AUF DIESER SEITE
Überwachen von IP-Adressen in einem Gehäusecluster
Die Überwachung der IP-Adressen der Redundanzgruppe überprüft die End-to-End-Konnektivität und ermöglicht einer Redundanzgruppe ein Failover, wenn die Reth-Schnittstelle eine konfigurierte IP-Adresse nicht erreicht. Redundanzgruppen auf beiden Geräten in einem Cluster können so konfiguriert werden, dass sie bestimmte IP-Adressen überwachen, um festzustellen, ob ein vorgeschaltetes Gerät im Netzwerk erreichbar ist. Weitere Informationen finden Sie in den folgenden Themen:
IP-Überwachung im Überblick
Die IP-Überwachung überprüft die End-to-End-Konnektivität konfigurierter IP-Adressen und ermöglicht einer Redundanzgruppe einen automatischen Failover, wenn die überwachte IP-Adresse nicht über die redundante Ethernet-Schnittstelle (reth) erreichbar ist. Sowohl der primäre als auch der sekundäre Knoten im Chassis-Cluster überwachen bestimmte IP-Adressen, um festzustellen, ob ein vorgeschaltetes Gerät im Netzwerk erreichbar ist.
Die IP-Überwachung ermöglicht ein Failover auf der Grundlage der End-to-End-Erreichbarkeit einer konfigurierten überwachten IP-Adresse. Bei Firewalls der SRX-Serie wird der Erreichbarkeitstest durchgeführt, indem sowohl vom primären als auch vom sekundären Knoten über die reth-Schnittstelle ein Ping an die überwachte IP-Adresse gesendet und überprüft wird, ob eine Antwort zurückgegeben wird. Die überwachte IP-Adresse kann sich auf einem direkt verbundenen Host im selben Subnetz wie die reth-Schnittstelle oder auf einem Remote-Gerät befinden, das über einen Next-Hop-Router erreichbar ist.
Die Erreichbarkeitszustände der überwachten IP-Adresse sind erreichbar, nicht erreichbar und unbekannt. Der Status ist "unbekannt", wenn die Packet Forwarding Engines noch nicht in Betrieb sind. Der Status ändert sich entweder in "erreichbar" oder "nicht erreichbar", abhängig von der entsprechenden Nachricht von der Packet Forwarding Engine.
Es wird nicht empfohlen, die IP-Überwachung des Gehäuse-Clusters in der Redundanzgruppe 0 (RG0) für Firewalls der SRX-Serie zu konfigurieren.
Tabelle 1 enthält Details zu verschiedenen Kombinationen der überwachten Ergebnisse sowohl vom primären als auch vom sekundären Knoten und den entsprechenden Aktionen des Juniper Services Redundancy Protocol (jsrpd)-Prozesses.
Überwachter Status des primären Knotens |
Überwachter Status des sekundären Knotens |
Failover-Maßnahme |
|---|---|---|
Erreichbar |
Erreichbar |
Keine Aktion |
Unerreichbar |
Erreichbar |
Failover |
Erreichbar |
Unerreichbar |
Keine Aktion |
Unerreichbar |
Unerreichbar |
Keine Aktion |
Sie können bis zu 64 IP-Adressen für die IP-Überwachung auf Geräten der SRX5000-Reihe konfigurieren.
Auf Geräten der SRX Branch-Serie wird die IP-Überwachung für redundante Gruppen nicht unterstützt, wenn für die Reth-Schnittstelle mehr als eine physische Schnittstelle konfiguriert ist. Die SRX verwendet die niedrigste Schnittstelle im Paket für die Verfolgung auf dem sekundären Knoten. Wenn der Peer die Antwort an einen anderen Port weiterleitet als den, auf dem er sie empfangen hat, verwirft die SRX sie.
Das minimale Intervall der IP-Überwachung beträgt 1 Sekunde und das Maximum 30 Sekunden. Das Standardintervall beträgt 1 Sekunde.
