AUF DIESER SEITE
Grundlegendes zu Link-Aggregationsgruppen in einem Chassis-Cluster
Beispiel: Konfigurieren von Link-Aggregationsgruppen in einem Chassis-Cluster
Grundlegendes zum Link-Aggregationsgruppen-Failover in einem Chassis-Cluster
Beispiel: Konfigurieren der minimalen Verbindungen von Gehäuse-Clustern
Beispiel: Konfigurieren von VRRP/VRRPv3 auf redundanten Ethernet-Schnittstellen des Gehäuse-Clusters
Plattformspezifisches Verhalten von Link-Aggregationsgruppen
Aggregierte Ethernet-Schnittstellen in einem Chassis-Cluster
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Lesen Sie den Abschnitt Plattformspezifisches Verhalten von Link-Aggregationsgruppen, um Hinweise zu Ihrer Plattform zu erhalten.
Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen .
Mit IEEE 802.3ad Link Aggregation können Sie Ethernet-Schnittstellen gruppieren, um eine Single Link Layer-Schnittstelle zu bilden, die auch als Link Aggregation Group (LAG) oder Bundle bezeichnet wird. Redundante Ethernet (reth) LAG-Schnittstellen vereinen Eigenschaften von reth-Schnittstellen und LAG-Schnittstellen. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu Link-Aggregationsgruppen in einem Chassis-Cluster
Die Unterstützung für Ethernet Link Aggregation Groups (LAGs) basierend auf IEEE 802.3ad ermöglicht es, physische Schnittstellen auf einem eigenständigen Gerät zu aggregieren. LAGs auf eigenständigen Geräten bieten eine höhere Schnittstellenbandbreite und Verfügbarkeit von Verbindungen. Durch die Aggregation von Links in einem Chassis-Cluster kann eine Reth-Schnittstelle mehr als zwei physische untergeordnete Schnittstellen hinzufügen, wodurch eine Reth-Schnittstellen-LAG entsteht.
Die aggregierten Links in einer Reth-Schnittstellen-LAG bieten die gleichen Bandbreiten- und Redundanzvorteile wie eine LAG auf einem eigenständigen Gerät mit dem zusätzlichen Vorteil der Gehäuse-Cluster-Redundanz. Eine Reth-Schnittstellen-LAG verfügt über zwei Arten von gleichzeitiger Redundanz. Die aggregierten Links innerhalb der Reth-Schnittstelle auf jedem Knoten sind redundant. Wenn eine Verbindung im primären Aggregat ausfällt, wird die Datenverkehrslast von den verbleibenden Verbindungen übernommen. Wenn genügend untergeordnete Links auf dem primären Knoten ausfallen, kann die Reth-Schnittstellen-LAG so konfiguriert werden, dass der gesamte Datenverkehr auf der gesamten Reth-Schnittstelle auf die aggregierte Verbindung auf dem anderen Knoten übertragen wird. Sie können auch die Schnittstellenüberwachung für LACP-fähige Redundanzgruppen- und untergeordnete Links konfigurieren, um zusätzlichen Schutz zu gewährleisten.
Aggregierte Ethernet-Schnittstellen, die als lokale LAGs bezeichnet werden, werden ebenfalls auf einem der beiden Knoten eines Chassis-Clusters unterstützt, können jedoch nicht zu Reth-Schnittstellen hinzugefügt werden. Lokale LAGs werden in der Liste der Systemschnittstellen mit dem Präfix ae- angegeben. Ebenso kann eine untergeordnete Schnittstelle einer vorhandenen lokalen LAG nicht zu einer reth-Schnittstelle hinzugefügt werden und umgekehrt. Beachten Sie, dass für den Switch (oder die Switches), die zum Verbinden der Knoten im Cluster verwendet werden, ein LAG-Link konfiguriert und 802.3ad für jede LAG auf beiden Knoten aktiviert sein muss, damit die aggregierten Links als solche erkannt werden und den Datenverkehr korrekt weiterleiten. Die maximale Gesamtzahl der kombinierten einzelnen Knoten-LAG-Schnittstellen (ae) und reth-Schnittstellen pro Cluster beträgt 128.
Die untergeordneten LAG-Links der Reth-Schnittstelle von jedem Knoten im Gehäusecluster müssen mit einer anderen LAG auf den Peergeräten verbunden sein. Wenn ein einzelner Peer-Switch zum Beenden der Reth-Schnittstellen-LAG verwendet wird, müssen zwei separate LAGs im Switch verwendet werden.
Verbindungen von verschiedenen PICs oder IOCs und mit unterschiedlichen Kabeltypen (z. B. Kupfer und Glasfaser) können zur gleichen Reth-Schnittstellen-LAG hinzugefügt werden, aber die Geschwindigkeit der Schnittstellen muss gleich sein und alle Schnittstellen müssen sich im Vollduplexmodus befinden. Es wird jedoch empfohlen, zur Reduzierung des Overheads für die Datenverkehrsverarbeitung nach Möglichkeit Schnittstellen desselben PIC oder IOC zu verwenden. Unabhängig davon teilen sich alle Schnittstellen, die in einer Reth-Schnittstellen-LAG konfiguriert sind, dieselbe virtuelle MAC-Adresse.
Die Schnittstellenüberwachungsfunktion der Firewalls der SRX-Serie ermöglicht die Überwachung von komplexen/aggregierten Ethernet-Schnittstellen.
Die Konfiguration einer redundanten Ethernet-Schnittstelle umfasst auch eine Einstellung für minimale Verbindungen, mit der Sie eine Mindestanzahl physischer untergeordneter Links auf dem primären Knoten in einer bestimmten Reth-Schnittstelle festlegen können, die funktionieren müssen, damit die Schnittstelle verfügbar ist. Der Standardwert für minimale Links ist 1. Beachten Sie, dass mit der Einstellung minimal-links nur untergeordnete Verknüpfungen auf dem primären Knoten überwacht werden. Redundante Ethernet-Schnittstellen verwenden keine physischen Schnittstellen auf dem Backup-Knoten für ein- oder ausgehenden Datenverkehr.
Im Folgenden finden Sie die Support-Details:
-
Quality of Service (QoS) wird in einer Reth-Schnittstellen-LAG unterstützt. Die garantierte Bandbreite wird jedoch über alle Verbindungen hinweg dupliziert. Geht eine Verbindung verloren, kommt es zu einem entsprechenden Verlust der garantierten Bandbreite.
-
Die Features für den transparenten Modus und die Layer 2-Sicherheit werden in den LAGs für Reth-Schnittstellen unterstützt.
-
Link Aggregation Control Protocol (LACP) wird in Gehäuse-Cluster-Bereitstellungen unterstützt, bei denen aggregierte Ethernet-Schnittstellen und Reth-Schnittstellen gleichzeitig unterstützt werden.
-
Gehäuse-Cluster-Management-, Steuerungs- und Fabric-Schnittstellen können nicht als Reth-Schnittstellen-LAGs konfiguriert oder einer Reth-Schnittstellen-LAG hinzugefügt werden.
-
Die NP-Bündelung (Network Processor) kann mit Reth-Schnittstellen-LAGs im selben Cluster koexistieren. Das gleichzeitige Zuweisen einer Schnittstelle zu einer reth-Schnittstellen-LAG und einem Netzwerkprozessor-Bundle wird jedoch nicht unterstützt.
IOC2-Karten haben keine Netzwerkprozessoren, aber IOC1-Karten haben welche.
-
Der Durchsatz eines einzelnen Datenstroms ist unabhängig von der Geschwindigkeit der aggregierten Schnittstelle auf die Geschwindigkeit einer einzelnen physischen Verbindung beschränkt.
Weitere Informationen zur Ethernet-Schnittstellen-Link-Aggregation und zum LACP finden Sie in den Informationen zu aggregiertem Ethernet im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Weitere Informationen finden Sie im Abschnitt Plattformspezifisches Verhalten von Link-Aggregationsgruppen .
Siehe auch
Beispiel: Konfigurieren von Link-Aggregationsgruppen in einem Chassis-Cluster
In diesem Beispiel wird gezeigt, wie eine Reth-Schnittstellenverbindungs-Aggregationsgruppe für einen Chassis-Cluster konfiguriert wird. Die Chassis-Cluster-Konfiguration unterstützt mehr als eine untergeordnete Schnittstelle pro Knoten in einer Reth-Schnittstelle. Wenn mindestens zwei physische untergeordnete Schnittstellenverbindungen von jedem Knoten in einer Reth-Schnittstellenkonfiguration enthalten sind, werden die Schnittstellen innerhalb der Reth-Schnittstelle kombiniert, um eine Reth-Schnittstellen-Linkaggregationsgruppe zu bilden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie redundante Schnittstellen für Gehäuse-Cluster. Siehe Beispiel: Konfigurieren von redundanten Ethernet-Schnittstellen für Chassis-Cluster.
Grundlegendes zu Chassis-Clustern, Reth-Schnittstellen-Link-Aggregationsgruppen. Weitere Informationen finden Sie unter Grundlegendes zu Link-Aggregationsgruppen in einem Chassis-Cluster.
Überblick
Damit eine Aggregation stattfinden kann, muss der Switch, der zum Verbinden der Knoten im Cluster verwendet wird, die IEEE 802.3ad-Linkaggregation für die physischen untergeordneten Reth-Schnittstellenlinks auf jedem Knoten aktivieren. Da die meisten Switches IEEE 802.3ad unterstützen und auch LACP-fähig sind, empfehlen wir, LACP auf Firewalls der SRX-Serie zu aktivieren. In Fällen, in denen LACP auf dem Switch nicht verfügbar ist, dürfen Sie LACP auf Firewalls der SRX-Serie nicht aktivieren.
In diesem Beispiel weisen Sie reth1 sechs Ethernet-Schnittstellen zu, um die Link-Aggregationsgruppe für die Ethernet-Schnittstelle zu bilden:
GE-1/0/1—reth1
GE-1/0/2 – Reth1
GE-1/0/3 – Reth1
GE-12/0/1—reth1
GE-12/0/2—reth1
GE-0.12.03 – Reth1
Maximal acht physische Schnittstellen pro Knoten in einem Cluster, also insgesamt 16 untergeordnete Schnittstellen, können einer einzelnen Reth-Schnittstelle zugewiesen werden, wenn eine Reth-Schnittstellen-LAG konfiguriert wird.
Junos OS unterstützt LACP und LAG auf einer Reth-Schnittstelle, die RLAG genannt wird.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
{primary:node0}[edit]
set interfaces ge-1/0/1 gigether-options redundant-parent reth1
set interfaces ge-1/0/2 gigether-options redundant-parent reth1
set interfaces ge-1/0/3 gigether-options redundant-parent reth1
set interfaces ge-12/0/1 gigether-options redundant-parent reth1
set interfaces ge-12/0/2 gigether-options redundant-parent reth1
set interfaces ge-12/0/3 gigether-options redundant-parent reth1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Reth-Schnittstellen-Linkaggregationsgruppe:
Ordnen Sie reth1 Ethernet-Schnittstellen zu.
{primary:node0}[edit] user@host# set interfaces ge-1/0/1 gigether-options redundant-parent reth1 user@host# set interfaces ge-1/0/2 gigether-options redundant-parent reth1 user@host# set interfaces ge-1/0/3 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/1 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/2 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/3 gigether-options redundant-parent reth1
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show interfaces reth1 Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
user@host# show interfaces reth1
...
ge-1/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-1/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-1/0/3 {
gigether-options {
redundant-parent reth1;
}
}
ge-12/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-12/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-12/0/3 {
gigether-options {
redundant-parent reth1;
}
}
...
