AUF DIESER SEITE
Grundlegendes zur Bereitstellung von Aktiv-/Passiv-Chassis-Clustern
Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusters auf SRX5800 Firewalls
Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (SRX1500 oder SRX1600)
Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (J-Web)
Grundlegendes zur Bereitstellung von aktiven/passiven Chassis-Clustern mit einem IPsec-Tunnel
Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusterpaars mit einem IPsec-Tunnel
Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusterpaars mit einem IPsec-Tunnel (J-Web)
Aktive/Passive Chassis-Cluster-Bereitstellungen
Grundlegendes zur Bereitstellung von Aktiv-/Passiv-Chassis-Clustern
In diesem Fall wird ein einzelnes Gerät im Cluster verwendet, um den gesamten Datenverkehr weiterzuleiten, während das andere Gerät nur im Falle eines Ausfalls verwendet wird (siehe Abbildung 1). Wenn ein Fehler auftritt, wird das Backup-Gerät primär und steuert die gesamte Weiterleitung.
Ein Aktiv/ Passiv-Chassis-Cluster kann durch die Verwendung redundanter Ethernet-Schnittstellen (reths) erreicht werden, die alle derselben Redundanzgruppe zugeordnet sind. Wenn eine der Schnittstellen in einer aktiven Gruppe in einem Knoten ausfällt, wird die Gruppe als inaktiv deklariert, und für alle Schnittstellen in der Gruppe wird ein Failover auf den anderen Knoten ausgeführt.
Diese Konfiguration minimiert den Datenverkehr über die Fabric-Verbindung, da jeweils nur ein Knoten im Cluster den Datenverkehr weiterleitet.
Siehe auch
Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusters auf SRX5800 Firewalls
In diesem Beispiel wird gezeigt, wie Sie grundlegendes Aktiv/Passiv-Chassis-Clustering auf einer SRX5800 Firewalls einrichten.
Anforderungen
Bevor Sie beginnen:
-
Sie benötigen zwei SRX5800-Firewalls mit identischen Hardwarekonfigurationen und optional einen MX480-Edge-Router und einen EX9214-Ethernet-Switch zum Senden von End-to-End-Datenverkehr.
-
Verbinden Sie die beiden Geräte physisch (Rücken an Rücken für die Fabric- und Steuerports) und stellen Sie sicher, dass es sich um dieselben Modelle handelt.
-
Bevor der Cluster gebildet wird, müssen Sie Steuerports für jedes Gerät konfigurieren sowie jedem Gerät eine Cluster-ID und eine Knoten-ID zuweisen und dann neu starten. Wenn das System hochfährt, werden beide Knoten als Cluster angezeigt.
Die Konfiguration des Steuerports ist für SRX5400-, SRX5600- und SRX5800-Firewalls erforderlich.
Jetzt sind die Geräte ein Paar. Von diesem Zeitpunkt an wird die Konfiguration des Clusters zwischen den Knotenmitgliedern synchronisiert, und die beiden separaten Geräte fungieren als ein Gerät.
Überblick
Dieses Beispiel zeigt, wie Sie grundlegendes Aktiv/Passiv-Chassis-Clustering auf einer Firewall der SRX-Serie einrichten. Das grundlegende Aktiv/Passiv-Beispiel ist der gebräuchlichste Typ von Chassis-Clustern.
Der Basis-Aktiv/Passiv-Chassis-Cluster besteht aus zwei Geräten:
-
Ein Gerät stellt aktiv Routing-, Firewall-, NAT-, VPN- und Sicherheitsdienste bereit und behält die Kontrolle über den Chassis-Cluster.
-
Das andere Gerät behält passiv seinen Status für Clusterfailoverfunktionen bei, falls das aktive Gerät inaktiv wird.
In diesem Beispiel für den Aktiv/Passiv-Modus für die SRX5800 Firewall werden verschiedene Konfigurationen, wie z. B. die Konfiguration von NAT, Sicherheitsrichtlinien oder VPNs, nicht im Detail beschrieben. Sie sind im Wesentlichen die gleichen wie bei eigenständigen Konfigurationen. Wenn Sie jedoch Proxy-ARP in Chassis-Cluster-Konfigurationen ausführen, müssen Sie die Proxy-ARP-Konfigurationen auf die RETH-Schnittstellen und nicht auf die Memberschnittstellen anwenden, da die RETH-Schnittstellen die logischen Konfigurationen enthalten. Weitere Informationen finden Sie unter Konfigurieren von Proxy-ARP für NAT (CLI-Verfahren). Sie können auch separate logische Schnittstellenkonfigurationen mithilfe von VLANs und Bündelschnittstellen in der SRX5800 Firewall konfigurieren. Diese Konfigurationen ähneln den eigenständigen Implementierungen mit VLANs und Bündelschnittstellen.
Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie.
Konfiguration
Konfigurieren der Control-Ports und Aktivieren des Cluster-Modus
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Auf {primary:node0}
[edit]
set groups node0 system host-name hostA
set groups node0 system backup-router 10.52.63.254
set groups node0 system backup-router destination 10.0.0.0/8
set groups node0 interfaces fxp0 unit 0 family inet address 10.52.43.57/19
set groups node1 system host-name hostB
set groups node1 system backup-router 10.52.63.254
set groups node1 system backup-router destination 10.0.0.0/8
set groups node1 interfaces fxp0 unit 0 family inet address 10.52.52.27/19
set apply-groups “${node}”
set chassis cluster control-ports fpc 1 port 0
set chassis cluster control-ports fpc 13 port 0
set chassis cluster control-link-recovery
set chassis cluster reth-count 2
set chassis cluster redundancy-group 0 node 0 priority 254
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 254
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255
set security policies from-zone trust to-zone untrust policy allow match source-address any
set security policies from-zone trust to-zone untrust policy allow match destination-address any
set security policies from-zone trust to-zone untrust policy allow match application any
set security policies from-zone trust to-zone untrust policy allow then permit
set security policies from-zone untrust to-zone trust policy allow match source-address any
set security policies from-zone untrust to-zone trust policy allow match destination-address any
set security policies from-zone untrust to-zone trust policy allow match application any
set security policies from-zone untrust to-zone trust policy allow then permit
set security zones security-zone trust host-inbound-traffic system-services ping
set security zones security-zone trust interfaces reth1.50
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces reth0.51
set interfaces xe-6/1/0 gigether-options redundant-parent reth1
set interfaces xe-6/0/0 gigether-options redundant-parent reth0
set interfaces xe-18/1/0 gigether-options redundant-parent reth1
set interfaces xe-18/0/0 gigether-options redundant-parent reth0
set interfaces fab0 fabric-options member-interfaces xe-3/2/8
set interfaces fab1 fabric-options member-interfaces xe-15/2/8
set interfaces reth0 vlan-tagging
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 51 vlan-id 51
set interfaces reth0 unit 51 family inet address 10.1.1.1/24
set interfaces reth1 vlan-tagging
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 50 vlan-id 50
set interfaces reth1 unit 50 family inet address 10.2.2.1/24
set routing-options static route 10.0.0.0/8 next-hop 10.52.63.254
set routing-options static route 172.16.1.0/24 next-hop 10.1.1.254
(Optional) Um einen EX9214 Core-Switch schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein, und rufen Sie dann den Konfigurationsmodus auf commit .
Auf EX-Gerät
[edit] set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members v50 set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members v50 set interfaces irb unit 50 family inet address 10.2.2.254/24 set routing-options static route 10.1.1.0/24 next-hop 10.2.2.1 set routing-options static route 172.16.1.0/24 next-hop 10.2.2.1 set vlans v50 vlan-id 50 set vlans v50 l3-interface irb.50
(Optional) Um einen MX480-Edge-Router schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und rufen Sie dann den Konfigurationsmodus auf commit .