Der Mindestschwellenwert für die IP-Überwachung beträgt 5 Anforderungen und der Höchstwert 15 Anfragen. Wenn die IP-Überwachungsanforderung bei aufeinanderfolgenden Anforderungen keine Antwort erhält (Überschreitung des Schwellenwerts), meldet die IP-Überwachung, dass die überwachte IP nicht erreichbar ist. Der Standardwert für den Schwellenwert ist 5.
Die Reth-Schnittstelle, die nicht mit der Redundanzgruppe (RG) in der IP-Überwachungs-CLI-Konfiguration verknüpft ist, wird unterstützt.
Tabelle 2 enthält Details zu mehreren Schnittstellenkombinationen von IOC2 und IOC3 mit maximalen MAC-Zahlen.
Karten |
Schnittstellen |
Maximale Anzahl von MACs, die für die IP-Überwachung unterstützt werden |
|---|---|---|
IOC2 (SRX5K-MPC) |
10 x ge |
10 |
20GE |
20 |
|
2 x 40 GE |
2 |
|
1 X 100 GE |
1 |
|
IOC3 (SRX5K-MPC3-40G10G oder SRX5K-MPC3-100G10G) |
24 x 10 GE |
24 |
6 x 40 GE |
6 |
|
2 x 100 GE + 4 x 10 GE |
6 |
Beachten Sie die folgenden Einschränkungen für die Unterstützung der IP-Überwachung auf IOC2 und IOC3 der SRX5000-Reihe:
Die IP-Überwachung wird über die Reth- oder die RLAG-Schnittstelle unterstützt. Wenn in Ihrer Konfiguration keine dieser Schnittstellen angegeben ist, gibt die Routensuche eine Nicht-Reth/RLAG-Schnittstelle zurück, was zu einem Fehlerbericht führt.
ECMP-Routing (Equal-Cost Multipath) wird bei der IP-Überwachung nicht unterstützt.
Vorteile der Überwachung von IP-Adressen in einem Chassis-Cluster
Hilft dabei, den Status einer bestimmten IP-Adresse in einem Chassis-Cluster-Setup als unbekannt, erreichbar oder nicht erreichbar zu bestimmen.
Initiiert ein Failover basierend auf der End-to-End-Erreichbarkeit einer konfigurierten überwachten IP-Adresse. Wenn die überwachte IP-Adresse nicht mehr erreichbar ist, kann die Redundanzgruppe ein Failover auf ihre Sicherung durchführen, um den Dienst aufrechtzuerhalten.
Siehe auch
Grundlegendes zur Überwachung der IP-Adressen von Chassis-Cluster-Redundanzgruppen
Die Überwachung der IP-Adressen von Redundanzgruppen überprüft die End-to-End-Konnektivität und ermöglicht einem Failover einer Redundanzgruppe, wenn eine redundante Ethernet-Schnittstelle (auch als Reth bezeichnet) eine konfigurierte IP-Adresse nicht erreichen kann. Redundanzgruppen auf beiden Geräten in einem Cluster können so konfiguriert werden, dass sie bestimmte IP-Adressen überwachen, um festzustellen, ob ein vorgeschaltetes Gerät im Netzwerk erreichbar ist. Die Redundanzgruppe kann so konfiguriert werden, dass die Redundanzgruppe ein Failover auf ihre Sicherung durchführt, wenn die überwachte IP-Adresse nicht mehr erreichbar ist, um den Dienst aufrechtzuerhalten. Der Hauptunterschied zwischen dieser Überwachungsfunktion und der Schnittstellenüberwachung besteht darin, dass die IP-Adressüberwachung ein Failover ermöglicht, wenn die Schnittstelle noch aktiv ist, das Netzwerkgerät, mit dem sie verbunden ist, aber aus irgendeinem Grund nicht erreichbar ist. Unter diesen Umständen ist es möglich, dass der andere Knoten im Cluster den Datenverkehr um das Problem herumleitet.
Wenn Sie die Failover dämpfen möchten, die aufgrund von Fehlern bei der IP-Adressüberwachung auftreten, verwenden Sie die Anweisung hold-down-interval .