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der LAG-Konfiguration für die redundante Ethernet-Schnittstelle
Zweck
Überprüfen Sie die LAG-Konfiguration der Reth-Schnittstelle.
Aktion
Geben Sie im Betriebsmodus den show interfaces terse | match reth Befehl ein.
{primary:node0}
user@host> show interfaces terse | match reth
ge-1/0/1.0 up down aenet --> reth1.0
ge-1/0/2.0 up down aenet --> reth1.0
ge-1/0/3.0 up down aenet --> reth1.0
ge-12/0/1.0 up down aenet --> reth1.0
ge-12/0/2.0 up down aenet --> reth1.0
ge-12/0/3.0 up down aenet --> reth1.0
reth0 up down
reth0.0 up down inet 10.10.37.214/24
reth1 up down
reth1.0 up down inet
Grundlegendes zum Link-Aggregationsgruppen-Failover in einem Chassis-Cluster
Sie steuern das Failover von reth-Schnittstellen auf zwei Arten:
- Verwenden der
minimum-linksKonfigurationseinstellung. Dieser Parameter bestimmt, wie viele physische Mitglieder einer Redundanzgruppe aktiv sein müssen, bevor die Gruppe als inaktiv deklariert wird. Standardmäßig ist dieser Parameter auf eins gesetzt, was bedeutet, dass die Redundanzgruppe aktiv bleibt, wenn eine einzelne physische Schnittstelle auf dem primären Knoten vorhanden ist.Der Standardwert für minimale Links ist 1.
- Verwenden der
interface-monitorKonfigurationsanweisung zusammen mit einemweightWert für jedes Mitglied in der LAG. Der Mechanismus zur Schnittstellengewichtung funktioniert, indem die konfigurierte Gewichtung einer ausgefallenen Schnittstelle von der Redundanzgruppe abgezogen wird. Die Gruppe beginnt mit einer Gewichtung von 255, und wenn die Gruppe auf oder unter 0 fällt, wird die Redundanzgruppe als inaktiv deklariert.Anmerkung:Es ist erwähnenswert, dass die und die
minimum-linksinterface-monitorKonfigurationsanweisungen unabhängig voneinander funktionieren. Das Überschreiten des Schwellenwerts für die minimalen Verbindungen (auf dem primären Knoten) oder des Schwellenwerts von 0 für die Redundanzgruppe löst einen Switchover aus.
In den meisten Fällen empfiehlt es sich, die Gewichtung der Schnittstellenüberwachung entsprechend der minimum-links Einstellung zu konfigurieren. Diese Konfiguration erfordert, dass die Gewichtungen gleichmäßig auf die überwachten Verbindungen verteilt werden, sodass die berechnete Gewichtung für diese Redundanzgruppe ebenfalls auf oder unter Null fällt, wenn die Anzahl der aktiven physischen Schnittstellenverbindungen unter die minimum-links Einstellung fällt. Dies löst ein Failover der Linkaggregationsgruppe (LAG) von Reth-Schnittstellen aus, da sowohl die Anzahl der physischen Verbindungen unter den minimum-links Wert als auch die Gewichtung der LAG-Gruppe unter 0 fällt.
Um diese Interaktion zu veranschaulichen, betrachten wir eine reth0-Schnittstellen-LAG mit vier zugrunde liegenden physischen Verbindungen:
- Die LAG ist mit der
minimum-linksEinstellung 2 konfiguriert. Mit dieser Einstellung wird das Failover ausgelöst, wenn die Anzahl der aktiven physischen Verbindungen auf dem primären Knoten kleiner als 2 ist.Anmerkung:Wenn die physische Verbindung aktiv und LACP ausgefallen ist, wird ein Failover der Link Aggregation Group (LAG) der Reth-Schnittstellen ausgelöst.
-
Die
Interface-monitorGewichtungswerte werden verwendet, um den Status der LAG-Verbindung zu überwachen und die Failover-Gewichtung korrekt zu berechnen.
Konfigurieren Sie die zugrunde liegende Schnittstelle, die an die reth-LAG angefügt ist.
{primary:node0}[edit]
user@host# set interfaces ge-0/0/4 gigether-options redundant-parent reth0
user@host# set interfaces ge-0/0/5 gigether-options redundant-parent reth0
user@host# set interfaces ge-0/0/6 gigether-options redundant-parent reth0
user@host# set interfaces ge-0/0/7 gigether-options redundant-parent reth0
Geben Sie die Mindestanzahl von Links für die reth-Schnittstelle als 2 an.
{primary:node0}[edit]
user@host# set interfaces reth0 redundant-ether-options minimum-links 2
Konfigurieren Sie die Schnittstellenüberwachung, um den Zustand der Schnittstellen zu überwachen und ein Redundanzgruppen-Failover auszulösen.
Diese Szenarien enthalten Beispiele für die Funktionsweise des Reth-LAG-Failovers:
- Szenario 1: Die überwachte Schnittstellengewichtung beträgt 255
- Szenario 2: Die überwachte Schnittstellengewichtung beträgt 75
- Szenario 3: Die überwachte Schnittstellengewichtung beträgt 100
Szenario 1: Die überwachte Schnittstellengewichtung beträgt 255
Geben Sie die überwachte Schnittstellengewichtung mit 255 für jede zugrunde liegende Schnittstelle an.
{primary:node0}[edit]
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 255
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 255
Wenn eine der 4 Schnittstellen ausfällt, gibt es immer noch 3 aktive physische Verbindungen in der reth-LAG. Während diese Zahl den konfigurierten Parameter für die minimalen Verbindungen überschreitet, führt der Verlust einer Schnittstelle mit einer Gewichtung von 255 dazu, dass die Gewichtung der Gruppe auf 0 sinkt, wodurch ein Failover ausgelöst wird.
Szenario 2: Die überwachte Schnittstellengewichtung beträgt 75
Geben Sie die überwachte Schnittstellengewichtung für jede zugrunde liegende Schnittstelle mit 75 an.
{primary:node0}[edit]
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 75
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 75
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 75
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 75
Wenn in diesem Fall drei physische Verbindungen ausfallen, fällt die Reth-Schnittstelle aus, da der minimum-links konfigurierte Wert unterschritten wird. Beachten Sie, dass in diesem Szenario die Gewichtung der LAG-Gruppe über 0 bleibt.
Szenario 3: Die überwachte Schnittstellengewichtung beträgt 100
Geben Sie die überwachte Schnittstellengewichtung als 100 für jede zugrunde liegende Schnittstelle an.
{primary:node0}[edit]
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 100
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 100
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 100
user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 100
Wenn in diesem Fall 3 von 4 physischen Verbindungen ausgefallen sind, wird die Reth-Schnittstelle als inaktiv deklariert, da der minimum-links Wert nicht erfüllt ist und weil die Schnittstellenüberwachungsgewichte dazu führen, dass die Gewichtung der LAG-Gruppe 0 erreicht.
Von allen drei Szenarien veranschaulicht Szenario 3 die idealste Methode zum Verwalten von Reth-LAG-Failovers und minimalen Datenverkehrsverlusten.
Grundlegendes zu LACP in Chassis-Clustern
Sie können mehrere physische Ethernet-Ports zu einer logischen Punkt-zu-Punkt-Verbindung kombinieren, die als Link Aggregation Group (LAG) oder Bundle bezeichnet wird, sodass ein MAC-Client (Media Access Control) die LAG wie eine einzelne Verbindung behandeln kann.
LAGs können knotenübergreifend in einem Chassis-Cluster eingerichtet werden, um eine höhere Schnittstellenbandbreite und Verbindungsverfügbarkeit bereitzustellen.
Das Link Aggregation Control Protocol (LACP) bietet zusätzliche Funktionen für LAGs. LACP wird in eigenständigen Bereitstellungen unterstützt, in denen aggregierte Ethernet-Schnittstellen unterstützt werden, und in Chassis-Cluster-Bereitstellungen, in denen aggregierte Ethernet-Schnittstellen und redundante Ethernet-Schnittstellen gleichzeitig unterstützt werden.
Sie konfigurieren LACP auf einer redundanten Ethernet-Schnittstelle, indem Sie den LACP-Modus für den übergeordneten Link mit der lacp Anweisung festlegen. Der LACP-Modus kann ausgeschaltet (Standard), aktiv oder passiv sein.
Dieses Thema enthält die folgenden Abschnitte:
- Gehäuse-Cluster, redundante Ethernet-Schnittstelle, Link-Aggregationsgruppen
- Sub-LAGs
- Unterstützung für ausfallfreies Failover
- Verwalten von PDUs für die Link-Aggregationssteuerung
Gehäuse-Cluster, redundante Ethernet-Schnittstelle, Link-Aggregationsgruppen
Eine redundante Ethernet-Schnittstelle verfügt über aktive und Standby-Verbindungen, die sich auf zwei Knoten in einem Gehäuse-Cluster befinden. Alle aktiven Verbindungen befinden sich auf einem Knoten, und alle Standby-Verbindungen befinden sich auf dem anderen Knoten. Sie können bis zu acht aktive Links und acht Standby-Links pro Knoten konfigurieren.
Wenn mindestens zwei physische untergeordnete Schnittstellenverbindungen von jedem Knoten in einer redundanten Ethernet-Schnittstellenkonfiguration enthalten sind, werden die Schnittstellen innerhalb der redundanten Ethernet-Schnittstelle kombiniert, um eine redundante Ethernet-Schnittstellen-LAG zu bilden.
Mehrere aktive redundante Ethernet-Schnittstellenverbindungen reduzieren die Möglichkeit eines Failovers. Wenn z. B. eine aktive Verbindung außer Betrieb ist, wird der gesamte Datenverkehr auf dieser Verbindung auf andere aktive redundante Ethernet-Schnittstellenverbindungen verteilt, anstatt ein redundantes Ethernet-Aktiv/Standby-Failover auszulösen.
Aggregierte Ethernet-Schnittstellen, die als lokale LAGs bezeichnet werden, werden ebenfalls auf einem der beiden Knoten eines Gehäuse-Clusters unterstützt, können jedoch nicht zu redundanten Ethernet-Schnittstellen hinzugefügt werden. Ebenso kann eine untergeordnete Schnittstelle einer bestehenden lokalen LAG nicht zu einer redundanten Ethernet-Schnittstelle hinzugefügt werden und umgekehrt. Die maximale Gesamtzahl der kombinierten einzelnen Knoten-LAG-Schnittstellen (ae) und redundanten Ethernet-Schnittstellen (reth) pro Cluster beträgt 128.
Aggregierte Ethernet-Schnittstellen und redundante Ethernet-Schnittstellen können jedoch nebeneinander existieren, da die Funktionalität einer redundanten Ethernet-Schnittstelle auf dem aggregierten Ethernet-Framework von Junos OS basiert.
Weitere Informationen finden Sie unter Grundlegendes zu redundanten Ethernet-Schnittstellen-Verbindungsaggregationsgruppen von Chassis-Clustern.
Minimale Links
Die Konfiguration für redundante Ethernet-Schnittstellen umfasst eine minimum-links Einstellung, mit der Sie eine Mindestanzahl physischer untergeordneter Links in einer LAG für redundante Ethernet-Schnittstellen festlegen können, die auf dem primären Knoten funktionieren müssen, damit die Schnittstelle verfügbar ist. Der Standardwert minimum-links ist 1. Wenn die Anzahl der physischen Verbindungen auf dem primären Knoten in einer redundanten Ethernet-Schnittstelle unter den minimum-links Wert fällt, kann die Schnittstelle ausgefallen sein, auch wenn einige Verbindungen noch funktionieren. Weitere Informationen finden Sie unter Beispiel: Konfigurieren der minimalen Verbindungen von Chassis-Clustern.
