AUF DIESER SEITE
Grundlegendes zur Bereitstellung von Aktiv/Passiv-Chassis-Clustern
Beispiel: Konfigurieren eines aktiv/passiven Chassis-Clusters auf SRX5800-Geräten
Beispiel: Konfigurieren eines Aktiv/Passiven Chassis-Clusterpaars (SRX1500)
Beispiel: Konfigurieren eines Aktiv/Passiven Chassis-Clusterpaars (J-Web)
Grundlegendes zur Bereitstellung von Aktiv/Passive Chassis-Clustern mit einem IPsec-Tunnel
Beispiel: Konfigurieren eines Aktiven/Passiven Chassis-Clusterpaars mit einem IPsec-Tunnel
Beispiel: Konfigurieren eines Aktiven/Passiven Chassis-Clusterpaars mit einem IPsec-Tunnel (J-Web)
Aktiv/Passiv Chassis-Cluster-Bereitstellungen
Grundlegendes zur Bereitstellung von Aktiv/Passiv-Chassis-Clustern
In diesem Fall wird ein einzelnes Gerät im Cluster verwendet, um den gesamten Datenverkehr zu leiten, während das andere Gerät nur im Falle eines Ausfalls verwendet wird (siehe Abbildung 1). Wenn ein Fehler auftritt, wird das Backup-Gerät primär und steuert die gesamte Weiterleitung.
Ein Aktiv/ Passiv-Chassis-Cluster kann durch die Verwendung redundanter Ethernet-Schnittstellen (reths) erreicht werden, die alle derselben Redundanzgruppe zugewiesen sind. Wenn eine der Schnittstellen in einer aktiven Gruppe in einem Knoten ausfällt, wird die Gruppe für inaktiv erklärt, und alle Schnittstellen in der Gruppe schlagen mit dem anderen Knoten über.
Diese Konfiguration minimiert den Datenverkehr über die Fabric-Verbindung, da nur ein Knoten im Cluster den Datenverkehr zu einer bestimmten Zeit weiterleite.
Siehe auch
Beispiel: Konfigurieren eines aktiv/passiven Chassis-Clusters auf SRX5800-Geräten
In diesem Beispiel wird gezeigt, wie Sie ein einfaches Aktiv-/Passiv-Chassis-Clustering auf einem SRX5800-Gerät einrichten.
Anforderungen
Bevor Sie beginnen:
-
Sie benötigen zwei SRX5800 Services Gateways mit identischen Hardwarekonfigurationen, optional einen MX240-Edge-Router und einen EX8208-Ethernet-Switch für das Senden von End-to-End-Datenverkehr.
-
Verbinden Sie die beiden Geräte physisch (Back-to-Back für die Fabric und Kontroll-Ports) und stellen Sie sicher, dass es sich um dieselben Modelle handelt.
-
Bevor der Cluster gebildet wird, müssen Sie Steuerungsports für jedes Gerät konfigurieren, jedem Gerät eine Cluster-ID und eine Knoten-ID zuweisen und dann neu starten. Wenn das System hochgefahren wird, werden beide Knoten als Cluster eingerichtet.
Für SrX5400-, SRX5600- und SRX5800-Geräte ist eine Steuerungs-Port-Konfiguration erforderlich.
Jetzt sind die Geräte ein Paar. Von diesem Punkt an wird die Konfiguration des Clusters zwischen den Node-Mitgliedern synchronisiert, und die beiden separaten Geräte fungieren als ein Gerät.
Übersicht
In diesem Beispiel wird gezeigt, wie Sie ein einfaches Aktiv-/Passiv-Chassis-Clustering auf einem Gerät der SRX-Serie einrichten. Das grundlegende Aktiv/Passiv-Beispiel ist der gebräuchlichste Typ von Chassis-Clustern.
Der grundlegende Aktiv/Passiv-Chassis-Cluster besteht aus zwei Geräten:
-
Ein Gerät stellt aktiv Routing-, Firewall-, NAT-, VPN- und Sicherheitsservices bereit und behält gleichzeitig die Kontrolle über das Gehäuse-Cluster.
-
Das andere Gerät behält seinen Status für Cluster-Failover-Funktionen passiv bei, falls das aktive Gerät inaktiv wird.
In diesem Beispiel für den aktiven/passiven Modus für das Services Gateway SRX5800 werden verschiedene Konfigurationen, z. B. die Konfiguration von NAT, Sicherheitsrichtlinien oder VPNs, nicht detailliert beschrieben. Sie sind im Wesentlichen die gleichen wie für eigenständige Konfigurationen. Wenn Sie Jedoch Proxy-ARP in Gehäuse-Cluster-Konfigurationen ausführen, müssen Sie die Proxy-ARP-Konfigurationen auf die erneuten Schnittstellen und nicht auf die Memberschnittstellen anwenden, da die RETH-Schnittstellen die logischen Konfigurationen enthalten. Siehe Konfigurieren von Proxy-ARP für NAT (CLI-Prozedur). Sie können auch separate logische Schnittstellenkonfigurationen mithilfe von VLANs und Trunked-Schnittstellen im Services Gateway SRX5800 konfigurieren. Diese Konfigurationen ähneln den eigenständigen Implementierungen mit VLANs und trunkierten Schnittstellen.
Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie.
Konfiguration
Konfigurieren der Steuer-Ports und Aktivierung des Cluster-Modus
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
Auf {primary:node0}
[edit] set groups re0 system host-name hostA set groups re0 system backup-router 10.204.191.254 set groups re0 system backup-router destination 10.0.0.0/8 set groups re0 system backup-router destination 172.16.0.0/16 set groups re0 system backup-router destination 192.168.0.0/16 set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18 set apply-groups re0 set groups re0 system host-name hostB set groups re0 system backup-router 10.204.191.254 set groups re0 system backup-router destination 10.0.0.0/8 set groups re0 system backup-router destination 172.16.0.0/16 set groups re0 system backup-router destination 192.168.0.0/16 set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.142/18 set apply-groups re0 set groups node0 system host-name hostA set groups node0 system backup-router 10.204.191.254 set groups node0 system backup-router destination 10.0.0.0/8 set groups node0 system backup-router destination 172.16.0.0/16 set groups node0 system backup-router destination 192.168.0.0/16 set groups node0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18 set groups node1 system host-name hostB set groups node1 system backup-router 10.204.191.254 set groups node1 system backup-router destination 10.0.0.0/8 set groups node1 system backup-router destination 172.16.0.0/16 set groups node1 system backup-router destination 192.168.0.0/16 set groups node1 interfaces fxp0 unit 0 family inet address 10.204.149.142/18 set chassis cluster control-ports fpc 1 port 0 set chassis cluster control-ports fpc 13 port 0 set chassis cluster cluster-id 1 node 0 reboot set chassis cluster cluster-id 1 node 1 reboot delete apply-groups re0 set apply-groups “${node}” set chassis cluster reth-count 2 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 254 set chassis cluster redundancy-group 1 node 1 priority 1 set interfaces fab0 fabric-options member-interfaces ge-3/2/8 set interfaces fab1 fabric-options member-interfaces ge-15/2/8
(Optional) Um einen Core-Switch EX8208 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
Auf {primary:node0}
[edit] set interfaces xe-1/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 set interfaces xe-2/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 set interfaces vlan unit 50 family inet address 10.2.2.254/24 set vlans SRX5800 vlan-id 50 set vlans SRX5800 l3-interface vlan.50 set routing-options static route 0.0.0.0/0 next-hop 10.2.2.1/24
(Optional) Um einen MX240-Edge-Router schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
Auf {primary:node0}
[edit] set interfaces xe-1/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching set interfaces xe-2/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching set interfaces irb unit 0 family inet address 10.1.1.254/24 set routing-options static route 10.0.0.0/8 next-hop 10.1.1.1 set routing-options static route 0.0.0.0/0 next-hop (upstream router) set vlans SRX5800 vlan-id X (could be set to “none”) set vlans SRX5800 domain-type bridge routing-interface irb.0 set vlans SRX5800 domain-type bridge interface xe-1/0/0 set vlans SRX5800 domain-type bridge interface xe-2/0/0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie einen Gehäuse-Cluster auf einem Gerät der SRX-Serie:
Im Cluster-Modus wird die Konfiguration über die Steuerverbindung zwischen den Knoten synchronisiert, wenn Sie einen commit
Befehl ausführen. Alle Befehle werden auf beide Knoten angewendet, unabhängig davon, von welchem Gerät der Befehl konfiguriert wird.