Auf MX-Gerät
[edit] set interfaces xe-1/0/0 encapsulation ethernet-bridge set interfaces xe-1/0/0 unit 0 family bridge interface-mode trunk set interfaces xe-1/0/0 unit 0 family bridge vlan-id 51 set interfaces xe-1/0/1 unit 0 family inet address 172.16.1.1/24 set interfaces xe-2/0/0 encapsulation ethernet-bridge set interfaces xe-2/0/0 unit 0 family bridge interface-mode trunk set interfaces xe-2/0/0 unit 0 family bridge vlan-id 51 set interfaces irb unit 0 family inet address 10.1.1.254/24 set routing-options static route 10.2.2.0/24 next-hop 10.1.1.1 set bridge-domains v51 domain-type bridge set bridge-domains v51 vlan-id 51 set bridge-domains v51 routing-interface irb.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie einen Chassis-Cluster auf einer Firewall der SRX-Serie:
Im Cluster-Modus wird die Konfiguration beim Ausführen eines commit Befehls über die Steuerverbindung zwischen den Knoten synchronisiert. Alle Befehle werden auf beide Knoten angewendet, unabhängig davon, von welchem Gerät aus der Befehl konfiguriert wird.
-
Da die Chassis-Clusterkonfiguration der SRX5000 Firewall in einer einzigen gemeinsamen Konfiguration enthalten ist, müssen Sie die knotenspezifische Konfigurationsmethode von Junos OS verwenden, die als Gruppen bezeichnet wird, um einige Elemente der Konfiguration nur einem bestimmten Mitglied zuzuweisen. Der
set apply-groups ${node}Befehl verwendet die Variable node, um zu definieren, wie die Gruppen auf die Knoten angewendet werden; jeder Knoten erkennt seine Nummer und akzeptiert die Konfiguration entsprechend. Außerdem müssen Sie die Out-of-Band-Verwaltung auf der fxp0-Schnittstelle der SRX5000-Firewall konfigurieren, indem Sie separate IP-Adressen für die einzelnen Steuerungsebenen des Clusters verwenden.Die Konfiguration der Zieladresse des Backup-Routers als x.x.x.0/0 ist nicht zulässig.
user@hostA# set groups node0 system host-name hostA user@hostA# set groups node0 system backup-router 10.52.63.254 user@hostA# set groups node0 system backup-router destination 10.0.0.0/8 user@hostA# set groups node0 interfaces fxp0 unit 0 family inet address 10.52.43.57/19
user@hostB# set groups node1 system host-name hostB user@hostB# set groups node1 system backup-router 10.52.63.254 user@hostB# set groups node1 system backup-router destination 10.0.0.0/8 user@hostB# set groups node1 interfaces fxp0 unit 0 family inet address 10.52.52.27/19
Die obige Konfiguration der Gruppen node0 und node1 wird festgeschrieben, aber nicht angewendet. Sobald sich das Gerät im Cluster befindet, werden diese Befehle mit angewendet
set apply-groups “${node}”. -
Verwenden Sie die folgenden Befehle, um den primären Knoten 0 zu konfigurieren. Der Knoten 1 ist erst erreichbar, wenn die Knotenkonfiguration festgeschrieben wurde. Der Knoten 0 synchronisiert die Konfiguration automatisch über den Steuerport mit Knoten 1, und es ist nicht erforderlich, Knoten 1 explizit zu konfigurieren.
user@hostA# set apply-groups “${node}” -
Konfigurieren Sie den Steuerport für jedes Gerät, und bestätigen Sie die Konfiguration.
Stellen Sie sicher, dass die physische Steuerverbindung zwischen den SPC-Karten auf beiden Knoten gemäß der Konfiguration besteht.
Die Steueranschlüsse werden basierend auf der SPC-Position im Gehäuse abgeleitet, und der Offset-Wert basiert auf der Plattform. Im folgenden Beispiel befindet sich der SPC in Umsatzschlitz 1, und da der Offset von SRX5800 12 beträgt, sind die Steuerports 1, 13. Sie können den Offset-Wert für eine bestimmte Plattform mit dem
“jwhoami -c”Befehl im Shell-Modus anzeigen. Sie müssen die folgenden Befehle auf beiden Geräten eingeben. Zum Beispiel:-
Auf Knoten 0:
user@hostA# set chassis cluster control-ports fpc 1 port 0 user@hostA# set chassis cluster control-ports fpc 13 port 0 user@hostA# commit
-
Auf Knoten 1:
user@hostB# set chassis cluster control-ports fpc 1 port 0 user@hostB# set chassis cluster control-ports fpc 13 port 0 user@hostB# commit
-
-
Versetzen Sie die beiden Geräte in den Cluster-Modus. Ein Neustart ist erforderlich, um in den Clustermodus zu wechseln, nachdem die Cluster-ID und die Knoten-ID festgelegt wurden. Sie können bewirken, dass das System automatisch gestartet wird, indem Sie den
rebootParameter in die CLI-Befehlszeile einfügen. Sie müssen die Befehle für den Betriebsmodus auf beiden Geräten eingeben. Zum Beispiel:-
Auf Knoten 0:
user@hostA> set chassis cluster cluster-id 1 node 0 reboot
-
Auf Knoten 1:
user@hostB> set chassis cluster cluster-id 1 node 1 reboot
Die Cluster-ID muss auf beiden Geräten in einem Cluster identisch sein, die Knoten-ID muss jedoch unterschiedlich sein, da ein Gerät Knoten 0 und das andere Gerät Knoten 1 ist. Der Bereich für die Cluster-ID liegt zwischen 1 und 255. Das Festlegen einer Cluster-ID auf 0 entspricht dem Deaktivieren eines Clusters. Es wird jedoch empfohlen, die Knoten vom Cluster zu
set chassis cluster disabletrennen. -
-
Konfigurieren Sie Redundanzgruppen für Chassis-Clustering. Jeder Knoten verfügt über Schnittstellen in einer Redundanzgruppe, wobei Schnittstellen in aktiven Redundanzgruppen aktiv sind (in einer Redundanzgruppe können mehrere aktive Schnittstellen vorhanden sein). Redundanzgruppe 0 steuert die Steuerungsebene, und Redundanzgruppe 1+ steuert die Datenebene und schließt die Ports der Datenebene ein. In diesem Beispiel für den Aktiv/Passiv-Modus ist jeweils nur ein Chassis-Cluster-Member aktiv, sodass Sie nur die Redundanzgruppen 0 und 1 definieren müssen. Neben Redundanzgruppen müssen Sie auch Folgendes definieren:
-
Redundante Ethernet-Gruppen: Konfigurieren Sie, wie viele redundante Ethernet-Schnittstellen (Mitgliederverbindungen) auf dem Gerät aktiv sein sollen, damit das System die entsprechenden Ressourcen dafür zuweisen kann.
-
Priorität für Control Plane und Data Plane: Definieren Sie, welches Gerät Priorität für die Control Plane hat (für Chassis-Cluster wird eine hohe Priorität bevorzugt) und welches Gerät für die Data Plane aktiv sein soll.
-
Im aktiv/passiven oder aktiv/aktiven Modus kann die Steuerungsebene (Redundanzgruppe 0) auf einem anderen Chassis als dem Chassis der Datenebene (Redundanzgruppe 1+ und Gruppen) aktiv sein. Für dieses Beispiel wird jedoch empfohlen, sowohl die Steuerungs- als auch die Datenebene auf derselben Chassiskomponente aktiv zu machen. Wenn Datenverkehr über die Fabric-Verbindung zu einem anderen Mitgliedsknoten geleitet wird, wird eine Latenz eingeführt (Datenverkehr im Z-Line-Modus).