Sub-LAGs
LACP unterhält eine Punkt-zu-Punkt-LAG. Jeder Port, der mit dem dritten Punkt verbunden ist, wird abgelehnt. Eine redundante Ethernet-Schnittstelle ist jedoch konstruktionsbedingt mit zwei verschiedenen Systemen oder zwei dezentralen aggregierten Ethernet-Schnittstellen verbunden.
Zur Unterstützung von LACP auf redundanten Ethernet-Schnittstellen-Aktiv- und Standby-Links wird automatisch eine redundante Ethernet-Schnittstelle erstellt, die aus zwei unterschiedlichen Sub-LAGs besteht, wobei alle aktiven Links eine aktive Sub-LAG und alle Standby-Links eine Standby-Sub-LAG bilden.
In diesem Modell wird LACP-Auswahllogik angewendet und jeweils auf eine Sub-LAG beschränkt. Auf diese Weise werden zwei redundante Ethernet-Schnittstellen-Sub-LAGs gleichzeitig verwaltet, während alle LACP-Vorteile für jede Sub-LAG erhalten bleiben.
Es ist erforderlich, dass für die Switches, die zum Verbinden der Knoten im Cluster verwendet werden, eine LAG-Verbindung konfiguriert und 802.3ad für jede LAG auf beiden Knoten aktiviert ist, damit die aggregierten Verbindungen als solche erkannt werden und den Datenverkehr korrekt weiterleiten.
Die untergeordneten LAG-Verbindungen der redundanten Ethernet-Schnittstelle von jedem Knoten im Gehäuse-Cluster müssen mit einer anderen LAG auf den Peer-Geräten verbunden sein. Wenn ein einzelner Peer-Switch zum Beenden der redundanten Ethernet-Schnittstellen-LAG verwendet wird, müssen zwei separate LAGs im Switch verwendet werden.
Unterstützung für ausfallfreies Failover
Mit LACP unterstützt die redundante Ethernet-Schnittstelle ein ausfallloses Failover zwischen der aktiven und der Standby-Verbindung im Normalbetrieb. Der Begriff "hitless" bedeutet, dass der Status der redundanten Ethernet-Schnittstelle während eines Failovers bestehen bleibt.
Der lacpd-Prozess verwaltet sowohl die aktiven als auch die Standby-Verbindung der redundanten Ethernet-Schnittstellen. Der Status einer redundanten Ethernet-Schnittstelle bleibt bestehen, wenn die Anzahl der aktiven Up-Links gleich oder größer als die Anzahl der konfigurierten minimalen Verbindungen ist. Um ein ausfallfreies Failover zu unterstützen, muss daher der LACP-Status der redundanten Ethernet-Schnittstellen-Standby-Verbindungen erfasst und verteilt werden, bevor ein Failover auftritt.
Verwalten von PDUs für die Link-Aggregationssteuerung
Die Protokolldateneinheiten (PDUs) enthalten Informationen über den Zustand der Verbindung. Standardmäßig tauschen aggregierte und redundante Ethernet-Links keine PDUs für die Link-Aggregationssteuerung aus.
Sie können den Austausch von PDUs folgendermaßen konfigurieren:
Konfiguration von Ethernet-Verbindungen zur aktiven Übertragung von PDUs zur Link-Aggregationssteuerung
Konfiguration von Ethernet-Verbindungen für die passive Übertragung von PDUs, wobei PDUs zur Link-Aggregationssteuerung nur dann gesendet werden, wenn sie vom entfernten Ende derselben Verbindung empfangen werden
Das lokale Ende einer untergeordneten Verbindung wird als Akteur und das entfernte Ende der Verbindung als Partner bezeichnet. Das heißt, der Akteur sendet Link Aggregation Control PDUs an seinen Protokollpartner, die vermitteln, was der Akteur über seinen eigenen Zustand und den des Partners weiß.
Sie konfigurieren das Intervall, in dem die Schnittstellen auf der Remote-Seite der Link-Übertragungslink-Aggregation PDUs steuern, indem Sie die periodic Anweisung auf den Schnittstellen auf der lokalen Seite konfigurieren. Es ist die Konfiguration auf der lokalen Seite, die das Verhalten der Remote-Seite festlegt. Das heißt, die Remote-Seite überträgt die PDUs für die Link-Aggregationssteuerung im angegebenen Intervall. Das Intervall kann (jede Sekunde) oder slow (alle 30 Sekunden) sein fast .
Weitere Informationen finden Sie unter Beispiel: Konfigurieren von LACP für Chassis-Cluster.
Standardmäßig steuern der Akteur und der Partner die Link-Aggregation pro Sekunde über die PDUs. Sie können unterschiedliche periodische Raten für aktive und passive Schnittstellen konfigurieren. Wenn Sie die aktiven und passiven Schnittstellen mit unterschiedlichen Raten konfigurieren, berücksichtigt der Sender die Rate des Empfängers.
Beispiel: Konfigurieren von LACP für Chassis-Cluster
In diesem Beispiel wird gezeigt, wie LACP für Chassiscluster konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Führen Sie die Aufgaben wie Aktivieren des Chassis-Clusters und Konfigurieren von Schnittstellen und Redundanzgruppen aus. Weitere Informationen finden Sie unter Übersicht über die Konfiguration von Chassis-Clustern der SRX-Serie und Beispiel: Konfigurieren von redundanten Ethernet-Schnittstellen für Chassis-Cluster .
Überblick
Sie können mehrere physische Ethernet-Ports zu einer logischen Punkt-zu-Punkt-Verbindung kombinieren, die als Link Aggregation Group (LAG) oder Bundle bezeichnet wird. Sie konfigurieren LACP auf einer redundanten Ethernet-Schnittstelle der Firewall der SRX-Serie im Gehäuse-Cluster.
In diesem Beispiel legen Sie den LACP-Modus für die reth1-Schnittstelle auf "Aktiv" und das PDU-Übertragungsintervall für die Link-Aggregationssteuerung auf "Slow" (also alle 30 Sekunden) fest.
Wenn Sie LACP aktivieren, tauschen die lokale und die Remote-Seite der aggregierten Ethernet-Verbindungen Protokolldateneinheiten (PDUs) aus, die Informationen über den Zustand der Verbindung enthalten. Sie können Ethernet-Verbindungen so konfigurieren, dass PDUs aktiv übertragen werden, oder Sie können die Verbindungen so konfigurieren, dass sie passiv übertragen werden (Sie senden LACP-PDUs nur, wenn sie sie von einer anderen Verbindung empfangen). Eine Seite des Links muss als aktiv konfiguriert sein, damit der Link verfügbar ist.
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
der EX-Serie verbinden
In Abbildung 1 werden SRX1500 Geräte verwendet, um die Schnittstellen auf node0 und node1 zu konfigurieren. Weitere Informationen zur Konfiguration der Switches der EX-Serie finden Sie unter Konfigurieren von aggregiertem Ethernet-LACP (CLI-Verfahren).
Konfiguration
Konfigurieren von LACP auf Chassis-Cluster
Schritt-für-Schritt-Anleitung
So konfigurieren Sie LACP auf Chassis-Clustern:
-
Geben Sie die Anzahl der redundanten Ethernet-Schnittstellen an.
[edit chassis cluster] user@host# set reth-count 2
-
Geben Sie die Priorität einer Redundanzgruppe für den Primacy auf jedem Knoten des Clusters an. Die höhere Zahl hat Vorrang.
[edit chassis cluster] user@host# set redundancy-group 1 node 0 priority 200 user@host# set redundancy-group 1 node 1 priority 100
-
Erstellen Sie eine Sicherheitszone und weisen Sie der Zone Schnittstellen zu.
[edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust interfaces reth1.0
-
Binden Sie redundante untergeordnete physische Schnittstellen an reth1.
[edit interfaces] user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-0/0/5 gigether-options redundant-parent reth1 user@host# set ge-9/0/4 gigether-options redundant-parent reth1 user@host# set ge-9/0/5 gigether-options redundant-parent reth1
-
Fügen Sie reth1 zu Redundanzgruppe 1 hinzu.
[edit interfaces] user@host# set reth1 redundant-ether-options redundancy-group 1
-
Legen Sie den LACP auf reth1 fest.
[edit interfaces] user@host# set reth1 redundant-ether-options lacp active user@host# set reth1 redundant-ether-options lacp periodic slow
-
Weisen Sie reth1 eine IP-Adresse zu.
[edit interfaces] user@host# set reth1 unit 0 family inet address 192.168.2.1/24
-
Konfigurieren Sie LACP auf aggregierten Ethernet-Schnittstellen (ae1).
-
Konfigurieren Sie LACP auf aggregierten Ethernet-Schnittstellen (ae2).
-
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit interfaces] user@host# commit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show chassisBefehle , show security zonesund show interfaces eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]user@host#show chassis cluster { reth-count 2; redundancy-group 1 { node 0 priority 200; node 1 priority 100; } } [edit]user@host#show security zones security-zone trust { host-inbound-traffic { system-services { all; } } interfaces { reth1.0; } } [edit]user@host#show interfaces reth1 { redundant-ether-options { redundancy-group 1; lacp { active; periodic slow; } } unit 0 { family inet { address 192.168.2.1/24; } } }
Konfigurieren von LACP auf einem Switch der EX-Serie
Schritt-für-Schritt-Anleitung
Konfigurieren Sie LACP auf einem Switch der EX-Serie.
-
Legen Sie die Anzahl der aggregierten Ethernet-Schnittstellen fest.
[edit chassis] user@host# set aggregated-devices ethernet device-count 3
-
Verknüpfen Sie physische Schnittstellen mit aggregierten Ethernet-Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 gigether-options 802.3ad ae1 user@host# set ge-0/0/2 gigether-options 802.3ad ae1 user@host# set ge-0/0/3 gigether-options 802.3ad ae2 user@host# set ge-0/0/4 gigether-options 802.3ad ae2
-
Konfigurieren Sie LACP auf aggregierten Ethernet-Schnittstellen (ae1).
[edit interfaces] user@host# set interfaces ae1 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ae1 unit 0 family ethernet-switching vlan members RETH0_VLAN
-
Konfigurieren Sie LACP auf aggregierten Ethernet-Schnittstellen (ae2).
[edit interfaces] user@host# set interfaces ae2 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ae2 unit 0 family ethernet-switching vlan members RETH0_VLAN
-
VLAN konfigurieren.
user@host#set vlans RETH0_VLAN vlan-id 10 user@host# set vlans RETH0_VLAN l3-interface vlan.10 user@host# set interfaces vlan unit 10 family inet address 192.168.2.254/24
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show chassis Befehle und show interfaces eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]user@host#show chassis aggregated-devices { ethernet { device-count 3; } }user@host#show vlans RETH0_VLAN { vlan-id 10; l3-interface vlan.10; }user@host>show vlans RETH0_VLAN Routing instance VLAN name Tag Interfaces default-switch RETH0_VLAN 10 ae1.0* ae2.0*user@host>show ethernet-switching interface ae1 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ae1.0 131072 untagged RETH0_VLAN 10 131072 Forwarding untaggeduser@host>show ethernet-switching interface ae2 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ae2.0 131072 untagged RETH0_VLAN 10 131072 Forwarding untaggeduser@host#show interfaces ge-0/0/1 { ether-options { 802.3ad ae1; } } ge-0/0/2 { ether-options { 802.3ad ae1; } } ge-0/0/3 { ether-options { 802.3ad ae2; } } ge-0/0/4 { ether-options { 802.3ad ae2; } } ae1 { aggregated-ether-options { lacp { active; periodic slow; } } unit 0 { family ethernet-switching { interface-mode access; vlan { members RETH0_VLAN; } } } } ae2 { aggregated-ether-options { lacp { active; periodic slow; } } unit 0 { family ethernet-switching { interface-mode access; vlan { members RETH0_VLAN; } } } } vlan { unit 10 { family inet { address 192.168.2.254/24 { } } } }
Verifizierung
Verifizierung von LACP auf redundanten Ethernet-Schnittstellen
Zweck
Zeigt LACP-Statusinformationen für redundante Ethernet-Schnittstellen an.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.