-
Konfigurieren Sie sowohl die eigenständigen Geräte mit Backup-Router-Zielkonfiguration, um den Verwaltungszugriff auf den Backup-Knoten zu ermöglichen, nachdem das Gerät im Cluster-Modus aktiviert ist. Der Zugriff auf den primären Knoten wird durch das Routing auf dem primären Knoten ermöglicht.
user@hostA# set groups re0 system host-name hostA user@hostA# set groups re0 system backup-router 10.204.191.254 user@hostA# set groups re0 system backup-router destination 10.0.0.0/8 user@hostA# set groups re0 system backup-router destination 172.16.0.0/16 user@hostA# set groups re0 system backup-router destination 192.168.0.0/16 user@hostA# set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18 user@hostA# set apply-groups re0
user@hostB# set groups re0 system host-name hostB user@hostB# set groups re0 system backup-router 10.204.191.254 user@hostB# set groups re0 system backup-router destination 10.0.0.0/8 user@hostB# set groups re0 system backup-router destination 172.16.0.0/16 user@hostB# set groups re0 system backup-router destination 192.168.0.0/16 user@hostB# set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.142/18 user@hostB# set apply-groups re0
-
Da die Services Gateway Chassis-Cluster-Konfiguration der SRX5000-Serie in einer einzigen gemeinsamen Konfiguration enthalten ist, müssen Sie die knotenspezifische Konfigurationsmethode "Groups" von Junos OS verwenden, um einige Elemente der Konfiguration nur einem bestimmten Mitglied zuzuweisen. Der
set apply-groups ${node}
Befehl verwendet die Knotenvariable, um zu definieren, wie die Gruppen auf die Knoten angewendet werden. Jeder Knoten erkennt seine Nummer und akzeptiert die Konfiguration entsprechend. Sie müssen auch die Out-of-Band-Verwaltung auf der fxp0-Schnittstelle des Services Gateways der SRX5000-Serie konfigurieren, indem Sie separate IP-Adressen für die einzelnen Steuerungsebenen des Clusters verwenden.Die Konfiguration der Backup-Router-Zieladresse als x.x.x.0/0 ist nicht zulässig.
user@hostA# set groups node0 system host-name hostA user@hostA# set groups node0 system backup-router 10.204.191.254 user@hostA# set groups node0 system backup-router destination 10.0.0.0/8 user@hostA# set groups node0 system backup-router destination 172.16.0.0/16 user@hostA# set groups node0 system backup-router destination 192.168.0.0/16 user@hostA# set groups node0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18
user@hostB# set groups node1 system host-name hostB user@hostB# set groups node1 system backup-router 10.204.191.254 user@hostB# set groups node1 system backup-router destination 10.0.0.0/8 user@hostB# set groups node1 system backup-router destination 172.16.0.0/16 user@hostB# set groups node1 system backup-router destination 192.168.0.0/16 user@hostB# set groups node1 interfaces fxp0 unit 0 family inet address 10.204.149.142/18
Die oben genannten Gruppen node0 und node1-Konfiguration werden verpflichtet, aber nicht angewendet. Sobald sich das Gerät im Cluster befindet, werden diese Befehle mithilfe von
set apply-groups “${node}”
. -
Konfigurieren Sie den Steuerungsport für jedes Gerät und bestätigen Sie die Konfiguration.
Stellen Sie sicher, dass die physische Steuerungsverbindung zwischen den SPC-Karten auf beiden Knoten gemäß der Konfiguration vorhanden ist.
Die Steuerungsports werden basierend auf der SPC-Position im Gehäuse abgeleitet und der Offsetwert basiert auf der Plattform. Im folgenden Beispiel ist die SPC im Umsatzsteckplatz 1 vorhanden, und da der Offset des SRX5800 12 beträgt, sind die Steuerungsports 1, 13. Sie können den Offset-Wert für eine bestimmte Plattform mit dem
“jwhoami -c”
Befehl im Shell-Modus anzeigen. Sie müssen die folgenden Befehle auf beiden Geräten eingeben. Zum Beispiel:-
Auf Knoten 0:
user@hostA# set chassis cluster control-ports fpc 1 port 0 user@hostA# set chassis cluster control-ports fpc 13 port 0 user@hostA# commit
-
Auf Knoten 1:
user@hostB# set chassis cluster control-ports fpc 1 port 0 user@hostB# set chassis cluster control-ports fpc 13 port 0 user@hostB# commit
-
-
Setzen Sie die beiden Geräte auf den Cluster-Modus. Ein Neustart ist erforderlich, um in den Cluster-Modus zu wechseln, nachdem die Cluster-ID und die Knoten-ID festgelegt wurden. Sie können veranlassen, dass das System automatisch gestartet wird, indem Sie den
reboot
Parameter in die Cli-Befehlszeile aufnehmen. Sie müssen die Befehle im Betriebsmodus auf beiden Geräten eingeben. Zum Beispiel:-
Auf Knoten 0:
user@hostA> set chassis cluster cluster-id 1 node 0 reboot
-
Auf Knoten 1:
user@hostB> set chassis cluster cluster-id 1 node 1 reboot
Die Cluster-ID muss auf beiden Geräten in einem Cluster gleich sein, die Knoten-ID muss jedoch anders sein, da ein Gerät Knoten 0 und das andere Gerät Knoten 1 ist. Der Bereich für die Cluster-ID beträgt 1 bis 255. Das Festlegen einer Cluster-ID auf 0 entspricht der Deaktivierung eines Clusters. Es wird jedoch empfohlen,
set chassis cluster disable
die Knoten vom Cluster zu trennen. -
-
Verwenden Sie die folgenden Befehle, um den primären Knoten 0 zu konfigurieren. Der Knoten 1 ist nicht erreichbar, bis die Knotenkonfiguration festgelegt wird. Der Knoten 0 synchronisiert die Konfiguration automatisch über den Steuerungsport mit Knoten 1, und es ist nicht erforderlich, Knoten 1 explizit zu konfigurieren.
user@hostA# delete apply-groups re0 user@hostA# set apply-groups “${node}”
-
Konfigurieren Sie Redundanzgruppen für Chassis-Clustering. Jeder Knoten verfügt über Schnittstellen in einer Redundanzgruppe, in der Schnittstellen in aktiven Redundanzgruppen aktiv sind (in einer Redundanzgruppe können mehrere aktive Schnittstellen vorhanden sein). Redundanzgruppe 0 steuert die Steuerungsebene und Redundanzgruppe 1+ steuert die Datenebene und umfasst die Data Plane-Ports. In diesem Beispiel für den aktiven/passiven Modus ist jeweils nur ein Chassis-Clustermitglied aktiv, sodass Sie nur die Redundanzgruppen 0 und 1 definieren müssen. Neben Redundanzgruppen müssen Sie auch Folgendes definieren:
-
Redundante Ethernet-Gruppen: Konfigurieren Sie, wie viele redundante Ethernet-Schnittstellen (Member-Links) auf dem Gerät aktiv sind, damit das System die entsprechenden Ressourcen dafür zuweisen kann.
-
Priorität für Control Plane und Data Plane: Definieren Sie, welches Gerät die Priorität hat (für Chassis-Cluster wird die hohe Priorität bevorzugt) für die Steuerungsebene und welches Gerät für die Datenebene bevorzugt wird.
-
Im aktiv/passiven oder aktiv/aktiven Modus kann die Steuerungsebene (Redundanzgruppe 0) in einem Gehäuse aktiv sein, das sich von dem Gehäuse der Data Plane (Redundanzgruppe 1+ und Gruppen) unterscheidet. Für dieses Beispiel empfehlen wir jedoch, dass sowohl die Steuerungs- als auch die Datenebene auf demselben Chassis-Member aktiv sind. Wenn der Datenverkehr die Fabric-Verbindung passiert, um an einen anderen Mitgliedsknoten zu gehen, wird eine Latenz eingeführt (z Line-Mode-Datenverkehr).
-
Auf Geräten der SRX-Serie (SRX5000-Reihe) wird das IPsec-VPN in der Aktiv/Aktiv-Chassis-Cluster-Konfiguration (d. h. bei mehreren RG1+-Redundanzgruppen) im Z-Modus nicht unterstützt.
-
user@hostA# set chassis cluster reth-count 2 user@hostA# set chassis cluster redundancy-group 1 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 1 node 1 priority 1 user@hostA# set chassis cluster redundancy-group 0 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 0 node 1 priority 1
-
-
Konfigurieren Sie die Fabric (Daten-)Ports des Clusters, die für die Weitergabe von RTOs im aktiven/passiven Modus verwendet werden. Nutzen Sie für dieses Beispiel einen der Umsatzports. Definieren Sie zwei Fabric-Schnittstellen, eine in jedem Gehäuse, um sich miteinander zu verbinden.
Konfigurieren Sie die Datenschnittstellen auf der Plattform so, dass im Falle eines Data Plane-Failovers das andere Chassis-Cluster-Mitglied die Verbindung nahtlos übernehmen kann. Der nahtlose Übergang zu einem neuen aktiven Knoten erfolgt mit Data Plane-Failover. Im Fall eines Control Plane-Failovers werden alle Daemons auf dem neuen Knoten neu gestartet, sodass ein graceful Restart möglich ist, um die Nachbarschaft zu Peers zu vermeiden (ospf, bgp). Dies fördert einen nahtlosen Übergang zum neuen Knoten ohne Paketverlust.