Mit der Konfiguration für die Überwachung von IP-Adressen können Sie nicht nur die zu überwachende Adresse und deren Failover-Gewichtung festlegen, sondern auch einen Schwellenwert und eine Gewichtung für die globale IP-Adressüberwachung. Erst wenn der globale Schwellenwert für die IP-Adressüberwachung aufgrund eines kumulativen Fehlers bei der Erreichbarkeit überwachter Adressen erreicht ist, wird der globale Gewichtungswert für die IP-Adressenüberwachung vom Failoverschwellenwert der redundanten Gruppe abgezogen. Auf diese Weise können mehrere Adressen gleichzeitig überwacht und auf ihre Bedeutung für die Aufrechterhaltung des Verkehrsflusses abgestimmt werden. Außerdem wird der Schwellenwert einer IP-Adresse, die nicht erreichbar ist und dann wieder erreichbar ist, auf den Überwachungsschwellenwert zurückgesetzt. Dies führt jedoch nicht zu einem Failback, es sei denn, die Option zum Trennen wurde aktiviert.
Bei der Konfiguration wird der Failover-Wert für die IP-Adressüberwachung (globale Gewichtung) zusammen mit der Schnittstellenüberwachung (falls festgelegt) und der integrierten Failover-Überwachung (einschließlich SPU-Überwachung, Überwachung der kalten Synchronisierung und NPC-Überwachung (auf unterstützten Plattformen) berücksichtigt. Die wichtigsten IP-Adressen, die überwacht werden sollten, sind Router-Gateway-Adressen, um sicherzustellen, dass gültiger Datenverkehr, der in das Services Gateway eingeht, an den entsprechenden Netzwerk-Router weitergeleitet werden kann.
Ab Junos OS Version 12.1X46-D35 und Junos OS Version 17.3R1 unterstützt die Reth-Schnittstelle für alle Firewalls der SRX-Serie Proxy-ARP.
Eine Services Processing Unit (SPU) oder Packet Forwarding Engine (PFE) pro Knoten ist für das Senden von ICMP-Ping-Paketen (Internet Control Message Protocol) für die überwachten IP-Adressen im Cluster vorgesehen. Der primäre PFE sendet Ping-Pakete mithilfe von ARP-Anforderungen (Address Resolution Protocol), die von der Routing-Engine (RE) aufgelöst werden. Die Quelle für diese Pings sind die redundanten MAC- und IP-Adressen der Ethernet-Schnittstelle. Die sekundäre PFE löst ARP-Anforderungen für die überwachte IP-Adresse selbst auf. Die Quelle für diese Pings ist die physische untergeordnete MAC-Adresse und eine sekundäre IP-Adresse, die auf der redundanten Ethernet-Schnittstelle konfiguriert ist. Damit die Ping-Antwort auf der sekundären Schnittstelle empfangen werden kann, fügt die E/A-Karte (IOC), der zentrale PFE-Prozessor oder Flex-IOC sowohl die physische untergeordnete MAC-Adresse als auch die redundante MAC-Adresse der Ethernet-Schnittstelle zu seiner MAC-Tabelle hinzu. Der sekundäre PFE antwortet mit der physischen, untergeordneten MAC-Adresse auf ARP-Anfragen, die an die sekundäre IP-Adresse gesendet werden, die auf der redundanten Ethernet-Schnittstelle konfiguriert ist.
Die Überwachung von IP-Adressen wird auf Geräten der SRX5000-Reihe nicht unterstützt, wenn die redundante Ethernet-Schnittstelle für eine VPN-Routing- und Weiterleitungsinstanz (VRF) konfiguriert ist.
Das Standardintervall für die Überprüfung der Erreichbarkeit einer überwachten IP-Adresse ist einmal pro Sekunde. Das Intervall kann mit dem retry-interval Befehl angepasst werden. Die Standardanzahl der zulässigen aufeinanderfolgenden fehlgeschlagenen Ping-Versuche beträgt 5. Die Anzahl der zulässigen aufeinanderfolgenden fehlgeschlagenen Ping-Versuche kann mit dem retry-count Befehl angepasst werden. Nachdem eine überwachte IP-Adresse bei der konfigurierten Anzahl aufeinanderfolgender Versuche nicht erreicht werden konnte, wird die IP-Adresse als unerreichbar eingestuft, und ihr Failoverwert wird vom globalen Schwellenwert der Redundanzgruppe abgezogen.