-
Bei Firewalls der SRX-Serie (SRX5000-Reihe) wird das IPsec-VPN in der Aktiv/Aktiv-Chassis-Clusterkonfiguration (d. h. wenn mehrere RG1+-Redundanzgruppen vorhanden sind) im Z-Modus nicht unterstützt.
-
user@hostA# set chassis cluster reth-count 2 user@hostA# set chassis cluster redundancy-group 1 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 1 node 1 priority 1 user@hostA# set chassis cluster redundancy-group 0 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 0 node 1 priority 1
-
-
Konfigurieren Sie die Fabric-(Daten-)Ports des Clusters, die zum Übergeben von RTOs im aktiven/passiven Modus verwendet werden. Verwenden Sie für dieses Beispiel einen der Umsatzports. Definieren Sie zwei Fabric-Schnittstellen, eine auf jedem Gehäuse, die miteinander verbunden werden sollen.
Konfigurieren Sie die Datenschnittstellen auf der Plattform so, dass im Falle eines Data Plane-Failovers das andere Chassis-Clustermitglied die Verbindung nahtlos übernehmen kann. Der nahtlose Übergang zu einem neuen aktiven Knoten erfolgt mit einem Failover der Datenebene. Im Falle eines Failovers der Steuerungsebene werden alle Daemons auf dem neuen Knoten neu gestartet, was einen ordnungsgemäßen Neustart ermöglicht, um den Verlust der Nachbarschaft zu Peers (ospf, bgp) zu vermeiden. Dies fördert einen nahtlosen Übergang zum neuen Knoten ohne Paketverlust.
Sie müssen die folgenden Elemente definieren:
-
Definieren Sie die Mitgliedschaftsinformationen der Memberschnittstellen für die reth-Schnittstelle.
-
Legen Sie fest, in welcher Redundanzgruppe die reth-Schnittstelle Mitglied ist. In diesem Aktiv/Passiv-Beispiel ist es immer 1.
-
Definieren Sie reth-Schnittstelleninformationen, wie z. B. die IP-Adresse der Schnittstelle.
{primary:node0}[edit]user@hostA# set interfaces xe-6/1/0 gigether-options redundant-parent reth1 user@hostA# set interfaces xe-6/0/0 gigether-options redundant-parent reth0 user@hostA# set interfaces xe-18/1/0 gigether-options redundant-parent reth1 user@hostA# set interfaces xe-18/0/0 gigether-options redundant-parent reth0 user@hostA# set interfaces reth0 vlan-tagging user@hostA# set interfaces reth0 redundant-ether-options redundancy-group 1 user@hostA# set interfaces reth0 unit 51 vlan-id 51 user@hostA# set interfaces reth0 unit 51 family inet address 10.1.1.1/24 user@hostA# set interfaces reth1 vlan-tagging user@hostA# set interfaces reth1 redundant-ether-options redundancy-group 1 user@hostA# set interfaces reth1 unit 50 vlan-id 50 user@hostA# set interfaces reth1 unit 50 family inet address 10.2.2.1/24 user@hostA# set interfaces fab0 fabric-options member-interfaces xe-3/2/8 user@hostA# set interfaces fab1 fabric-options member-interfaces xe-15/2/8 -
-
(Optional) Konfigurieren Sie das Verhalten des Chassis-Clusters im Falle eines Fehlers. Für die SRX5800 Firewall ist der Failover-Schwellenwert auf 255 festgelegt. Sie können die Gewichtungen ändern, um die Auswirkungen auf das Chassis-Failover zu bestimmen. Außerdem müssen Sie die Wiederherstellung der Steuerverbindung konfigurieren. Die Wiederherstellung führt automatisch dazu, dass der sekundäre Knoten neu gestartet wird, wenn die Steuerungsverbindung ausfällt, und dann wieder online geschaltet wird. Geben Sie diese Befehle auf Knoten 0 ein.
{primary:node0}[edit]user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255 user@hostA# set chassis cluster control-link-recoveryMit diesem Schritt wird der Gehäuse-Clusterkonfigurationsteil des Beispiels für den Aktiv/Passiv-Modus für die SRX5800-Firewall abgeschlossen. Im weiteren Verlauf dieses Verfahrens wird beschrieben, wie Sie die Zone, den virtuellen Router, das Routing, den EX9214 Core-Switch und den MX480 Edge-Router konfigurieren, um das Bereitstellungsszenario abzuschließen.
-
(Optional) Konfigurieren und verbinden Sie die reth-Schnittstellen mit den entsprechenden Zonen und virtuellen Routern. Belassen Sie in diesem Beispiel die Schnittstellen reth0 und reth1 im virtuellen Standardrouter inet.0, für den keine zusätzliche Konfiguration erforderlich ist.
{primary:node0}[edit]user@hostA# set security zones security-zone trust host-inbound-traffic system-services ping user@hostA# set security zones security-zone trust interfaces reth1.50 user@hostA# set security zones security-zone untrust host-inbound-traffic system-services ping user@hostA# set security zones security-zone untrust interfaces reth0.51 Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zuzulassen.
user@hostA# set security policies from-zone trust to-zone untrust policy allow match source-address any user@hostA# set security policies from-zone trust to-zone untrust policy allow match destination-address any user@hostA# set security policies from-zone trust to-zone untrust policy allow match application any user@hostA# set security policies from-zone trust to-zone untrust policy allow then permit user@hostA# set security policies from-zone untrust to-zone trust policy allow match source-address any user@hostA# set security policies from-zone untrust to-zone trust policy allow match destination-address any user@hostA# set security policies from-zone untrust to-zone trust policy allow match application any user@hostA# set security policies from-zone untrust to-zone trust policy allow then permit-
(Optional) Für den Ethernet-Switch EX9214 geben die folgenden Befehle nur einen Überblick über die anwendbare Konfiguration, wie sie sich auf dieses Beispiel für den Aktiv/Passiv-Modus für die SRX5800-Firewall bezieht. insbesondere die VLANs, das Routing und die Schnittstellenkonfiguration.
[edit]user@switch# set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members v50 user@switch# set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members v50 user@switch# set interfaces irb unit 50 family inet address 10.2.2.254/24 user@switch# set routing-options static route 10.1.1.0/24 next-hop 10.2.2.1 user@switch# set routing-options static route 172.16.1.0/24 next-hop 10.2.2.1 user@switch# set vlans v50 vlan-id 50 user@switch# set vlans v50 l3-interface irb.50 -
(Optional) Für den Edge-Router MX480 geben die folgenden Befehle nur einen Überblick über die anwendbare Konfiguration, wie sie sich auf dieses Beispiel für den Aktiv/Passiv-Modus für die SRX5800-Firewall bezieht. Insbesondere müssen Sie eine IRB-Schnittstelle innerhalb einer virtuellen Switch-Instanz auf dem Switch verwenden.
