Auf dieser Seite
Beispiel: Konfigurieren der IP-Überwachung auf SRX5000 Leitung
Dieses Beispiel zeigt, wie Firewalls der SRX-Serie mit aktiviertem Chassis-Cluster überwacht werden.
Anforderungen
Sie benötigen zwei SRX5800 Services Gateways mit identischen Hardwarekonfigurationen, eine Firewall der SRX-Serie und einen Ethernet-Switch EX8208.
Verbinden Sie die beiden SRX5800 Geräte physisch (Rücken an Rücken für die Fabric- und Steuerports), und stellen Sie sicher, dass es sich um dieselben Modelle handelt. Konfigurieren/fügen Sie diese beiden Geräte in einem Cluster hinzu.
Überblick
Die IP-Adressüberwachung prüft die End-to-End-Erreichbarkeit der konfigurierten IP-Adresse und ermöglicht es einer Redundanzgruppe, automatisch ein Failover durchzuführen, wenn sie nicht über die untergeordnete Verbindung der redundanten Ethernet-Schnittstelle (bekannt als reth) erreichbar ist. Redundanzgruppen auf beiden Geräten in einem Cluster können so konfiguriert werden, dass bestimmte IP-Adressen überwacht werden, um festzustellen, ob ein Upstream-Gerät im Netzwerk erreichbar ist.
Wenn Sie mehrere IP-Adressen auf der reth-Schnittstelle in einer Chassis-Cluster-Konfiguration konfigurieren, verwendet die IP-Überwachung die erste IP-Adresse aus der Liste der IP-Adressen, die für diese reth-Schnittstelle auf dem primären Knoten konfiguriert sind, und die erste IP-Adresse aus der Liste der sekundären IP-Adressen, die für diese reth-Schnittstelle auf dem Backup-Knoten konfiguriert sind. Die erste IP-Adresse ist diejenige mit dem kleinsten Präfix (Netzmaske).
Dieses Beispiel zeigt, wie Sie die IP-Überwachung auf einer Firewall der SRX-Serie einrichten.
Die IP-Überwachung wird auf einer NP-IOC-Karte nicht unterstützt.
Die IP-Überwachung unterstützt den MIC-Online-/Offline-Status auf Firewalls der SRX-Serie nicht.
Topologie
Abbildung 1 Zeigt die in diesem Beispiel verwendete Topologie.
In diesem Beispiel sind zwei SRX5800 Geräte in einem Chassis-Cluster über einen EX8208-Ethernet-Switch mit einem SRX1500 Gerät verbunden. Das Beispiel zeigt, wie die Redundanzgruppen konfiguriert werden können, um wichtige Upstream-Ressourcen zu überwachen, die über redundante Ethernet-Schnittstellen auf einem der beiden Knoten in einem Cluster erreichbar sind.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details entsprechend Ihrer Netzwerkkonfiguration, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein, und rufen Sie dann den Konfigurationsmodus auf commit .
set chassis cluster reth-count 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 199 set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80 set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 set chassis cluster redundancy-group 1 ip-monitoring retry-count 10 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-4/0/1 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3
Konfigurieren der IP-Überwachung auf der Firewall der SRX-Serie
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch .
So konfigurieren Sie die IP-Überwachung auf einer Firewall der SRX-Serie:
Geben Sie die Anzahl der redundanten Ethernet-Schnittstellen an.
{primary:node0}[edit] user@host# set chassis cluster reth-count 1Geben Sie die Priorität einer Redundanzgruppe für den Vorrang auf jedem Knoten des Clusters an. Die höhere Zahl hat Vorrang.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 200 user@host# set chassis cluster redundancy-group 1 node 1 priority 199Konfigurieren Sie die redundanten Ethernet-Schnittstellen für Redundanzgruppe 1.
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 192.0.2.1/24Ordnen Sie den redundanten Ethernet-Schnittstellen aus Knoten 0 und Knoten 1 untergeordnete Schnittstellen zu.
{primary:node0}[edit] user@host# set interfaces ge-0/0/1 gigether-options redundant-parent reth0 user@host# set interfaces ge-4/0/1 gigether-options redundant-parent reth0Konfigurieren Sie die statische Route zu der IP-Adresse, die überwacht werden soll.
{primary:node0}[edit] user@host# set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3Konfigurieren Sie die IP-Überwachung unter Redundanzgruppe 1 mit globaler Gewichtung und globalem Schwellenwert.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80Geben Sie das Wiederholungsintervall an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3Geben Sie die Anzahl der Wiederholungen an.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10Weisen Sie der zu überwachenden IP-Adresse eine Gewichtung zu, und konfigurieren Sie eine sekundäre IP-Adresse, die zum Senden von ICMP-Paketen vom sekundären Knoten verwendet wird, um die überwachte IP-Adresse zu verfolgen.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2HINWEIS:Die redundante Ethernet-IP-Adresse (reth0) wird verwendet, um ICMP-Pakete von Knoten 0 zu senden, 192.0.2.1/24um die Erreichbarkeit der überwachten IP zu überprüfen.
Die sekundäre IP-Adresse 192.0.2.2, sollte zum selben Netzwerk gehören wie die reth0-IP-Adresse.
Die sekundäre IP-Adresse wird verwendet, um ICMP-Pakete von Knoten 1 zu senden, um die Erreichbarkeit der überwachten IP zu überprüfen.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Chassis-Cluster-Status – vor dem Failover
- Überprüfen des IP-Überwachungsstatus des Chassis-Clusters – vor dem Failover
- Überprüfen des Chassis-Cluster-Status – nach dem Failover
- Überprüfen des IP-Überwachungsstatus des Chassis-Clusters – nach dem Failover
Überprüfen des Chassis-Cluster-Status – vor dem Failover
Zweck
Überprüfen Sie vor dem Failover den Chassis-Cluster-Status, den Failover-Status und die Redundanzgruppeninformationen.
Action!
Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 0 node0 200 primary no no node1 199 secondary no no
Überprüfen des IP-Überwachungsstatus des Chassis-Clusters – vor dem Failover
Zweck
Überprüfen Sie den IP-Status, der von beiden Knoten überwacht wird, und die Anzahl der Failovers für beide Knoten vor dem Failover.
Action!
Geben Sie im Betriebsmodus den show chassis cluster ip-monitoring status redundancy-group 1 Befehl ein.
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a
Überprüfen des Chassis-Cluster-Status – nach dem Failover
Zweck
Überprüfen Sie nach dem Failover den Chassis-Clusterstatus, den Failover-Status und die Redundanzgruppeninformationen.
Wenn die IP-Adresse nicht erreichbar ist, wird die folgende Ausgabe angezeigt.
Action!
Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 0 secondary no no node1 199 primary no no
Überprüfen des IP-Überwachungsstatus des Chassis-Clusters – nach dem Failover
Zweck
Überprüfen Sie den IP-Status, der von beiden Knoten überwacht wird, und die Anzahl der Failovers für beide Knoten nach dem Failover.
Action!
Geben Sie im Betriebsmodus den show chassis cluster ip-monitoring status redundancy-group 1 Befehl ein.
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 unreachable 1 unknown node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a