SUR CETTE PAGE
Présentation du déploiement de clusters de châssis actifs/passifs
Exemple : Configuration d’un cluster de châssis actif/passif sur des pare-feu SRX5800
Exemple : Configuration d’une paire de clusters de châssis actifs/passifs (SRX1500 ou SRX1600)
Exemple : Configuration d’une paire de clusters de châssis actif/passif (J-Web)
Comprendre le déploiement de clusters de châssis actifs/passifs avec un tunnel IPsec
Exemple : Configuration d’une paire de clusters de châssis actifs/passifs avec un tunnel IPsec
Déploiements de clusters de châssis actifs/passifs
Présentation du déploiement de clusters de châssis actifs/passifs
Dans ce cas, un seul équipement du cluster est utilisé pour acheminer l’ensemble du trafic, tandis que l’autre équipement n’est utilisé qu’en cas de défaillance (voir Figure 1). Lorsqu’une défaillance se produit, l’unité de sauvegarde devient principale et contrôle tout le transfert.
de cluster de châssis actif/passif
Un cluster de châssis actif/passif peut être obtenu en utilisant des interfaces Ethernet redondantes (reth) qui sont toutes affectées au même groupe de redondance. En cas de défaillance de l’une des interfaces d’un groupe actif dans un nœud, le groupe est déclaré inactif et toutes les interfaces du groupe basculent vers l’autre nœud.
Cette configuration réduit le trafic sur la liaison de structure, car un seul nud du cluster transfère le trafic à un moment donné.
Voir aussi
Exemple : Configuration d’un cluster de châssis actif/passif sur des pare-feu SRX5800
Cet exemple montre comment configurer un clustering actif/passif de base sur un SRX5800 pare-feu.
Exigences
Avant de commencer :
-
Pour envoyer le trafic de données de bout en bout, vous avez besoin de deux pare-feu SRX5800 avec des configurations matérielles identiques et, en option, d’un routeur de périphérie MX480 et d’un Commutateur Ethernet EX9214.
-
Connectez physiquement les deux appareils (dos à dos pour les ports de structure et de contrôle) et assurez-vous qu’il s’agit des mêmes modèles.
-
Avant de former le cluster, vous devez configurer les ports de contrôle pour chaque périphérique, ainsi qu’attribuer un ID de cluster et un ID de nœud à chaque périphérique, puis redémarrer. Lorsque le système démarre, les deux nœuds s’affichent sous la forme d’un cluster.
La configuration du port de contrôle est requise pour les pare-feu SRX5400, SRX5600 et SRX5800.
Maintenant, les appareils sont une paire. À partir de ce moment, la configuration du cluster est synchronisée entre les membres du nœud, et les deux périphériques distincts fonctionnent comme un seul périphérique.
Aperçu
Cet exemple montre comment configurer un clustering actif/passif de base sur châssis sur un pare-feu SRX Series. L’exemple actif/passif de base est le type de cluster de châssis le plus courant.
Le cluster de châssis actif/passif de base se compose de deux équipements :
-
Un seul équipement fournit activement des services de routage, de pare-feu, de NAT, de VPN et de sécurité, tout en gardant le contrôle du cluster de châssis.
-
L’autre périphérique conserve passivement son état pour les fonctionnalités de basculement du cluster au cas où l’équipement actif deviendrait inactif.
Cet exemple de mode actif/passif pour le pare-feu SRX5800 ne décrit pas en détail les diverses configurations telles que la configuration du NAT, des stratégies de sécurité ou des VPN. Ils sont essentiellement les mêmes que pour les configurations autonomes. Toutefois, si vous effectuez un ARP proxy dans des configurations de cluster de châssis, vous devez appliquer les configurations ARP proxy aux interfaces reth plutôt qu’aux interfaces membres, car les interfaces RETH contiennent les configurations logiques. Reportez-vous à la section Configuration du proxy ARP pour NAT (procédure CLI). Vous pouvez également configurer des configurations d’interfaces logiques distinctes à l’aide de VLAN et d’interfaces à ressources partagées dans le pare-feu SRX5800. Ces configurations sont similaires aux implémentations autonomes utilisant des VLAN et des interfaces à ressources partagées.