[edit]user@router# set interfaces xe-1/0/0 encapsulation ethernet-bridge user@router# set interfaces xe-1/0/0 unit 0 family bridge interface-mode trunk user@router# set interfaces xe-1/0/0 unit 0 family bridge vlan-id 51 user@router# set interfaces xe-1/0/1 unit 0 family inet address 172.16.1.1/24 user@router# set interfaces xe-2/0/0 encapsulation ethernet-bridge user@router# set interfaces xe-2/0/0 unit 0 family bridge interface-mode trunk user@router# set interfaces xe-2/0/0 unit 0 family bridge vlan-id 51 user@router# set interfaces irb unit 0 family inet address 10.1.1.254/24 user@router# set routing-options static route 10.2.2.0/24 next-hop 10.1.1.1 user@router# set bridge-domains v51 domain-type bridge user@router# set bridge-domains v51 vlan-id 51 user@router# set bridge-domains v51 routing-interface irb.0
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Chassis-Cluster-Status
- Überprüfen der Chassis-Cluster-Schnittstellen
- Überprüfen der Chassis-Cluster-Statistiken
- Überprüfen der Statistik der Chassis-Cluster-Steuerungsebene
- Überprüfen der Data Plane-Statistiken des Chassis-Clusters
- Überprüfen Sie den Ping vom EX-Gerät
- Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
- Fehlerbehebung mit Protokollen
Überprüfen des Chassis-Cluster-Status
Zweck
Überprüfen Sie den Chassis-Cluster-Status, den Failover-Status und die Redundanzgruppeninformationen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.
{primary:node0}
user@hostA> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Überprüfen der Chassis-Cluster-Schnittstellen
Zweck
Überprüfen Sie die Informationen zu den Chassis-Cluster-Schnittstellen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster interfaces Befehl ein.
{primary:node0}
user@hostA> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-3/2/8 Up / Up Disabled
fab0
fab1 xe-15/2/8 Up / Up Disabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
Interface Monitoring:
Interface Weight Status Redundancy-group
(Physical/Monitored)
xe-18/1/0 255 Up / Up 1
xe-6/1/0 255 Up / Up 1
xe-18/0/0 255 Up / Up 1
xe-6/0/0 255 Up / Up 1
Überprüfen der Chassis-Cluster-Statistiken
Zweck
Überprüfen Sie Informationen zu Chassis-Cluster-Services und Steuerungsverbindungsstatistiken (gesendete und empfangene Taktsignale), Fabric-Link-Statistiken (gesendete und empfangene Sonden) und die Anzahl der für Services gesendeten und empfangenen RTOs.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster statistics Befehl ein.
{primary:node0}
user@hostA> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 229414
Heartbeat packets received: 229385
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 459691
Probes received: 459679
Child link 1
Probes sent: 0
Probes received: 0
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 0 0
IPv6 session create 0 0
IPv4/6 session RTO ACK 0 0
Session close 0 0
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 0
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Packet stats Pkts sent Pkts received
ICD Data 0 0
Überprüfen der Statistik der Chassis-Cluster-Steuerungsebene
Zweck
Überprüfen Sie die Informationen zu den Statistiken der Chassis-Cluster-Steuerungsebene (gesendete und empfangene Taktsignale) und zu den Fabric-Link-Statistiken (gesendete und empfangene Tests).
Aktion
Geben Sie im Betriebsmodus den show chassis cluster control-plane statistics Befehl ein.
{primary:node0}
user@hostA> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 229474
Heartbeat packets received: 229445
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 459809
Probes received: 459797
Child link 1
Probes sent: 0
Probes received: 0
Überprüfen der Data Plane-Statistiken des Chassis-Clusters
Zweck
Überprüfen Sie Informationen über die Anzahl der gesendeten und empfangenen RTOs für Services.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster data-plane statistics Befehl ein.
{primary:node0}
user@hostA> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 0 0
IPv6 session create 0 0
Session close 0 0
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 0
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Überprüfen Sie den Ping vom EX-Gerät
Zweck
Überprüfen Sie den Verbindungsstatus vom EX-Gerät.
Aktion
Geben Sie im Betriebsmodus den ping 172.16.1.254 count 2 Befehl ein.
user@EX9214> ping 172.16.1.254 count 2 PING 172.16.1.254 (172.16.1.254): 56 data bytes 64 bytes from 172.16.1.254: icmp_seq=0 ttl=62 time=4.599 ms 64 bytes from 172.16.1.254: icmp_seq=1 ttl=62 time=3.192 ms --- 172.16.1.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.192/3.896/4.599/0.704 ms
Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
Zweck
Überprüfen Sie den Status und die Priorität beider Knoten in einem Cluster sowie Informationen darüber, ob der primäre Knoten vorzeitig entfernt wurde oder ob ein manuelles Failover stattgefunden hat.
Aktion
Geben Sie im Betriebsmodus den chassis cluster status redundancy-group Befehl ein.
{primary:node0}
user@hostA> show chassis cluster status redundancy-group 1
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 1 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Fehlerbehebung mit Protokollen
Zweck
Verwenden Sie diese Protokolle, um Probleme mit dem Chassis-Cluster zu identifizieren. Sie müssen diese Protokolle auf beiden Knoten ausführen.
Aktion
Geben Sie im Betriebsmodus die folgenden show log Befehle ein.
user@hostA> show log jsrpd user@hostA> show log chassisd user@hostA> show log messages user@hostA> show log dcd user@hostA> show traceoptions
Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (SRX1500 oder SRX1600)
In diesem Beispiel wird gezeigt, wie Aktiv/Passiv-Chassis-Clustering für SRX1500 oder SRX1600 Gerät konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Verbinden Sie ein Gerätepaar physisch miteinander und stellen Sie sicher, dass es sich um dieselben Modelle handelt.
Erstellen Sie eine Fabric-Verbindung, indem Sie eine Gigabit-Ethernet-Schnittstelle auf einem Gerät mit einer anderen Gigabit-Ethernet-Schnittstelle auf dem anderen Gerät verbinden.
Erstellen Sie eine Steuerverbindung, indem Sie den Steuerport der beiden SRX1500 Geräte verbinden.
Stellen Sie über den Konsolenport eine Verbindung zu einem der Geräte her. (Dies ist der Knoten, der den Cluster bildet.) und legen Sie die Cluster-ID und die Knotennummer fest.
user@host> set chassis cluster cluster-id 1 node 0 reboot
Stellen Sie über den Konsolenport eine Verbindung mit dem anderen Gerät her, und legen Sie die Cluster-ID und die Knotennummer fest.
user@host> set chassis cluster cluster-id 1 node 1 reboot
Überblick
In diesem Beispiel wird ein einzelnes Gerät im Cluster zum Weiterleiten des gesamten Datenverkehrs verwendet, und das andere Gerät wird nur im Falle eines Ausfalls verwendet. (Siehe Abbildung 3.) Wenn ein Fehler auftritt, wird das Backup-Gerät primär und steuert die gesamte Weiterleitung.
Sie können einen Aktiv/Passiv-Chassis-Cluster erstellen, indem Sie redundante Ethernet-Schnittstellen (reths) konfigurieren, die alle derselben Redundanzgruppe zugeordnet sind. Diese Konfiguration minimiert den Datenverkehr über die Fabric-Verbindung, da jeweils nur ein Knoten im Cluster den Datenverkehr weiterleitet.
In diesem Beispiel konfigurieren Sie Gruppen- (indem Sie die Konfiguration mit dem apply-groups Befehl anwenden) und Chassis-Clusterinformationen. Anschließend konfigurieren Sie Sicherheitszonen und Sicherheitsrichtlinien. Siehe Tabelle 1 bis Tabelle 4.
