Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren eines vSRX Virtual Firewall Chassis-Clusters in Junos OS

Chassis-Cluster – Übersicht

Der Chassis-Cluster gruppiert ein Paar derselben Art von virtuellen vSRX-Firewall-Instanzen in einem Cluster, um Netzwerkknotenredundanz bereitzustellen. Auf den vSRX Virtual Firewall-Instanzen in einem Chassis-Cluster muss dieselbe Junos OS-Version ausgeführt werden, und jede Instanz wird zu einem Knoten im Chassis-Cluster. Sie verbinden die virtuellen Steuerungsschnittstellen auf den jeweiligen Knoten, um eine Steuerungsebene zu bilden, die die Konfiguration und den Junos OS-Kernelstatus auf beiden Knoten im Cluster synchronisiert. Die Steuerungsverbindung (ein virtuelles Netzwerk oder vSwitch) erleichtert die Redundanz von Schnittstellen und Diensten. Auf ähnliche Weise verbinden Sie die Datenebene auf den jeweiligen Knoten über die virtuellen Fabric-Schnittstellen, um eine einheitliche Datenebene zu bilden. Die Fabric-Verbindung (ein virtuelles Netzwerk oder vSwitch) ermöglicht die Verwaltung der knotenübergreifenden Datenflussverarbeitung und die Verwaltung der Sitzungsredundanz.

Die Software der Steuerungsebene arbeitet im Aktiv/Passiv-Modus. Bei der Konfiguration als Chassis-Cluster fungiert ein Knoten als primärer und der andere als sekundärer Knoten, um ein zustandsbehaftetes Failover von Prozessen und Diensten im Falle eines System- oder Hardwarefehlers auf dem primären Knoten sicherzustellen. Wenn die primäre Instanz ausfällt, übernimmt die sekundäre Datenbank die Verarbeitung des Datenverkehrs der Steuerungsebene.

Hinweis:

Wenn Sie einen Chassis-Cluster über zwei Hosts konfigurieren, deaktivieren Sie igmp-Snooping auf der Bridge, zu der jede physische Hostschnittstelle gehört und die von den virtuellen Netzwerkkarten (vNICs) verwendet wird. Dadurch wird sichergestellt, dass der Heartbeat der Steuerverbindung von beiden Knoten im Chassis-Cluster empfangen wird.

Die Chassis-Cluster-Datenebene arbeitet im Aktiv/Aktiv-Modus. In einem Chassis-Cluster aktualisiert die Data Plane Sitzungsinformationen, wenn der Datenverkehr einen der beiden Knoten durchläuft, und überträgt Informationen zwischen den Knoten über die Fabric-Verbindung, um sicherzustellen, dass eingerichtete Sitzungen nicht verworfen werden, wenn ein Failover auftritt. Im Aktiv/Aktiv-Modus kann der Datenverkehr auf einem Knoten in den Cluster eintreten und den anderen Knoten verlassen.

Die Funktionalität des Chassis-Clusters umfasst:

  • Ausfallsichere Systemarchitektur mit einer einzigen aktiven Steuerungsebene für den gesamten Cluster und mehreren Packet Forwarding Engines. Diese Architektur stellt eine Ansicht des Clusters auf einem einzelnen Gerät dar.

  • Synchronisierung von Konfigurations- und dynamischen Laufzeitzuständen zwischen Knoten innerhalb eines Clusters.

  • Überwachung physischer Schnittstellen und Failover, wenn die Fehlerparameter einen konfigurierten Schwellenwert überschreiten.

  • Unterstützung für GRE- (Generic Routing Encapsulation) und IP-over-IP-Tunnel (IP-IP), die zum Weiterleiten von gekapseltem IPv4- oder IPv6-Datenverkehr über zwei interne Schnittstellen (gr-0/0/0 bzw. ip-0/0/0) verwendet werden. Junos OS erstellt diese Schnittstellen beim Systemstart und verwendet diese Schnittstellen nur für die Verarbeitung von GRE- und IP-IP-Tunneln.

