的集群 ID。这可以通过背对背连接来实现，或者如果使用交换机连接 SRX 设备，方法是为每个集群使用的交换机端口分配唯一的 VLAN。

   如果两个或多个 SRX 集群共享一个广播域，则命令输出 show chassis cluster information detail 中的检测信号错误可能会递增。此错误是群集接收用于其他群集的控制流量的结果。使用背对背连接或每个群集的 VLAN 通过将每个群集放置在其自己的 BD 中来避免此问题。

   组成群集的两台设备上的群集 ID 必须相同，但节点 ID 必须不同，因为一台设备是节点 0，另一台设备是节点 1。群集 ID 的范围为 0 到 255。将集群 ID 设置为 0 等效于禁用集群。仅当交换矩阵和控制链路接口背对背连接或在单独的 VLAN 上连接时，才能设置大于 15 的群集 ID。

   现在设备是一对。从此时开始，群集的配置将在节点成员之间同步，两个独立的设备作为一个设备运行。

分步过程

要在一对高端 SRX 系列设备上配置主动/被动机箱群集：

1. 配置群集的结构（数据）端口，用于在主动/被动模式下传递实时对象 （RTO）。此示例使用其中一个 1 千兆以太网端口。定义两个交换矩阵接口（每个机箱一个）以连接在一起。

2. 由于 SRX 服务网关机箱群集配置包含在单个通用配置中，因此请使用称为组的 Junos OS 节点特定配置方法将配置的某些元素仅分配给特定成员。

   该 set apply-groups ${node} 命令使用节点变量来定义如何将组应用于节点。每个节点识别其编号并相应地接受配置。您还必须在SRX5800的 fxp0 接口上配置带外管理，并为群集的各个控制平面使用单独的 IP 地址。

3. 为机箱群集配置冗余组。

   每个节点在冗余组中都有接口，其中接口在活动冗余组中处于活动状态（一个冗余组中可以存在多个活动接口）。冗余组 0 控制控制平面，冗余组 1+ 控制数据平面并包括数据平面端口。对于任何主动/被动模式群集，只需配置冗余组 0 和冗余组 1。此示例使用两个 reth 接口;两个 RETH 接口都是冗余组 1 的成员。除了冗余组，还必须定义：

   • 冗余以太网接口计数 — 配置可配置的冗余以太网接口 （reth） 数量，以便系统为其分配适当的资源。

   • 控制平面和数据平面的优先级 — 定义哪个设备对控制平面具有优先级（对于机箱群集，首选高优先级），以及哪个设备优先处于活动状态对于数据平面。

     注意：

     在主动/被动或主动/主动模式下，控制平面（冗余组 0）可以在不同于数据平面（冗余组 1+ 和组）机箱的机箱上处于活动状态。但是，对于此示例，我们建议在同一机箱成员上同时激活控制平面和数据平面。

4. 在平台上配置数据接口，以便在发生数据平面故障切换时，其他机箱群集成员可以无缝接管连接。

   通过数据平面故障转移，可以无缝过渡到新的活动节点。在控制平面故障切换的情况下，所有守护程序都将在新节点上重新启动。这有助于无缝过渡到新节点，而不会丢失任何数据包。

   定义以下项：

   • 成员接口的成员身份信息。

   • reth 接口所属的冗余组。对于此主动/被动示例，它始终为 1。

   • 接口信息，例如接口的 IP 地址。

5. 配置发生故障时的机箱群集行为。

   每个接口都配置了一个权重值，该权重值在链路丢失时从冗余组阈值 255 中扣除。故障转移阈值硬编码为 255，无法更改。您可以更改接口链路的权重以确定对机箱故障切换的影响。

   当冗余组阈值达到 0 时，该冗余组将故障转移到辅助节点。

   在 SRX5800-1 上输入以下命令：

   此步骤将完成SRX5800的主动/被动模式示例的机箱群集配置部分。此过程的其余部分介绍如何配置区域、虚拟路由器、路由、EX8208 和 MX480 以完成部署方案。

分步过程

配置 reth 接口并将其连接到相应的区域和虚拟路由器。对于此示例，请将 reth0 和 reth1 接口保留在虚拟路由器（默认）和路由表 （inet.0） 中，这不需要任何其他配置。

要配置区域、虚拟路由器和路由：

1. 配置相应区域和虚拟路由器的接口。

2. 配置到其他网络设备的静态路由。

分步过程

对于 EX8208，以下命令仅提供适用配置的概要，因为它与SRX5800的主动/被动全网状示例有关，尤其是 VLAN、路由和接口配置。

要配置 EX8208：

1. 配置接口。

2. 配置 VLAN。

3. 配置静态路由。

分步过程

对于 MX240，以下命令仅提供适用配置的概要，因为它与SRX5800的主动/被动模式示例有关，最值得注意的是，您必须在交换机上的虚拟交换机实例中使用集成路由和桥接 （IRB） 接口。

要配置 MX240：

1. 配置接口。

2. 配置静态路由。

3. 配置桥接域。

分步过程

此SRX5800主动/被动模式示例未详细描述其他配置，例如如何配置 NAT、安全策略或 VPN。它们本质上与独立配置相同。

但是，如果您在机箱群集配置中执行代理 ARP，则必须将代理 ARP 配置应用于 reth 接口而不是成员接口，因为 RETH 接口包含逻辑配置。

您还可以使用 VLAN 和SRX5800中继接口配置单独的逻辑接口配置。这些配置类似于使用 VLAN 和中继接口的独立实施。