Merkmal |
Name |
Konfigurationsparameter |
|---|---|---|
Gruppen |
node0 |
|
|
node1 |
|
Merkmal |
Name |
Konfigurationsparameter |
|---|---|---|
Fabric-Links |
Fab0 |
Schnittstelle: ge-0/0/1 |
|
Fab1 |
Schnittstelle: ge-7/0/1 |
Heartbeat-Intervall |
– |
1000 |
Heartbeat-Schwellenwert |
– |
3 |
Redundanzgruppe |
0 |
|
|
1 |
|
|
|
Schnittstellenüberwachung
|
Anzahl redundanter Ethernet-Schnittstellen |
– |
2 |
Schnittstellen |
GE-0/0/4 |
Redundantes übergeordnetes Element: reth0 |
GE-7/0/4 |
Redundantes übergeordnetes Element: reth0 |
|
GE-0/0/5 |
Redundantes übergeordnetes Element: reth1 |
|
GE-7/0/5 |
Redundantes übergeordnetes Element: reth1 |
|
reth0 |
Redundanzgruppe: 1 |
|
|
||
reth1 |
Redundanzgruppe: 1 |
|
|
Name |
Konfigurationsparameter |
|---|---|
vertrauen |
Die reth1.0-Schnittstelle ist an diese Zone gebunden. |
Unglaubwürdigkeit |
Die reth0.0-Schnittstelle ist an diese Zone gebunden. |
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
Diese Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zu. |
JEGLICHE |
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
[edit]
set groups node0 system host-name srx1500-A
set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24
set groups node1 system host-name srx1500-B
set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces ge-0/0/1
set interfaces fab1 fabric-options member-interfaces ge-7/0/1
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster redundancy-group 0 node 0 priority 100
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255
set chassis cluster reth-count 2
set interfaces ge-0/0/5 gigether-options redundant-parent reth1
set interfaces ge-7/0/5 gigether-options redundant-parent reth1
set interfaces ge-0/0/4 gigether-options redundant-parent reth0
set interfaces ge-7/0/4 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 198.51.100.1/24
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 203.0.113.233/24
set security zones security-zone untrust interfaces reth1.0
set security zones security-zone trust interfaces reth0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone untrust policy ANY then permit
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Aktiv/Passiv-Chassis-Cluster:
Konfigurieren Sie die Verwaltungsschnittstelle.
{primary:node0}[edit] user@host# set groups node0 system host-name srx1500-A user@host# set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24 user@host# set groups node1 system host-name srx1500-B user@host# set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24 user@host# set apply-groups “${node}”Konfigurieren Sie die Fabric-Schnittstelle.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1Konfigurieren Sie die Heartbeat-Einstellungen.
{primary:node0}[edit] user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3Konfigurieren Sie Redundanzgruppen.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 100 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 100 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255Konfigurieren Sie redundante Ethernet-Schnittstellen.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set interfaces ge-0/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-7/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-0/0/4 gigether-options redundant-parent reth0 user@host# set interfaces ge-7/0/4 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 203.0.113.233/24Konfigurieren Sie Sicherheitszonen.
{primary:node0}[edit] user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust interfaces reth0.0Konfigurieren Sie Sicherheitsrichtlinien.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone untrust policy ANY then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show configuration Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name srx1500-A;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.0.2.110/24;
}
}
}
}
}
node1 {
system {
host-name srx1500-B;
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.0.2.110/24;
}
}
}
}
}
}
apply-groups "${node}";
chassis {
cluster {
reth-count 2;
heartbeat-interval 1000;
heartbeat-threshold 3;
redundancy-group 0 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
interface-monitor {
ge–0/0/4 weight 255;
ge–7/0/4 weight 255;
ge–0/0/5 weight 255;
ge–7/0/5 weight 255;
}
}
}
}
interfaces {
ge–0/0/4 {
gigether–options {
redundant–parent reth0;
}
}
ge–7/0/4{
gigether–options {
redundant–parent reth0;
}
}
ge–0/0/5 {
gigether–options {
redundant–parent reth1;
}
}
ge–7/0/5 {
gigether–options {
redundant–parent reth1;
}
}
fab0 {
fabric–options {
member–interfaces {
ge–0/0/1;
}
}
}
fab1 {
fabric–options {
member–interfaces {
ge–7/0/1;
}
}
}
reth0 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
reth1 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 203.0.113.233/24;
}
}
}
}
...
security {
zones {
security–zone untrust {
interfaces {
reth1.0;
}
}
security–zone trust {
interfaces {
reth0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy ANY {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Chassis-Cluster-Status
- Überprüfen von Chassis-Cluster-Schnittstellen
- Überprüfen der Chassis-Cluster-Statistiken
- Überprüfen der Statistik der Chassis-Cluster-Steuerungsebene
- Überprüfen der Data Plane-Statistik des Chassis-Clusters
- Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
- Fehlerbehebung mit Protokollen
Überprüfen des Chassis-Cluster-Status
Zweck
Überprüfen Sie den Chassis-Cluster-Status, den Failover-Status und die Redundanzgruppeninformationen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Überprüfen von Chassis-Cluster-Schnittstellen
Zweck
Überprüfen Sie die Informationen zu den Chassis-Cluster-Schnittstellen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster interfaces Befehl ein.
{primary:node0}
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Security
0 em0 Up Disabled
1 em1 Down Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
fab0 ge-0/0/1 Up Disabled
fab0
fab1 ge-7/0/1 Up Disabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
ge-0/0/4 255 Up 1
ge-7/0/4 255 Up 1
ge-0/0/5 255 Up 1
ge-7/0/5 255 Up 1
Überprüfen der Chassis-Cluster-Statistiken
Zweck
Überprüfen Sie Informationen über die Statistiken der verschiedenen Objekte, die synchronisiert werden, die Fabric- und Steuerungsschnittstellen-Hellos sowie den Status der überwachten Schnittstellen im Cluster.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster statistics Befehl ein.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 2276
Heartbeat packets received: 2280
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2272
Probes received: 597
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Überprüfen der Statistik der Chassis-Cluster-Steuerungsebene
Zweck
Überprüfen Sie die Informationen zu den Statistiken der Chassis-Cluster-Steuerungsebene (gesendete und empfangene Taktsignale) und zu den Fabric-Link-Statistiken (gesendete und empfangene Tests).
Aktion
Geben Sie im Betriebsmodus den show chassis cluster control-plane statistics Befehl ein.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Überprüfen der Data Plane-Statistik des Chassis-Clusters
Zweck
Überprüfen Sie Informationen über die Anzahl der gesendeten und empfangenen RTOs für Services.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster data-plane statistics Befehl ein.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
Zweck
Überprüfen Sie den Status und die Priorität beider Knoten in einem Cluster sowie Informationen darüber, ob der primäre Knoten vorzeitig entfernt wurde oder ob ein manuelles Failover stattgefunden hat.
Aktion
Geben Sie im Betriebsmodus den chassis cluster status redundancy-group Befehl ein.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Fehlerbehebung mit Protokollen
Zweck
Verwenden Sie diese Protokolle, um Probleme mit dem Chassis-Cluster zu identifizieren. Sie müssen diese Protokolle auf beiden Knoten ausführen.
Aktion
Geben Sie im Betriebsmodus die folgenden show Befehle ein.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (J-Web)
Aktivieren Sie das Clustering. Weitere Informationen finden Sie unter Schritt 1 unter Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (CLI).
Konfigurieren Sie die Verwaltungsschnittstelle. Weitere Informationen finden Sie unter Schritt 2 unter Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (CLI).
Konfigurieren Sie die Fabric-Schnittstelle. Weitere Informationen finden Sie unter Schritt 3 unter Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (CLI).
Konfigurieren Sie die Redundanzgruppen.
Wählen Sie
Configure>Chassis Clusteraus.Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Anzahl redundanter Ether-Schnittstellen:
2Herzschlag-Intervall:
1000Heartbeat-Schwelle:
3Knoten:
0Gruppennummer:
0Prioritäten:
100
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Knoten:
0Gruppennummer:
1Prioritäten:
1
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Knoten:
1Gruppennummer:
0Prioritäten:
100
Konfigurieren Sie die redundanten Ethernet-Schnittstellen.
