AUF DIESER SEITE
Überwachen von IP-Adressen in einem Chassis-Cluster
Die Überwachung der IP-Adresse von Redundanzgruppen überprüft die End-to-End-Konnektivität und ermöglicht einer Redundanzgruppe das Failover, wenn die RETH-Schnittstelle eine konfigurierte IP-Adresse nicht erreicht. Redundanzgruppen auf beiden Geräten in einem Cluster können so konfiguriert werden, dass bestimmte IP-Adressen überwacht werden, um festzustellen, ob ein Upstream-Gerät im Netzwerk erreichbar ist. Weitere Informationen finden Sie in den folgenden Themen:
Überblick über die IP-Überwachung
Die IP-Überwachung prüft die End-to-End-Konnektivität der konfigurierten IP-Adressen und ermöglicht einer Redundanzgruppe das automatische Failover, wenn die überwachte IP-Adresse nicht über die redundante Ethernet-Schnittstelle (reth) erreichbar ist. Sowohl der primäre als auch der sekundäre Knoten im Chassis-Cluster überwachen bestimmte IP-Adressen, um zu bestimmen, ob ein vorgeschaltetes Gerät im Netzwerk erreichbar ist.
Die IP-Überwachung ermöglicht ein Failover basierend auf der End-to-End-Erreichbarkeit einer konfigurierten überwachten IP-Adresse. Bei Firewalls der SRX-Serie wird der Erreichbarkeitstest durchgeführt, indem sowohl vom primären als auch vom sekundären Knoten über die Reth-Schnittstelle ein Ping an die überwachte IP-Adresse gesendet wird und geprüft wird, ob eine Antwort zurückgegeben wird. Die überwachte IP-Adresse kann sich auf einem direkt verbundenen Host im selben Subnetz wie die Reth-Schnittstelle oder auf einem Remote-Gerät befinden, das über einen Next-Hop-Router erreichbar ist.
Die Erreichbarkeitsstatus der überwachten IP-Adresse sind erreichbar, nicht erreichbar und unbekannt. Der Status ist "unbekannt", wenn die Packet Forwarding Engines noch nicht in Betrieb sind. Der Status ändert sich entweder in "erreichbar" oder "nicht erreichbar", abhängig von der entsprechenden Meldung von der Packet Forwarding Engine.
Es wird nicht empfohlen, die IP-Überwachung des Chassis-Clusters für Firewalls der SRX-Serie auf Redundanzgruppe 0 (RG0) zu konfigurieren.
Tabelle 1 enthält Details zu den verschiedenen Kombinationen der überwachten Ergebnisse des primären und sekundären Knotens sowie zu den entsprechenden Aktionen des Juniper Services Redundancy Protocol (jsrpd)-Prozesses.
Überwachter Status des primären Knotens |
Überwachter Status des sekundären Knotens |
Failover-Aktion |
|---|---|---|
Erreichbar |
Erreichbar |
Keine Aktion |
Unerreichbar |
Erreichbar |
Failover |
Erreichbar |
Unerreichbar |
Keine Aktion |
Unerreichbar |
Unerreichbar |
Keine Aktion |
Sie können bis zu 64 IP-Adressen für die IP-Überwachung auf Geräten SRX5000 Leitung konfigurieren.
Wenn auf Geräten der SRX Branch-Serie mehr als eine physische Schnittstelle konfiguriert ist, wird die IP-Überwachung für redundante Gruppen nicht unterstützt. Die SRX verwendet die unterste Schnittstelle im Bundle für das Tracking auf dem sekundären Knoten. Wenn der Peer die Antwort an einen anderen Port weiterleitet als den, an dem er sie empfangen hat, verwirft die SRX sie.
Das minimale Intervall der IP-Überwachung beträgt 1 Sekunde und das maximale 30 Sekunden. Das Standardintervall beträgt 1 Sekunde.