Auf SRX5600- und SRX5800 Geräten können nur zwei der 10 Ports pro PIC von 40-Port-1-Gigabit-Ethernet-E/A-Karten (IOCs) gleichzeitig die IP-Adressüberwachung aktivieren. Da es vier PICs pro IOC gibt, können insgesamt acht Ports pro IOC überwacht werden. Wenn mehr als zwei Ports pro PIC auf 40-Port-1-Gigabit-Ethernet-IOCs für die IP-Adressüberwachung konfiguriert sind, ist der Commit erfolgreich, aber es wird ein Protokolleintrag generiert, und die Genauigkeit und Stabilität der IP-Adressüberwachung kann nicht sichergestellt werden. Diese Einschränkung gilt nicht für andere IOCs oder Geräte.
Sobald festgestellt wurde, dass die IP-Adresse nicht erreichbar ist, wird ihre Gewichtung vom globalen Schwellenwert abgezogen. Wenn der neu berechnete globale Schwellenwert nicht 0 ist, wird die IP-Adresse als nicht erreichbar markiert, aber die globale Gewichtung wird nicht vom Schwellenwert der Redundanzgruppe abgezogen. Wenn der globale Schwellenwert für die IP-Überwachung der Redundanzgruppe 0 erreicht und nicht erreichbare IP-Adressen vorhanden sind, führt die Redundanzgruppe kontinuierlich ein Failover und ein Failback zwischen den Knoten durch, bis entweder eine nicht erreichbare IP-Adresse erreichbar wird oder durch eine Konfigurationsänderung nicht erreichbare IP-Adressen aus der Überwachung entfernt werden. Beachten Sie, dass sowohl die standardmäßige als auch die konfigurierte Failover-Dämpfung mit Hold-Down-Intervall weiterhin wirksam ist.
Jede Redundanzgruppe x hat einen Schwellenwerttoleranzwert, der anfänglich auf 255 festgelegt ist. Wenn eine IP-Adresse, die von der Redundanzgruppe x überwacht wird, nicht mehr verfügbar ist, wird ihre Gewichtung vom Schwellenwert der Redundanzgruppe x abgezogen. Wenn der Schwellenwert der Redundanzgruppe x 0 erreicht, wird ein Failover auf den anderen Knoten ausgeführt. Wenn z. B. Redundanzgruppe 1 auf Knoten 0 primär war, wird Redundanzgruppe 1 beim Ereignis der Schwellenwertüberschreitung zu primär auf Knoten 1. In diesem Fall beginnen alle untergeordneten Schnittstellen der redundanten Ethernet-Schnittstellen von Redundanzgruppe 1 mit der Verarbeitung des Datenverkehrs.
Ein Failover der Redundanzgruppe x tritt auf, weil die kumulative Gewichtung der überwachten IP-Adressen der Redundanzgruppe x und anderer Überwachung den Schwellenwert auf 0 gebracht hat. Wenn die überwachten IP-Adressen der Redundanzgruppe x auf beiden Knoten gleichzeitig ihre Schwellenwerte erreichen, ist die Redundanzgruppe x primär auf dem Knoten mit der niedrigeren Knoten-ID, bei der es sich in der Regel um Knoten 0 handelt.
Die Fehlererkennung von Upstream-Geräten für die Gehäuse-Cluster-Funktion wird von Firewalls der SRX-Serie unterstützt.
Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 wird die Konfiguration der ARP-Anforderungsdrosselung (Address Resolution Protocol) auf Geräten der SRX5000-Reihe unterstützt. Mit dieser Funktion können Sie die zuvor hartcodierte ARP-Anforderungsdrosselungszeit (10 Sekunden pro SPU für jede IP-Adresse) umgehen und die Zeit auf einen höheren Wert (10 bis 100 Sekunden) festlegen. Wenn Sie die Drosselungszeit auf einen höheren Wert festlegen, wird die hohe Auslastung der Routing-Engine verringert, sodass sie effizienter arbeiten kann. Mit dem Befehl können Sie die set forwarding-options next-hop arp-throttle <seconds> Drosselungszeit für ARP-Anforderungen konfigurieren.
Die Überwachung kann nur durchgeführt werden, wenn die IP-Adresse über eine redundante Ethernet-Schnittstelle erreichbar ist (in CLI-Befehlen und Schnittstellenlisten als Reth bezeichnet) und IP-Adressen nicht über einen Tunnel überwacht werden können. Damit eine IP-Adresse über eine redundante Ethernet-Schnittstelle auf einem sekundären Clusterknoten überwacht werden kann, muss die Schnittstelle über eine sekundäre IP-Adresse verfügen. Die IP-Adressüberwachung kann nicht für einen Chassis-Cluster verwendet werden, der im transparenter Modus ausgeführt wird. Die maximale Anzahl von Überwachungs-IP-Adressen, die pro Cluster konfiguriert werden können, beträgt 64 für die Firewalls der SRX5000-Serie, die SRX1500-, SRX1600-, SRX2300-, SRX4120- und SRX4000-Serie.
Die Überwachung der IP-Adressen von Redundanzgruppen wird für IPv6-Ziele nicht unterstützt.
Beispiel: Konfigurieren der IP-Adressüberwachung der Chassis-Cluster-Redundanzgruppe
In diesem Beispiel wird gezeigt, wie die Überwachung der IP-Adresse einer Redundanzgruppe für eine Firewall der SRX-Serie in einem Gehäusecluster konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Legen Sie die Gehäuse-Clusterknoten-ID und die Cluster-ID fest. Siehe Beispiel: Festlegen der Knoten-ID und der Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster
Konfigurieren Sie die Verwaltungsschnittstelle des Chassis-Clusters. Siehe Beispiel: Konfigurieren der Chassis-Cluster-Verwaltungsschnittstelle.
Konfigurieren Sie die Chassis-Cluster-Fabric. Siehe Beispiel: Konfigurieren der Chassis-Cluster-Fabric-Schnittstellen.
Überblick
Sie können Redundanzgruppen so konfigurieren, dass Upstreamressourcen überwacht werden, indem bestimmte IP-Adressen, die über redundante Ethernet-Schnittstellen auf einem der Knoten in einem Cluster erreichbar sind, angepingt werden. Sie können auch die Parameter "Schwellenwert", "Gewichtung", "Wiederholungsintervall" und "Anzahl der Wiederholungen" für eine Redundanzgruppe konfigurieren. Wenn eine überwachte IP-Adresse nicht mehr erreichbar ist, wird die Gewichtung dieser überwachten IP-Adresse vom globalen Schwellenwert für die Überwachung der IP-Adresse der Redundanzgruppe abgezogen. Wenn der globale Schwellenwert 0 erreicht, wird die globale Gewichtung vom Schwellenwert für die Redundanzgruppe abgezogen. Das Wiederholungsintervall bestimmt das Ping-Intervall für jede IP-Adresse, die von der Redundanzgruppe überwacht wird. Die Pings werden gesendet, sobald die Konfiguration festgeschrieben ist. Die Anzahl der Wiederholungen legt die Anzahl der zulässigen aufeinanderfolgenden Ping-Fehler für jede IP-Adresse fest, die von der Redundanzgruppe überwacht wird.
In diesem Beispiel konfigurieren Sie die folgenden Einstellungen für Redundanzgruppe 1:
Zu überwachende IP-Adresse: 10.1.1.10
Überwachung von IP-Adressen: Globale Gewichtung: 100
Überwachung von IP-Adressen: Globaler Schwellenwert: 200
Der Schwellenwert gilt kumulativ für alle IP-Adressen, die von der Redundanzgruppe überwacht werden.