Ein Clusterknoten kann sich zu jedem Zeitpunkt in einem der folgenden Zustände befinden: "Halten", "Primär", "Sekundär", "Sekundär", "Nicht zulässig" oder "Deaktiviert". Mehrere Ereignistypen, z. B. Schnittstellenüberwachung, Überwachung von SPUs (Services Processing Unit), Fehler und manuelle Failover, können einen Zustandsübergang auslösen.

Aktivieren der Chassis-Cluster-Bildung

Sie erstellen zwei virtuelle vSRX-Firewall-Instanzen, um einen Chassis-Cluster zu bilden, und legen dann die Cluster-ID und die Knoten-ID auf jeder Instanz fest, die dem Cluster beitreten soll. Wenn eine virtuelle vSRX-Firewall-Instanz einem Cluster beitritt, wird sie zu einem Knoten dieses Clusters. Mit Ausnahme eindeutiger Knoteneinstellungen und Verwaltungs-IP-Adressen verwenden Knoten in einem Cluster dieselbe Konfiguration.

Sie können bis zu 255 Chassis-Cluster in einer Layer-2-Domäne bereitstellen. Cluster und Knoten werden auf folgende Weise identifiziert:

  • Die Cluster-ID (eine Zahl zwischen 1 und 255) identifiziert den Cluster.

  • Die Knoten-ID (eine Zahl von 0 bis 1) identifiziert den Clusterknoten.

In der Regel werden bei Firewalls der SRX-Serie die Cluster-ID und die Node-ID in das EEPROM geschrieben. Auf der virtuellen vSRX-Firewall-Instanz speichert und liest die virtuelle vSRX-Firewall die IDs aus der Datei boot/loader.conf und verwendet die IDs, um den Chassis-Cluster während des Startvorgangs zu initialisieren.

Voraussetzungen

Stellen Sie sicher, dass Ihre vSRX-Instanzen der virtuellen Firewall die folgenden Voraussetzungen erfüllen, bevor Sie das Chassis-Clustering aktivieren:

  • Sie haben eine Basiskonfiguration für beide vSRX Virtual Firewall-Instanzen festgeschrieben, die den Chassis-Cluster bilden. Weitere Informationen finden Sie unter Konfigurieren von vSRX mithilfe der CLI.

  • Wird in Junos OS verwendet show version , um sicherzustellen, dass beide vSRX Virtual Firewall-Instanzen dieselbe Softwareversion haben.

  • Verwenden Sie diese show system license Option in Junos OS, um sicherzustellen, dass auf beiden Instanzen der virtuellen vSRX-Firewall dieselben Lizenzen installiert sind.

Sie müssen auf jedem vSRX-Knoten der virtuellen Firewall dieselbe Chassis-Cluster-ID festlegen und die virtuelle vSRX-Firewall-VM neu starten, um die Chassis-Clusterbildung zu ermöglichen.

  1. Legen Sie im Betriebsbefehlsmodus die Chassis-Cluster-ID und die Knotennummer auf dem vSRX Virtual Firewall-Knoten 0 fest.
  2. Legen Sie im Betriebsbefehlsmodus die Chassis-Cluster-ID und die Knotennummer auf Knoten 1 der virtuellen vSRX-Firewall fest.
Hinweis:

Die Benennung und Zuordnung der vSRX-Schnittstelle zur virtuellen Firewall zu vNICs ändert sich, wenn Sie Chassis-Clustering aktivieren. Eine Zusammenfassung der Schnittstellennamen und -zuordnungen für ein Paar virtueller vSRX-Firewall-VMs in einem Cluster (Knoten 0 und Knoten 1) finden Sie unter Anforderungen für vSRX auf KVM .