Der Mindestschwellenwert für die IP-Überwachung beträgt 5 Anfragen und der Höchstwert 15 Anfragen. Wenn die IP-Überwachungsanforderung für aufeinanderfolgende Anfragen (Überschreitung des Schwellenwerts) keine Antwort erhält, meldet die IP-Überwachung, dass die überwachte IP-Adresse nicht erreichbar ist. Der Standardwert für den Schwellenwert ist 5.
Die Reth-Schnittstelle, die in der CLI-Konfiguration der IP-Überwachung nicht der Redundanzgruppe (RG) zugeordnet ist, wird unterstützt.
Tabelle 2 enthält Details zu mehreren Schnittstellenkombinationen von IOC2 und IOC3 mit maximalen MAC-Zahlen.
Karten |
Schnittstellen |
Maximal unterstützte MACs für die IP-Überwachung |
|---|---|---|
IOC2 (SRX5K-MPC) |
10XGE |
10 |
20GE |
20 |
|
2X40GE |
2 |
|
1X100GE |
1 |
|
IOC3 (SRX5K-MPC3-40G10G oder SRX5K-MPC3-100G10G) |
24x10GE |
24 |
6x40GE |
6 |
|
2x100GE + 4x10GE |
6 |
Beachten Sie die folgenden Einschränkungen für die Unterstützung der IP-Überwachung auf SRX5000 Leitungen IOC2 und IOC3:
Die IP-Überwachung wird über die reth- oder die RLAG-Schnittstelle unterstützt. Wenn in Ihrer Konfiguration keine dieser Schnittstellen angegeben ist, gibt die Routensuche eine Nicht-RETH/RLAG-Schnittstelle zurück, was zu einem Fehlerbericht führt.
ECMP-Routing (Equal-Cost Multipath) wird bei der IP-Überwachung nicht unterstützt.
Vorteile der Überwachung von IP-Adressen in einem Chassis-Cluster
Hilft dabei, den Status einer bestimmten IP-Adresse in einem Chassis-Cluster-Setup als unbekannt, erreichbar oder nicht erreichbar zu bestimmen.
Initiiert ein Failover basierend auf der End-to-End-Erreichbarkeit einer konfigurierten überwachten IP-Adresse. Wenn die überwachte IP-Adresse nicht mehr erreichbar ist, kann die Redundanzgruppe ein Failover auf ihre Sicherung durchführen, um den Dienst aufrechtzuerhalten.
Siehe auch
Grundlegendes zur Überwachung der IP-Adresse von Chassis-Cluster-Redundanzgruppen
Die Überwachung der IP-Adresse von Redundanzgruppen prüft die End-to-End-Konnektivität und ermöglicht einer Redundanzgruppe das Failover, da eine redundante Ethernet-Schnittstelle (so genannte Reth) eine konfigurierte IP-Adresse nicht erreichen kann. Redundanzgruppen auf beiden Geräten in einem Cluster können so konfiguriert werden, dass bestimmte IP-Adressen überwacht werden, um festzustellen, ob ein Upstream-Gerät im Netzwerk erreichbar ist. Die Redundanzgruppe kann so konfiguriert werden, dass die Redundanzgruppe ein Failover auf ihre Sicherung durchführt, um den Dienst aufrechtzuerhalten, wenn die überwachte IP-Adresse nicht mehr erreichbar ist. Der Hauptunterschied zwischen dieser Überwachungsfunktion und der Schnittstellenüberwachung besteht darin, dass die IP-Adressüberwachung ein Failover ermöglicht, wenn die Schnittstelle noch aktiv ist, das Netzwerkgerät, mit dem sie verbunden ist, aus irgendeinem Grund nicht erreichbar ist. Unter diesen Umständen kann der andere Knoten im Cluster den Datenverkehr um das Problem herumleiten.
Wenn Sie die Failovers dämpfen möchten, die aufgrund von Fehlern bei der Überwachung von IP-Adressen auftreten, verwenden Sie die hold-down-interval Anweisung.