Wiederholungsintervall für IP-Adressen – 3 Sekunden
Anzahl der Wiederholungsversuche für IP-Adressen: 10
Gewicht: 100
Redundante Ethernet-Schnittstelle—reth1.0
Sekundäre IP-Adresse: 10.1.1.101
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
{primary:node0}[edit]
user@host#
set chassis cluster redundancy-group 1 ip-monitoring global-weight 100
set chassis cluster redundancy-group 1 ip-monitoring global-threshold 200
set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3
set chassis cluster redundancy-group 1 ip-monitoring retry-count 10
set chassis cluster redundancy-group 1 ip-monitoring family inet 10.1.1.10 weight 100 interface reth1.0 secondary-ip-address 10.1.1.101
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Überwachung der IP-Adresse einer Redundanzgruppe:
Geben Sie eine globale Überwachungsgewichtung an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 100Geben Sie den globalen Überwachungsschwellenwert an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 200Geben Sie das Wiederholungsintervall an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3Geben Sie die Anzahl der Wiederholungsversuche an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10Geben Sie die zu überwachende IP-Adresse, das Gewicht, die redundante Ethernet-Schnittstelle und die sekundäre IP-Adresse an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 10.1.1.10 weight 100 interface reth1.0 secondary-ip-address 10.1.1.101
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show chassis cluster redundancy-group 1 Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
{primary:node0}[edit]
user@host# show chassis cluster redundancy-group 1
ip-monitoring {
global-weight 100;
global-threshold 200;
family {
inet {
10.1.1.10 {
weight 100;
interface reth1.0 secondary-ip-address 10.1.1.101;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen des Status überwachter IP-Adressen für eine Redundanzgruppe
Zweck
Überprüfen Sie den Status der überwachten IP-Adressen für eine Redundanzgruppe.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster ip-monitoring status Befehl ein. Um Informationen zu einer bestimmten Gruppe zu erhalten, geben Sie den show chassis cluster ip-monitoring status redundancy-group Befehl ein.
{primary:node0}
user@host> show chassis cluster ip-monitoring status
node0:
--------------------------------------------------------------------------
Redundancy group: 1
Global threshold: 200
Current threshold: -120
IP address Status Failure count Reason Weight
10.1.1.10 reachable 0 n/a 100
10.1.1.101 reachable 0 n/a 100
node1:
--------------------------------------------------------------------------
Redundancy group: 1
Global threshold: 200
Current threshold: -120
IP address Status Failure count Reason Weight
10.1.1.10 reachable 0 n/a 100
10.1.1.101 reachable 0 n/a 100
Beispiel: Konfigurieren der IP-Überwachung auf Geräten der SRX5000-Reihe für IOC2 und IOC3
In diesem Beispiel wird gezeigt, wie die IP-Adresse auf einem Gerät der SRX5000-Reihe mit aktiviertem Gehäuse-Cluster überwacht wird.
Anforderungen
In diesem Beispiel wird die folgende Hardware und Software verwendet:
Zwei SRX5400 Services Gateways mit MIC (SRX-MIC-10XG-SFPP [IOC2]) und ein Ethernet-Switch
Junos OS-Version 15.1X49-D30
Das in diesem Beispiel erwähnte Verfahren ist auch auf IOC3 anwendbar.
Bevor Sie beginnen:
Verbinden Sie die beiden SRX5400 Geräte physisch (Rücken an Rücken für die Fabric und die Steuerports).
Konfigurieren Sie die beiden Geräte für den Betrieb in einem Gehäuse-Cluster.
Überblick
Die IP-Adressüberwachung prüft die End-to-End-Erreichbarkeit der konfigurierten IP-Adresse und ermöglicht einem automatischen Failover einer Redundanzgruppe, wenn sie über die untergeordnete Verbindung der redundanten Ethernet-Schnittstelle (reth) nicht erreichbar ist. Redundanzgruppen auf beiden Geräten oder Knoten in einem Cluster können so konfiguriert werden, dass sie bestimmte IP-Adressen überwachen, um festzustellen, ob ein vorgeschaltetes Gerät im Netzwerk erreichbar ist.