La figure 2 illustre la topologie utilisée dans cet exemple.
SRX Series
Configuration
Configuration des ports de contrôle et activation du mode cluster
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
Sur {primary :node0}
[edit]
set groups node0 system host-name hostA
set groups node0 system backup-router 10.52.63.254
set groups node0 system backup-router destination 10.0.0.0/8
set groups node0 interfaces fxp0 unit 0 family inet address 10.52.43.57/19
set groups node1 system host-name hostB
set groups node1 system backup-router 10.52.63.254
set groups node1 system backup-router destination 10.0.0.0/8
set groups node1 interfaces fxp0 unit 0 family inet address 10.52.52.27/19
set apply-groups “${node}”
set chassis cluster control-ports fpc 1 port 0
set chassis cluster control-ports fpc 13 port 0
set chassis cluster control-link-recovery
set chassis cluster reth-count 2
set chassis cluster redundancy-group 0 node 0 priority 254
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 254
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255
set security policies from-zone trust to-zone untrust policy allow match source-address any
set security policies from-zone trust to-zone untrust policy allow match destination-address any
set security policies from-zone trust to-zone untrust policy allow match application any
set security policies from-zone trust to-zone untrust policy allow then permit
set security policies from-zone untrust to-zone trust policy allow match source-address any
set security policies from-zone untrust to-zone trust policy allow match destination-address any
set security policies from-zone untrust to-zone trust policy allow match application any
set security policies from-zone untrust to-zone trust policy allow then permit
set security zones security-zone trust host-inbound-traffic system-services ping
set security zones security-zone trust interfaces reth1.50
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces reth0.51
set interfaces xe-6/1/0 gigether-options redundant-parent reth1
set interfaces xe-6/0/0 gigether-options redundant-parent reth0
set interfaces xe-18/1/0 gigether-options redundant-parent reth1
set interfaces xe-18/0/0 gigether-options redundant-parent reth0
set interfaces fab0 fabric-options member-interfaces xe-3/2/8
set interfaces fab1 fabric-options member-interfaces xe-15/2/8
set interfaces reth0 vlan-tagging
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 51 vlan-id 51
set interfaces reth0 unit 51 family inet address 10.1.1.1/24
set interfaces reth1 vlan-tagging
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 50 vlan-id 50
set interfaces reth1 unit 50 family inet address 10.2.2.1/24
set routing-options static route 10.0.0.0/8 next-hop 10.52.63.254
set routing-options static route 172.16.1.0/24 next-hop 10.1.1.254
(Facultatif) Pour configurer rapidement un commutateur principal EX9214, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
Sur l’équipement EX
[edit] set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members v50 set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members v50 set interfaces irb unit 50 family inet address 10.2.2.254/24 set routing-options static route 10.1.1.0/24 next-hop 10.2.2.1 set routing-options static route 172.16.1.0/24 next-hop 10.2.2.1 set vlans v50 vlan-id 50 set vlans v50 l3-interface irb.50
(Facultatif) Pour configurer rapidement un routeur de périphérie MX480, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au [edit] niveau hiérarchique, puis passez commit en mode de configuration.
Sur l’appareil MX
[edit] set interfaces xe-1/0/0 encapsulation ethernet-bridge set interfaces xe-1/0/0 unit 0 family bridge interface-mode trunk set interfaces xe-1/0/0 unit 0 family bridge vlan-id 51 set interfaces xe-1/0/1 unit 0 family inet address 172.16.1.1/24 set interfaces xe-2/0/0 encapsulation ethernet-bridge set interfaces xe-2/0/0 unit 0 family bridge interface-mode trunk set interfaces xe-2/0/0 unit 0 family bridge vlan-id 51 set interfaces irb unit 0 family inet address 10.1.1.254/24 set routing-options static route 10.2.2.0/24 next-hop 10.1.1.1 set bridge-domains v51 domain-type bridge set bridge-domains v51 vlan-id 51 set bridge-domains v51 routing-interface irb.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer un cluster de châssis sur un pare-feu SRX Series :
En mode cluster, la configuration est synchronisée sur la liaison de contrôle entre les noeuds lors de l’exécution d’une commit commande. Toutes les commandes sont appliquées aux deux nœuds, quel que soit l’appareil à partir duquel la commande est configurée.