{primary:node0}[edit]
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 1 primary no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 1
node0 200 primary no no None
node1 100 secondary no no None
{primary:node0}[edit]
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 fxp1 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 ge-0/0/2 Up / Up Enabled
fab0
fab1 ge-9/0/2 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Down Not configured
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
Geben Sie im Betriebsmodus den show lacp interfaces reth1 Befehl ein.
{primary:node0}[edit]
user@host> show lacp interfaces reth1
Aggregated interface: reth1
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
ge-0/0/4 Actor No No Yes Yes Yes Yes Slow Active
ge-0/0/4 Partner No No Yes Yes Yes Yes Slow Active
ge-0/0/5 Actor No No Yes Yes Yes Yes Slow Active
ge-0/0/5 Partner No No Yes Yes Yes Yes Slow Active
ge-9/0/4 Actor No No Yes Yes Yes Yes Slow Active
ge-9/0/4 Partner No No Yes Yes Yes Yes Slow Active
ge-9/0/5 Actor No No Yes Yes Yes Yes Slow Active
ge-9/0/5 Partner No No Yes Yes Yes Yes Slow Active
LACP protocol: Receive State Transmit State Mux State
ge-0/0/4 Current Slow periodic Collecting distributing
ge-0/0/5 Current Slow periodic Collecting distributing
ge-9/0/4 Current Slow periodic Collecting distributing
ge-9/0/5 Current Slow periodic Collecting distributing
Die Ausgabe zeigt redundante Ethernet-Schnittstelleninformationen, wie die folgenden:
Der LACP-Status: Gibt an, ob es sich bei dem Link im Bundle um einen Akteur (lokal oder am Ende des Links) oder um einen Partner (am entfernten oder entfernten Ende des Links) handelt.
Der LACP-Modus gibt an, ob beide Enden der aggregierten Ethernet-Schnittstelle aktiviert sind (aktiv oder passiv) – mindestens ein Ende des Pakets muss aktiv sein.
Die periodische Link-Aggregation-Steuerung der PDU-Übertragungsrate.
Der LACP-Protokollstatus: Gibt an, dass die Verbindung aktiv ist, wenn Pakete gesammelt und verteilt werden.
Beispiel: Konfigurieren der minimalen Verbindungen von Gehäuse-Clustern
In diesem Beispiel wird gezeigt, wie eine Mindestanzahl physischer Verbindungen angegeben wird, die einer redundanten Ethernet-Schnittstelle auf dem primären Knoten zugewiesen sind, die funktionieren muss, damit die Schnittstelle verfügbar ist.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie redundante Ethernet-Schnittstellen. Siehe Beispiel: Konfigurieren von redundanten Ethernet-Schnittstellen für Chassis-Cluster.
Verstehen redundanter Verbindungsaggregationsgruppen für Ethernet-Schnittstellen. Siehe Beispiel: Konfigurieren von Link-Aggregationsgruppen in einem Chassis-Cluster.
Überblick
Wenn eine redundante Ethernet-Schnittstelle über mehr als zwei untergeordnete Links verfügt, können Sie eine Mindestanzahl physischer Verbindungen festlegen, die der Schnittstelle auf dem primären Knoten zugewiesen sind und die funktionieren müssen, damit die Schnittstelle verfügbar ist. Wenn die Anzahl der physischen Verbindungen auf dem primären Knoten unter den Wert für minimale Verbindungen fällt, ist die Schnittstelle auch dann nicht verfügbar, wenn einige Verbindungen noch funktionieren.
In diesem Beispiel geben Sie an, dass drei untergeordnete Links auf dem primären Knoten, die an reth1 (minimaler Verknüpfungswert) gebunden sind, funktionieren, um zu verhindern, dass die Schnittstelle ausfällt. In einer redundanten Ethernet-Schnittstellen-LAG-Konfiguration, in der reth1 sechs Schnittstellen zugewiesen sind, bedeutet das Festlegen des Minimum-Links-Werts auf 3, dass alle untergeordneten reth1-Links auf dem primären Knoten funktionieren müssen, um zu verhindern, dass sich der Status der Schnittstelle in down ändert.
Obwohl es möglich ist, einen minimalen Verbindungswert für eine redundante Ethernet-Schnittstelle mit nur zwei untergeordneten Schnittstellen (eine auf jedem Knoten) festzulegen, wird dies nicht empfohlen.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So legen Sie die Mindestanzahl von Links fest:
Geben Sie die Mindestanzahl von Verbindungen für die redundante Ethernet-Schnittstelle an.
{primary:node0}[edit] user@host# set interfaces reth1 redundant-ether-options minimum-links 3Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
{primary:node0}[edit] user@host# commit
Verifizierung
Überprüfen der Konfiguration der minimalen Verbindungen des Gehäuse-Clusters
Zweck
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl show interface reth1 ein.
Aktion
Geben Sie im Betriebsmodus den Befehl show show interfaces reth1 ein.
{primary:node0}[edit]user@host> show interfaces reth1Physical interface: reth1, Enabled, Physical link is Down Interface index: 129, SNMP ifIndex: 548 Link-level type: Ethernet, MTU: 1514, Speed: Unspecified, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Minimum links needed: 3, Minimum bandwidth needed: 0 Device flags : Present Running Interface flags: Hardware-Down SNMP-Traps Internal: 0x0 Current address: 00:10:db:ff:10:01, Hardware address: 00:10:db:ff:10:01 Last flapped : 2010-09-15 15:54:53 UTC (1w0d 22:07 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface reth1.0 (Index 68) (SNMP ifIndex 550) Flags: Hardware-Down Device-Down SNMP-Traps 0x0 Encapsulation: ENET2 Statistics Packets pps Bytes bps Bundle: Input : 0 0 0 0 Output: 0 0 0 0 Security: Zone: untrust Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping ntp sip Protocol inet, MTU: 1500 Flags: Sendbcast-pkt-to-re
Beispiel: Konfigurieren von Chassis-Cluster-redundanten Ethernet-Schnittstellen-Link-Aggregationsgruppen auf einem Gerät der SRX5000-Reihe mit IOC2 oder IOC3
Die Unterstützung für Ethernet Link Aggregation Groups (LAGs) basierend auf IEEE 802.3ad ermöglicht es, physische Schnittstellen auf einem eigenständigen Gerät zu aggregieren. LAGs auf eigenständigen Geräten bieten eine höhere Schnittstellenbandbreite und Verfügbarkeit von Verbindungen. Die Aggregation von Verbindungen in einem Chassis-Cluster ermöglicht es einer redundanten Ethernet-Schnittstelle, mehr als zwei physische untergeordnete Schnittstellen hinzuzufügen, wodurch eine redundante Ethernet-Schnittstellen-LAG entsteht.
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS Version 15.1X49-D40 oder höher für Firewalls der SRX-Serie.
SRX5800 mit IOC2 oder IOC3 mit aktiviertem Express Path auf IOC2 und IOC3. Weitere Informationen finden Sie unter Beispiel: Konfigurieren von SRX5K-MPC3-100G10G (IOC3) und SRX5K-MPC3-40G10G (IOC3) auf einem Gerät der SRX5000-Leitung zur Unterstützung von Express Path.
Überblick
In diesem Beispiel wird gezeigt, wie Sie eine redundante Ethernet-Schnittstelle, eine Link-Aggregationsgruppe und LACP auf Gehäuse-Clustern auf einer Firewall der SRX-Serie konfigurieren, indem Sie die Ports von IOC2 oder IOC3 im Express Path-Modus verwenden. Beachten Sie, dass die Konfiguration von untergeordneten Schnittstellen durch Mischen von Links von IOC2 und IOC3 nicht unterstützt wird.
Eine redundante Ethernet-Schnittstelle oder aggregierte Ethernet-Schnittstelle (aex) muss untergeordnete Schnittstellen desselben IOC-Typs für IOC2 und IOC3 enthalten. Wenn z. B. ein untergeordneter Link von 10-Gigabit-Ethernet auf IOC2 stammt, sollte der zweite untergeordnete Link ebenfalls von IOC2 stammen. Diese Einschränkung gilt nicht für untergeordnete IOC3- und IOC4-Schnittstellen, wenn die untergeordneten Schnittstellen die gleiche Geschwindigkeit aufweisen.
Die folgende Kombination wird nicht unterstützt:
- Knoten 0-100 GbE von IOC2 und 10 GbE/40 GbE/100 GbE von IOC3
- Knoten 1-100 GbE von IOC2 und 10 GbE/40 GbE/100 GbE von IOC3
Die folgende Kombination wird unterstützt (bei gleicher Schnittstellengeschwindigkeit):
- Knoten 0-100 GbE von IOC3 und 100 GbE von IOC4
- Knoten 1-100 GbE von IOC3 und 100 GbE von IOC4
In diesem Beispiel werden die folgenden Memberlinks verwendet:
-
xe-1/0/0
-
xe-3/0/0
-
xe-14/0/0
-
xe-16/0/0
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, löschen Sie die Befehle, fügen Sie sie dann kopieren und in die CLI auf der [edit] Hierarchieebene ein, und wechseln commit Sie dann aus dem Konfigurationsmodus.
set chassis cluster reth-count 5 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 redundant-ether-options lacp active set interfaces reth0 redundant-ether-options lacp periodic fast set interfaces reth0 redundant-ether-options minimum-links 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set interfaces xe-1/0/0 gigether-options redundant-parent reth0 set interfaces xe-3/0/0 gigether-options redundant-parent reth0 set interfaces xe-14/0/0 gigether-options redundant-parent reth0 set interfaces xe-16/0/0 gigether-options redundant-parent reth0
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie LAG-Schnittstellen:
Geben Sie die Anzahl der zu erstellenden aggregierten Ethernet-Schnittstellen an.
[edit chassis] user@host# set chassis cluster reth-count 5
Binden Sie redundante untergeordnete physische Schnittstellen an reth0.
[edit interfaces] user@host# set xe-1/0/0 gigether-options redundant-parent reth0 user@host# set xe-3/0/0 gigether-options redundant-parent reth0 user@host# set xe-14/0/0 gigether-options redundant-parent reth0 user@host# set xe-16/0/0 gigether-options redundant-parent reth0
Fügen Sie reth0 zur Redundanzgruppe 1 hinzu.
user@host#set reth0 redundant-ether-options redundancy-group 1
Weisen Sie reth0 eine IP-Adresse zu.
[edit interfaces] user@host# set reth0 unit 0 family inet address 192.0.2.1/24
Legen Sie den LACP auf reth0 fest.