Topologie
In diesem Beispiel sind zwei SRX5400 Geräte in einem Gehäuse-Cluster mit einem Ethernet-Switch verbunden. Das Beispiel zeigt, wie die Redundanzgruppen so konfiguriert werden können, dass sie wichtige vorgelagerte Ressourcen überwachen, die über redundante Ethernet-Schnittstellen auf jedem Knoten in einem Cluster erreichbar sind.
Sie stellen das System so ein, dass jede Sekunde Pings gesendet werden, wobei 10 Verluste erforderlich sind, um die Nichterreichbarkeit gegenüber dem Peer zu erklären. Außerdem richten Sie eine sekundäre IP-Adresse ein, um Tests vom sekundären Knoten aus zuzulassen.
In diesem Beispiel konfigurieren Sie die folgenden Einstellungen für Redundanzgruppe 1:
Zu überwachende IP-Adressen: 192.0.2.2, 198.51.100.2, 203.0.113.2
IP-Überwachung mit globalem Gewicht—255
Globaler Schwellenwert für IP-Überwachung: 240
Wiederholungsintervall für IP-Überwachung – 3 Sekunden
Anzahl der Wiederholungsversuche für die IP-Überwachung: 10
Gewichtung für überwachte IP-Adresse: 80
Sekundäre IP-Adressen— 192.0.2.12, 198.51.100.12, 203.0.113.12
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, kopieren Sie die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set chassis cluster reth-count 10 set chassis cluster control-ports fpc 3 port 0 set chassis cluster control-ports fpc 0 port 0 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 199 set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 set chassis cluster redundancy-group 1 ip-monitoring global-threshold 240 set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 set chassis cluster redundancy-group 1 ip-monitoring retry-count 10 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 interface reth0.0 secondary-ip-address 192.0.2.12 set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 interface reth1.0 secondary-ip-address 198.51.100.12 set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 interface reth2.0 secondary-ip-address 203.0.113.12 set interfaces xe-1/2/1 gigether-options redundant-parent reth0 set interfaces xe-1/2/2 gigether-options redundant-parent reth2 set interfaces xe-1/2/3 gigether-options redundant-parent reth1 set interfaces xe-4/2/1 gigether-options redundant-parent reth0 set interfaces xe-4/2/2 gigether-options redundant-parent reth2 set interfaces xe-4/2/3 gigether-options redundant-parent reth1 set interfaces fab0 fabric-options member-interfaces xe-1/2/0 set interfaces fab1 fabric-options member-interfaces xe-4/2/0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.1/24 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth2 unit 0 family inet address 203.0.113.1/24 set security zones security-zone HOST host-inbound-traffic system-services any-service set security zones security-zone HOST host-inbound-traffic protocols all set security zones security-zone HOST interfaces all
Konfigurieren der IP-Überwachung auf einem 10x10GE SFP+ MIC
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die IP-Überwachung auf einer 10x10GE SFP+ MIC:
Geben Sie die Anzahl der redundanten Ethernet-Schnittstellen an.
{primary:node0}[edit] user@host# set chassis cluster reth-count 10Konfigurieren Sie die Steuerports.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 3 port 0 user@host# set chassis cluster control-ports fpc 0 port 0Konfigurieren von Fabric-Schnittstellen.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces xe-1/2/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-4/2/0Geben Sie die Priorität einer Redundanzgruppe für den Primacy auf jedem Knoten des Clusters an. Die höhere Zahl hat Vorrang.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 200 user@host# set chassis cluster redundancy-group 1 node 1 priority 199Konfigurieren Sie die IP-Überwachung unter Redundanzgruppe 1 mit globaler Gewichtung, globalem Schwellenwert, Wiederholungsintervall und Wiederholungsanzahl.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 240 user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10Konfigurieren Sie die redundanten Ethernet-Schnittstellen zur Redundanzgruppe 1. Weisen Sie der zu überwachenden IP-Adresse eine Gewichtung zu, und konfigurieren Sie eine sekundäre IP-Adresse, die zum Senden von Paketen vom sekundären Knoten verwendet wird, um die überwachte IP-Adresse nachzuverfolgen.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 interface reth0.0 secondary-ip-address 192.0.2.12 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 interface reth1.0 secondary-ip-address 198.51.100.12 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 interface reth2.0 secondary-ip-address 203.0.113.12Weisen Sie den redundanten Ethernet-Schnittstellen von Knoten 0, Knoten 1 und Knoten 2 untergeordnete Schnittstellen zu.