Schnelle Einrichtung des Chassis-Clusters mit J-Web

So konfigurieren Sie den Chassis-Cluster über J-Web:

  1. Geben Sie die IP-Adresse der vSRX Virtual Firewall-Node 0-Schnittstelle in einem Webbrowser ein.
  2. Geben Sie den Benutzernamen und das Kennwort für die virtuelle vSRX-Firewall ein und klicken Sie auf Anmelden. Das J-Web-Dashboard wird angezeigt.
  3. Klicken Sie im linken Bereich auf Konfigurationsassistenten> Cluster (HA)-Setup . Der Assistent zum Einrichten des Chassis-Clusters wird angezeigt. Führen Sie die Schritte des Setup-Assistenten aus, um die Cluster-ID und die beiden Knoten im Cluster zu konfigurieren und die Konnektivität zu überprüfen.
    Hinweis:

    Verwenden Sie das integrierte Hilfesymbol in J-Web, um weitere Informationen zum Assistenten zum Einrichten von Chassis-Clustern zu erhalten.
    Hinweis:

    Navigieren Sie ab Junos OS Version 18.1 zu Configure>Device Settings>Cluster (HA) Setup, um das Chassis-Cluster-Setup zu konfigurieren.
  4. Konfigurieren Sie den sekundären Knoten Node1, indem Sie über das Optionsfeld Ja, dies ist die einzurichtende sekundäre Einheit (Knoten 1) auswählen.
  5. Klicken Sie auf Weiter.
  6. Geben Sie die Einstellungen wie Kennwort eingeben, Kennwort erneut eingeben, Knoten 0 FXP0-IP und Knoten 1 FXP0-IP für den sekundären Knotenzugriff an.
  7. Klicken Sie auf Weiter.
  8. Wählen Sie den Control Port und den Fabric Port der sekundären Einheit aus.
  9. Klicken Sie auf Weiter.
  10. (Optional) Wählen Sie das Kontrollkästchen Sicherungsdatei speichern, bevor Sie mit dem Herunterfahren fortfahren , um sie für den Chassis-Cluster neu zu konfigurieren.
  11. Klicken Sie auf Weiter.
  12. Klicken Sie auf Herunterfahren und fahren Sie mit der Verbindung zu einem anderen Gerät fort.
  13. Klicken Sie auf Browser aktualisieren.
  14. Konfigurieren Sie den primären Knoten Node0, indem Sie Nein, dies ist die einzurichtende primäre Einheit (Knoten 0) auswählen, um die primäre Einheit zu konfigurieren und eine Chassis-Clusterkonfiguration einzurichten.
  15. Klicken Sie auf Weiter.
  16. Legen Sie die Einstellungen wie Kennwort eingeben, Kennwort erneut eingeben, Knoten 0 FXP0-IP und Knoten 1 FXP0-IP für den Zugriff auf den primären Knoten fest.
  17. Klicken Sie auf Weiter , um die primäre Einheit neu zu starten.
  18. (Optional) Wählen Sie Sicherungsdatei speichern, bevor Sie mit dem Herunterfahren fortfahren, um eine Sicherungsdatei mit den aktuellen Einstellungen zu speichern, bevor Sie fortfahren.
  19. Klicken Sie auf Neu starten und fortfahren. Schalten Sie nach Abschluss des Neustarts die sekundäre Einheit ein, um die Verbindung zum Chassis-Cluster herzustellen.
  20. Melden Sie sich bei der Gerätekonsole an und fügen Sie eine statische Route hinzu, um den J-Web-Zugriff zu erhalten.
  21. Melden Sie sich bei J-Web an und klicken Sie im linken Bereich auf Konfigurationsassistenten> Cluster (HA) Setup . Der Assistent zum Einrichten des Chassis-Clusters wird angezeigt.
  22. Klicken Sie auf Weiter , um die primäre Einheit zu verbinden.
  23. Konfigurieren Sie die Grundeinstellungen DHCP-Client, IP-Adresse, Standard-Gateway, Mitgliedsschnittstelle Knoten 0, Mitgliedsschnittstelle Knoten 1.
  24. Klicken Sie auf Weiter , um die Konfiguration des Chassis-Clusters abzuschließen.
  25. Klicken Sie auf Fertig stellen, um den Assistenten zu beenden. Sie können über J-Web auf den primären Knoten zugreifen.