Sie müssen die folgenden Elemente definieren:
-
Definieren Sie die Mitgliederinformationen der Mitgliederschnittstellen zur erneuten Schnittstelle.
-
Definieren Sie, welcher Redundanzgruppe die reth-Schnittstelle angehört. In diesem aktiv/passiven Beispiel ist es immer 1.
-
Definieren Sie reth-Schnittstelleninformationen, z. B. die IP-Adresse der Schnittstelle.
{primary:node0}[edit]
user@hostA# set interfaces fab0 fabric-options member-interfaces ge-3/2/8 user@hostA# set interfaces fab1 fabric-options member-interfaces ge-15/2/8 -
-
(Optional) Konfigurieren Sie das Gehäuse-Cluster-Verhalten im Falle eines Fehlers. Für das Services Gateway SRX5800 ist der Failover-Schwellenwert auf 255 festgelegt. Sie können die Gewichtung ändern, um die Auswirkungen auf das Chassis-Failover zu bestimmen. Sie müssen auch die Control Link Recovery konfigurieren. Bei der Wiederherstellung wird der sekundäre Knoten automatisch neu gestartet, wenn die Steuerungsverbindung fehlschlägt, und dann wieder online. Geben Sie diese Befehle auf Knoten 0 ein.
{primary:node0}[edit]
user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255 user@hostA# set chassis cluster control-link-recoveryMit diesem Schritt wird der Gehäuse-Cluster-Konfigurationsteil des Aktiv/Passiv-Modus für das Services Gateway SRX5800 abgeschlossen. Im Rest dieser Prozedur wird beschrieben, wie Sie die Zone, den virtuellen Router, das Routing, den Core-Switch EX8208 und den EDGE-Router MX240 konfigurieren, um das Bereitstellungsszenario abzuschließen.
-
(Optional) Konfigurieren und verbinden Sie die reth-Schnittstellen mit den entsprechenden Zonen und virtuellen Routern. In diesem Beispiel belassen Sie die Schnittstellen reth0 und reth1 im virtuellen Standardrouter inet.0, für den keine zusätzliche Konfiguration erforderlich ist.
{primary:node0}[edit]
user@hostA# set security zones security-zone untrust interfaces reth0.0 user@hostA# set security zones security-zone trust interfaces reth1.0 -
(Optional) Für diesen aktiv/passiven Modus verwenden Sie aufgrund der einfachen Netzwerkarchitektur statische Routen, um zu definieren, wie sie zu den anderen Netzwerkgeräten weitergeleitet werden sollen.
{primary:node0}[edit]
user@hostA# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.254 user@hostA# set routing-options static route 10.0.0.0/8 next-hop 10.2.2.254 -
(Optional) Für den Ethernet-Switch EX8208 bieten die folgenden Befehle nur einen Überblick über die entsprechende Konfiguration, die für dieses Beispiel des aktiv/passiven Modus für das Services Gateway SRX5800 gilt. vor allem VLANs, Routing und Schnittstellenkonfiguration.
{primary:node0}[edit]
user@hostA# set interfaces xe-1/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 user@hostA# set interfaces xe-2/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 user@hostA# set interfaces vlan unit 50 family inet address 10.2.2.254/24 user@hostA# set vlans SRX5800 vlan-id 50 user@hostA# set vlans SRX5800 l3-interface vlan.50 user@hostA# set routing-options static route 0.0.0.0/0 next-hop 10.2.2.1/24 -
(Optional) Für den Edge-Router MX240 bieten die folgenden Befehle nur einen Überblick über die entsprechende Konfiguration, die für diesen aktiv/passiven Modus für das Services Gateway SRX5800 gilt. insbesondere müssen Sie eine IRB-Schnittstelle innerhalb einer virtuellen Switch-Instanz auf dem Switch verwenden.
{primary:node0}[edit]
user@hostA# set interfaces xe-1/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching user@hostA# set interfaces xe-2/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching user@hostA# set interfaces irb unit 0 family inet address 10.1.1.254/24 user@hostA# set routing-options static route 10.0.0.0/8 next-hop 10.1.1.1 user@hostA# set routing-options static route 0.0.0.0/0 next-hop (upstream router) user@hostA# set vlans SRX5800 vlan-id X (could be set to “none”) user@hostA# set vlans SRX5800 domain-type bridge routing-interface irb.0 user@hostA# set vlans SRX5800 domain-type bridge interface xe-1/0/0 user@hostA# set vlans SRX5800 domain-type bridge interface xe-2/0/0
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Gehäuse-Cluster-Status
- Überprüfung von Gehäuse-Cluster-Schnittstellen
- Überprüfung von Chassis-Cluster-Statistiken
- Verifizieren von Chassis-Cluster-Steuerungsebenenstatistiken
- Überprüfung von Chassis Cluster Data Plane-Statistiken
- Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
- Fehlerbehebung mit Protokollen
Überprüfen des Gehäuse-Cluster-Status
Zweck
Überprüfen Sie den Chassis-Cluster-Status, den Failover-Status und die Redundanzgruppeninformationen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status
Befehl ein.
{primary:node0} show chassis cluster status Monitor Failure codes: CS Cold Sync monitoring FL Fabric Connection monitoring GR GRES monitoring HW Hardware monitoring IF Interface monitoring IP IP monitoring LB Loopback monitoring MB Mbuf monitoring NH Nexthop monitoring NP NPC monitoring SP SPU monitoring SM Schedule monitoring CF Config Sync monitoring RE Relinquish monitoring Cluster ID: 1 Node Priority Status Preempt Manual Monitor-failures Redundancy group: 0 , Failover count: 1 node0 254 primary no no None node1 1 secondary no no None Redundancy group: 1 , Failover count: 1 node0 254 primary no no None node1 1 secondary no no None
Überprüfung von Gehäuse-Cluster-Schnittstellen
Zweck
Überprüfen der Informationen zu Gehäuse-Clusterschnittstellen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster interfaces
Befehl ein.
{primary:node0} user@host> show chassis cluster interfaces Control link status: Up Control interfaces: Index Interface Monitored-Status Internal-SA 0 em0 Up Disabled 1 em1 Down Disabled Fabric link status: Up Fabric interfaces: Name Child-interface Status (Physical/Monitored) fab0 ge-3/2/8 Up / Up fab0 fab1 ge-15/2/8 Up / Up fab1 Redundant-ethernet Information: Name Status Redundancy-group reth0 Down Not configured reth1 Down Not configured Redundant-pseudo-interface Information: Name Status Redundancy-group lo0 Up 0
Überprüfung von Chassis-Cluster-Statistiken
Zweck
Verifizieren Sie Informationen zu Chassis-Cluster-Services und Control Link-Statistiken (gesendete und empfangene Herzschläge), Fabric-Link-Statistiken (gesendete und empfangene Sondierungen) und die Anzahl der für Services gesendeten und empfangenen RTOs.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster statistics Control link statistics: Control link 0: Heartbeat packets sent: 16275 Heartbeat packets received: 16072 Heartbeat packet errors: 0 Control link 1: Heartbeat packets sent: 0 Heartbeat packets received: 0 Heartbeat packet errors: 0 Fabric link statistics: Child link 0 Probes sent: 30690 Probes received: 9390 Child link 1 Probes sent: 0 Probes received: 0 Services Synchronized: Service name RTOs sent RTOs received Translation context 0 0 Incoming NAT 0 0 Resource manager 0 0 DS-LITE create 0 0 Session create 0 0 IPv6 session create 0 0 Session close 0 0 IPv6 session close 0 0 Session change 0 0 IPv6 session change 0 0 ALG Support Library 0 0 Gate create 0 0 Session ageout refresh requests 0 0 IPv6 session ageout refresh requests 0 0 Session ageout refresh replies 0 0 IPv6 session ageout refresh replies 0 0 IPSec VPN 0 0 Firewall user authentication 0 0 MGCP ALG 0 0 H323 ALG 0 0 SIP ALG 0 0 SCCP ALG 0 0 PPTP ALG 0 0 JSF PPTP ALG 0 0 RPC ALG 0 0 RTSP ALG 0 0 RAS ALG 0 0 MAC address learning 0 0 GPRS GTP 0 0 GPRS SCTP 0 0 GPRS FRAMEWORK 0 0 JSF RTSP ALG 0 0 JSF SUNRPC MAP 0 0 JSF MSRPC MAP 0 0 DS-LITE delete 0 0 JSF SLB 0 0 APPID 0 0 JSF MGCP MAP 0 0 JSF H323 ALG 0 0 JSF RAS ALG 0 0 JSF SCCP MAP 0 0 JSF SIP MAP 0 0 PST_NAT_CREATE 0 0 PST_NAT_CLOSE 0 0 PST_NAT_UPDATE 0 0 JSF TCP STACK 0 0 JSF IKE ALG 0 0
Verifizieren von Chassis-Cluster-Steuerungsebenenstatistiken
Zweck
Verifizieren Sie Informationen zu Chassis-Cluster-Steuerungsebenenstatistiken (gesendete und empfangene Herzschläge) und die Fabric-Link-Statistik (gesendete und empfangene Sondierungen).