-
Étant donné que la configuration du cluster de châssis du pare-feu SRX5000 est contenue dans une seule configuration commune, pour affecter certains éléments de la configuration à un membre spécifique uniquement, vous devez utiliser la méthode de configuration spécifique au nœud Junos OS appelée groupes. La
set apply-groups ${node}commande utilise la variable node pour définir la façon dont les groupes sont appliqués aux noeuds ; chaque noeud reconnaît son numéro et accepte la configuration en conséquence. Vous devez également configurer la gestion hors bande sur l’interface fxp0 du pare-feu SRX5000 à l’aide d’adresses IP distinctes pour les plans de contrôle individuels du cluster.La configuration de l’adresse de destination du routeur de sauvegarde en tant que x.x.x.0/0 n’est pas autorisée.
user@hostA# set groups node0 system host-name hostA user@hostA# set groups node0 system backup-router 10.52.63.254 user@hostA# set groups node0 system backup-router destination 10.0.0.0/8 user@hostA# set groups node0 interfaces fxp0 unit 0 family inet address 10.52.43.57/19
user@hostB# set groups node1 system host-name hostB user@hostB# set groups node1 system backup-router 10.52.63.254 user@hostB# set groups node1 system backup-router destination 10.0.0.0/8 user@hostB# set groups node1 interfaces fxp0 unit 0 family inet address 10.52.52.27/19
La configuration noeud0 et noeud1 des groupes ci-dessus est validée, mais n’est pas appliquée. Une fois que l’appareil est en cluster, ces commandes sont appliquées à l’aide
set apply-groups “${node}”de . -
Utilisez les commandes suivantes pour configurer le noeud 0, qui est principal. Le noeud 1 est inaccessible tant que la configuration du noeud n’est pas validée. Le noeud 0 synchronisera automatiquement la configuration via le port de contrôle avec le noeud 1 et il n’est pas nécessaire de configurer explicitement le noeud 1.
user@hostA# set apply-groups “${node}” -
Configurez le port de contrôle pour chaque périphérique et validez la configuration.
Assurez-vous d’avoir la connexion de liaison de contrôle physique entre les cartes SPC sur les deux nœuds, conformément à la configuration.
Les ports de contrôle sont dérivés en fonction de l’emplacement SPC dans le châssis et la valeur de décalage est basée sur la plate-forme. Dans l’exemple ci-dessous, le SPC est présent dans l’emplacement de revenu 1 et comme le décalage de SRX5800 est de 12, les ports de contrôle sont 1, 13. Vous pouvez afficher la valeur de décalage pour une plate-forme particulière à l’aide de
“jwhoami -c”la commande en mode shell. Vous devez entrer les commandes suivantes sur les deux appareils. Par exemple:-
Sur le noeud 0 :
user@hostA# set chassis cluster control-ports fpc 1 port 0 user@hostA# set chassis cluster control-ports fpc 13 port 0 user@hostA# commit
-
Sur le noeud 1 :
user@hostB# set chassis cluster control-ports fpc 1 port 0 user@hostB# set chassis cluster control-ports fpc 13 port 0 user@hostB# commit
-
-
Réglez les deux appareils en mode cluster. Un redémarrage est nécessaire pour passer en mode cluster une fois que l’ID de cluster et l’ID de nœud sont définis. Vous pouvez activer le démarrage automatique du système en incluant le
rebootparamètre dans la ligne de commande CLI. Vous devez entrer les commandes du mode opérationnel sur les deux appareils. Par exemple:-
Sur le noeud 0 :
user@hostA> set chassis cluster cluster-id 1 node 0 reboot
-
Sur le noeud 1 :
user@hostB> set chassis cluster cluster-id 1 node 1 reboot
L’ID de cluster doit être le même sur les deux périphériques d’un cluster, mais l’ID de nœud doit être différent, car un périphérique est le nœud 0 et l’autre périphérique est le nœud 1. La plage pour l’ID de cluster est comprise entre 1 et 255. La définition d’un ID de cluster sur 0 équivaut à la désactivation d’un cluster. Mais il est recommandé de l’utiliser
set chassis cluster disablepour casser les nœuds du cluster. -
-
Configurez les groupes de redondance pour la mise en cluster des châssis. Chaque nœud possède des interfaces dans un groupe de redondance où les interfaces sont actives dans des groupes de redondance actifs (plusieurs interfaces actives peuvent exister dans un groupe de redondance). Le groupe de redondance 0 contrôle le plan de contrôle et le groupe de redondance 1+ contrôle le plan de données et inclut les ports du plan de données. Pour cet exemple de mode actif/passif, un seul membre du cluster de châssis est actif à la fois, vous devez donc définir les groupes de redondance 0 et 1 uniquement. Outre les groupes de redondance, vous devez également définir :
-
Groupes Ethernet redondants : configurez le nombre d’interfaces Ethernet redondantes (liaisons membres) qui seront actives sur le périphérique afin que le système puisse lui allouer les ressources appropriées.