Manuelles Konfigurieren eines Chassis-Clusters mit J-Web

Sie können die J-Web-Schnittstelle verwenden, um die vSRX Virtual Firewall-Instanz des primären Knotens 0 im Cluster zu konfigurieren. Nachdem Sie die Cluster- und Knoten-IDs festgelegt und jede virtuelle vSRX-Firewall neu gestartet haben, wird die folgende Konfiguration automatisch mit der vSRX-Virtual-Firewall-Instanz des sekundären Knotens 1 synchronisiert.

Wählen Sie Configure>Chassis Cluster>Cluster Configuration (Konfiguration des Chassis-ClustersClusters) aus. Die Konfigurationsseite für den Chassis-Cluster wird angezeigt.

Hinweis:

Navigieren Sie ab Junos OS Version 18.1 zu Configure>Device Settings>Cluster (HA) Setup, um das HA-Cluster-Setup zu konfigurieren.

In Tabelle 1 wird der Inhalt der Registerkarte "HA-Cluster-Einstellungen" erläutert.

In Tabelle 2 wird erläutert, wie die Registerkarte "Knoteneinstellungen" bearbeitet wird.

In Tabelle 3 wird erläutert, wie Sie die Tabelle "HA-Cluster-Schnittstellen" hinzufügen oder bearbeiten.

In Tabelle 4 wird erläutert, wie Sie die Tabelle HA-Cluster-Redundanzgruppen hinzufügen oder bearbeiten.

Tabelle 1: Konfigurationsseite für den Chassis-Cluster

Feld

Funktion

Knoten-Einstellungen

Knoten-ID

Zeigt die Knoten-ID an.

Cluster-ID

Zeigt die für den Knoten konfigurierte Cluster-ID an.

Hostname

Zeigt den Namen des Knotens an.

Backup-Router

Zeigt den Router an, der als Gateway verwendet wird, während sich die Routing-Engine im sekundären Zustand für Redundanzgruppe 0 in einem Chassis-Cluster befindet.

Management-Schnittstelle

Zeigt die Verwaltungsschnittstelle des Knotens an.

IP-Adresse

Zeigt die Verwaltungs-IP-Adresse des Knotens an.

Status

Zeigt den Status der Redundanzgruppe an.

  • Die Gruppe "Primär – Redundanz" ist aktiv.

  • Die sekundäre Redundanzgruppe ist passiv.

Chassis-Cluster>HA-Cluster-Einstellungen>Schnittstellen

Namen

Zeigt den Namen der physischen Schnittstelle an.

Mitgliedsschnittstellen/IP-Adresse

Zeigt den Namen der Mitgliedsschnittstelle oder die IP-Adresse an, die für eine Schnittstelle konfiguriert ist.

Redundanzgruppe

Zeigt die Redundanzgruppe an.

Chassis-Cluster>HA-Cluster-Einstellungen>Redundanzgruppe

Gruppe

Zeigt die Redundanzgruppen-Identifikationsnummer an.

Zuvorzukommen

Zeigt die ausgewählte Option für die vorzeitige Entfernung an.

  • Wahr – Die primäre Rolle kann basierend auf der Priorität vorzeitig beendet werden.

  • False: Die primäre Rolle kann nicht basierend auf der Priorität vorzeitig entfernt werden.

Kostenlose ARP-Anzahl

Zeigt die Anzahl der unentgeltlichen ARP-Anforderungen (Address Resolution Protocol) an, die ein neu gewähltes primäres Gerät in einem Chassis-Cluster sendet, um seine Anwesenheit an die anderen Netzwerkgeräte anzukündigen.