Wählen Sie
Configure>Chassis Clusteraus.Wählen Sie
ge-0/0/4aus.Geben Sie diesen Text in das Feld Redundantes übergeordnetes Element ein
reth1.Klicken Sie auf
Apply.Wählen Sie
ge-7/0/4aus.Geben Sie diesen Text in das Feld Redundantes übergeordnetes Element ein
reth1.Klicken Sie auf
Apply.Wählen Sie
ge-0/0/5aus.Geben Sie diesen Text in das Feld Redundantes übergeordnetes Element ein
reth0.Klicken Sie auf
Apply.Wählen Sie
ge-7/0/5aus.Geben Sie diesen Text in das Feld Redundantes übergeordnetes Element ein
reth0.Klicken Sie auf
Apply.Die letzten vier Konfigurationseinstellungen finden Sie in Schritt 5 in Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (CLI).
Konfigurieren Sie die Sicherheitszonen. Weitere Informationen finden Sie unter Schritt 6 unter Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (CLI).
Konfigurieren Sie die Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Schritt 7 unter Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars (CLI).
Klicken Sie auf diese Schaltfläche
OK, um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern, und klicken Sie dann aufCommit Options>Commit.
Siehe auch
Grundlegendes zur Bereitstellung von aktiven/passiven Chassis-Clustern mit einem IPsec-Tunnel
In diesem Fall wird ein einzelnes Gerät im Cluster in einem IPsec-Tunnel beendet und zur Verarbeitung des gesamten Datenverkehrs verwendet, während das andere Gerät nur im Falle eines Ausfalls verwendet wird (siehe Abbildung 4). Wenn ein Fehler auftritt, wird das Backup-Gerät primär und steuert die gesamte Weiterleitung.
Ein Aktiv/ Passiv-Chassis-Cluster kann durch die Verwendung redundanter Ethernet-Schnittstellen (reths) erreicht werden, die alle derselben Redundanzgruppe zugeordnet sind. Wenn eine der Schnittstellen in einer aktiven Gruppe in einem Knoten ausfällt, wird die Gruppe als inaktiv deklariert, und für alle Schnittstellen in der Gruppe wird ein Failover auf den anderen Knoten ausgeführt.
Diese Konfiguration bietet die Möglichkeit, dass ein Site-to-Site-IPsec-Tunnel in einem Aktiv/Passiv-Cluster endet, in dem eine redundante Ethernet-Schnittstelle als Tunnelendpunkt verwendet wird. Im Falle eines Ausfalls wird die redundante Ethernet-Schnittstelle in der Backup-Firewall der SRX-Serie aktiv, wodurch der Tunnel gezwungen wird, die Endpunkte zu wechseln, um in der neuen aktiven Firewall der SRX-Serie zu enden. Da Tunnelschlüssel und Sitzungsinformationen zwischen den Mitgliedern des Chassis-Clusters synchronisiert werden, ist es bei einem Failover nicht erforderlich, den Tunnel neu auszuhandeln, und alle eingerichteten Sitzungen werden beibehalten.
Bei einem Ausfall der RG0 (Routing-Engine) müssen die Routing-Protokolle auf dem neuen primären Knoten neu eingerichtet werden. Wenn VPN-Überwachung oder Dead-Peer-Erkennung konfiguriert ist und der Timer abläuft, bevor das Routing wieder auf das neue primäre RG0 konvergiert, wird der VPN-Tunnel heruntergefahren und neu ausgehandelt.
Dynamische Tunnel können keinen Lastenausgleich über verschiedene SPCs hinweg durchführen.
Siehe auch
Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusterpaars mit einem IPsec-Tunnel
Dieses Beispiel zeigt, wie Aktiv/Passiv-Chassis-Clustering mit einem IPsec-Tunnel für Firewalls der SRX-Serie konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Sie erhalten zwei SRX5000 Modelle mit identischen Hardwarekonfigurationen, ein SRX1500 oder SRX1600 Gerät und vier Ethernet-Switches der EX-Serie.
Verbinden Sie die beiden Geräte physisch (Rücken an Rücken für die Fabric- und Steuerports) und stellen Sie sicher, dass es sich um dieselben Modelle handelt. Sie können sowohl die Fabric- als auch die Steuer-Ports auf der SRX5000-Reihe konfigurieren.
Versetzen Sie die beiden Geräte in den Cluster-Modus und starten Sie die Geräte neu. Sie müssen z.B. auf beiden Geräten folgende Betriebsmodusbefehle eingeben:
Auf Knoten 0:
user@host> set chassis cluster cluster-id 1 node 0 reboot
Auf Knoten 1:
user@host> set chassis cluster cluster-id 1 node 1 reboot
Die Cluster-ID ist auf beiden Geräten identisch, die Knoten-ID muss jedoch unterschiedlich sein, da ein Gerät Knoten 0 und das andere Gerät Knoten 1 ist. Der Bereich für die Cluster-ID liegt zwischen 1 und 255. Das Festlegen einer Cluster-ID auf 0 entspricht dem Deaktivieren eines Clusters.
Eine Cluster-ID größer als 15 kann nur festgelegt werden, wenn die Fabric- und Control Link-Schnittstellen hintereinander verbunden sind.
Sie erhalten zwei SRX5000 Modelle mit identischen Hardwarekonfigurationen, einen SRX1500-Edge-Router und vier Ethernet-Switches der EX-Serie.
Verbinden Sie die beiden Geräte physisch (Rücken an Rücken für die Fabric- und Steuerports) und stellen Sie sicher, dass es sich um dieselben Modelle handelt. Sie können sowohl die Fabric- als auch die Steuer-Ports auf der SRX5000-Reihe konfigurieren.
Von diesem Zeitpunkt an wird die Konfiguration des Clusters zwischen den Knotenmitgliedern synchronisiert, und die beiden separaten Geräte fungieren als ein Gerät. Mitgliederspezifische Konfigurationen (z. B. die IP-Adresse des Management-Ports jedes Mitglieds) werden mithilfe von Konfigurationsgruppen eingegeben.
Überblick
In diesem Beispiel wird ein einzelnes Gerät im Cluster in einem IPsec-Tunnel beendet und zur Verarbeitung des gesamten Datenverkehrs verwendet, während das andere Gerät nur im Falle eines Fehlers verwendet wird. (Siehe Abbildung 5.) Wenn ein Fehler auftritt, wird das Backup-Gerät primär und steuert die gesamte Weiterleitung.
In diesem Beispiel konfigurieren Sie Gruppen- (indem Sie die Konfiguration mit dem apply-groups Befehl anwenden) und Chassis-Clusterinformationen. Anschließend konfigurieren Sie die Parameter IKE, IPsec, statische Route, Sicherheitszone und Sicherheitsrichtlinie. Siehe Tabelle 5 bis Tabelle 11.