Aktion
Geben Sie im Betriebsmodus den show chassis cluster control-plane statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster control-plane statistics Control link statistics: Control link 0: Heartbeat packets sent: 16315 Heartbeat packets received: 16113 Heartbeat packet errors: 0 Control link 1: Heartbeat packets sent: 0 Heartbeat packets received: 0 Heartbeat packet errors: 0 Fabric link statistics: Child link 0 Probes sent: 30772 Probes received: 9472 Child link 1 Probes sent: 0 Probes received: 0
Überprüfung von Chassis Cluster Data Plane-Statistiken
Zweck
Überprüfen Sie Informationen über die Anzahl der rtOs, die für Services gesendet und empfangen wurden.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster data-plane statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster data-plane statistics Services Synchronized: Service name RTOs sent RTOs received Translation context 0 0 Incoming NAT 0 0 Resource manager 0 0 DS-LITE create 0 0 Session create 0 0 IPv6 session create 0 0 Session close 0 0 IPv6 session close 0 0 Session change 0 0 IPv6 session change 0 0 ALG Support Library 0 0 Gate create 0 0 Session ageout refresh requests 0 0 IPv6 session ageout refresh requests 0 0 Session ageout refresh replies 0 0 IPv6 session ageout refresh replies 0 0 IPSec VPN 0 0 Firewall user authentication 0 0 MGCP ALG 0 0 H323 ALG 0 0 SIP ALG 0 0 SCCP ALG 0 0 PPTP ALG 0 0 JSF PPTP ALG 0 0 RPC ALG 0 0 RTSP ALG 0 0 RAS ALG 0 0 MAC address learning 0 0 GPRS GTP 0 0 GPRS SCTP 0 0 GPRS FRAMEWORK 0 0 JSF RTSP ALG 0 0 JSF SUNRPC MAP 0 0 JSF MSRPC MAP 0 0 DS-LITE delete 0 0 JSF SLB 0 0 APPID 0 0 JSF MGCP MAP 0 0 JSF H323 ALG 0 0 JSF RAS ALG 0 0 JSF SCCP MAP 0 0 JSF SIP MAP 0 0 PST_NAT_CREATE 0 0 PST_NAT_CLOSE 0 0 PST_NAT_UPDATE 0 0 JSF TCP STACK 0 0 JSF IKE ALG 0 0
Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
Zweck
Überprüfen Sie den Status und die Priorität beider Knoten in einem Cluster und erfahren Sie, ob der primäre Knoten vorab oder ein manuelles Failover erfolgt ist.
Aktion
Geben Sie im Betriebsmodus den chassis cluster status redundancy-group
Befehl ein.
{primary:node0} user@host> show chassis cluster status redundancy-group 1 Monitor Failure codes: CS Cold Sync monitoring FL Fabric Connection monitoring GR GRES monitoring HW Hardware monitoring IF Interface monitoring IP IP monitoring LB Loopback monitoring MB Mbuf monitoring NH Nexthop monitoring NP NPC monitoring SP SPU monitoring SM Schedule monitoring CF Config Sync monitoring RE Relinquish monitoring Cluster ID: 1 Node Priority Status Preempt Manual Monitor-failures Redundancy group: 1 , Failover count: 1 node0 254 primary no no None node1 1 secondary no no None
Fehlerbehebung mit Protokollen
Zweck
Verwenden Sie diese Protokolle, um probleme mit dem Gehäuse-Cluster zu identifizieren. Sie müssen diese Protokolle auf beiden Knoten ausführen.
Aktion
Geben Sie im Betriebsmodus diese show log
Befehle ein.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Beispiel: Konfigurieren eines Aktiv/Passiven Chassis-Clusterpaars (SRX1500)
In diesem Beispiel wird gezeigt, wie Sie aktiv/passiv Gehäuse-Clustering für SRX1500-Geräte konfigurieren.
Anforderungen
Bevor Sie beginnen:
Verbinden Sie ein Gerätepaar physisch miteinander, um sicherzustellen, dass es sich um dieselben Modelle handelt.
Erstellen Sie eine Fabric-Verbindung, indem Sie eine Gigabit-Ethernet-Schnittstelle auf einem Gerät mit einer anderen Gigabit-Ethernet-Schnittstelle auf dem anderen Gerät verbinden.
Erstellen Sie eine Steuerungsverbindung, indem Sie den Steuerungsport der beiden SRX1500-Geräte verbinden.
Stellen Sie über den Konsolenport eine Verbindung zu einem der Geräte her. (Dies ist der Knoten, der den Cluster bildet.) und legen die Cluster-ID und die Knotennummer fest.
user@host> set chassis cluster cluster-id 1 node 0 reboot
Verbinden Sie sich über den Konsolenport mit dem anderen Gerät und legen Sie die Cluster-ID und Die Knotennummer fest.
user@host> set chassis cluster cluster-id 1 node 1 reboot
Übersicht
In diesem Beispiel wird ein einzelnes Gerät im Cluster verwendet, um den gesamten Datenverkehr zu leiten, und das andere Gerät wird nur im Falle eines Fehlers verwendet. (Siehe Abbildung 3.) Wenn ein Fehler auftritt, wird das Backup-Gerät primär und steuert die gesamte Weiterleitung.
Sie können einen aktiv/passiven Chassis-Cluster erstellen, indem Sie redundante Ethernet-Schnittstellen (Reths) konfigurieren, die alle derselben Redundanzgruppe zugewiesen sind. Diese Konfiguration minimiert den Datenverkehr über die Fabric-Verbindung, da nur ein Knoten im Cluster den Datenverkehr zu einer bestimmten Zeit weiterleite.
In diesem Beispiel konfigurieren Sie die Gruppe (wenden die Konfiguration mit dem Befehl an) und die apply-groups
Gehäuse-Cluster-Informationen. Dann konfigurieren Sie Sicherheitszonen und Sicherheitsrichtlinien. Siehe Tabelle 1 bis Tabelle 4.
Feature |
Namen |
Konfigurationsparameter |
---|---|---|
Gruppen |
node0 |
|
|
node1 |
|
Feature |
Namen |
Konfigurationsparameter |
---|---|---|
Fabric-Verbindungen |
fab0 |
Schnittstelle: ge-0/0/1 |
|
fab1 |
Schnittstelle: ge-7/0/1 |
Herzschlagintervall |
– |
1000 |
Herzschlag-Schwellenwert |
– |
3 |
Redundanzgruppe |
0 |
|
|
1 |
|
|
|
Schnittstellenüberwachung
|
Anzahl redundanter Ethernet-Schnittstellen |
– |
2 |
Schnittstellen |
ge-0/0/4 |
Redundanter übergeordneter Anbieter: reth0 |
ge-7/0/4 |
Redundanter übergeordneter Anbieter: reth0 |
|
ge-0/0/5 |
Redundanter übergeordneter Anbieter: reth1 |
|
ge-7/0/5 |
Redundanter übergeordneter Anbieter: reth1 |
|
reth0 |
Redundanzgruppe: 1 |
|
|
||
reth1 |
Redundanzgruppe: 1 |
|
|
Namen |
Konfigurationsparameter |
---|---|
Vertrauen |
Die reth1.0-Schnittstelle ist an diese Zone gebunden. |
nicht vertrauenswürdig |
Die reth0.0-Schnittstelle ist an diese Zone gebunden. |
Zweck |
Namen |
Konfigurationsparameter |
---|---|---|
Diese Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur nicht vertrauenswürdigen Zone. |
JEGLICHE |
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
[edit] set groups node0 system host-name srx1500-A set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24 set groups node1 system host-name srx1500-B set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24 set apply-groups “${node}” set interfaces fab0 fabric-options member-interfaces ge-0/0/1 set interfaces fab1 fabric-options member-interfaces ge-7/0/1 set chassis cluster heartbeat-interval 1000 set chassis cluster heartbeat-threshold 3 set chassis cluster redundancy-group 0 node 0 priority 100 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 100 set chassis cluster redundancy-group 1 node 1 priority 1 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255 set chassis cluster reth-count 2 set interfaces ge-0/0/5 gigether-options redundant-parent reth1 set interfaces ge-7/0/5 gigether-options redundant-parent reth1 set interfaces ge-0/0/4 gigether-options redundant-parent reth0 set interfaces ge-7/0/4 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 198.51.100.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 203.0.113.233/24 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone trust interfaces reth0.0 set security policies from-zone trust to-zone untrust policy ANY match source-address any set security policies from-zone trust to-zone untrust policy ANY match destination-address any set security policies from-zone trust to-zone untrust policy ANY match application any set security policies from-zone trust to-zone untrust policy ANY then permit
Schritt-für-Schritt-Verfahren
So konfigurieren Sie einen aktiv/passiven Gehäuse-Cluster:
Konfigurieren Sie die Verwaltungsschnittstelle.