[edit interfaces] user@host# set reth0 redundant-ether-options lacp active user@host# set reth0 redundant-ether-options lacp periodic fast user@host# set reth0 redundant-ether-options minimum-links 1
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show interfaces Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
xe-1/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-3/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-14/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-16/0/0 {
gigether-options {
redundant-parent reth0;
}
}
reth0 {
redundant-ether-options {
lacp {
active;
periodic fast;
}
minimum-links 1;
}
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ae1 {
aggregated-ether-options {
lacp {
active;
}
}
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
}
[edit]
user@host# show chassis
chassis cluster {
reth-count 5;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Verifizierung von LACP auf redundanten Ethernet-Schnittstellen
Zweck
Zeigt LACP-Statusinformationen für redundante Ethernet-Schnittstellen an.
Aktion
Geben Sie im Betriebsmodus den show lacp interfaces Befehl ein, um zu überprüfen, ob LACP an einem Ende als aktiv aktiviert wurde.
user@host> show lacp interfaces
Aggregated interface: reth0
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
xe-16/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-16/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-14/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-14/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-1/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-1/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-3/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-3/0/0 Partner No No Yes Yes Yes Yes Fast Active
LACP protocol: Receive State Transmit State Mux State
xe-16/0/0 Current Fast periodic Collecting distributing
xe-14/0/0 Current Fast periodic Collecting distributing
xe-1/0/0 Current Slow periodic Collecting distributing
xe-3/0/0 Current Slow periodic Collecting distributing
Die Ausgabe zeigt an, dass LACP korrekt eingerichtet wurde und an einem Ende aktiv ist.
Informationen zum VRRP auf Firewalls der SRX-Serie
Firewalls der SRX-Serie unterstützen das Virtual Router Redundancy Protocol (VRRP) und VRRP für IPv6. In diesem Thema werden folgende Themen behandelt:
- Überblick über VRRP auf Firewalls der SRX-Serie
- Vorteile von VRRP
- Beispiel für eine VRRP-Topologie
- Firewalls der SRX-Serie: Unterstützung für VRRPv3
- Einschränkungen der VRRPv3-Funktionen
Überblick über VRRP auf Firewalls der SRX-Serie
Die Konfiguration von Endhosts in Ihrem Netzwerk mit statischen Standardrouten minimiert den Konfigurationsaufwand und die Komplexität und reduziert den Verarbeitungsaufwand auf den Endhosts. Wenn Hosts mit statischen Routen konfiguriert sind, führt der Ausfall des Standard-Gateways normalerweise zu einem katastrophalen Ereignis, bei dem alle Hosts isoliert werden, die keine verfügbaren alternativen Pfade zu ihrem Gateway erkennen können. Durch die Verwendung des Virtual Router Redundancy Protocol (VRRP) können Sie dynamisch alternative Gateways für Endhosts bereitstellen, wenn das primäre Gateway ausfällt.
Sie können das Virtual Router Redundancy Protocol (VRRP) oder VRRP für IPv6 auf Gigabit-Ethernet-Schnittstellen, 10-Gigabit-Ethernet-Schnittstellen und logischen Schnittstellen auf Firewalls der SRX-Serie konfigurieren. VRRP ermöglicht es Hosts in einem LAN, redundante Geräte in diesem LAN zu nutzen, ohne dass mehr als die statische Konfiguration einer einzigen Standardroute auf den Hosts erforderlich ist. Geräte, die mit VRRP konfiguriert sind, teilen sich die IP-Adresse, die der auf den Hosts konfigurierten Standardroute entspricht. Zu jeder Zeit ist eines der VRRP-konfigurierten Geräte das primäre (aktive) und die anderen sind Backups. Wenn das primäre Gerät ausfällt, wird eines der Backup-Geräte zum neuen primären Gerät, das ein virtuelles Standardgerät bereitstellt und die Weiterleitung des Datenverkehrs über das LAN ermöglicht, ohne auf ein einzelnes Gerät angewiesen zu sein. Mithilfe von VRRP kann eine Backup-Firewall der SRX-Serie innerhalb weniger Sekunden ein ausgefallenes Standardgerät übernehmen. Dies geschieht mit minimalem Verlust an VRRP-Datenverkehr und ohne jegliche Interaktion mit den Hosts. Das Virtual Router Redundancy Protocol wird auf Verwaltungsschnittstellen nicht unterstützt.
VRRP für IPv6 bietet einen viel schnelleren Wechsel zu einem alternativen Standardgerät als IPv6 Neighbor Discovery (ND)-Verfahren. VRRP für IPv6 unterstützt die authentication-type OR-Anweisungen authentication-key nicht.
Geräte, auf denen VRRP ausgeführt wird, wählen dynamisch primäre und Backup-Geräte aus. Sie können auch die Zuweisung von primären und Backup-Geräten mit Prioritäten von 1 bis 255 erzwingen, wobei 255 die höchste Priorität darstellt. Im VRRP-Betrieb sendet das primäre Standardgerät in regelmäßigen Abständen Ankündigungen an das Backup-Gerät. Das Standardintervall beträgt 1 Sekunde. Wenn das Backup-Medium für einen festgelegten Zeitraum keine Ankündigung erhält, übernimmt das Backup-Medium mit der höchsten Priorität die Rolle des primären Mediums und beginnt mit der Weiterleitung von Paketen.
Die Sicherungsgeräte versuchen nicht, das primäre Gerät zu trennen, es sei denn, es hat eine höhere Priorität. Dadurch wird eine Serviceunterbrechung vermieden, es sei denn, es steht ein bevorzugter Pfad zur Verfügung. Es ist möglich, alle Unterbrechungsversuche administrativ zu verbieten, mit Ausnahme eines VRRP-Geräts, das zum primären Gerät eines Geräts wird, das mit Adressen verknüpft ist, die es besitzt.
VRRP unterstützt keine Sitzungssynchronisierung zwischen Mitgliedern. Wenn das primäre Gerät ausfällt, übernimmt das Backup-Gerät mit der höchsten Priorität die Funktion des primären Geräts und beginnt mit der Weiterleitung von Paketen. Alle vorhandenen Sitzungen werden auf dem Sicherungsgerät als außerhalb des Zustands verworfen.
Die Priorität 255 kann für geroutete VLAN-Schnittstellen (RVIs) nicht festgelegt werden.
VRRP ist in RFC 3768, Virtual Router Redundancy Protocol, definiert.
Vorteile von VRRP
VRRP bietet im Falle eines Ausfalls ein dynamisches Failover von IP-Adressen von einem Gerät auf ein anderes.
Sie können VRRP implementieren, um einen hochverfügbaren Standardpfad zu einem Gateway bereitzustellen, ohne dynamische Routing- oder Routererkennungsprotokolle auf Endhosts konfigurieren zu müssen.
Beispiel für eine VRRP-Topologie
Abbildung 2 veranschaulicht eine grundlegende VRRP-Topologie mit Firewalls der SRX-Serie. In diesem Beispiel führen Geräte A und B VRRP aus und teilen sich die virtuelle IP-Adresse 192.0.2.1. Das Standardgateway für jeden der Clients ist 192.0.2.1.
der SRX-Serie
Im Folgenden wird das grundlegende VRRP-Verhalten anhand von Abbildung 2 als Referenz veranschaulicht:
Wenn einer der Server Datenverkehr aus dem LAN senden möchte, sendet er den Datenverkehr an die Standard-Gateway-Adresse 192.0.2.1. Dies ist eine virtuelle IP-Adresse (VIP), die der VRRP-Gruppe 100 gehört. Da Gerät A das primäre Gerät der Gruppe ist, ist die VIP der "echten" Adresse 192.0.2.251 auf Gerät A zugeordnet, und der Datenverkehr von den Servern wird tatsächlich an diese Adresse gesendet. (Gerät A ist das primäre, da es mit einem höheren Prioritätswert konfiguriert wurde.)
Wenn es einen Fehler auf Gerät A gibt, der verhindert, dass es Datenverkehr zu oder von den Servern weiterleitet, z. B. wenn die mit dem LAN verbundene Schnittstelle ausfällt, wird Gerät B zum primären Gerät und übernimmt den Besitz der VIP. Die Server senden weiterhin Datenverkehr an die VIP, aber da die VIP jetzt mit der "echten" Adresse 192.0.2.252 auf Gerät B verknüpft ist (aufgrund einer Änderung des primären Geräts), wird der Datenverkehr an Gerät B statt an Gerät A gesendet.
Wenn das Problem, das den Fehler auf Gerät A verursacht hat, behoben ist, wird Gerät A wieder zum primären Gerät und übernimmt wieder den Besitz der VIP. In diesem Fall senden die Server weiterhin Datenverkehr an Gerät A.
Beachten Sie, dass auf den Servern keine Konfigurationsänderungen erforderlich sind, damit sie zwischen dem Senden von Datenverkehr an Gerät A und Gerät B wechseln können. Wenn die VIP zwischen 192.0.2.251 und 192.0.2.252 wechselt, wird die Änderung durch das normale TCP-IP-Verhalten erkannt, und es ist keine Konfiguration oder ein Eingriff auf den Servern erforderlich.
Firewalls der SRX-Serie: Unterstützung für VRRPv3
Der Vorteil der Verwendung von VRRPv3 besteht darin, dass VRRPv3 sowohl IPv4- als auch IPv6-Adressfamilien unterstützt, während VRRP nur IPv4-Adressen unterstützt.
Aktivieren Sie VRRPv3 in Ihrem Netzwerk nur, wenn VRRPv3 auf allen Geräten aktiviert werden kann, die mit VRRP in Ihrem Netzwerk konfiguriert sind, da VRRPv3 (IPv4) nicht mit den vorherigen Versionen von VRRP zusammenarbeitet. Wenn beispielsweise VRRP-IPv4-Ankündigungspakete von einem Gerät empfangen werden, auf dem VRRPv3 aktiviert ist, wechselt das Gerät in den Backup-Zustand, um zu vermeiden, dass mehrere Primärdateien im Netzwerk erstellt werden.
Sie können VRRPv3 aktivieren, indem Sie die Anweisung version-3 auf der [edit protocols vrrp] Hierarchieebene konfigurieren (für IPv4- oder IPv6-Netzwerke). Konfigurieren Sie die gleiche Protokollversion auf allen VRRP-Geräten im LAN.
Einschränkungen der VRRPv3-Funktionen
Im Folgenden finden Sie einige Einschränkungen der VRRPv3-Funktionen.
VRRPv3-Authentifizierung
Wenn VRRPv3 (für IPv4) aktiviert ist, lässt es keine Authentifizierung zu.
Die
authentication-typeand-Anweisungenauthentication-keykönnen nicht für VRRP-Gruppen konfiguriert werden.Sie müssen eine Nicht-VRRP-Authentifizierung verwenden.
VRRPv3 Ankündigungsintervalle
VRRPv3-Ankündigungsintervalle (für IPv4 und IPv6) müssen mit der fast-interval-Anweisung auf der Hierarchieebene [edit interfaces interface-name unit 0 family inet address ip-address vrrp-group group-name] festgelegt werden.
Verwenden Sie die
advertise-intervalAnweisung (für IPv4) nicht.Verwenden Sie die
inet6-advertise-intervalAnweisung (für IPv6) nicht.
Siehe auch
VRRP-Failover-Verzögerung Übersicht
Failover ist ein Backup-Betriebsmodus, bei dem die Funktionen eines Netzwerkgeräts von einem sekundären Gerät übernommen werden, wenn das primäre Gerät aufgrund eines Ausfalls oder einer geplanten Ausfallzeit nicht mehr verfügbar ist. Failover sind in der Regel ein integraler Bestandteil unternehmenskritischer Systeme, die ständig im Netzwerk verfügbar sein müssen.
