Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 Junos OS 中配置 vSRX 虚拟机箱群集

机箱群集概述

机箱群集 将一对相同类型的 vSRX 虚拟防火墙实例分组到一个群集中,以提供网络节点冗余。机箱群集中的 vSRX 虚拟防火墙实例必须运行相同的 Junos OS 版本,并且每个实例都将成为机箱群集中的一个节点。连接相应节点上的控制虚拟接口以形成一个 控制平面 ,用于同步群集中两个节点上的配置和 Junos OS 内核状态。控制链路( 虚拟网络vSwitch)促进了接口和服务的冗余。同样,您可以通过交换矩阵虚拟接口将各自节点上 的数据 平面连接在一起,以形成统一的数据平面。交换矩阵链路(虚拟网络或 vSwitch)允许管理跨节点流处理和管理会话冗余。

控制平面软件在主动/被动模式下运行。配置为机箱群集时,一个节点充当主节点,另一个节点用作辅助节点,以确保在主节点出现系统或硬件故障时,进程和服务的状态故障转移。如果主设备发生故障,辅助设备将接管控制平面流量的处理。

注意:

如果跨两个主机配置机箱群集,请在每个主机物理接口所属且控制虚拟 NIC (vNIC) 使用的网桥上禁用 igmp 侦听。这可确保机箱群集中的两个节点都接收控制链路心跳。

机箱群集数据平面在主动/主动模式下运行。在机箱群集中,数据平面在流量遍历任一节点时会更新会话信息,并通过交换矩阵链路在节点之间传输信息,以确保在故障转移时不会丢弃已建立的会话。在主动/主动模式下,流量可以进入一个节点上的群集,然后从另一个节点退出。

机箱群集功能包括:

  • 弹性系统架构,为整个群集提供一个主动控制平面,并 具有多个数据包转发引擎。此架构提供群集的单一设备视图。

  • 群集内节点之间的配置同步和动态运行时状态。

  • 物理接口的监控,并在故障参数超过配置的阈值时进行故障转移。

  • 支持通用路由封装 (GRE) 和 IP-over-IP (IP-IP) 隧道,分别通过两个内部接口 gr-0/0/0 和 ip-0/0/0 来路由封装的 IPv4 或 IPv6 流量。Junos OS 在系统启动时会创建这些接口,并且仅将这些接口用于处理 GRE 和 IP-IP 隧道。

在任何给定时刻,群集节点均可处于以下状态之一:保留、主要、辅助保留、辅助、不符合资格或已禁用。接口监控、服务处理单元 (SPU) 监控、故障和手动故障转移等多种事件类型可以触发状态转换。

启用机箱群集形成

创建两个 vSRX 虚拟防火墙实例以组成机箱群集,然后在每个实例上设置群集 ID 和节点 ID 以加入群集。当 vSRX 虚拟防火墙实例加入群集时,它将成为该群集的节点。除了唯一节点设置和管理 IP 地址外,群集中的节点共享相同的配置。

您可以在第 2 域中部署多达 255 个机箱群集。群集和节点的识别方式如下:

  • 群集 ID(1 到 255 的一个数字)用于标识群集。

  • 节点 ID(0 到 1 的数字)标识群集节点。

通常,在 SRX 系列防火墙上,群集 ID 和节点 ID 会写到 EEPROM 中。在 vSRX 虚拟防火墙实例上,vSRX 虚拟防火墙从 boot/loader.conf 存储和读取 ID,并在启动期间使用 ID 初始化机箱群集。

先决条件

在启用机箱群集之前,确保您的 vSRX 虚拟防火墙实例符合以下先决条件:

  • 您已向构成机箱群集的两个 vSRX 虚拟防火墙实例提交基本配置。请参阅 使用 CLI 配置 vSRX

  • show version Junos OS 中使用,确保两个 vSRX 虚拟防火墙实例的软件版本相同。

  • show system license Junos OS 中使用,确保两个 vSRX 虚拟防火墙实例已安装相同的许可证。

您必须在每个 vSRX 虚拟防火墙节点上设置相同的机箱群集 ID,并重新启动 vSRX 虚拟防火墙虚拟机,才能启用机箱群集形成。

  1. 在操作命令模式下,设置 vSRX 虚拟防火墙节点 0 上的机箱群集 ID 和节点编号。
  2. 在操作命令模式下,设置 vSRX 虚拟防火墙节点 1 上的机箱群集 ID 和节点编号。
注意:

启用机箱群集时,vSRX 虚拟防火墙接口命名和与 vNIC 的映射将发生变化。请参阅 KVM 上的 vSRX 要求 ,了解群集中一对 vSRX 虚拟防火墙虚拟机(节点 0 和节点 1)的接口名称和映射摘要。

使用 J-Web 快速设置机箱群集

要通过 J-Web 配置机箱群集:

  1. 在 Web 浏览器中输入 vSRX 虚拟防火墙节点 0 接口 IP 地址。
  2. 输入 vSRX 虚拟防火墙的用户名和密码,然后单击登录。将显示 J-Web 仪表板。
  3. 单击左侧面板中 的配置向导>群集 (HA) 设置 。将显示机箱群集设置向导。按照设置向导中的步骤配置群集 ID 和群集中的两个节点,并验证连接性。
    注意:

    使用 J-Web 中的内置帮助图标了解有关机箱群集设置向导的更多详细信息。
    注意:

    导航至 Junos OS 18.1 及更高版本中的配置 >设备设置>群集 (HA) 设置,以配置机箱群集设置。
  4. 通过选择“ 是”(这是要使用单选按钮设置的辅助单元(节点 1)来配置辅助节点节点 1
  5. 单击 “下一步”。
  6. 为辅助节点访问指定 输入密码重新输入密码节点 0 FXP0 IP节点 1 FXP0 IP 等设置。
  7. 单击 “下一步”。
  8. 选择辅助单元的控制端口和交换矩阵端口。
  9. 单击 “下一步”。
  10. (可选)选中“使用复选框在 继续关闭之前保存备份文件 ,为机箱群集重新配置备份文件。
  11. 单击 “下一步”。
  12. 单击 关闭并继续 连接到其他设备。
  13. 单击 刷新浏览器
  14. 选择“否”来配置主节点 Node0 ,这是要设置的主单元(节点 0), 用于配置主单元和建立机箱群集配置。
  15. 单击 “下一步”。
  16. 为主节点访问指定 输入密码重新输入密码节点 0 FXP0 IP节点 1 FXP0 IP 等设置。
  17. 单击 Next 重新启动主设备。
  18. (可选)选择“ 在继续关闭之前保存备份文件 ”,在继续之前保存当前设置的备份文件。
  19. 单击 “重新启动”并继续。完成重新启动后,开机辅助设备以建立机箱群集连接。
  20. 登录设备控制台并添加静态路由,以获取 J-Web 访问。
  21. 登录 J-Web 并在左侧面板中单击 配置向导>群集 (HA) 设置 。将显示机箱群集设置向导。
  22. 单击 Next(下一步 )连接主要设备。
  23. 配置基本设置 DHCP 客户端IP 地址默认网关成员接口节点 0成员接口节点 1
  24. 单击 Next 完成机箱群集配置。
  25. 单击 完成 退出向导。您可以使用 J-Web 访问主节点。

使用 J-Web 手动配置机箱群集

您可以使用 J-Web 界面配置群集中的主节点 0 vSRX 虚拟防火墙实例。设置群集和节点 ID 并重新启动每个 vSRX 虚拟防火墙后,以下配置将自动同步到辅助节点 1 vSRX 虚拟防火墙实例。

选择 配置>机箱群集>群集配置。此时将显示机箱群集配置页面。

注意:

导航至 Junos OS 18.1 及更高版本中的配置 >设备设置>集群 (HA) 设置 ,以配置 HA 群集设置。

表 1 说明了 HA 群集设置选项卡的内容。

表 2 说明了如何编辑“节点设置”选项卡。

表 3 说明了如何添加或编辑 HA 群集接口表。

表 4 说明了如何添加或编辑 HA 群集冗余组表。

表 1:机箱群集配置页面

领域

功能

节点设置

节点 ID

显示节点 ID。

群集 ID

显示为节点配置的群集 ID。

主机名

显示节点的名称。

备份路由器

显示当路由引擎处于机箱群集中冗余组 0 的辅助状态时用作网关的路由器。

管理接口

显示节点的管理接口。

IP 地址

显示节点的管理 IP 地址。

地位

显示冗余组的状态。

  • 冗余组处于活动状态。

  • 辅助 – 冗余组是被动的。

机箱群集>HA 群集设置>接口

名字

显示物理接口名称。

成员接口/IP 地址

显示为接口配置的成员接口名称或 IP 地址。

冗余组

显示冗余组。

机箱群集>HA 群集设置>Redundancy 组

显示冗余组标识号。

抢占

显示选定的抢占选项。

  • 基于优先级抢占真正的主要角色。

  • 不能根据优先级抢占假主要角色。

无偿 ARP 计数

显示机箱群集中新选择的主设备发送的无偿地址解析协议 (ARP) 请求数,以将其状态通告其他网络设备。

节点优先级

显示该节点上冗余组分配的优先级。具有最高优先级的合格节点将选为冗余组的主节点。

表 2:编辑节点设置配置详细信息

领域

功能

行动

节点设置

主机名

指定主机的名称。

输入主机名称。

备份路由器

显示当路由引擎处于机箱群集中冗余组 0 的辅助状态时用作网关的设备。

输入备份路由器的 IP 地址。

目的地

Ip

添加目标地址。

单击 Add

删除

删除目标地址。

单击 删除

接口

接口

指定可用于路由器的接口。

注意:

允许您为每个交换矩阵链路添加和编辑两个接口。

选择一个选项。

Ip

指定接口 IP 地址。

输入接口 IP 地址。

添加

添加接口。

单击 Add

删除

删除接口。

单击 删除
表 3:添加 HA 群集接口配置详细信息

领域

功能

行动

交换矩阵链路>交换矩阵链路 0 (fab0)

接口

指定交换矩阵链路 0。

输入接口 IP 交换矩阵链路 0。

添加

添加交换矩阵接口 0。

单击 Add

删除

删除交换矩阵接口 0。

单击 删除

交换矩阵链路>交换矩阵链路 1 (fab1)

接口

指定交换矩阵链路 1。

输入交换矩阵链路 1 的接口 IP。

添加

添加交换矩阵接口 1。

单击 Add

删除

删除交换矩阵接口 1。

单击 删除

冗余以太网

接口

指定一个逻辑接口,该接口由两个物理以太网接口组成,每个机箱上各一个。

进入逻辑接口。

Ip

指定冗余以太网 IP 地址。

输入冗余以太网 IP 地址。

冗余组

指定机箱群集中的冗余组 ID 编号。

从列表中选择冗余组。

添加

添加冗余以太网 IP 地址。

单击 Add

删除

删除冗余以太网 IP 地址。

单击 删除
表 4:添加冗余组配置详细信息

领域

功能

行动

冗余组

指定冗余组名称。

输入冗余组名称。

允许抢占主服务

允许优先级更高的节点为冗余组启动故障切换。

注意:

默认情况下,此功能处于禁用状态。禁用后,优先级更高的节点不会启动冗余组故障切换(除非某些其他因素(如为受监控接口识别的网络连接故障)会导致故障切换。

无偿 ARP 计数

指定新选择的主交换机在活动冗余以太网接口子链路上发送的无偿地址解析协议请求数,以通知网络设备冗余以太网接口链路上的主要角色发生变化。

输入 1 到 16 的值。默认为 4。

node0 优先级

为冗余组指定 node0 的优先级值。

输入节点优先级编号为 0。

节点 1 优先级

为冗余组指定 node1 的优先级值。

选择节点优先级编号为 1。

接口监控器

    

接口

指定要为群集创建的冗余以太网接口数。

从列表中选择一个接口。

重量

指定要监控的接口的权重。

输入 1 到 125 的值。

添加

添加由冗余组及其各自的权重监控的接口。

单击 Add

删除

删除由冗余组及其各自权重监控的接口。

从配置的列表中选择接口,然后单击 Delete

IP 监控

重量

指定 IP 监控的全局权重。

输入 0 到 255 的值。

阈 值

指定 IP 监控的全局阈值。

输入 0 到 255 的值。

重试计数

指定声明可访问性故障所需的重试次数。

输入 5 到 15 的值。

重试间隔

指定重试之间的时间间隔(以秒为单位)。

输入 1 到 30 的值。

要监控的 IPV4 地址

Ip

指定要监控的 IPv4 地址以确保可访问性。

输入 IPv4 地址。

重量

指定要监控的冗余组接口的权重。

输入权重。

接口

指定监控此 IP 地址的逻辑接口。

输入逻辑接口地址。

辅助 IP 地址

指定用于监控辅助链路上的数据包的源地址。

输入辅助 IP 地址。

添加

添加要监控的 IPv4 地址。

单击 Add

删除

删除要监控的 IPv4 地址。

从列表中选择 IPv4 地址,然后单击 Delete

另请参阅