{primary:node0}[edit] user@host# set groups node0 system host-name srx1500-A user@host# set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24 user@host# set groups node1 system host-name srx1500-B user@host# set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24 user@host# set apply-groups “${node}”
Konfigurieren Sie die Fabric-Schnittstelle.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1
Konfigurieren Sie die Herzschlageinstellungen.
{primary:node0}[edit] user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3
Konfigurieren sie Redundanzgruppen.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 100 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 100 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255
Konfigurieren Sie redundante Ethernet-Schnittstellen.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set interfaces ge-0/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-7/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-0/0/4 gigether-options redundant-parent reth0 user@host# set interfaces ge-7/0/4 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 203.0.113.233/24
Konfigurieren Sie Sicherheitszonen.
{primary:node0}[edit] user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust interfaces reth0.0
Konfigurieren Sie Sicherheitsrichtlinien.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone untrust policy ANY then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show configuration
Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Aus Gründen der Kürze enthält diese show
Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Jede andere Konfiguration auf dem System wurde durch Ellipsen ersetzt (...).
user@host> show configuration version x.xx.x; groups { node0 { system { host-name srx1500-A; } interfaces { fxp0 { unit 0 { family inet { address 192.0.2.110/24; } } } } } node1 { system { host-name srx1500-B; interfaces { fxp0 { unit 0 { family inet { address 192.0.2.110/24; } } } } } } apply-groups "${node}"; chassis { cluster { reth-count 2; heartbeat-interval 1000; heartbeat-threshold 3; redundancy-group 0 { node 0 priority 100; node 1 priority 1; } redundancy-group 1 { node 0 priority 100; node 1 priority 1; interface-monitor { ge–0/0/4 weight 255; ge–7/0/4 weight 255; ge–0/0/5 weight 255; ge–7/0/5 weight 255; } } } } interfaces { ge–0/0/4 { gigether–options { redundant–parent reth0; } } ge–7/0/4{ gigether–options { redundant–parent reth0; } } ge–0/0/5 { gigether–options { redundant–parent reth1; } } ge–7/0/5 { gigether–options { redundant–parent reth1; } } fab0 { fabric–options { member–interfaces { ge–0/0/1; } } } fab1 { fabric–options { member–interfaces { ge–7/0/1; } } } reth0 { redundant–ether–options { redundancy–group 1; } unit 0 { family inet { address 198.51.100.1/24; } } } reth1 { redundant–ether–options { redundancy–group 1; } unit 0 { family inet { address 203.0.113.233/24; } } } } ... security { zones { security–zone untrust { interfaces { reth1.0; } } security–zone trust { interfaces { reth0.0; } } } policies { from-zone trust to-zone untrust { policy ANY { match { source-address any; destination-address any; application any; } then { permit; } } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Gehäuse-Cluster-Status
- Überprüfung von Gehäuse-Cluster-Schnittstellen
- Überprüfung von Chassis-Cluster-Statistiken
- Verifizieren von Chassis-Cluster-Steuerungsebenenstatistiken
- Überprüfung von Chassis Cluster Data Plane-Statistiken
- Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
- Fehlerbehebung mit Protokollen
Überprüfen des Gehäuse-Cluster-Status
Zweck
Überprüfen Sie den Chassis-Cluster-Status, den Failover-Status und die Redundanzgruppeninformationen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status
Befehl ein.
{primary:node0} user@host> show chassis cluster status Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 100 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 100 primary no no node1 1 secondary no no
Überprüfung von Gehäuse-Cluster-Schnittstellen
Zweck
Überprüfen der Informationen zu Gehäuse-Clusterschnittstellen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster interfaces
Befehl ein.
{primary:node0} user@host> show chassis cluster interfaces Control link status: Up Control interfaces: Index Interface Monitored-Status Security 0 em0 Up Disabled 1 em1 Down Disabled Fabric link status: Up Fabric interfaces: Name Child-interface Status Security fab0 ge-0/0/1 Up Disabled fab0 fab1 ge-7/0/1 Up Disabled fab1 Redundant-ethernet Information: Name Status Redundancy-group reth0 Up 1 reth1 Up 1 Redundant-pseudo-interface Information: Name Status Redundancy-group lo0 Up 1 Interface Monitoring: Interface Weight Status Redundancy-group ge-0/0/4 255 Up 1 ge-7/0/4 255 Up 1 ge-0/0/5 255 Up 1 ge-7/0/5 255 Up 1
Überprüfung von Chassis-Cluster-Statistiken
Zweck
Überprüfen Sie Informationen über die Statistiken der verschiedenen Objekte, die synchronisiert werden, die Fabric- und Steuerungsschnittstelle hallos und den Status der überwachten Schnittstellen im Cluster.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster statistics Control link statistics: Control link 0: Heartbeat packets sent: 2276 Heartbeat packets received: 2280 Heartbeat packets errors: 0 Fabric link statistics: Child link 0 Probes sent: 2272 Probes received: 597 Services Synchronized: Service name RTOs sent RTOs received Translation context 0 0 Incoming NAT 0 0 Resource manager 6 0 Session create 161 0 Session close 148 0 Session change 0 0 Gate create 0 0 Session ageout refresh requests 0 0 Session ageout refresh replies 0 0 IPSec VPN 0 0 Firewall user authentication 0 0 MGCP ALG 0 0 H323 ALG 0 0 SIP ALG 0 0 SCCP ALG 0 0 PPTP ALG 0 0 RPC ALG 0 0 RTSP ALG 0 0 RAS ALG 0 0 MAC address learning 0 0 GPRS GTP 0 0
Verifizieren von Chassis-Cluster-Steuerungsebenenstatistiken
Zweck
Verifizieren Sie Informationen zu Chassis-Cluster-Steuerungsebenenstatistiken (gesendete und empfangene Herzschläge) und die Fabric-Link-Statistik (gesendete und empfangene Sondierungen).
Aktion
Geben Sie im Betriebsmodus den show chassis cluster control-plane statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster control-plane statistics Control link statistics: Control link 0: Heartbeat packets sent: 258689 Heartbeat packets received: 258684 Heartbeat packets errors: 0 Fabric link statistics: Child link 0 Probes sent: 258681 Probes received: 258681
Überprüfung von Chassis Cluster Data Plane-Statistiken
Zweck
Überprüfen Sie Informationen über die Anzahl der rtOs, die für Services gesendet und empfangen wurden.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster data-plane statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster data-plane statistics Services Synchronized: Service name RTOs sent RTOs received Translation context 0 0 Incoming NAT 0 0 Resource manager 6 0 Session create 161 0 Session close 148 0 Session change 0 0 Gate create 0 0 Session ageout refresh requests 0 0 Session ageout refresh replies 0 0 IPSec VPN 0 0 Firewall user authentication 0 0 MGCP ALG 0 0 H323 ALG 0 0 SIP ALG 0 0 SCCP ALG 0 0 PPTP ALG 0 0 RPC ALG 0 0 RTSP ALG 0 0 RAS ALG 0 0 MAC address learning 0 0 GPRS GTP 0 0
Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
Zweck
Überprüfen Sie den Status und die Priorität beider Knoten in einem Cluster und erfahren Sie, ob der primäre Knoten vorab oder ein manuelles Failover erfolgt ist.
Aktion
Geben Sie im Betriebsmodus den chassis cluster status redundancy-group
Befehl ein.
{primary:node0} user@host> show chassis cluster status redundancy-group 1 Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy-Group: 1, Failover count: 1 node0 100 primary no no node1 1 secondary no no
Fehlerbehebung mit Protokollen
Zweck
Verwenden Sie diese Protokolle, um probleme mit dem Gehäuse-Cluster zu identifizieren. Sie müssen diese Protokolle auf beiden Knoten ausführen.
Aktion
Geben Sie im Betriebsmodus diese show
Befehle ein.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Beispiel: Konfigurieren eines Aktiv/Passiven Chassis-Clusterpaars (J-Web)
Aktivieren Sie Clustering. Siehe Schritt 1 im Beispiel: Konfigurieren eines Aktiv/Passiv Chassis Cluster Pair (CLI).
Konfigurieren Sie die Verwaltungsschnittstelle. Siehe Schritt 2 im Beispiel: Konfigurieren eines Aktiv/Passiv Chassis Cluster Pair (CLI).
Konfigurieren Sie die Fabric-Schnittstelle. Siehe Schritt 3 im Beispiel: Konfigurieren eines Aktiv/Passiv Chassis Cluster Pair (CLI).
Konfigurieren Sie die Redundanzgruppen.