{primary:node0}[edit] user@host# set interfaces xe-1/2/1 gigether-options redundant-parent reth0 user@host# set interfaces xe-1/2/2 gigether-options redundant-parent reth2 user@host# set interfaces xe-1/2/3 gigether-options redundant-parent reth1 user@host# set interfaces xe-4/2/1 gigether-options redundant-parent reth0 user@host# set interfaces xe-4/2/2 gigether-options redundant-parent reth2 user@host# set interfaces xe-4/2/3 gigether-options redundant-parent reth1Konfigurieren Sie die redundanten Ethernet-Schnittstellen zur Redundanzgruppe 1.
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 192.0.2.1/24 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces reth2 redundant-ether-options redundancy-group 1 user@host# set interfaces reth2 unit 0 family inet address 203.0.113.1/24Erstellen Sie eine Sicherheitszone und weisen Sie der Zone Schnittstellen zu.
user@host# set security zones security-zone HOST host-inbound-traffic system-services any-service user@host# set security zones security-zone HOST host-inbound-traffic protocols all user@host# set security zones security-zone HOST interfaces all
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security chassis cluster Befehle und show interfaces eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
chassis {
cluster {
reth-count 10;
redundancy-group 0 {
node 0 priority 254;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 200;
node 1 priority 199;
ip-monitoring {
global-weight 255;
global-threshold 240;
retry-interval 3;
retry-count 10;
family {
inet {
192.0.2.2 {
weight 80;
interface reth0.0 secondary-ip-address 192.0.2.12;
}
198.51.100.2 {
weight 80;
interface reth1.0 secondary-ip-address 198.51.100.12;
}
203.0.113.2 {
weight 80;
interface reth2.0 secondary-ip-address 203.0.113.12;
}
}
}
}
}
}
}
interfaces {
xe-1/2/1 {
gigether-options {
redundant-parent reth0;
}
}
xe-1/2/2 {
gigether-options {
redundant-parent reth2;
}
}
xe-1/2/3 {
gigether-options {
redundant-parent reth1;
}
}
xe-4/2/1 {
gigether-options {
redundant-parent reth0;
}
}
xe-4/2/2 {
gigether-options {
redundant-parent reth2;
}
}
xe-4/2/3 {
gigether-options {
redundant-parent reth1;
}
}
fab0 {
fabric-options {
member-interfaces {
xe-1/2/0;
}
}
}
fab1 {
fabric-options {
member-interfaces {
xe-4/2/0;
}
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 203.0.113.1/24;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen des IP-Überwachungsstatus
Zweck
Überprüfen Sie den IP-Status, der von beiden Knoten überwacht wird, und die Fehleranzahl für beide Knoten.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster ip-monitoring status Befehl ein.
show chassis cluster ip-monitoring status
node0:
--------------------------------------------------------------------------
Redundancy group: 1
Global weight: 255
Global threshold: 240
Current threshold: 240
IP address Status Failure count Weight Reason
203.0.113.2 reachable 1 80 n/a
198.51.100.2 reachable 1 80 n/a
192.0.2.2 reachable 1 80 n/a
node1:
--------------------------------------------------------------------------
Redundancy group: 1
Global weight: 255
Global threshold: 240
Current threshold: 240
IP address Status Failure count Weight Reason
203.0.113.2 reachable 2 80 n/a
198.51.100.2 reachable 1 80 n/a
192.0.2.2 reachable 2 80 n/a
Bedeutung
Alle überwachten IP-Adressen sind erreichbar.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.