Merkmal |
Name |
Konfigurationsparameter |
|---|---|---|
Gruppen |
node0 |
|
|
node1 |
|
Merkmal |
Name |
Konfigurationsparameter |
|---|---|---|
Fabric-Links |
Fab0 |
Schnittstelle: xe-5/3/0 |
|
Fab1 |
Schnittstelle: xe-17/3/0 |
Anzahl redundanter Ethernet-Schnittstellen |
– |
2 |
Heartbeat-Intervall |
– |
1000 |
Heartbeat-Schwellenwert |
– |
3 |
Redundanzgruppe |
0 |
|
|
1 |
|
|
|
Schnittstellenüberwachung
|
Schnittstellen |
XE-5/1/0 |
Redundantes übergeordnetes Element: reth1 |
|
XE-5/1/0 |
Redundantes übergeordnetes Element: reth1 |
|
XE-5/0/0 |
Redundantes übergeordnetes Element: reth0 |
|
XE-17/0/0 |
Redundantes übergeordnetes Element: reth0 |
|
reth0 |
Redundanzgruppe: 1 |
|
|
|
|
reth1 |
Redundanzgruppe: 1 |
|
|
|
|
ST0 |
|
|
|
|
Merkmal |
Name |
Konfigurationsparameter |
|---|---|---|
Vorschlag |
Vorschlags-Set-Standard |
- |
Politik |
Vorinstallierten |
|
Tor |
SRX1500-1 |
Anmerkung:
Beim SRX-Chassis-Clustering werden nur die Schnittstellen reth und lo0 für die Konfiguration der externen IKE-Schnittstelle unterstützt. Andere Schnittstellentypen können konfiguriert werden, aber IPsec-VPN funktioniert möglicherweise nicht. Wenn eine logische lo0-Schnittstelle als externe IKE-Gateway-Schnittstelle verwendet wird, kann sie nicht mit RG0 konfiguriert werden. |
Merkmal |
Name |
Konfigurationsparameter |
|---|---|---|
Vorschlag |
Vorschlags-Set-Standard |
– |
Politik |
Geschlechtskrankheit |
– |
VPN |
SRX1500-1 |
Anmerkung:
Der Name des manuellen VPN und der Name des Site-to-Site-Gateways dürfen nicht identisch sein. |
Eine sichere Tunnelschnittstelle (st0) von st0.16000 bis st0.16385 ist für Multinode High Availability und für die HA-Control-Link-Verschlüsselung im Chassis-Cluster reserviert. Bei diesen Schnittstellen handelt es sich nicht um vom Benutzer konfigurierbare Schnittstellen. Sie können nur Schnittstellen von st0.0 bis st0.15999 verwenden.
Name |
Konfigurationsparameter |
|---|---|
0.0.0.0/0 |
Nächster Hop: 10.2.1.1 |
10.3.0.0/16 |
Nächster Hop: 10.10.1.2 |
Name |
Konfigurationsparameter |
|---|---|
vertrauen |
|
Unglaubwürdigkeit |
|
vpn |
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
Diese Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zu. |
JEGLICHE |
|
Diese Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu. |
vpn-beliebig |
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
{primary:node0}[edit]
set chassis cluster control-ports fpc 2 port 0
set chassis cluster control-ports fpc 14 port 0
set groups node0 system host-name SRX5800-1
set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24
set groups node1 system host-name SRX5800-2
set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces xe-5/3/0
set interfaces fab1 fabric-options member-interfaces xe-17/3/0
set chassis cluster reth-count 2
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster node 0
set chassis cluster node 1
set chassis cluster redundancy-group 0 node 0 priority 254
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 254
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 preempt
set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255
set interfaces xe-5/1/0 gigether-options redundant-parent reth1
set interfaces xe-17/1/0 gigether-options redundant-parent reth1
set interfaces xe-5/0/0 gigether-options redundant-parent reth0
set interfaces xe-17/0/0 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 10.1.1.60/16
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 10.2.1.60/16
set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30
set security ike policy preShared mode main
set security ike policy preShared proposal-set standard
set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password
set security ike gateway SRX1500-1 ike-policy preShared
set security ike gateway SRX1500-1 address 10.1.1.90
set security ike gateway SRX1500-1 external-interface reth0.0
set security ipsec policy std proposal-set standard
set security ipsec vpn SRX1500-1 bind-interface st0.0
set security ipsec vpn SRX1500-1 vpn-monitor optimized
set security ipsec vpn SRX1500-1 ike gateway SRX1500-1
set security ipsec vpn SRX1500-1 ike ipsec-policy std
set security ipsec vpn SRX1500-1 establish-tunnels immediately
set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2
set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces reth1.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces reth0.0
set security zones security-zone vpn host-inbound-traffic system-services all 144
set security zones security-zone vpn host-inbound-traffic protocols all
set security zones security-zone vpn interfaces st0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone vpn policy vpn-any then permit
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Aktiv/Passiv-Chassis-Clusterpaar mit einem IPsec-Tunnel:
Konfigurieren Sie die Steuerports.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 2 port 0 user@host# set chassis cluster control-ports fpc 14 port 0Konfigurieren Sie die Verwaltungsschnittstelle.
{primary:node0}[edit] user@host# set groups node0 system host-name SRX5800-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24 user@host#set groups node1 system host-name SRX5800-2 user@host# set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24 user@host# set apply-groups “${node}”Konfigurieren Sie die Fabric-Schnittstelle.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces xe-5/3/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-17/3/0Konfigurieren Sie Redundanzgruppen.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3 user@host# set chassis cluster node 0 user@host# set chassis cluster node 1 user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 254 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 preempt user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255Konfigurieren Sie redundante Ethernet-Schnittstellen.
{primary:node0}[edit] user@host# set interfaces xe-5/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-17/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-5/0/0 gigether-options redundant-parent reth0 user@host# set interfaces xe-17/0/0 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 10.1.1.60/16 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 10.2.1.60/16Konfigurieren Sie IPsec-Parameter.
{primary:node0}[edit] user@host# set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30 user@host# set security ike policy preShared mode main user@host# set security ike policy preShared proposal-set standard user@host# set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password user@host# set security ike gateway SRX1500-1 ike-policy preShared user@host# set security ike gateway SRX1500-1 address 10.1.1.90 user@host# set security ike gateway SRX1500-1 external-interface reth0.0 user@host# set security ipsec policy std proposal-set standard user@host# set security ipsec vpn SRX1500-1 bind-interface st0.0 user@host# set security ipsec vpn SRX1500-1 vpn-monitor optimized user@host# set security ipsec vpn SRX1500-1 ike gateway SRX1500-1 user@host# set security ipsec vpn SRX1500-1 ike ipsec-policy std user@host# set security ipsec vpn SRX1500-1 establish-tunnels immediatelyKonfigurieren Sie statische Routen.
{primary:node0}[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1 user@host# set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2Konfigurieren Sie Sicherheitszonen.