Wählen Sie aus
Configure>Chassis Cluster
.Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Anzahl redundanter Ätherschnittstellen:
2
Herzschlagintervall:
1000
Herzschlag-Schwellenwert:
3
Knoten:
0
Gruppennummer:
0
Prioritäten:
100
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Knoten:
0
Gruppennummer:
1
Prioritäten:
1
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Knoten:
1
Gruppennummer:
0
Prioritäten:
100
Konfigurieren Sie redundante Ethernet-Schnittstellen.
Wählen Sie aus
Configure>Chassis Cluster
.Wählen Sie aus
ge-0/0/4
.Geben Sie im Feld Redundant Parent die Eingabe ein
reth1
.Klicken Sie auf
Apply
.Wählen Sie aus
ge-7/0/4
.Geben Sie im Feld Redundant Parent die Eingabe ein
reth1
.Klicken Sie auf
Apply
.Wählen Sie aus
ge-0/0/5
.Geben Sie im Feld Redundant Parent die Eingabe ein
reth0
.Klicken Sie auf
Apply
.Wählen Sie aus
ge-7/0/5
.Geben Sie im Feld Redundant Parent die Eingabe ein
reth0
.Klicken Sie auf
Apply
.Siehe Schritt 5 im Beispiel: Konfigurieren eines Aktiv/Passiv Chassis Cluster Pair (CLI) für die letzten vier Konfigurationseinstellungen.
Konfigurieren Sie die Sicherheitszonen. Siehe Schritt 6 im Beispiel: Konfigurieren eines Aktiv/Passiv Chassis Cluster Pair (CLI).
Konfigurieren Sie die Sicherheitsrichtlinien. Siehe Schritt 7 im Beispiel: Konfigurieren eines Aktiv/Passiv Chassis Cluster Pair (CLI).
Klicken Sie hier
OK
, um Ihre Konfiguration zu überprüfen und sie als Kandidatenkonfiguration zu speichern, und klicken Sie dann aufCommit Options
>Commit
.
Siehe auch
Grundlegendes zur Bereitstellung von Aktiv/Passive Chassis-Clustern mit einem IPsec-Tunnel
In diesem Fall endet ein einzelnes Gerät im Cluster in einem IPsec-Tunnel und wird verwendet, um den gesamten Datenverkehr zu verarbeiten, während das andere Gerät nur im Falle eines Ausfalls verwendet wird (siehe Abbildung 4). Wenn ein Fehler auftritt, wird das Backup-Gerät primär und steuert die gesamte Weiterleitung.
Ein Aktiv/ Passiv-Chassis-Cluster kann durch die Verwendung redundanter Ethernet-Schnittstellen (reths) erreicht werden, die alle derselben Redundanzgruppe zugewiesen sind. Wenn eine der Schnittstellen in einer aktiven Gruppe in einem Knoten ausfällt, wird die Gruppe für inaktiv erklärt, und alle Schnittstellen in der Gruppe schlagen mit dem anderen Knoten über.
Diese Konfiguration bietet eine Möglichkeit für einen Site-to-Site-IPsec-Tunnel, in einem aktiv/passiven Cluster zu enden, in dem eine redundante Ethernet-Schnittstelle als Tunnelendpunkt verwendet wird. Im Falle eines Ausfalls wird die redundante Ethernet-Schnittstelle im Backup-Gerät der SRX-Serie aktiv, sodass der Tunnel die Endgeräte so ändert, dass sie im neuen aktiven Gerät der SRX-Serie enden. Da Tunnelschlüssel und Sitzungsinformationen zwischen den Mitgliedern des Chassis-Clusters synchronisiert werden, muss der Tunnel bei einem Failover nicht neu verhandelt und alle eingerichteten Sitzungen gepflegt werden.
Im Falle eines Ausfalls der RG0 (Routing-Engine) müssen die Routing-Protokolle auf dem neuen Primären Knoten neu festgelegt werden. Wenn die VPN-Überwachung oder Dead-Peer-Erkennung konfiguriert ist und der Timer abläuft, bevor das Routing für eine neue RG0 Primary neu konfiguriert wird, wird der VPN-Tunnel heruntergefahren und neu verhandelt.
Dynamische Tunnel können nicht über verschiedene SPCs hinweg lastausgleichen.
Siehe auch
Beispiel: Konfigurieren eines Aktiven/Passiven Chassis-Clusterpaars mit einem IPsec-Tunnel
Dieses Beispiel zeigt, wie Sie aktiv/passiv Gehäuse-Clustering mit einem IPsec-Tunnel für Geräte der SRX-Serie konfigurieren.
Anforderungen
Bevor Sie beginnen:
Erhalten Sie zwei SRX5000-Modelle mit identischen Hardwarekonfigurationen, ein SRX1500-Gerät und vier Ethernet-Switches der EX-Serie.
Verbinden Sie die beiden Geräte physisch (Back-to-Back für die Fabric und Kontroll-Ports) und stellen Sie sicher, dass es sich um dieselben Modelle handelt. Sie können sowohl die Fabric- als auch die Steuerungsports der SRX5000-Reihe konfigurieren.
Setzen Sie die beiden Geräte auf den Cluster-Modus, und starten Sie die Geräte neu. Sie müssen beispielsweise die folgenden Betriebsmodusbefehle auf beiden Geräten eingeben:
Auf Knoten 0:
user@host> set chassis cluster cluster-id 1 node 0 reboot
Auf Knoten 1:
user@host> set chassis cluster cluster-id 1 node 1 reboot
Die Cluster-ID ist auf beiden Geräten gleich, die Knoten-ID muss jedoch anders sein, da ein Gerät Knoten 0 und das andere Gerät Knoten 1 ist. Der Bereich für die Cluster-ID beträgt 1 bis 255. Das Festlegen einer Cluster-ID auf 0 entspricht der Deaktivierung eines Clusters.
Cluster-ID größer als 15 kann nur festgelegt werden, wenn die Fabric- und Steuerungslink-Schnittstellen Back-to-Back verbunden sind.
Erhalten Sie zwei SRX5000-Modelle mit identischen Hardwarekonfigurationen, einen SRX1500-Edge-Router und vier Ethernet-Switches der EX-Serie.
Verbinden Sie die beiden Geräte physisch (Back-to-Back für die Fabric und Kontroll-Ports) und stellen Sie sicher, dass es sich um dieselben Modelle handelt. Sie können sowohl die Fabric- als auch die Steuerungsports der SRX5000-Reihe konfigurieren.
Von diesem Punkt an wird die Konfiguration des Clusters zwischen den Knotenmitgliedern synchronisiert, und die beiden separaten Geräte fungieren als ein Gerät. Mitgliederspezifische Konfigurationen (z. B. die IP-Adresse des Management-Ports jedes Mitglieds) werden mithilfe von Konfigurationsgruppen eingegeben.
Übersicht
In diesem Beispiel endet ein einzelnes Gerät im Cluster in einem IPsec-Tunnel und wird zur Verarbeitung des gesamten Datenverkehrs verwendet, und das andere Gerät wird nur im Falle eines Ausfalls verwendet. (Siehe Abbildung 5.) Wenn ein Fehler auftritt, wird das Backup-Gerät primär und steuert die gesamte Weiterleitung.
In diesem Beispiel konfigurieren Sie die Gruppe (wenden die Konfiguration mit dem Befehl an) und die apply-groups
Gehäuse-Cluster-Informationen. Dann konfigurieren Sie IKE, IPsec, statische Route, Sicherheitszone und Sicherheitsrichtlinienparameter. Siehe Tabelle 5 bis Tabelle 11.