Mit der Konfiguration der IP-Adressüberwachung können Sie nicht nur die zu überwachende Adresse und ihre Failover-Gewichtung festlegen, sondern auch einen globalen Schwellenwert und eine Gewichtung für die Überwachung von IP-Adressen. Erst wenn der globale Schwellenwert für die IP-Adressüberwachung aufgrund eines kumulativen Fehlers bei der Erreichbarkeit überwachter Adressen erreicht ist, wird der globale Gewichtungswert für die IP-Adressüberwachung vom Failover-Schwellenwert der redundanten Gruppe abgezogen. Auf diese Weise können mehrere Adressen gleichzeitig überwacht und überwacht werden, um ihre Bedeutung für die Aufrechterhaltung des Datenverkehrsflusses widerzuspiegeln. Außerdem wird der Schwellenwert einer IP-Adresse, die nicht erreichbar ist und dann wieder erreichbar wird, auf den Überwachungsschwellenwert zurückgesetzt. Dies führt jedoch nicht zu einem Failback, es sei denn, die Option preempt wurde aktiviert.
Bei der Konfiguration wird der Failover-Wert für die IP-Adressüberwachung (globale Gewichtung) zusammen mit der Schnittstellenüberwachung (falls festgelegt) und der integrierten Failover-Überwachung, einschließlich SPU-Überwachung, Cold-Sync-Überwachung und NPC-Überwachung (auf unterstützten Plattformen), berücksichtigt. Die wichtigsten IP-Adressen, die überwacht werden sollten, sind Router-Gateway-Adressen, um sicherzustellen, dass gültiger Datenverkehr, der in das Services Gateway eingeht, an den entsprechenden Netzwerkrouter weitergeleitet werden kann.
Ab Junos OS Version 12.1X46-D35 und Junos OS Version 17.3R1 unterstützt die reth-Schnittstelle für alle Firewalls der SRX-Serie Proxy-ARP.
Eine Services Processing Unit (SPU) oder Packet Forwarding Engine (PFE) pro Knoten ist für das Senden von ICMP-Ping-Paketen (Internet Control Message Protocol) für die überwachten IP-Adressen im Cluster vorgesehen. Die primäre PFE sendet Ping-Pakete mithilfe von ARP-Anforderungen (Address Resolution Protocol), die von der Routing-Engine (RE) aufgelöst werden. Die Quelle für diese Pings sind die redundanten MAC- und IP-Adressen der Ethernet-Schnittstelle. Die sekundäre PFE löst ARP-Anforderungen für die überwachte IP-Adresse selbst auf. Die Quelle für diese Pings ist die physische untergeordnete MAC-Adresse und eine sekundäre IP-Adresse, die auf der redundanten Ethernet-Schnittstelle konfiguriert ist. Damit die Ping-Antwort auf der sekundären Schnittstelle empfangen werden kann, fügt die E/A-Karte (IOC), der zentrale PFE-Prozessor oder Flex IOC sowohl die physische untergeordnete MAC-Adresse als auch die redundante MAC-Adresse der Ethernet-Schnittstelle zu ihrer MAC-Tabelle hinzu. Die sekundäre PFE antwortet mit der physischen untergeordneten MAC-Adresse auf ARP-Anforderungen, die an die sekundäre IP-Adresse gesendet werden, die auf der redundanten Ethernet-Schnittstelle konfiguriert ist.
Die Überwachung von IP-Adressen wird auf Geräten der SRX5000-Leitung nicht unterstützt, wenn die redundante Ethernet-Schnittstelle für eine VPN-Routing- und Weiterleitungsinstanz (VRF) konfiguriert ist.
Das Standardintervall für die Überprüfung der Erreichbarkeit einer überwachten IP-Adresse beträgt einmal pro Sekunde. Das Intervall kann mit dem retry-interval Befehl angepasst werden. Die Standardanzahl der zulässigen aufeinanderfolgenden fehlgeschlagenen Ping-Versuche beträgt 5. Die Anzahl der zulässigen aufeinanderfolgenden fehlgeschlagenen Ping-Versuche kann mit dem retry-count Befehl angepasst werden. Wenn eine überwachte IP-Adresse für die konfigurierte Anzahl aufeinanderfolgender Versuche nicht erreicht wurde, wird die IP-Adresse als nicht erreichbar eingestuft und ihr Failoverwert wird vom globalen Schwellenwert der Redundanzgruppe abgezogen.