VRRP unterstützt keine Sitzungssynchronisierung zwischen Mitgliedern. Wenn das primäre Gerät ausfällt, übernimmt das Backup-Gerät mit der höchsten Priorität die Funktion des primären Geräts und beginnt mit der Weiterleitung von Paketen. Alle vorhandenen Sitzungen werden auf dem Sicherungsgerät als außerhalb des Zustands verworfen.
Ein schnelles Failover erfordert eine kurze Verzögerung. Daher konfiguriert failover-delay die Failoververzögerungszeit in Millisekunden für VRRP- und VRRP für IPv6-Vorgänge. Junos OS unterstützt einen Bereich von 50 bis 100000 Millisekunden für eine Verzögerung der Failover-Zeit.
Der VRRP-Prozess (vrrpd), der auf der Routing-Engine ausgeführt wird, übermittelt der Packet Forwarding Engine für jede VRRP-Sitzung eine Änderung der primären VRRP-Rolle. Jede VRRP-Gruppe kann eine solche Kommunikation auslösen, um die Packet Forwarding Engine mit ihrem eigenen Status oder dem von einer aktiven VRRP-Gruppe geerbten Zustand zu aktualisieren. Um eine Überlastung der Packet Forwarding Engine mit solchen Nachrichten zu vermeiden, können Sie eine Failoververzögerung konfigurieren, um die Verzögerung zwischen nachfolgenden Routing-Engine- und Packet Forwarding Engine-Kommunikationen anzugeben.
Die Routing-Engine übermittelt eine Änderung der primären VRRP-Rolle an die Packet Forwarding Engine, um notwendige Zustandsänderungen auf der Packet Forwarding Engine zu erleichtern, z. B. die Neuprogrammierung von Hardwarefiltern der Packet Forwarding Engine, VRRP-Sitzungen usw. In den folgenden Abschnitten wird die Kommunikation zwischen der Routing-Engine und der Packet Forwarding Engine in zwei Szenarien erläutert:
Wenn die Failoververzögerung nicht konfiguriert ist
Ohne konfigurierte Failoververzögerung sieht die Abfolge der Ereignisse für VRRP-Sitzungen, die von der Routing-Engine aus betrieben werden, wie folgt aus:
Wenn die erste VRRP-Gruppe, die von der Routing-Engine erkannt wird, ihren Status ändert und der neue Status primär ist, generiert die Routing-Engine die entsprechenden VRRP-Ankündigungsmeldungen. Die Packet Forwarding Engine wird über die Zustandsänderung informiert, sodass Hardwarefilter für diese Gruppe unverzüglich neu programmiert werden. Der neue primäre Server sendet dann eine kostenlose ARP-Nachricht an die VRRP-Gruppen.
Die Verzögerung des Failover-Timers wird gestartet. Standardmäßig ist der Failover-Verzögerungs-Timer wie folgt:
500 Millisekunden: Wenn das konfigurierte VRRP-Ansageintervall weniger als 1 Sekunde beträgt.
2 Sekunden: Das konfigurierte VRRP-Ansageintervall beträgt 1 Sekunde oder mehr und die Gesamtzahl der VRRP-Gruppen auf dem Router beträgt 255.
10 Sekunden: Das konfigurierte VRRP-Ansageintervall beträgt mindestens 1 Sekunde und die Anzahl der VRRP-Gruppen auf dem Router beträgt mehr als 255.
Die Routing-Engine führt eine Statusänderung für nachfolgende VRRP-Gruppen durch. Jedes Mal, wenn es eine Zustandsänderung gibt und der neue Status für eine bestimmte VRRP-Gruppe primär ist, generiert die Routing-Engine die entsprechenden VRRP-Ankündigungsmeldungen. Die Kommunikation mit der Packet Forwarding Engine wird jedoch unterdrückt, bis der Timer für die Failoververzögerung abläuft.
Nach Ablauf des Failoververzögerungs-Timers sendet die Routing-Engine eine Nachricht über alle VRRP-Gruppen, die den Status ändern konnten, an die Packet Forwarding Engine. Als Konsequenz werden Hardwarefilter für diese Gruppen neu programmiert, und für die Gruppen, deren neuer Status primär ist, werden kostenlose ARP-Nachrichten gesendet.
Dieser Vorgang wird so lange wiederholt, bis der Zustandsübergang für alle VRRP-Gruppen abgeschlossen ist.
Daher wird ohne Konfiguration der Failover-Verzögerung der vollständige Zustandsübergang (einschließlich der Zustände auf der Routing-Engine und der Packet Forwarding Engine) für die erste VRRP-Gruppe sofort durchgeführt, während der Zustandsübergang auf der Packet Forwarding Engine für die verbleibenden VRRP-Gruppen um mindestens 0,5 bis 10 Sekunden verzögert wird, abhängig von den konfigurierten VRRP-Ansagetimern und der Anzahl der VRRP-Gruppen. Während dieses Zwischenzustands kann der Empfang von Datenverkehr für VRRP-Gruppen für Zustandsänderungen, die auf der Packet Forwarding Engine noch nicht abgeschlossen wurden, aufgrund einer verzögerten Neukonfiguration von Hardwarefiltern auf der Ebene der Packet Forwarding Engine unterbrochen werden.
Wenn die Failoververzögerung konfiguriert ist
Wenn die Failoververzögerung konfiguriert ist, wird die Abfolge der Ereignisse für VRRP-Sitzungen, die von der Routing-Engine ausgeführt werden, wie folgt geändert:
Die Routing-Engine erkennt, dass einige VRRP-Gruppen eine Zustandsänderung erfordern.
Die Failover-Verzögerung beginnt für den konfigurierten Zeitraum. Der zulässige Timerbereich für die Failoververzögerung beträgt 50 bis 100000 Millisekunden.
Die Routing-Engine führt eine Statusänderung nach der anderen für die VRRP-Gruppen durch. Jedes Mal, wenn es eine Zustandsänderung gibt und der neue Status für eine bestimmte VRRP-Gruppe primär ist, generiert die Routing-Engine die entsprechenden VRRP-Ankündigungsmeldungen. Die Kommunikation mit der Packet Forwarding Engine wird jedoch unterdrückt, bis der Timer für die Failoververzögerung abläuft.
Nach Ablauf des Failoververzögerungs-Timers sendet die Routing-Engine eine Nachricht über alle VRRP-Gruppen, die den Status ändern konnten, an die Packet Forwarding Engine. Als Konsequenz werden Hardwarefilter für diese Gruppen neu programmiert, und für die Gruppen, deren neuer Status primär ist, werden kostenlose ARP-Nachrichten gesendet.
Dieser Vorgang wird so lange wiederholt, bis der Zustandsübergang für alle VRRP-Gruppen abgeschlossen ist.
Wenn also die Failoververzögerung konfiguriert ist, wird sogar der Status der Packet Forwarding Engine für die erste VRRP-Gruppe zurückgestellt. Der Netzbetreiber hat jedoch den Vorteil, dass er einen Failover-Verzögerungswert konfigurieren kann, der am besten zu den Anforderungen der Netzwerkbereitstellung passt, um minimale Ausfälle während der VRRP-Zustandsänderung zu gewährleisten.
Die Failoververzögerung wirkt sich nur auf VRRP-Sitzungen aus, die vom VRRP-Prozess (vrrpd) auf der Routing-Engine ausgeführt werden. Bei VRRP-Sitzungen, die an die Packet Forwarding Engine verteilt werden, hat die Konfiguration der Failoververzögerung keine Auswirkungen.
Siehe auch
Beispiel: Konfigurieren von VRRP/VRRPv3 auf redundanten Ethernet-Schnittstellen des Gehäuse-Clusters
Wenn Virtual Router Redundancy Protocol (VRRP) konfiguriert ist, gruppiert VRRP mehrere Geräte in einem virtuellen Gerät. Zu jeder Zeit ist eines der mit VRRP konfigurierten Geräte das primäre (aktive) und die anderen Geräte sind Backups. Wenn das primäre Gerät ausfällt, wird eines der Backup-Geräte zum neuen primären Gerät.
In diesem Beispiel wird beschrieben, wie VRRP auf einer redundanten Schnittstelle konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 18.1 R1 oder höher für Firewalls der SRX-Serie.
Zwei Firewalls der SRX-Serie, die in einem Gehäuse-Cluster verbunden sind.
Eine Firewall der SRX-Serie, die als eigenständiges Gerät angeschlossen ist.
Überblick
Sie konfigurieren VRRP, indem Sie VRRP-Gruppen auf redundanten Schnittstellen auf Chassis-Cluster-Geräten und auf Gigabit-Ethernet-Schnittstellen auf eigenständigen Geräten konfigurieren. Eine redundante Schnittstelle von Chassis-Cluster-Geräten und eine Gigabit-Ethernet-Schnittstelle eines eigenständigen Geräts können Mitglied einer oder mehrerer VRRP-Gruppen sein. Innerhalb einer VRRP-Gruppe müssen die primäre redundante Schnittstelle von Chassis-Cluster-Geräten und die Backup-Gigabit-Ethernet-Schnittstelle des eigenständigen Geräts konfiguriert werden.
Um die VRRP-Gruppe zu konfigurieren, müssen Sie die Gruppen-ID und die virtuelle IP-Adresse für die redundanten Schnittstellen und Gigabit-Ethernet-Schnittstellen konfigurieren, die Mitglieder der VRRP-Gruppe sind. Die virtuelle IP-Adresse muss für alle Schnittstellen in der VRRP-Gruppe identisch sein. Anschließend konfigurieren Sie die Priorität für die redundanten Schnittstellen und Gigabit-Ethernet-Schnittstellen so, dass sie die primäre Schnittstelle werden.
Sie können die Zuweisung von primären und redundanten Backup-Schnittstellen und Gigabit-Ethernet-Schnittstellen mit Prioritäten von 1 bis 255 erzwingen, wobei 255 die höchste Priorität darstellt.
Topologie
Abbildung 3 zeigt die in diesem Beispiel verwendete Topologie.
Konfiguration VRRP
- Konfiguration von VRRPv3, VRRP-Gruppen und Priorität für redundante Ethernet-Schnittstellen im Gehäuse-Cluster
- Konfigurieren von VRRP-Gruppen auf einem eigenständigen Gerät
Konfiguration von VRRPv3, VRRP-Gruppen und Priorität für redundante Ethernet-Schnittstellen im Gehäuse-Cluster
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set protocols vrrp traceoptions file vrrp.logset protocols vrrp traceoptions file size 10000000set protocols vrrp traceoptions flag allset protocols vrrp version-3set protocols vrrp ignore-nonstop-routingset interfaces ge-0/0/0 gigether-options redundant-parent reth0set interfaces ge-0/0/3 gigether-options redundant-parent reth1set interfaces ge-5/0/0 gigether-options redundant-parent reth0set interfaces ge-5/0/3 gigether-options redundant-parent reth1set interfaces reth0 redundant-ether-options redundancy-group 1set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 virtual-address 192.0.2.3set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 priority 255set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 accept-dataset interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3set interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 priority 255set interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 accept-dataset interfaces reth1 redundant-ether-options redundancy-group 2set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 virtual-address 192.168.120.3set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 priority 150set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 accept-dataset interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4set interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 priority 150set interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 accept-data
Schritt-für-Schritt-Anleitung
So konfigurieren Sie VRRPv3, VRRP-Gruppen und Priorität auf Chassis-Cluster-Geräten:
Konfigurieren Sie einen Dateinamen für die Trace-Optionen, um den VRRP-Protokolldatenverkehr zu verfolgen.