Feature |
Namen |
Konfigurationsparameter |
---|---|---|
Gruppen |
node0 |
|
|
node1 |
|
Feature |
Namen |
Konfigurationsparameter |
---|---|---|
Fabric-Verbindungen |
fab0 |
Schnittstelle: xe-5/3/0 |
|
fab1 |
Schnittstelle: xe-17/3/0 |
Anzahl redundanter Ethernet-Schnittstellen |
– |
2 |
Herzschlagintervall |
– |
1000 |
Herzschlag-Schwellenwert |
– |
3 |
Redundanzgruppe |
0 |
|
|
1 |
|
|
|
Schnittstellenüberwachung
|
Schnittstellen |
xe-5/1/0 |
Redundanter übergeordneter Anbieter: reth1 |
|
xe-5/1/0 |
Redundanter übergeordneter Anbieter: reth1 |
|
xe-5/0/0 |
Redundanter übergeordneter Anbieter: reth0 |
|
xe-17/0/0/0 |
Redundanter übergeordneter Anbieter: reth0 |
|
reth0 |
Redundanzgruppe: 1 |
|
|
|
|
reth1 |
Redundanzgruppe: 1 |
|
|
|
|
st0 |
|
|
|
|
Feature |
Namen |
Konfigurationsparameter |
---|---|---|
Vorschlag |
Vorschlagssatz-Standard |
- |
Politik |
Vorinstallierten |
|
Gateway |
SRX1500-1 |
Hinweis:
Im SRX-Chassis-Clustering werden nur reth- und lo0-Schnittstellen für die externe IKE-Schnittstellenkonfiguration unterstützt. Andere Schnittstellentypen können konfiguriert werden, aber IPsec-VPN funktioniert möglicherweise nicht. Wenn eine logische Lo0-Schnittstelle als externe Schnittstelle des IKE-Gateways verwendet wird, kann sie nicht mit RG0 konfiguriert werden. |
Feature |
Namen |
Konfigurationsparameter |
---|---|---|
Vorschlag |
Vorschlagssatz-Standard |
– |
Politik |
Std |
– |
VPN |
SRX1500-1 |
Hinweis:
Der manuelle VPN-Name und der Name des Site-to-Site-Gateways können nicht identisch sein. |
Eine sichere Tunnelschnittstelle (st0) von st0.16000 bis st0.16385 ist für Multinode-Hochverfügbarkeit und für die Steuerungslink-Verschlüsselung mit hoher Verfügbarkeit im Chassis-Cluster reserviert. Diese Schnittstellen sind keine vom Benutzer konfigurierbaren Schnittstellen. Sie können nur Schnittstellen von st0.0 bis st0.15999 verwenden.
Namen |
Konfigurationsparameter |
---|---|
0.0.0.0/0 |
Nächster Hop: 10.2.1.1 |
10.3.0.0/16 |
Nächster Hop: 10.10.1.2 |
Namen |
Konfigurationsparameter |
---|---|
Vertrauen |
|
nicht vertrauenswürdig |
|
Vpn |
|
Zweck |
Namen |
Konfigurationsparameter |
---|---|---|
Diese Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur nicht vertrauenswürdigen Zone. |
JEGLICHE |
|
Diese Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur VPN-Zone. |
vpn-any |
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
{primary:node0}[edit] set chassis cluster control-ports fpc 2 port 0 set chassis cluster control-ports fpc 14 port 0 set groups node0 system host-name SRX5800-1 set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24 set groups node1 system host-name SRX5800-2 set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24 set apply-groups “${node}” set interfaces fab0 fabric-options member-interfaces xe-5/3/0 set interfaces fab1 fabric-options member-interfaces xe-17/3/0 set chassis cluster reth-count 2 set chassis cluster heartbeat-interval 1000 set chassis cluster heartbeat-threshold 3 set chassis cluster node 0 set chassis cluster node 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 254 set chassis cluster redundancy-group 1 node 1 priority 1 set chassis cluster redundancy-group 1 preempt set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255 set interfaces xe-5/1/0 gigether-options redundant-parent reth1 set interfaces xe-17/1/0 gigether-options redundant-parent reth1 set interfaces xe-5/0/0 gigether-options redundant-parent reth0 set interfaces xe-17/0/0 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 10.1.1.60/16 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.2.1.60/16 set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30 set security ike policy preShared mode main set security ike policy preShared proposal-set standard set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password set security ike gateway SRX1500-1 ike-policy preShared set security ike gateway SRX1500-1 address 10.1.1.90 set security ike gateway SRX1500-1 external-interface reth0.0 set security ipsec policy std proposal-set standard set security ipsec vpn SRX1500-1 bind-interface st0.0 set security ipsec vpn SRX1500-1 vpn-monitor optimized set security ipsec vpn SRX1500-1 ike gateway SRX1500-1 set security ipsec vpn SRX1500-1 ike ipsec-policy std set security ipsec vpn SRX1500-1 establish-tunnels immediately set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1 set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces reth0.0 set security zones security-zone vpn host-inbound-traffic system-services all 144 set security zones security-zone vpn host-inbound-traffic protocols all set security zones security-zone vpn interfaces st0.0 set security policies from-zone trust to-zone untrust policy ANY match source-address any set security policies from-zone trust to-zone untrust policy ANY match destination-address any set security policies from-zone trust to-zone untrust policy ANY match application any set security policies from-zone trust to-zone vpn policy vpn-any then permit
Schritt-für-Schritt-Verfahren
So konfigurieren Sie ein Aktiv/Passiv-Chassis-Clusterpaar mit einem IPsec-Tunnel:
Konfigurieren Sie Steuerungsports.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 2 port 0 user@host# set chassis cluster control-ports fpc 14 port 0
Konfigurieren Sie die Verwaltungsschnittstelle.
{primary:node0}[edit] user@host# set groups node0 system host-name SRX5800-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24 user@host#set groups node1 system host-name SRX5800-2 user@host# set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24 user@host# set apply-groups “${node}”
Konfigurieren Sie die Fabric-Schnittstelle.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces xe-5/3/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-17/3/0
Konfigurieren sie Redundanzgruppen.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3 user@host# set chassis cluster node 0 user@host# set chassis cluster node 1 user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 254 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 preempt user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255
Konfigurieren Sie redundante Ethernet-Schnittstellen.
{primary:node0}[edit] user@host# set interfaces xe-5/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-17/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-5/0/0 gigether-options redundant-parent reth0 user@host# set interfaces xe-17/0/0 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 10.1.1.60/16 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 10.2.1.60/16
Konfigurieren Sie IPsec-Parameter.
{primary:node0}[edit] user@host# set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30 user@host# set security ike policy preShared mode main user@host# set security ike policy preShared proposal-set standard user@host# set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password user@host# set security ike gateway SRX1500-1 ike-policy preShared user@host# set security ike gateway SRX1500-1 address 10.1.1.90 user@host# set security ike gateway SRX1500-1 external-interface reth0.0 user@host# set security ipsec policy std proposal-set standard user@host# set security ipsec vpn SRX1500-1 bind-interface st0.0 user@host# set security ipsec vpn SRX1500-1 vpn-monitor optimized user@host# set security ipsec vpn SRX1500-1 ike gateway SRX1500-1 user@host# set security ipsec vpn SRX1500-1 ike ipsec-policy std user@host# set security ipsec vpn SRX1500-1 establish-tunnels immediately
Konfigurieren Sie statische Routen.
{primary:node0}[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1 user@host# set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2
Konfigurieren Sie Sicherheitszonen.
{primary:node0}[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces reth0.0 user@host# set security zones security-zone vpn host-inbound-traffic system-services all user@host# set security zones security-zone vpn host-inbound-traffic protocols all user@host# set security zones security-zone vpn interfaces st0.0
Konfigurieren Sie Sicherheitsrichtlinien.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone vpn policy vpn-any then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Betriebsmodus, indem Sie den show configuration
Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Aus Gründen der Kürze enthält diese show
Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Jede andere Konfiguration auf dem System wurde durch Ellipsen ersetzt (...).
user@host> show configuration version x.xx.x; groups { node0 { system { host-name SRX58001; } interfaces { fxp0 { unit 0 { family inet { address 172.19.100.50/24; } } } } } node1 { system { host-name SRX58002; } interfaces { fxp0 { unit 0 { family inet { address 172.19.100.51/24; } } } } } } apply-groups "${node}"; system { root-authentication { encrypted-password "$ABC123"; } } chassis { cluster { reth-count 2; heartbeat-interval 1000; heartbeat-threshold 3; control-ports { fpc 2 port 0; fpc 14 port 0; } redundancy-group 0 { node 0 priority 254; node 1 priority 1; } redundancy-group 1 { node 0 priority 254; node 1 priority 1; preempt; interface-monitor { xe–6/0/0 weight 255; xe–6/1/0 weight 255; xe–18/0/0 weight 255; xe–18/1/0 weight 255; } } } } interfaces { xe–5/0/0 { gigether–options { redundant–parent reth0; } } xe–5/1/0 { gigether–options { redundant–parent reth1; } } xe–17/0/0 { gigether–options { redundant–parent reth0; } } xe–17/1/0 { gigether–options { redundant–parent reth1; } } fab0 { fabric–options { member–interfaces { xe–5/3/0; } } } fab1 { fabric–options { member–interfaces { xe–17/3/0; } } } reth0 { redundant–ether–options { redundancy–group 1; } unit 0 { family inet { address 10.1.1.60/16; } } } reth1 { redundant–ether–options { redundancy–group 1; } unit 0 { family inet { address 10.2.1.60/16; } } } st0 { unit 0 { multipoint; family inet { address 5.4.3.2/32; } } } } routing–options { static { route 0.0.0.0/0 { next–hop 10.2.1.1; } route 10.3.0.0/16 { next–hop 10.10.1.2; } } } security { zones { security–zone trust { host–inbound–traffic { system–services { all; } } interfaces { reth0.0; } } security–zone untrust host-inbound-traffic { system-services { all; } } protocols { all; } interfaces { reth1.0; } } security-zone vpn { host-inbound-traffic { system-services { all; } } protocols { all; } interfaces { st0.0; } } } policies { from–zone trust to–zone untrust { policy ANY { match { source–address any; destination–address any; application any; } then { permit; } } } from–zone trust to–zone vpn { policy vpn { match { source–address any; destination–address any; application any; } then { permit; } } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Gehäuse-Cluster-Status
- Überprüfung von Gehäuse-Cluster-Schnittstellen
- Überprüfung von Chassis-Cluster-Statistiken
- Verifizieren von Chassis-Cluster-Steuerungsebenenstatistiken
- Überprüfung von Chassis Cluster Data Plane-Statistiken
- Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
- Fehlerbehebung mit Protokollen
Überprüfen des Gehäuse-Cluster-Status
Zweck
Überprüfen Sie den Chassis-Cluster-Status, den Failover-Status und die Redundanzgruppeninformationen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status
Befehl ein.