Auf SRX5600- und SRX5800-Geräten können nur zwei der 10 Ports auf jedem PIC von 1-Gigabit-Ethernet-E/A-Karten (IOCs) mit 40 Ports gleichzeitig die IP-Adressüberwachung aktivieren. Da es vier PICs pro IOC gibt, können insgesamt acht Ports pro IOC überwacht werden. Wenn mehr als zwei Ports pro PIC an 40-Port-1-Gigabit-Ethernet-IOCs für die IP-Adressüberwachung konfiguriert sind, ist der Commit erfolgreich, aber es wird ein Protokolleintrag generiert, und die Genauigkeit und Stabilität der IP-Adressüberwachung kann nicht gewährleistet werden. Diese Einschränkung gilt nicht für andere IOCs oder Geräte.
Sobald festgestellt wird, dass die IP-Adresse nicht erreichbar ist, wird ihre Gewichtung vom globalen Schwellenwert abgezogen. Wenn der neu berechnete globale Schwellenwert nicht 0 ist, wird die IP-Adresse als nicht erreichbar markiert, aber die globale Gewichtung wird nicht vom Schwellenwert der Redundanzgruppe abgezogen. Wenn der globale Schwellenwert für die IP-Überwachung der Redundanzgruppe 0 erreicht und nicht erreichbare IP-Adressen vorhanden sind, führt die Redundanzgruppe kontinuierlich ein Failover und ein Failback zwischen den Knoten durch, bis entweder eine nicht erreichbare IP-Adresse erreichbar wird oder durch eine Konfigurationsänderung nicht erreichbare IP-Adressen aus der Überwachung entfernt werden. Beachten Sie, dass sowohl die standardmäßige als auch die konfigurierte Failover-Dämpfung mit Halteintervall weiterhin wirksam ist.
Für jede Redundanzgruppe x ist ein Schwellenwerttoleranzwert ursprünglich auf 255 festgelegt. Wenn eine IP-Adresse, die von Redundanzgruppe x überwacht wird, nicht mehr verfügbar ist, wird ihre Gewichtung vom Schwellenwert der Redundanzgruppe x subtrahiert. Wenn der Schwellenwert der Redundanzgruppe x 0 erreicht, wird ein Failover auf den anderen Knoten ausgeführt. Wenn z. B. Redundanzgruppe 1 auf Knoten 0 primär war, wird Redundanzgruppe 1 beim Schwellenwertüberschreiten auf Knoten 1 primär. In diesem Fall beginnen alle untergeordneten Schnittstellen der redundanten Ethernet-Schnittstellen der Redundanzgruppe 1 mit der Verarbeitung des Datenverkehrs.
Ein Failover der Redundanzgruppe x tritt auf, weil die kumulative Gewichtung der überwachten IP-Adressen der Redundanzgruppe x und anderer Überwachungsfunktionen den Schwellenwert auf 0 erhöht hat. Wenn die überwachten IP-Adressen der Redundanzgruppe x auf beiden Knoten gleichzeitig ihre Schwellenwerte erreichen, ist die Redundanzgruppe x primär auf dem Knoten mit der niedrigeren Knoten-ID, bei dem es sich in der Regel um Knoten 0 handelt.
Die Fehlererkennung von vorgeschalteten Geräten für die Chassis-Cluster-Funktion wird von Firewalls der SRX-Serie unterstützt.
Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 wird die Konfiguration der ARP-Anforderungsdrosselung (Address Resolution Protocol) auf Geräten SRX5000 Leitung unterstützt. Mit dieser Funktion können Sie die zuvor fest codierte Standardeinstellung für die ARP-Anforderungsdrosselungszeit (10 Sekunden pro SPU für jede IP-Adresse) umgehen und die Zeit auf einen höheren Wert (10 bis 100 Sekunden) festlegen. Wenn Sie die Drosselungszeit auf einen höheren Wert festlegen, wird die hohe Auslastung der Routing-Engine verringert, sodass sie effizienter arbeiten kann. Sie können die ARP-Anforderungsdrosselungszeit mit dem set forwarding-options next-hop arp-throttle <seconds> Befehl konfigurieren.