[edit protocols vrrp] user@host#
set traceoptions file vrrp.logGeben Sie die maximale Größe der Ablaufverfolgungsdatei an.
[edit protocols vrrp] user@host#
set traceoptions file size 10000000Aktivieren Sie die vrrp-Trace-Optionen.
[edit protocols vrrp] user@host#
set traceoptions flag allLegen Sie vrrp version auf 3 fest.
[edit protocols vrrp] user@host#
set version-3Konfigurieren Sie diesen Befehl so, dass er GRES (Graceful Routing-Engine Switchover) für VRRP und für aktives Nonstop-Routing unterstützt, wenn ein VRRP-Reth-Failover vorliegt. Mit vrrp kann ein sekundärer Knoten einen ausgefallenen primären Knoten innerhalb weniger Sekunden übernehmen und dies mit minimalem VRRP-Datenverkehr und ohne jegliche Interaktion mit den Hosts
[edit protocols vrrp] user@host#
set ignore-nonstop-routingRichten Sie die redundanten Ethernet-Schnittstellen (reth) ein, und weisen Sie die redundante Schnittstelle einer Zone zu.
[edit interfaces] user@host#
set ge-0/0/0 gigether-options redundant-parent reth0user@host#set ge-0/0/3 gigether-options redundant-parent reth1user@host#set ge-5/0/0 gigether-options redundant-parent reth0user@host#set ge-5/0/3 gigether-options redundant-parent reth1user@host#set reth0 redundant-ether-options redundancy-group 1user@host#set reth1 redundant-ether-options redundancy-group 2Konfigurieren Sie die Familieninet-Adresse und die virtuelle Adresse für die redundante Schnittstelle 0, Einheit 0.
[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 virtual-address 192.168.110.3user@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3Konfigurieren Sie die Familienadresse und die virtuelle Adresse für die redundante Schnittstelle 1 Einheit 0.
[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 virtual-address 192.168.120.3user@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4Legen Sie die Priorität der redundanten Schnittstelle 0 Einheit 0 auf 255 fest.
[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 priority 255user@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 priority 255Stellen Sie die Priorität der redundanten Schnittstelle 1 Einheit 0 auf 150 ein.
[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 priority 150user@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 priority 150Konfigurieren Sie die redundante Schnittstelle 0 Einheit 0 so, dass alle Pakete akzeptiert werden, die an die virtuelle IP-Adresse gesendet werden.
[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 accept-datauser@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 accept-dataKonfigurieren Sie die redundante Schnittstelle 1 Einheit 0 so, dass alle Pakete akzeptiert werden, die an die virtuelle IP-Adresse gesendet werden.
[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 accept-datauser@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 accept-data
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfaces reth0 Befehle und show interfaces reth1 eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces reth0
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.2.2/24 {
vrrp-group 0 {
virtual-address 192.0.2.3;
priority 255;
accept-data;
}
}
}
family inet6 {
address 2001:db8::2/32 {
vrrp-inet6-group 2 {
virtual-inet6-address 2001:db8::3;
priority 255;
accept-data;
}
}
}
}
[edit]
user@host# show interfaces reth1
redundant-ether-options {
redundancy-group 2;
}
unit 0 {
family inet {
address 192.0.2.4/24 {
vrrp-group 1 {
virtual-address 192.0.2.5;
priority 150;
accept-data;
}
}
}
family inet6 {
address 2001:db8::3/32 {
vrrp-inet6-group 3 {
virtual-inet6-address 2001:db8::4;
priority 150;
accept-data;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Konfigurieren von VRRP-Gruppen auf einem eigenständigen Gerät
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set protocols vrrp version-3set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 virtual-address 192.0.2.3set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 priority 50set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 accept-dataset interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3set interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 priority 50set interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 accept-dataset interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 virtual-address 192.0.2.5set interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 priority 50set interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 accept-dataset interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4set interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 priority 50set interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 accept-data
Schritt-für-Schritt-Anleitung
So konfigurieren Sie VRRP-Gruppen auf einem eigenständigen Gerät:
Legen Sie vrrp version auf 3 fest.
[edit protocols vrrp] user@host#
set version-3Konfigurieren Sie die Familienadresse und die virtuelle Adresse für die Gigabit-Ethernet-Schnittstelleneinheit 0.
[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 virtual-address 192.0.2.3user@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3user@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 virtual-address 192.0.2.5user@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4Stellen Sie die Priorität der Gigabit-Ethernet-Schnittstelleneinheit von 0 auf 50 ein.
[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 priority 50user@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 priority 50user@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 priority 50user@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 priority 50Konfigurieren Sie die Gigabit-Ethernet-Schnittstelleneinheit 0 so, dass alle an die virtuelle IP-Adresse gesendeten Pakete akzeptiert werden.
[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 accept-datauser@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 accept-datauser@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 accept-datauser@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 accept-data
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfaces xe-5/0/5 Befehle und show interfaces xe-5/0/6 eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces xe-5/0/5
unit 0 {
family inet {
address 192.0.2.1/24 {
vrrp-group 0 {
virtual-address 192.0.2.3;
priority 50;
accept-data;
}
}
}
family inet6 {
address 2001:db8::1/32 {
vrrp-inet6-group 2 {
virtual-inet6-address 2001:db8::3;
priority 50;
accept-data;
}
}
}
}
[edit]
user@host# show interfaces xe-5/0/6
unit 0 {
family inet {
address 192.0.2.1/24 {
vrrp-group 1 {
virtual-address 192.0.2.5;
priority 50;
accept-data;
}
}
}
family inet6 {
address 2001:db8::5/32 {
vrrp-inet6-group 3 {
virtual-inet6-address 2001:db8::4;
priority 50;
accept-data;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der VRRP auf Chassis-Cluster-Geräten
- Verifizieren des VRRP auf einem eigenständigen Gerät
Überprüfen der VRRP auf Chassis-Cluster-Geräten
Zweck
Stellen Sie sicher, dass VRRP auf Chassis-Cluster-Geräten ordnungsgemäß konfiguriert wurde.
Aktion
Geben Sie im Betriebsmodus den show vrrp brief Befehl ein, um den Status von VRRP auf Chassis-Cluster-Geräten anzuzeigen.
user@host> show vrrp brief
Interface State Group VR state VR Mode Timer Type Address
reth0.0 up 0 master Active A 0.149 lcl 192.0.2.3
vip 192.0.2.3
reth0.0 up 2 master Active A 0.155 lcl 2001:db8::2
vip 2001:db8:5eff:fe00:202
vip 2001:db8::2
reth1.0 up 1 master Active A 0.445 lcl 192.0.2.4
vip 192.0.2.4
reth1.0 up 3 master Active A 0.414 lcl 2001:db8::4
vip 2001:db8:5eff:fe00:203
vip 2001:db8::4
Bedeutung
Die Beispielausgabe zeigt, dass die vier VRRP-Gruppen aktiv sind und dass die redundanten Schnittstellen die richtigen primären Rollen übernommen haben. Die LCL-Adresse ist die physische Adresse der Schnittstelle und die VIP-Adresse ist die virtuelle Adresse, die von redundanten Schnittstellen gemeinsam genutzt wird. Der Timer-Wert (A 0,149, A 0,155, A 0,445 und A 0,414) gibt die verbleibende Zeit (in Sekunden) an, in der die redundanten Schnittstellen eine VRRP-Ankündigung von den Gigabit-Ethernet-Schnittstellen erwarten. Wenn eine Ankündigung für die Gruppen 0, 1, 2 und 3 nicht vor Ablauf des Timers eintrifft, setzt sich Chassis-Cluster-Geräte als primäre Geräte durch.
Verifizieren des VRRP auf einem eigenständigen Gerät
Zweck
Vergewissern Sie sich, dass VRRP auf einem eigenständigen Gerät ordnungsgemäß konfiguriert wurde.
Aktion
Geben Sie im Betriebsmodus den show vrrp brief Befehl ein, um den Status von VRRP auf einem eigenständigen Gerät anzuzeigen.
user@host> show vrrp brief
Interface State Group VR state VR Mode Timer Type Address
xe-5/0/5.0 up 0 backup Active D 3.093 lcl 192.0.2.2.1
vip 192.0.2.2
mas 192.0.2.2.2
xe-5/0/5.0 up 2 backup Active D 3.502 lcl 2001:db8::2:1
vip 2001:db8:200:5eff:fe00:202
vip 2001:db8::2
mas 2001:db8:210:dbff:feff:1000
xe-5/0/6.0 up 1 backup Active D 3.499 lcl 192.0.2.5.1
vip 192.0.2.5
mas 192.0.2.5.2
xe-5/0/6.0 up 3 backup Active D 3.282 lcl 2001:db8::5
vip 2001:db8:200:5eff:fe00:203
vip 2001:db8::4
mas 2001:db8:210:dbff:feff:1001
Bedeutung
Die Beispielausgabe zeigt, dass die vier VRRP-Gruppen aktiv sind und dass die Gigabit-Ethernet-Schnittstellen die richtigen Backup-Rollen übernommen haben. Die LCL-Adresse ist die physikalische Adresse der Schnittstelle und die VIP-Adresse ist die virtuelle Adresse, die von Gigabit-Ethernet-Schnittstellen gemeinsam genutzt wird. Der Timer-Wert (D 3,093, D 3,502, D 3,499 und D 3,282) gibt die verbleibende Zeit (in Sekunden) an, in der die Gigabit-Ethernet-Schnittstellen eine VRRP-Ankündigung von den redundanten Schnittstellen erwarten. Wenn eine Ankündigung für die Gruppen 0, 1, 2 und 3 nicht vor Ablauf des Timers eintrifft, bleibt das eigenständige Gerät weiterhin ein Backup-Gerät.
Beispiel: VRRP für IPv6 konfigurieren
In diesem Beispiel wird gezeigt, wie VRRP-Eigenschaften für IPv6 konfiguriert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Drei Router
-
Junos OS Version 11.3 oder höher
- Dieses Beispiel wurde kürzlich aktualisiert und auf Junos OS Version 21.1R1 überprüft.
- Weitere Informationen zur VRRP-Unterstützung für bestimmte Kombinationen von Plattformen und Junos OS-Versionen finden Sie im Funktions-Explorer.
Überblick
In diesem Beispiel wird eine VRRP-Gruppe verwendet, die über eine virtuelle Adresse für IPv6 verfügt. Geräte im LAN verwenden diese virtuelle Adresse als Standard-Gateway. Wenn der primäre Router ausfällt, übernimmt der Backup-Router.
VRRP konfigurieren
Konfigurieren von Router A
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf Hierarchieebene [edit] ein.
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 priority 110 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 accept-data set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 track interface ge-0/0/2 priority-cost 20 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:3::1/64 set protocols router-advertisement interface ge-0/0/1.0 virtual-router-only set protocols router-advertisement interface ge-0/0/1.0 prefix 2001:db8:1:1::/64 set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:3::2
Schritt-für-Schritt-Anleitung
So konfigurieren Sie dieses Beispiel:
-
Konfigurieren Sie die Schnittstellen.
[edit] user@routerA# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 user@routerA# set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:3::1/64
-
Konfigurieren Sie die IPv6-VRRP-Gruppenkennung und die virtuelle IP-Adresse.
