Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren der IP-Überwachung auf SRX5000 Leitung

Dieses Beispiel zeigt, wie Firewalls der SRX-Serie mit aktiviertem Chassis-Cluster überwacht werden.

Anforderungen

  • Sie benötigen zwei SRX5800 Services Gateways mit identischen Hardwarekonfigurationen, eine Firewall der SRX-Serie und einen Ethernet-Switch EX8208.

  • Verbinden Sie die beiden SRX5800 Geräte physisch (Rücken an Rücken für die Fabric- und Steuerports), und stellen Sie sicher, dass es sich um dieselben Modelle handelt. Konfigurieren/fügen Sie diese beiden Geräte in einem Cluster hinzu.

Überblick

Die IP-Adressüberwachung prüft die End-to-End-Erreichbarkeit der konfigurierten IP-Adresse und ermöglicht es einer Redundanzgruppe, automatisch ein Failover durchzuführen, wenn sie nicht über die untergeordnete Verbindung der redundanten Ethernet-Schnittstelle (bekannt als reth) erreichbar ist. Redundanzgruppen auf beiden Geräten in einem Cluster können so konfiguriert werden, dass bestimmte IP-Adressen überwacht werden, um festzustellen, ob ein Upstream-Gerät im Netzwerk erreichbar ist.

Wenn Sie mehrere IP-Adressen auf der reth-Schnittstelle in einer Chassis-Cluster-Konfiguration konfigurieren, verwendet die IP-Überwachung die erste IP-Adresse aus der Liste der IP-Adressen, die für diese reth-Schnittstelle auf dem primären Knoten konfiguriert sind, und die erste IP-Adresse aus der Liste der sekundären IP-Adressen, die für diese reth-Schnittstelle auf dem Backup-Knoten konfiguriert sind. Die erste IP-Adresse ist diejenige mit dem kleinsten Präfix (Netzmaske).

Dieses Beispiel zeigt, wie Sie die IP-Überwachung auf einer Firewall der SRX-Serie einrichten.

HINWEIS:

Die IP-Überwachung wird auf einer NP-IOC-Karte nicht unterstützt.

HINWEIS:

Die IP-Überwachung unterstützt den MIC-Online-/Offline-Status auf Firewalls der SRX-Serie nicht.

Topologie

Abbildung 1 Zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: Beispiel für eine IP-Überwachung einer Firewall-Topologie der SRX-SerieBeispiel für eine IP-Überwachung einer Firewall-Topologie der SRX-Serie

In diesem Beispiel sind zwei SRX5800 Geräte in einem Chassis-Cluster über einen EX8208-Ethernet-Switch mit einem SRX1500 Gerät verbunden. Das Beispiel zeigt, wie die Redundanzgruppen konfiguriert werden können, um wichtige Upstream-Ressourcen zu überwachen, die über redundante Ethernet-Schnittstellen auf einem der beiden Knoten in einem Cluster erreichbar sind.

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details entsprechend Ihrer Netzwerkkonfiguration, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und rufen Sie dann den Konfigurationsmodus auf .[edit]commit

Konfigurieren der IP-Überwachung auf der Firewall der SRX-Serie

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imJunos OS CLI-Benutzerhandbuch .Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie die IP-Überwachung auf einer Firewall der SRX-Serie:

  1. Geben Sie die Anzahl der redundanten Ethernet-Schnittstellen an.

  2. Geben Sie die Priorität einer Redundanzgruppe für den Vorrang auf jedem Knoten des Clusters an. Die höhere Zahl hat Vorrang.

  3. Konfigurieren Sie die redundanten Ethernet-Schnittstellen für Redundanzgruppe 1.

  4. Ordnen Sie den redundanten Ethernet-Schnittstellen aus Knoten 0 und Knoten 1 untergeordnete Schnittstellen zu.

  5. Konfigurieren Sie die statische Route zu der IP-Adresse, die überwacht werden soll.

  6. Konfigurieren Sie die IP-Überwachung unter Redundanzgruppe 1 mit globaler Gewichtung und globalem Schwellenwert.

  7. Geben Sie das Wiederholungsintervall an.

  8. Geben Sie die Anzahl der Wiederholungen an.

  9. Weisen Sie der zu überwachenden IP-Adresse eine Gewichtung zu, und konfigurieren Sie eine sekundäre IP-Adresse, die zum Senden von ICMP-Paketen vom sekundären Knoten verwendet wird, um die überwachte IP-Adresse zu verfolgen.

    HINWEIS:
    • Die redundante Ethernet-IP-Adresse (reth0) wird verwendet, um ICMP-Pakete von Knoten 0 zu senden, um die Erreichbarkeit der überwachten IP zu überprüfen.192.0.2.1/24

    • Die sekundäre IP-Adresse , sollte zum selben Netzwerk gehören wie die reth0-IP-Adresse .192.0.2.2

    • Die sekundäre IP-Adresse wird verwendet, um ICMP-Pakete von Knoten 1 zu senden, um die Erreichbarkeit der überwachten IP zu überprüfen.

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des Chassis-Cluster-Status – vor dem Failover

Zweck

Überprüfen Sie vor dem Failover den Chassis-Cluster-Status, den Failover-Status und die Redundanzgruppeninformationen.

Was

Geben Sie im Betriebsmodus den Befehl ein.show chassis cluster status

Überprüfen des IP-Überwachungsstatus des Chassis-Clusters – vor dem Failover

Zweck

Überprüfen Sie den IP-Status, der von beiden Knoten überwacht wird, und die Anzahl der Failovers für beide Knoten vor dem Failover.

Was

Geben Sie im Betriebsmodus den Befehl ein.show chassis cluster ip-monitoring status redundancy-group 1

Überprüfen des Chassis-Cluster-Status – nach dem Failover

Zweck

Überprüfen Sie nach dem Failover den Chassis-Clusterstatus, den Failover-Status und die Redundanzgruppeninformationen.

HINWEIS:

Wenn die IP-Adresse nicht erreichbar ist, wird die folgende Ausgabe angezeigt.

Was

Geben Sie im Betriebsmodus den Befehl ein.show chassis cluster status

Überprüfen des IP-Überwachungsstatus des Chassis-Clusters – nach dem Failover

Zweck

Überprüfen Sie den IP-Status, der von beiden Knoten überwacht wird, und die Anzahl der Failovers für beide Knoten nach dem Failover.

Was

Geben Sie im Betriebsmodus den Befehl ein.show chassis cluster ip-monitoring status redundancy-group 1