Die Überwachung kann nur durchgeführt werden, wenn die IP-Adresse über eine redundante Ethernet-Schnittstelle erreichbar ist (in CLI-Befehlen und Schnittstellenlisten als Reth bezeichnet), und IP-Adressen können nicht über einen Tunnel überwacht werden. Damit eine IP-Adresse über eine redundante Ethernet-Schnittstelle auf einem sekundären Clusterknoten überwacht werden kann, muss für die Schnittstelle eine sekundäre IP-Adresse konfiguriert sein. Die IP-Adressüberwachung kann nicht auf einem Chassis-Cluster verwendet werden, der im transparenten Modus ausgeführt wird. Die maximale Anzahl von Überwachungs-IP-Adressen, die pro Cluster konfiguriert werden können, beträgt 64 für die SRX5000 Gerätereihe, SRX1500, SRX1600, SRX2300 und SRX4000 Gerätereihe.
Die Überwachung der IP-Adressen von Redundanzgruppen wird für IPv6-Ziele nicht unterstützt.
Beispiel: Konfigurieren der IP-Adressüberwachung der Chassis-Cluster-Redundanzgruppe
Dieses Beispiel zeigt, wie die Überwachung der IP-Adressen von Redundanzgruppen für eine Firewall der SRX-Serie in einem Chassis-Cluster konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Legen Sie die Chassis-Cluster-Knoten-ID und die Cluster-ID fest. Siehe Beispiel: Festlegen der Knoten- und Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster
Konfigurieren Sie die Schnittstelle zur Verwaltung des Chassis-Clusters. Siehe Beispiel: Konfigurieren der Chassis-Cluster-Verwaltungsschnittstelle.
Konfigurieren Sie die Chassis-Cluster-Fabric. Siehe Beispiel: Konfigurieren der Chassis-Cluster-Fabric-Schnittstellen.
Übersicht
Sie können Redundanzgruppen für die Überwachung von Upstreamressourcen konfigurieren, indem Sie bestimmte IP-Adressen anpingen, die über redundante Ethernet-Schnittstellen auf einem der beiden Knoten in einem Cluster erreichbar sind. Sie können auch globale Parameter für Schwellenwert, Gewichtung, Wiederholungsintervall und Wiederholungsanzahl für eine Redundanzgruppe konfigurieren. Wenn eine überwachte IP-Adresse nicht mehr erreichbar ist, wird die Gewichtung dieser überwachten IP-Adresse vom globalen Schwellenwert der Redundanzgruppe für die Überwachung von IP-Adressen abgezogen. Wenn der globale Schwellenwert 0 erreicht, wird die globale Gewichtung vom Schwellenwert der Redundanzgruppe abgezogen. Das Wiederholungsintervall bestimmt das Ping-Intervall für jede IP-Adresse, die von der Redundanzgruppe überwacht wird. Die Pings werden gesendet, sobald die Konfiguration festgeschrieben wurde. Die Anzahl der Wiederholungen legt die Anzahl der zulässigen aufeinanderfolgenden Ping-Fehler für jede IP-Adresse fest, die von der Redundanzgruppe überwacht wird.
In diesem Beispiel konfigurieren Sie die folgenden Einstellungen für Redundanzgruppe 1:
Zu überwachende IP-Adresse: 10.1.1.10
IP-Adressüberwachung globale Gewichtung: 100
Globaler Schwellenwert zur Überwachung von IP-Adressen: 200
Der Schwellenwert gilt kumulativ für alle IP-Adressen, die von der Redundanzgruppe überwacht werden.