[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254
-
Konfigurieren Sie die Priorität für RouterA höher als RouterB, um der primäre virtuelle Router zu werden. RouterB verwendet die Standardpriorität 100.
[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 priority 110
-
Konfigurieren Sie
track interface, um zu verfolgen, ob die mit dem Internet verbundene Schnittstelle aktiviert, inaktiv oder nicht vorhanden ist, um die Priorität der VRRP-Gruppe zu ändern.[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 track interface ge-0/0/2 priority-cost 20
-
Konfigurieren Sie
accept-datadiese Option, damit der primäre Router alle Pakete akzeptiert, die für die virtuelle IP-Adresse bestimmt sind.[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 accept-data
-
Konfigurieren Sie eine statische Route für den Datenverkehr ins Internet.
[edit] user@routerA# set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:3::2
-
Für VRRP für iPv6 müssen Sie die Schnittstelle konfigurieren, auf der VRRP zum Senden von IPv6-Routerankündigungen für die VRRP-Gruppe konfiguriert ist. Wenn eine Schnittstelle eine IPv6-Router-Anforderungsnachricht empfängt, sendet sie eine IPv6-Router-Ankündigung an alle darauf konfigurierten VRRP-Gruppen.
[edit protocols router-advertisement interface ge-0/0/1.0] user@routerA# set prefix 2001:db8:1:1::/64
-
Konfigurieren Sie Routerankündigungen so, dass sie nur für VRRP-IPv6-Gruppen gesendet werden, die auf der Schnittstelle konfiguriert sind, wenn sich die Gruppen im primären Zustand befinden.
[edit protocols router-advertisement interface ge-0/0/1.0] user@routerA# set virtual-router-only
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle eingeben.show interfacesshow protocols router-advertisement show routing-options Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@routerA# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1:1::1/64 {
vrrp-inet6-group 1 {
virtual-inet6-address 2001:db8:1:1::254;
priority 110;
accept-data;
track {
interface ge-0/0/2 {
priority-cost 20;
}
}
}
}
}
}
}
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8:1:3::1/64;
}
}
}
[edit]
user@routerA# show protocols router-advertisement
interface ge-0/0/1.0 {
virtual-router-only;
prefix 2001:db8:1:1::/64;
}
[edit]
user@routerA# show routing-options
rib inet6.0 {
static {
route 0::0/0 next-hop 2001:db8:1:3::2;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Konfigurieren von Router B
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 priority 110 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 accept-data set protocols router-advertisement interface ge-0/0/1.0 virtual-router-only set protocols router-advertisement interface ge-0/0/1.0 prefix 2001:db8:1:1::/64
Schritt-für-Schritt-Anleitung
So konfigurieren Sie dieses Beispiel:
-
Konfigurieren Sie die Schnittstellen.
[edit] user@routerB# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 user@routerB# set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:4::1/64
-
Konfigurieren Sie die IPv6-VRRP-Gruppenkennung und die virtuelle IP-Adresse.
[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64] user@routerB# set vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254
-
Konfigurieren Sie so, dass der Backup-Router alle Pakete akzeptiert, die für die virtuelle IP-Adresse bestimmt sind, falls der Backup-Router
accept-datazum primären Router wird.[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64] user@routerB# set vrrp-inet6-group 1 accept-data
-
Konfigurieren Sie eine statische Route für den Datenverkehr ins Internet.
[edit] user@routerB# set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:4::2
-
Konfigurieren Sie die Schnittstelle, auf der VRRP zum Senden von IPv6-Routerankündigungen für die VRRP-Gruppe konfiguriert ist. Wenn eine Schnittstelle eine IPv6-Router-Anforderungsnachricht empfängt, sendet sie eine IPv6-Router-Ankündigung an alle darauf konfigurierten VRRP-Gruppen.
[edit protocols router-advertisement interface ge-0/0/1.0] user@routerB# set prefix 2001:db8:1:1::/64
-
Konfigurieren Sie Routerankündigungen so, dass sie nur für VRRP-IPv6-Gruppen gesendet werden, die auf der Schnittstelle konfiguriert sind, wenn sich die Gruppen im primären Zustand befinden.
[edit protocols router-advertisement interface ge-0/0/1.0] user@routerB# set virtual-router-only
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle eingeben.show interfacesshow protocols router-advertisement show routing-options Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@routerB# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1:1::2/64 {
vrrp-inet6-group 1 {
virtual-inet6-address 2001:db8:1:1::254;
accept-data;
}
}
}
}
}
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8:1:4::1/64;
}
}
}
[edit]
user@routerB# show protocols router-advertisement
interface ge-0/0/1.0 {
virtual-router-only;
prefix 2001:db8:1:1::/64;
}
[edit]
user@routerB# show routing-options
rib inet6.0 {
static {
route 0::0/0 next-hop 2001:db8:1:4::2;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Konfigurieren von Router C
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.
set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:1:1::3/64 set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:1::254
Verifizierung
- Überprüfen, ob VRRP auf Router A funktioniert
- Überprüfen, ob VRRP auf Router B funktioniert
- Überprüfen, ob Router C das Internet-Durchlaufen erreicht Router A
- Verifizieren, ob Router B primär für VRRP wird
Überprüfen, ob VRRP auf Router A funktioniert
Zweck
Stellen Sie sicher, dass VRRP auf Router A aktiv ist und dass seine Rolle in der VRRP-Gruppe korrekt ist.
Aktion
Verwenden Sie die folgenden Befehle, um zu überprüfen, ob VRRP auf Router A aktiv ist, ob der Router primär für Gruppe 1 ist und ob die mit dem Internet verbundene Schnittstelle verfolgt wird.
user@routerA> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 1 master Active A 0.690 lcl 2001:db8:1:1::1
vip fe80::200:5eff:fe00:201
vip 2001:db8:1:1::254
user@routerA> show vrrp track Track Int State Speed VRRP Int Group VR State Current prio ge-0/0/2.0 up 1g ge-0/0/1.0 1 master 110
Bedeutung
Der show vrrp Befehl zeigt grundlegende Informationen zur VRRP-Konfiguration an. Diese Ausgabe zeigt, dass die VRRP-Gruppe aktiv ist und dass dieser Router die primäre Rolle übernommen hat. Die lcl Adresse ist die physische Adresse der Schnittstelle, und die vip Adresse ist die virtuelle Adresse, die von beiden Routern gemeinsam genutzt wird. Der Timer Wert (A 0.690) gibt die verbleibende Zeit (in Sekunden) an, in der dieser Router eine VRRP-Ankündigung vom anderen Router erwartet.
Überprüfen, ob VRRP auf Router B funktioniert
Zweck
Stellen Sie sicher, dass VRRP auf Router B aktiv ist und dass seine Rolle in der VRRP-Gruppe korrekt ist.
Aktion
Verwenden Sie den folgenden Befehl, um zu überprüfen, ob VRRP auf Router B aktiv ist und ob der Router für Gruppe 1 gesichert ist.
user@routerB> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 1 backup Active D 2.947 lcl 2001:db8:1:1::2
vip fe80::200:5eff:fe00:201
vip 2001:db8:1:1::254
mas fe80::5668:a0ff:fe99:2d7d
Bedeutung
Der show vrrp Befehl zeigt grundlegende Informationen zur VRRP-Konfiguration an. Diese Ausgabe zeigt, dass die VRRP-Gruppe aktiv ist und dass dieser Router die Backup-Rolle übernommen hat. Die lcl Adresse ist die physische Adresse der Schnittstelle, und die vip Adresse ist die virtuelle Adresse, die von beiden Routern gemeinsam genutzt wird. Der Timer Wert (D 2.947) gibt die verbleibende Zeit (in Sekunden) an, in der dieser Router eine VRRP-Ankündigung vom anderen Router erwartet.
Überprüfen, ob Router C das Internet-Durchlaufen erreicht Router A
Zweck
Überprüfen Sie die Internetverbindung von Router C aus.
Aktion
Verwenden Sie die folgenden Befehle, um zu überprüfen, ob Router C das Internet erreichen kann.
user@routerC> ping 2001:db8:16:255::1 count 2 PING6(56=40+8+8 bytes) 2001:db8:1:1::3 --> 2001:db8:16:255::1 16 bytes from 2001:db8:16:255::1, icmp_seq=0 hlim=63 time=12.810 ms 16 bytes from 2001:db8:16:255::1, icmp_seq=1 hlim=63 time=30.139 ms --- 2001:db8:16:255::1 ping6 statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/std-dev = 12.810/21.474/30.139/8.664 ms
user@routerC> traceroute 2001:db8:16:255::1 traceroute6 to 2001:db8:16:255::1 (2001:db8:16:255::1) from 2001:db8:1:1::3, 64 hops max, 12 byte packets 1 2001:db8:1:1::1 (2001:db8:1:1::1) 9.891 ms 32.353 ms 7.859 ms 2 2001:db8:16:255::1 (2001:db8:16:255::1) 257.483 ms 19.877 ms 7.451 ms
Bedeutung
Der ping Befehl zeigt die Erreichbarkeit zum Internet an, und der Befehl zeigt an, dass Router traceroute A durchlaufen wird.
Verifizieren, ob Router B primär für VRRP wird
Zweck
Stellen Sie sicher, dass Router B primär für VRRP wird, wenn die Schnittstelle zwischen Router A und dem Internet ausfällt.
Aktion
Verwenden Sie die folgenden Befehle, um zu überprüfen, ob Router B primär ist und ob Router C den über das Internet übertragenden Router B erreichen kann.
user@routerA> show vrrp track detail
Tracked interface: ge-0/0/2.0
State: down, Speed: 1g
Incurred priority cost: 20
Tracking VRRP interface: ge-0/0/1.0, Group: 1
VR State: backup
Current priority: 90, Configured priority: 110
Priority hold-time: disabled
user@routerB> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 1 master Active A 0.119 lcl 2001:db8:1:1::2
vip fe80::200:5eff:fe00:201
vip 2001:db8:1:1::254
user@routerC> traceroute 2001:db8:16:255::1 traceroute6 to 2001:db8:16:255::1 (2001:db8:16:255::1) from 2001:db8:1:1::3, 64 hops max, 12 byte packets 1 2001:db8:1:1::2 (2001:db8:1:1::2) 52.945 ms 344.383 ms 29.540 ms 2 2001:db8:16:255::1 (2001:db8:16:255::1) 46.168 ms 24.744 ms 23.867 ms
Bedeutung
Der show vrrp track detail Befehl zeigt an, dass die nachverfolgte Schnittstelle auf Router A ausgefallen ist, dass die Priorität auf 90 gesunken ist und dass Router A jetzt das Backup ist. Der show vrrp Befehl zeigt, dass Router B jetzt der primäre Router für VRRP ist, und der Befehl zeigt, dass Router traceroute B jetzt durchlaufen wird.
Plattformspezifisches Verhalten von Link-Aggregationsgruppen
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen.
| Bahnsteig |
Unterschied |
|---|---|
| SRX-Serie |
|
Zusätzliche Plattforminformationen
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
| Bahnsteig |
Redundante Ethernet-LAG-Schnittstellen |
|---|---|
| SRX4600 und SRX5000-Serie |
Jede Reth-Schnittstelle kann bis zu acht Links pro Knoten haben, also insgesamt 16 Links pro Schnittstelle. |
| SRX300-Serie, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200 und SRX4300 |
Jede Reth-Schnittstelle kann bis zu vier Links pro Knoten haben, also insgesamt acht Links pro Schnittstelle. |