{primary:node0} show chassis cluster status Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 1 primary no no node1 254 secondary no no Redundancy group: 1 , Failover count: 1 node0 1 primary yes no node1 254 secondary yes no
Überprüfung von Gehäuse-Cluster-Schnittstellen
Zweck
Überprüfen Sie die Gehäuse-Cluster-Schnittstellen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster interfaces
Befehl ein.
{primary:node0} user@host> show chassis cluster interfaces Control link name: fxp1 Redundant-ethernet Information: Name Status Redundancy-group reth0 Up 1 reth1 Up 1 Interface Monitoring: Interface Weight Status Redundancy-group xe-5/0/0 255 Up 1 xe-5/1/0 255 Up 1 xe-17/0/0 255 Up 1 xe-17/1/0 255 Up 1
Überprüfung von Chassis-Cluster-Statistiken
Zweck
Verifizieren Sie Informationen zu Chassis-Cluster-Services und Control Link-Statistiken (gesendete und empfangene Herzschläge), Fabric-Link-Statistiken (gesendete und empfangene Sondierungen) und die Anzahl der für Services gesendeten und empfangenen RTOs.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster statistics Control link statistics: Control link 0: Heartbeat packets sent: 258689 Heartbeat packets received: 258684 Heartbeat packets errors: 0 Fabric link statistics: Child link 0 Probes sent: 258681 Probes received: 258681 Services Synchronized: Service name RTOs sent RTOs received Translation context 0 0 Incoming NAT 0 0 Resource manager 6 0 Session create 161 0 Session close 148 0 Session change 0 0 Gate create 0 0 Session ageout refresh requests 0 0 Session ageout refresh replies 0 0 IPSec VPN 0 0 Firewall user authentication 0 0 MGCP ALG 0 0 H323 ALG 0 0 SIP ALG 0 0 SCCP ALG 0 0 PPTP ALG 0 0 RPC ALG 0 0 RTSP ALG 0 0 RAS ALG 0 0 MAC address learning 0 0 GPRS GTP 0 0
Verifizieren von Chassis-Cluster-Steuerungsebenenstatistiken
Zweck
Verifizieren Sie Informationen zu Chassis-Cluster-Steuerungsebenenstatistiken (gesendete und empfangene Herzschläge) und die Fabric-Link-Statistik (gesendete und empfangene Sondierungen).
Aktion
Geben Sie im Betriebsmodus den show chassis cluster control-panel statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster control-plane statistics Control link statistics: Control link 0: Heartbeat packets sent: 258689 Heartbeat packets received: 258684 Heartbeat packets errors: 0 Fabric link statistics: Child link 0 Probes sent: 258681 Probes received: 258681
Überprüfung von Chassis Cluster Data Plane-Statistiken
Zweck
Überprüfen Sie Informationen über die Anzahl der rtOs, die für Services gesendet und empfangen wurden.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster data-plane statistics
Befehl ein.
{primary:node0} user@host> show chassis cluster data-plane statistics Services Synchronized: Service name RTOs sent RTOs received Translation context 0 0 Incoming NAT 0 0 Resource manager 6 0 Session create 161 0 Session close 148 0 Session change 0 0 Gate create 0 0 Session ageout refresh requests 0 0 Session ageout refresh replies 0 0 IPSec VPN 0 0 Firewall user authentication 0 0 MGCP ALG 0 0 H323 ALG 0 0 SIP ALG 0 0 SCCP ALG 0 0 PPTP ALG 0 0 RPC ALG 0 0 RTSP ALG 0 0 RAS ALG 0 0 MAC address learning 0 0 GPRS GTP 0 0
Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
Zweck
Überprüfen Sie den Status und die Priorität beider Knoten in einem Cluster und erfahren Sie, ob der primäre Knoten vorab oder ein manuelles Failover erfolgt ist.
Aktion
Geben Sie im Betriebsmodus den chassis cluster status redundancy-group
Befehl ein.
{primary:node0} user@host> show chassis cluster status redundancy-group 1 Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy-Group: 1, Failover count: 1 node0 0 primary yes no node1 254 secondary yes no
Fehlerbehebung mit Protokollen
Zweck
Verwenden Sie diese Protokolle, um probleme mit dem Gehäuse-Cluster zu identifizieren. Sie müssen diese Protokolle auf beiden Knoten ausführen.
Aktion
Geben Sie im Betriebsmodus diese show
Befehle ein.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Beispiel: Konfigurieren eines Aktiven/Passiven Chassis-Clusterpaars mit einem IPsec-Tunnel (J-Web)
Aktivieren von Clustern. Siehe Schritt 1 in Beispiel: Konfigurieren eines Aktiv/Passive Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die Verwaltungsschnittstelle. Siehe Schritt 2 in Beispiel: Konfigurieren eines Aktiv/Passiv Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die Fabric-Schnittstelle. Siehe Schritt 3 im Beispiel: Konfigurieren eines Aktiv/Passiv Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die Redundanzgruppen.
Wählen Sie aus
Configure>System Properties>Chassis Cluster
.Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Anzahl redundanter Äther-Schnittstellen:
2
Herzschlagintervall:
1000
Herzschlag-Schwellenwert:
3
Knoten:
0
Gruppennummer:
0
Prioritäten:
254
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Knoten:
0
Gruppennummer:
1
Prioritäten:
254
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Knoten:
1
Gruppennummer:
0
Prioritäten:
1
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Knoten:
1
Gruppennummer:
1
Prioritäten:
1
Preempt: Aktivieren Sie das Kontrollkästchen.
Schnittstellenmonitor – Schnittstelle:
xe-5/0/0
Schnittstellenmonitor – Gewicht:
255
Schnittstellenmonitor – Schnittstelle:
xe-5/1/0
Schnittstellenmonitor – Gewicht:
255
Schnittstellenmonitor – Schnittstelle:
xe-17/0/0
Schnittstellenmonitor – Gewicht:
255
Schnittstellenmonitor – Schnittstelle:
xe-17/1/0
Schnittstellenmonitor – Gewicht:
255
Konfigurieren Sie redundante Ethernet-Schnittstellen.
Wählen Sie aus
Configure>System Properties>Chassis Cluster
.Wählen Sie aus
xe-5/1/0
.Geben Sie im Feld Redundant Parent die Eingabe ein
reth1
.Klicken Sie auf
Apply
.Wählen Sie aus
xe-17/1/0
.Geben Sie im Feld Redundant Parent die Eingabe ein
reth1
.Klicken Sie auf
Apply
.Wählen Sie aus
xe-5/0/0
.Geben Sie im Feld Redundant Parent die Eingabe ein
reth0
.Klicken Sie auf
Apply
.Wählen Sie aus
xe-17/0/0
.Geben Sie im Feld Redundant Parent die Eingabe ein
reth0
.Klicken Sie auf
Apply
.Siehe Schritt 5 im Beispiel: Konfigurieren eines Aktiv/Passiv Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die IPsec-Konfiguration. Siehe Beispiel für Schritt 6 : Konfigurieren eines Aktiv/Passive Chassis-Cluster-Pairs mit einem IPsec-Tunnel.
Konfigurieren Sie die statischen Routen .
Wählen Sie aus
Configure>Routing>Static Routing
.Klicken Sie auf
Add
.Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Statische Routenadresse:
0.0.0.0/0
Next-Hop-Adressen:
10.2.1.1
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply
:Statische Routenadresse:
10.3.0.0/16
Next-Hop-Adressen:
10.10.1.2
Konfigurieren Sie die Sicherheitszonen. Siehe Schritt 8 im Beispiel: Konfigurieren eines Aktiv/Passive Chassis-Cluster-Pairs mit einem IPsec-Tunnel.
Konfigurieren Sie die Sicherheitsrichtlinien. Siehe Schritt 9 in Beispiel: Konfigurieren eines Aktiv/Passive Chassis-Clusterpaars mit einem IPsec-Tunnel.
Klicken Sie hier
OK
, um Ihre Konfiguration zu überprüfen und sie als Kandidatenkonfiguration zu speichern, und klicken Sie dann aufCommit Options
>Commit
.