Wiederholungsintervall der IP-Adresse: 3 Sekunden
Anzahl der Wiederholungen von IP-Adressen: 10
Gewicht—100
Redundante Ethernet-Schnittstelle – reth1.0
Sekundäre IP-Adresse—10.1.1.101
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
{primary:node0}[edit]
user@host#
set chassis cluster redundancy-group 1 ip-monitoring global-weight 100
set chassis cluster redundancy-group 1 ip-monitoring global-threshold 200
set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3
set chassis cluster redundancy-group 1 ip-monitoring retry-count 10
set chassis cluster redundancy-group 1 ip-monitoring family inet 10.1.1.10 weight 100 interface reth1.0 secondary-ip-address 10.1.1.101
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Überwachung der IP-Adresse von Redundanzgruppen:
Geben Sie eine globale Überwachungsgewichtung an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 100Geben Sie den globalen Überwachungsschwellenwert an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 200Geben Sie das Wiederholungsintervall an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3Geben Sie die Anzahl der Wiederholungen an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10Geben Sie die zu überwachende IP-Adresse, das Gewicht, die redundante Ethernet-Schnittstelle und die sekundäre IP-Adresse an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 10.1.1.10 weight 100 interface reth1.0 secondary-ip-address 10.1.1.101
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show chassis cluster redundancy-group 1 Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
{primary:node0}[edit]
user@host# show chassis cluster redundancy-group 1
ip-monitoring {
global-weight 100;
global-threshold 200;
family {
inet {
10.1.1.10 {
weight 100;
interface reth1.0 secondary-ip-address 10.1.1.101;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen des Status überwachter IP-Adressen für eine Redundanzgruppe
Zweck
Überprüfen Sie den Status der überwachten IP-Adressen für eine Redundanzgruppe.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster ip-monitoring status Befehl ein. Um Informationen zu einer bestimmten Gruppe zu erhalten, geben Sie den show chassis cluster ip-monitoring status redundancy-group Befehl ein.
{primary:node0}
user@host> show chassis cluster ip-monitoring status
node0:
--------------------------------------------------------------------------
Redundancy group: 1
Global threshold: 200
Current threshold: -120
IP address Status Failure count Reason Weight
10.1.1.10 reachable 0 n/a 100
10.1.1.101 reachable 0 n/a 100
node1:
--------------------------------------------------------------------------
Redundancy group: 1
Global threshold: 200
Current threshold: -120
IP address Status Failure count Reason Weight
10.1.1.10 reachable 0 n/a 100
10.1.1.101 reachable 0 n/a 100
Beispiel: Konfigurieren der IP-Überwachung auf Geräten der SRX5000-Reihe für IOC2 und IOC3
In diesem Beispiel wird gezeigt, wie die IP-Adresse auf einem SRX5000 Leitungsgerät mit aktiviertem Chassis-Cluster überwacht wird.
Anforderungen
In diesem Beispiel wird die folgende Hardware und Software verwendet:
Zwei SRX5400 Services Gateways mit MIC (SRX-MIC-10XG-SFPP [IOC2]) und einem Ethernet-Switch
Junos OS Version 15.1X49-D30
Das in diesem Beispiel erwähnte Verfahren ist auch auf IOC3 anwendbar.
Bevor Sie beginnen:
Verbinden Sie die beiden SRX5400 Geräte physisch (Rücken an Rücken für die Fabric- und Steuerports).
Konfigurieren Sie die beiden Geräte für den Betrieb in einem Chassis-Cluster.
Übersicht
Die IP-Adressüberwachung prüft die End-to-End-Erreichbarkeit der konfigurierten IP-Adresse und ermöglicht einer Redundanzgruppe das automatische Failover, wenn sie nicht über die untergeordnete Verbindung der redundanten Ethernet-Schnittstelle (reth) erreichbar ist. Redundanzgruppen auf beiden Geräten oder Knoten in einem Cluster können so konfiguriert werden, dass bestimmte IP-Adressen überwacht werden, um festzustellen, ob ein vorgeschaltetes Gerät im Netzwerk erreichbar ist.