-
Priority for control plane and data plane (Priorité pour le plan de contrôle et plan de données) : définissez quel périphérique est prioritaire (pour le cluster de châssis, la priorité haute est préférable) pour le plan de contrôle, et quel périphérique doit être actif pour le plan de données.
-
En mode actif/passif ou actif/actif, le plan de contrôle (groupe de redondance 0) peut être actif sur un châssis différent du châssis du plan de données (groupe de redondance 1+ et groupes). Toutefois, pour cet exemple, nous vous recommandons d’avoir le plan de contrôle et le plan de données actifs sur le même membre du châssis. Lorsque le trafic passe par la liaison de structure pour aller vers un autre nœud membre, une latence est introduite (trafic en mode ligne z).
-
Sur les pare-feu SRX Series (gamme SRX5000), le VPN IPsec n’est pas pris en charge dans la configuration de cluster de châssis actif/actif (c’est-à-dire lorsqu’il existe plusieurs groupes de redondance RG1+) en mode Z.
-
user@hostA# set chassis cluster reth-count 2 user@hostA# set chassis cluster redundancy-group 1 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 1 node 1 priority 1 user@hostA# set chassis cluster redundancy-group 0 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 0 node 1 priority 1
-
-
Configurez les ports de structure (données) du cluster qui sont utilisés pour transmettre les RTO en mode actif/passif. Pour cet exemple, utilisez l’un des ports payants. Définissez deux interfaces de structure, une sur chaque châssis, à connecter entre elles.
Configurez les interfaces de données sur la plate-forme de sorte qu’en cas de basculement du plan de données, l’autre membre du cluster du châssis puisse prendre en charge la connexion de manière transparente. Une transition transparente vers un nouveau nœud actif se produira avec le basculement du plan de données. En cas de basculement du plan de contrôle, tous les démons sont redémarrés sur le nouveau nœud, ce qui permet un redémarrage en douceur pour éviter de perdre le voisinage avec les pairs (ospf, bgp). La transition vers le nouveau nœud s’effectue ainsi en douceur, sans perte de paquets.
Vous devez définir les éléments suivants :
-
Définissez les informations d’appartenance des interfaces membres à l’interface reth.
-
Définissez le groupe de redondance dont l’interface reth est membre. Pour cet exemple actif/passif, c’est toujours 1.
-
Définissez de nouvelles informations d’interface, telles que l’adresse IP de l’interface.
{primary:node0}[edit]user@hostA# set interfaces xe-6/1/0 gigether-options redundant-parent reth1 user@hostA# set interfaces xe-6/0/0 gigether-options redundant-parent reth0 user@hostA# set interfaces xe-18/1/0 gigether-options redundant-parent reth1 user@hostA# set interfaces xe-18/0/0 gigether-options redundant-parent reth0 user@hostA# set interfaces reth0 vlan-tagging user@hostA# set interfaces reth0 redundant-ether-options redundancy-group 1 user@hostA# set interfaces reth0 unit 51 vlan-id 51 user@hostA# set interfaces reth0 unit 51 family inet address 10.1.1.1/24 user@hostA# set interfaces reth1 vlan-tagging user@hostA# set interfaces reth1 redundant-ether-options redundancy-group 1 user@hostA# set interfaces reth1 unit 50 vlan-id 50 user@hostA# set interfaces reth1 unit 50 family inet address 10.2.2.1/24 user@hostA# set interfaces fab0 fabric-options member-interfaces xe-3/2/8 user@hostA# set interfaces fab1 fabric-options member-interfaces xe-15/2/8 -
-
(Facultatif) Configurez le comportement du cluster de châssis en cas de panne. Pour le pare-feu SRX5800, le seuil de basculement est fixé à 255. Vous pouvez modifier les pondérations pour déterminer l’impact sur le basculement du châssis. Vous devez également configurer la récupération de la liaison de contrôle. La récupération entraîne automatiquement le redémarrage du nœud secondaire en cas de défaillance de la liaison de contrôle, puis la remise en ligne. Entrez ces commandes sur le noeud 0.