Knotenpriorität

Zeigt die zugewiesene Priorität für die Redundanzgruppe auf diesem Knoten an. Der berechtigte Knoten mit der höchsten Priorität wird als primärer Knoten für die redundante Gruppe ausgewählt.

Tabelle 2: Konfigurationsdetails für die Knoteneinstellung bearbeiten

Feld

Funktion

Aktion

Knoten-Einstellungen

Hostname

Gibt den Namen des Hosts an.

Geben Sie den Namen des Hosts ein.

Backup-Router

Zeigt das Gerät an, das als Gateway verwendet wird, während sich die Routing-Engine im sekundären Zustand für Redundanzgruppe 0 in einem Chassis-Cluster befindet.

Geben Sie die IP-Adresse des Backup-Routers ein.

Ziel

IP

Fügt die Zieladresse hinzu.

Klicken Sie auf Hinzufügen.

Löschen

Löscht die Zieladresse.

Klicken Sie auf Löschen.

Schnittstelle

Schnittstelle

Gibt die Schnittstellen an, die für den Router verfügbar sind.

Hinweis:

Ermöglicht das Hinzufügen und Bearbeiten von zwei Schnittstellen für jeden Fabric-Link.

Wählen Sie eine Option aus.

IP

Gibt die IP-Adresse der Schnittstelle an.

Geben Sie die IP-Adresse der Schnittstelle ein.

Hinzufügen

Fügt die Schnittstelle hinzu.

Klicken Sie auf Hinzufügen.

Löschen

Löscht die Schnittstelle.

Klicken Sie auf Löschen.
Tabelle 3: Konfigurationsdetails für die HA-Cluster-Schnittstelle hinzufügen

Feld

Funktion

Aktion

Fabric Link > Fabric Link 0 (Fab0)

Schnittstelle

Gibt die Fabric-Verknüpfung 0 an.

Geben Sie den IP-Fabric-Link 0 der Schnittstelle ein.

Hinzufügen

Fügt die Fabric-Schnittstelle 0 hinzu.

Klicken Sie auf Hinzufügen.

Löschen

Löscht die Fabric-Schnittstelle 0.

Klicken Sie auf Löschen.

Fabric Link > Fabric Link 1 (Fab1)

Schnittstelle

Gibt die Fabric-Verknüpfung 1 an.

Geben Sie die Schnittstellen-IP für Fabric Link 1 ein.

Hinzufügen

Fügt Fabric-Schnittstelle 1 hinzu.

Klicken Sie auf Hinzufügen.

Löschen

Löscht die Fabric-Schnittstelle 1.

Klicken Sie auf Löschen.

Redundantes Ethernet

Schnittstelle

Gibt eine logische Schnittstelle an, die aus zwei physischen Ethernet-Schnittstellen besteht, eine in jedem Gehäuse.

Geben Sie die logische Schnittstelle ein.

IP

Gibt eine redundante Ethernet-IP-Adresse an.

Geben Sie eine redundante Ethernet-IP-Adresse ein.

Redundanzgruppe

Gibt die Redundanzgruppen-ID-Nummer im Chassis-Cluster an.

Wählen Sie eine Redundanzgruppe aus der Liste aus.

Hinzufügen

Fügt eine redundante Ethernet-IP-Adresse hinzu.

Klicken Sie auf Hinzufügen.

Löschen

Löscht eine redundante Ethernet-IP-Adresse.

Klicken Sie auf Löschen.
Tabelle 4: Konfigurationsdetails zum Hinzufügen von Redundanzgruppen

Feld

Funktion

Aktion

Redundanzgruppe

Gibt den Namen der Redundanzgruppe an.

Geben Sie den Namen der Redundanzgruppe ein.

Vorzeitiges Entfernen der primären Berechtigung zulassen

Ermöglicht es einem Knoten mit einer besseren Priorität, ein Failover für eine Redundanzgruppe zu initiieren.