Topologie
In diesem Beispiel sind zwei SRX5400 Geräte in einem Chassis-Cluster mit einem Ethernet-Switch verbunden. Das Beispiel zeigt, wie die Redundanzgruppen konfiguriert werden können, um wichtige Upstream-Ressourcen zu überwachen, die über redundante Ethernet-Schnittstellen auf einem der beiden Knoten in einem Cluster erreichbar sind.
Sie haben das System so eingestellt, dass jede Sekunde Pings gesendet werden, wobei 10 Verluste erforderlich sind, um die Unerreichbarkeit für das Peering zu deklarieren. Außerdem richten Sie eine sekundäre IP-Adresse ein, um Tests vom sekundären Knoten aus zu ermöglichen.
In diesem Beispiel konfigurieren Sie die folgenden Einstellungen für Redundanzgruppe 1:
Zu überwachende IP-Adresse: 192.0.2.2, 198.51.100.2, 203.0.113.2
IP-Überwachung globales Gewicht: 255
IP-Überwachung globaler Schwellenwert: 240
Wiederholungsintervall für die IP-Überwachung: 3 Sekunden
Anzahl der Wiederholungen bei der IP-Überwachung: 10
Gewichtung für überwachte IP-Adressen: 80
Sekundäre IP-Adressen: 192.0.2.12, 198.51.100.12, 203.0.113.12
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details entsprechend Ihrer Netzwerkkonfiguration, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein, und rufen Sie dann den Konfigurationsmodus auf commit .
set chassis cluster reth-count 10 set chassis cluster control-ports fpc 3 port 0 set chassis cluster control-ports fpc 0 port 0 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 199 set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 set chassis cluster redundancy-group 1 ip-monitoring global-threshold 240 set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 set chassis cluster redundancy-group 1 ip-monitoring retry-count 10 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 interface reth0.0 secondary-ip-address 192.0.2.12 set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 interface reth1.0 secondary-ip-address 198.51.100.12 set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 interface reth2.0 secondary-ip-address 203.0.113.12 set interfaces xe-1/2/1 gigether-options redundant-parent reth0 set interfaces xe-1/2/2 gigether-options redundant-parent reth2 set interfaces xe-1/2/3 gigether-options redundant-parent reth1 set interfaces xe-4/2/1 gigether-options redundant-parent reth0 set interfaces xe-4/2/2 gigether-options redundant-parent reth2 set interfaces xe-4/2/3 gigether-options redundant-parent reth1 set interfaces fab0 fabric-options member-interfaces xe-1/2/0 set interfaces fab1 fabric-options member-interfaces xe-4/2/0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.1/24 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth2 unit 0 family inet address 203.0.113.1/24 set security zones security-zone HOST host-inbound-traffic system-services any-service set security zones security-zone HOST host-inbound-traffic protocols all set security zones security-zone HOST interfaces all
Konfigurieren der IP-Überwachung auf einem 10x10GE SFP+ MIC
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die IP-Überwachung auf einem 10x10GE SFP+ MIC:
Geben Sie die Anzahl der redundanten Ethernet-Schnittstellen an.
{primary:node0}[edit] user@host# set chassis cluster reth-count 10Konfigurieren Sie die Steuerports.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 3 port 0 user@host# set chassis cluster control-ports fpc 0 port 0Konfigurieren von Fabric-Schnittstellen.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces xe-1/2/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-4/2/0Geben Sie die Priorität einer Redundanzgruppe für den Vorrang auf jedem Knoten des Clusters an. Die höhere Zahl hat Vorrang.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 200 user@host# set chassis cluster redundancy-group 1 node 1 priority 199Konfigurieren Sie die IP-Überwachung unter Redundanzgruppe 1 mit globaler Gewichtung, globalem Schwellenwert, Wiederholungsintervall und Wiederholungsanzahl.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 240 user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10Konfigurieren Sie die redundanten Ethernet-Schnittstellen für Redundanzgruppe 1. Weisen Sie der zu überwachenden IP-Adresse eine Gewichtung zu, und konfigurieren Sie eine sekundäre IP-Adresse, die zum Senden von Paketen vom sekundären Knoten verwendet wird, um die überwachte IP-Adresse zu verfolgen.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 interface reth0.0 secondary-ip-address 192.0.2.12 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 interface reth1.0 secondary-ip-address 198.51.100.12 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 interface reth2.0 secondary-ip-address 203.0.113.12Weisen Sie den redundanten Ethernet-Schnittstellen aus Knoten 0, Knoten 1 und Knoten 2 untergeordnete Schnittstellen zu.