{primary:node0}[edit]user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255 user@hostA# set chassis cluster control-link-recoveryCette étape complète la partie configuration du cluster de châssis de l’exemple de mode actif/passif pour le pare-feu SRX5800. Le reste de cette procédure décrit comment configurer la zone, le routeur virtuel, le routage, le commutateur principal EX9214 et le routeur périphérique MX480 pour terminer le scénario de déploiement.
-
(Facultatif) Configurez et connectez les interfaces reth aux zones et routeurs virtuels appropriés. Pour cet exemple, laissez les interfaces reth0 et reth1 dans le routeur virtuel par défaut inet.0, qui ne nécessite aucune configuration supplémentaire.
{primary:node0}[edit]user@hostA# set security zones security-zone trust host-inbound-traffic system-services ping user@hostA# set security zones security-zone trust interfaces reth1.50 user@hostA# set security zones security-zone untrust host-inbound-traffic system-services ping user@hostA# set security zones security-zone untrust interfaces reth0.51 Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone de méfiance.
user@hostA# set security policies from-zone trust to-zone untrust policy allow match source-address any user@hostA# set security policies from-zone trust to-zone untrust policy allow match destination-address any user@hostA# set security policies from-zone trust to-zone untrust policy allow match application any user@hostA# set security policies from-zone trust to-zone untrust policy allow then permit user@hostA# set security policies from-zone untrust to-zone trust policy allow match source-address any user@hostA# set security policies from-zone untrust to-zone trust policy allow match destination-address any user@hostA# set security policies from-zone untrust to-zone trust policy allow match application any user@hostA# set security policies from-zone untrust to-zone trust policy allow then permit-
(Facultatif) Pour le Commutateur Ethernet EX9214, les commandes suivantes ne fournissent qu’un aperçu de la configuration applicable en ce qui concerne cet exemple de mode actif/passif pour le pare-feu SRX5800 : notamment les VLAN, le routage et la configuration des interfaces.
[edit]user@switch# set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members v50 user@switch# set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members v50 user@switch# set interfaces irb unit 50 family inet address 10.2.2.254/24 user@switch# set routing-options static route 10.1.1.0/24 next-hop 10.2.2.1 user@switch# set routing-options static route 172.16.1.0/24 next-hop 10.2.2.1 user@switch# set vlans v50 vlan-id 50 user@switch# set vlans v50 l3-interface irb.50 -
(Facultatif) Pour le MX480 routeur de périphérie, les commandes suivantes ne fournissent qu’un aperçu de la configuration applicable en ce qui concerne cet exemple de mode actif/passif pour le pare-feu SRX5800 ; plus particulièrement, vous devez utiliser une interface IRB dans une instance de commutateur virtuel sur le commutateur.