{primary:node0}[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces reth0.0 user@host# set security zones security-zone vpn host-inbound-traffic system-services all user@host# set security zones security-zone vpn host-inbound-traffic protocols all user@host# set security zones security-zone vpn interfaces st0.0Konfigurieren Sie Sicherheitsrichtlinien.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone vpn policy vpn-any then permit
Befund
Bestätigen Sie im Betriebsmodus Ihre Konfiguration, indem Sie den show configuration Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name SRX58001;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.50/24;
}
}
}
}
}
node1 {
system {
host-name SRX58002;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.51/24;
}
}
}
}
}
}
apply-groups "${node}";
system {
root-authentication {
encrypted-password "$ABC123";
}
}
chassis {
cluster {
reth-count 2;
heartbeat-interval 1000;
heartbeat-threshold 3;
control-ports {
fpc 2 port 0;
fpc 14 port 0;
}
redundancy-group 0 {
node 0 priority 254;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 254;
node 1 priority 1;
preempt;
interface-monitor {
xe–6/0/0 weight 255;
xe–6/1/0 weight 255;
xe–18/0/0 weight 255;
xe–18/1/0 weight 255;
}
}
}
}
interfaces {
xe–5/0/0 {
gigether–options {
redundant–parent reth0;
}
}
xe–5/1/0 {
gigether–options {
redundant–parent reth1;
}
}
xe–17/0/0 {
gigether–options {
redundant–parent reth0;
}
}
xe–17/1/0 {
gigether–options {
redundant–parent reth1;
}
}
fab0 {
fabric–options {
member–interfaces {
xe–5/3/0;
}
}
}
fab1 {
fabric–options {
member–interfaces {
xe–17/3/0;
}
}
}
reth0 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.1.1.60/16;
}
}
}
reth1 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.2.1.60/16;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 5.4.3.2/32;
}
}
}
}
routing–options {
static {
route 0.0.0.0/0 {
next–hop 10.2.1.1;
}
route 10.3.0.0/16 {
next–hop 10.10.1.2;
}
}
}
security {
zones {
security–zone trust {
host–inbound–traffic {
system–services {
all;
}
}
interfaces {
reth0.0;
}
}
security–zone untrust
host-inbound-traffic {
system-services {
all;
}
}
protocols {
all;
}
interfaces {
reth1.0;
}
}
security-zone vpn {
host-inbound-traffic {
system-services {
all;
}
}
protocols {
all;
}
interfaces {
st0.0;
}
}
}
policies {
from–zone trust to–zone untrust {
policy ANY {
match {
source–address any;
destination–address any;
application any;
}
then {
permit;
}
}
}
from–zone trust to–zone vpn {
policy vpn {
match {
source–address any;
destination–address any;
application any;
}
then {
permit;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Chassis-Cluster-Status
- Überprüfen von Chassis-Cluster-Schnittstellen
- Überprüfen der Chassis-Cluster-Statistiken
- Überprüfen der Statistik der Chassis-Cluster-Steuerungsebene
- Überprüfen der Data Plane-Statistik des Chassis-Clusters
- Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
- Fehlerbehebung mit Protokollen
Überprüfen des Chassis-Cluster-Status
Zweck
Überprüfen Sie den Chassis-Cluster-Status, den Failover-Status und die Redundanzgruppeninformationen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.
{primary:node0}
show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 1 primary no no
node1 254 secondary no no
Redundancy group: 1 , Failover count: 1
node0 1 primary yes no
node1 254 secondary yes no
Überprüfen von Chassis-Cluster-Schnittstellen
Zweck
Überprüfen Sie die Chassis-Cluster-Schnittstellen.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster interfaces Befehl ein.
{primary:node0}
user@host> show chassis cluster interfaces
Control link name: fxp1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
xe-5/0/0 255 Up 1
xe-5/1/0 255 Up 1
xe-17/0/0 255 Up 1
xe-17/1/0 255 Up 1
Überprüfen der Chassis-Cluster-Statistiken
Zweck
Überprüfen Sie Informationen zu Chassis-Cluster-Services und Steuerungsverbindungsstatistiken (gesendete und empfangene Taktsignale), Fabric-Link-Statistiken (gesendete und empfangene Sonden) und die Anzahl der für Services gesendeten und empfangenen RTOs.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster statistics Befehl ein.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Überprüfen der Statistik der Chassis-Cluster-Steuerungsebene
Zweck
Überprüfen Sie die Informationen zu den Statistiken der Chassis-Cluster-Steuerungsebene (gesendete und empfangene Taktsignale) und zu den Fabric-Link-Statistiken (gesendete und empfangene Tests).
Aktion
Geben Sie im Betriebsmodus den show chassis cluster control-panel statistics Befehl ein.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Überprüfen der Data Plane-Statistik des Chassis-Clusters
Zweck
Überprüfen Sie Informationen über die Anzahl der gesendeten und empfangenen RTOs für Services.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster data-plane statistics Befehl ein.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Überprüfen des Status der Chassis-Cluster-Redundanzgruppe
Zweck
Überprüfen Sie den Status und die Priorität beider Knoten in einem Cluster sowie Informationen darüber, ob der primäre Knoten vorzeitig entfernt wurde oder ob ein manuelles Failover stattgefunden hat.
Aktion
Geben Sie im Betriebsmodus den chassis cluster status redundancy-group Befehl ein.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 0 primary yes no
node1 254 secondary yes no
Fehlerbehebung mit Protokollen
Zweck
Verwenden Sie diese Protokolle, um Probleme mit dem Chassis-Cluster zu identifizieren. Sie müssen diese Protokolle auf beiden Knoten ausführen.
Aktion
Geben Sie im Betriebsmodus die folgenden show Befehle ein.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusterpaars mit einem IPsec-Tunnel (J-Web)
Aktivieren von Clustern. Weitere Informationen finden Sie unter Schritt 1 unter Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die Verwaltungsschnittstelle. Siehe Schritt 2 in Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die Fabric-Schnittstelle. Weitere Informationen finden Sie unter Schritt 3 unter Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die Redundanzgruppen.
Wählen Sie
Configure>System Properties>Chassis Clusteraus.Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Anzahl redundanter Ether-Schnittstellen:
2Herzschlag-Intervall:
1000Heartbeat-Schwelle:
3Knoten:
0Gruppennummer:
0Prioritäten:
254
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Knoten:
0Gruppennummer:
1Prioritäten:
254
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Knoten:
1Gruppennummer:
0Prioritäten:
1
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Knoten:
1Gruppennummer:
1Prioritäten:
1Vorzeitig: Aktivieren Sie das Kontrollkästchen.
Schnittstellenmonitor – Schnittstelle:
xe-5/0/0Schnittstellenmonitor – Gewichtung:
255Schnittstellenmonitor – Schnittstelle:
xe-5/1/0Schnittstellenmonitor – Gewichtung:
255Schnittstellenmonitor – Schnittstelle:
xe-17/0/0Schnittstellenmonitor – Gewichtung:
255Schnittstellenmonitor – Schnittstelle:
xe-17/1/0Schnittstellenmonitor – Gewichtung:
255
Konfigurieren Sie die redundanten Ethernet-Schnittstellen.
Wählen Sie
Configure>System Properties>Chassis Clusteraus.Wählen Sie
xe-5/1/0aus.Geben Sie diesen Text in das Feld Redundantes übergeordnetes Element ein
reth1.Klicken Sie auf
Apply.Wählen Sie
xe-17/1/0aus.Geben Sie diesen Text in das Feld Redundantes übergeordnetes Element ein
reth1.Klicken Sie auf
Apply.Wählen Sie
xe-5/0/0aus.Geben Sie diesen Text in das Feld Redundantes übergeordnetes Element ein
reth0.Klicken Sie auf
Apply.Wählen Sie
xe-17/0/0aus.Geben Sie diesen Text in das Feld Redundantes übergeordnetes Element ein
reth0.Klicken Sie auf
Apply.Siehe Schritt 5 in Beispiel: Konfigurieren eines Aktiv/Passiv-Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die IPsec-Konfiguration. Siehe Schritt 6 unter Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die statischen Routen .
Wählen Sie
Configure>Routing>Static Routingaus.Klicken Sie auf
Add.Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Adresse der statischen Route:
0.0.0.0/0Next-Hop-Adressen:
10.2.1.1
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf
Apply:Adresse der statischen Route:
10.3.0.0/16Next-Hop-Adressen:
10.10.1.2
Konfigurieren Sie die Sicherheitszonen. Weitere Informationen finden Sie unter Schritt 8 unter Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars mit einem IPsec-Tunnel.
Konfigurieren Sie die Sicherheitsrichtlinien. Siehe Schritt 9 in Beispiel: Konfigurieren eines aktiven/passiven Chassis-Clusterpaars mit einem IPsec-Tunnel.
Klicken Sie auf diese Schaltfläche
OK, um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern, und klicken Sie dann aufCommit Options>Commit.