Hinweis:

Standardmäßig ist diese Funktion deaktiviert. Wenn diese Option deaktiviert ist, initiiert ein Knoten mit einer besseren Priorität kein Redundanzgruppen-Failover (es sei denn, ein anderer Faktor, z. B. eine fehlerhafte Netzwerkkonnektivität, die für überwachte Schnittstellen identifiziert wurde, verursacht ein Failover).

Kostenlose ARP-Anzahl

Gibt die Anzahl der unentgeltlichen Address Resolution Protocol-Anforderungen an, die ein neu gewählter primärer Server an die aktiven untergeordneten Links der redundanten Ethernet-Schnittstelle sendet, um Netzwerkgeräte über eine Änderung der primären Rolle auf den redundanten Ethernet-Schnittstellenlinks zu informieren.

Geben Sie einen Wert zwischen 1 und 16 ein. Der Standardwert ist 4.

node0-Priorität

Gibt den Prioritätswert von node0 für eine Redundanzgruppe an.

Geben Sie die Prioritätsnummer des Knotens als 0 ein.

Priorität von node1

Gibt den Prioritätswert von node1 für eine Redundanzgruppe an.

Wählen Sie als Knotenprioritätsnummer 1 aus.

Schnittstellen-Monitor

    

Schnittstelle

Gibt die Anzahl der redundanten Ethernet-Schnittstellen an, die für den Cluster erstellt werden sollen.

Wählen Sie eine Schnittstelle aus der Liste aus.

Gewicht

Gibt die Gewichtung für die zu überwachende Schnittstelle an.

Geben Sie einen Wert zwischen 1 und 125 ein.

Hinzufügen

Fügt Schnittstellen hinzu, die von der Redundanzgruppe überwacht werden sollen, zusammen mit ihren jeweiligen Gewichtungen.

Klicken Sie auf Hinzufügen.

Löschen

Löscht Schnittstellen, die von der Redundanzgruppe überwacht werden sollen, zusammen mit ihren jeweiligen Gewichtungen.

Wählen Sie die Schnittstelle aus der konfigurierten Liste aus und klicken Sie auf Löschen.

IP-Überwachung

Gewicht

Gibt die globale Gewichtung für die IP-Überwachung an.

Geben Sie einen Wert zwischen 0 und 255 ein.

Schwelle

Gibt den globalen Schwellenwert für die IP-Überwachung an.

Geben Sie einen Wert zwischen 0 und 255 ein.

Anzahl der Wiederholungen

Gibt die Anzahl der Wiederholungen an, die erforderlich sind, um einen Fehler in der Erreichbarkeit zu deklarieren.

Geben Sie einen Wert zwischen 5 und 15 ein.

Wiederholungsintervall

Gibt das Zeitintervall in Sekunden zwischen Wiederholungsversuchen an.

Geben Sie einen Wert zwischen 1 und 30 ein.

Zu überwachende IPV4-Adressen

IP

Gibt die IPv4-Adressen an, die auf ihre Erreichbarkeit überwacht werden sollen.

Geben Sie die IPv4-Adressen ein.

Gewicht

Gibt die Gewichtung für die zu überwachende Redundanzgruppenschnittstelle an.

Geben Sie das Gewicht ein.

Schnittstelle

Gibt die logische Schnittstelle an, über die diese IP-Adresse überwacht werden soll.

Geben Sie die Adresse der logischen Schnittstelle ein.

Sekundäre IP-Adresse

Gibt die Quelladresse für die Überwachung von Paketen auf einer sekundären Verbindung an.

Geben Sie die sekundäre IP-Adresse ein.

Hinzufügen

Fügt die zu überwachende IPv4-Adresse hinzu.

Klicken Sie auf Hinzufügen.

Löschen

Löscht die zu überwachende IPv4-Adresse.

Wählen Sie die IPv4-Adresse aus der Liste aus und klicken Sie auf Löschen.

Siehe auch