{primary:node0}[edit] user@host# set interfaces xe-1/2/1 gigether-options redundant-parent reth0 user@host# set interfaces xe-1/2/2 gigether-options redundant-parent reth2 user@host# set interfaces xe-1/2/3 gigether-options redundant-parent reth1 user@host# set interfaces xe-4/2/1 gigether-options redundant-parent reth0 user@host# set interfaces xe-4/2/2 gigether-options redundant-parent reth2 user@host# set interfaces xe-4/2/3 gigether-options redundant-parent reth1Konfigurieren Sie die redundanten Ethernet-Schnittstellen für Redundanzgruppe 1.
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 192.0.2.1/24 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces reth2 redundant-ether-options redundancy-group 1 user@host# set interfaces reth2 unit 0 family inet address 203.0.113.1/24Erstellen Sie eine Sicherheitszone und weisen Sie der Zone Schnittstellen zu.
user@host# set security zones security-zone HOST host-inbound-traffic system-services any-service user@host# set security zones security-zone HOST host-inbound-traffic protocols all user@host# set security zones security-zone HOST interfaces all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security chassis cluster Befehle und show interfaces eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
chassis {
cluster {
reth-count 10;
redundancy-group 0 {
node 0 priority 254;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 200;
node 1 priority 199;
ip-monitoring {
global-weight 255;
global-threshold 240;
retry-interval 3;
retry-count 10;
family {
inet {
192.0.2.2 {
weight 80;
interface reth0.0 secondary-ip-address 192.0.2.12;
}
198.51.100.2 {
weight 80;
interface reth1.0 secondary-ip-address 198.51.100.12;
}
203.0.113.2 {
weight 80;
interface reth2.0 secondary-ip-address 203.0.113.12;
}
}
}
}
}
}
}
interfaces {
xe-1/2/1 {
gigether-options {
redundant-parent reth0;
}
}
xe-1/2/2 {
gigether-options {
redundant-parent reth2;
}
}
xe-1/2/3 {
gigether-options {
redundant-parent reth1;
}
}
xe-4/2/1 {
gigether-options {
redundant-parent reth0;
}
}
xe-4/2/2 {
gigether-options {
redundant-parent reth2;
}
}
xe-4/2/3 {
gigether-options {
redundant-parent reth1;
}
}
fab0 {
fabric-options {
member-interfaces {
xe-1/2/0;
}
}
}
fab1 {
fabric-options {
member-interfaces {
xe-4/2/0;
}
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 203.0.113.1/24;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen des IP-Überwachungsstatus
Zweck
Überprüfen Sie den IP-Status, der von beiden Knoten überwacht wird, und die Fehleranzahl für beide Knoten.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster ip-monitoring status Befehl ein.
show chassis cluster ip-monitoring status
node0:
--------------------------------------------------------------------------
Redundancy group: 1
Global weight: 255
Global threshold: 240
Current threshold: 240
IP address Status Failure count Weight Reason
203.0.113.2 reachable 1 80 n/a
198.51.100.2 reachable 1 80 n/a
192.0.2.2 reachable 1 80 n/a
node1:
--------------------------------------------------------------------------
Redundancy group: 1
Global weight: 255
Global threshold: 240
Current threshold: 240
IP address Status Failure count Weight Reason
203.0.113.2 reachable 2 80 n/a
198.51.100.2 reachable 1 80 n/a
192.0.2.2 reachable 2 80 n/a
Bedeutung
Alle überwachten IP-Adressen sind erreichbar.