[edit]user@router# set interfaces xe-1/0/0 encapsulation ethernet-bridge user@router# set interfaces xe-1/0/0 unit 0 family bridge interface-mode trunk user@router# set interfaces xe-1/0/0 unit 0 family bridge vlan-id 51 user@router# set interfaces xe-1/0/1 unit 0 family inet address 172.16.1.1/24 user@router# set interfaces xe-2/0/0 encapsulation ethernet-bridge user@router# set interfaces xe-2/0/0 unit 0 family bridge interface-mode trunk user@router# set interfaces xe-2/0/0 unit 0 family bridge vlan-id 51 user@router# set interfaces irb unit 0 family inet address 10.1.1.254/24 user@router# set routing-options static route 10.2.2.0/24 next-hop 10.1.1.1 user@router# set bridge-domains v51 domain-type bridge user@router# set bridge-domains v51 vlan-id 51 user@router# set bridge-domains v51 routing-interface irb.0
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérifier l’état du cluster de châssis
- Vérifier les interfaces du cluster de châssis
- Vérifier les statistiques du cluster de châssis
- Vérifier les statistiques du plan de contrôle du cluster de châssis
- Vérifier les statistiques du plan de données du cluster Chassis
- Vérifier le ping à partir d’un périphérique EX
- Vérifier l’état du groupe de redondance du cluster de châssis
- Dépannage à l’aide des journaux
Vérifier l’état du cluster de châssis
But
Vérifiez l’état du cluster de châssis, l’état de basculement et les informations sur le groupe de redondance.
Action
À partir du mode opérationnel, entrez la show chassis cluster status commande.
{primary:node0}
user@hostA> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Vérifier les interfaces du cluster de châssis
But
Vérifiez les informations sur les interfaces du cluster de châssis.
Action
À partir du mode opérationnel, entrez la show chassis cluster interfaces commande.
{primary:node0}
user@hostA> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-3/2/8 Up / Up Disabled
fab0
fab1 xe-15/2/8 Up / Up Disabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
Interface Monitoring:
Interface Weight Status Redundancy-group
(Physical/Monitored)
xe-18/1/0 255 Up / Up 1
xe-6/1/0 255 Up / Up 1
xe-18/0/0 255 Up / Up 1
xe-6/0/0 255 Up / Up 1
Vérifier les statistiques du cluster de châssis
But
Vérifiez les informations sur les services de cluster de châssis et les statistiques des liens de contrôle (pulsations envoyées et reçues), les statistiques des liaisons de structure (sondes envoyées et reçues) et le nombre de RTO envoyés et reçus pour les services.
Action
À partir du mode opérationnel, entrez la show chassis cluster statistics commande.
{primary:node0}
user@hostA> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 229414
Heartbeat packets received: 229385
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 459691
Probes received: 459679
Child link 1
Probes sent: 0
Probes received: 0
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 0 0
IPv6 session create 0 0
IPv4/6 session RTO ACK 0 0
Session close 0 0
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 0
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Packet stats Pkts sent Pkts received
ICD Data 0 0
Vérifier les statistiques du plan de contrôle du cluster de châssis
But
Vérifiez les informations relatives aux statistiques du plan de contrôle du cluster de châssis (pulsations envoyées et reçues) et aux statistiques de liaison fabric (sondes envoyées et reçues).
Action
À partir du mode opérationnel, entrez la show chassis cluster control-plane statistics commande.
{primary:node0}
user@hostA> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 229474
Heartbeat packets received: 229445
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 459809
Probes received: 459797
Child link 1
Probes sent: 0
Probes received: 0
Vérifier les statistiques du plan de données du cluster Chassis
But
Vérifiez les informations sur le nombre de RTO envoyés et reçus pour les services.
Action
À partir du mode opérationnel, entrez la show chassis cluster data-plane statistics commande.
{primary:node0}
user@hostA> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 0 0
IPv6 session create 0 0
Session close 0 0
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 0
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Vérifier le ping à partir d’un périphérique EX
But
Vérifiez l’état de la connexion à partir d’un périphérique EX.
Action
À partir du mode opérationnel, entrez la ping 172.16.1.254 count 2 commande.
user@EX9214> ping 172.16.1.254 count 2 PING 172.16.1.254 (172.16.1.254): 56 data bytes 64 bytes from 172.16.1.254: icmp_seq=0 ttl=62 time=4.599 ms 64 bytes from 172.16.1.254: icmp_seq=1 ttl=62 time=3.192 ms --- 172.16.1.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.192/3.896/4.599/0.704 ms
Vérifier l’état du groupe de redondance du cluster de châssis
But
Vérifiez l’état et la priorité des deux nœuds d’un cluster, ainsi que des informations pour savoir si le nœud principal a été préempté ou s’il y a eu un basculement manuel.
Action
À partir du mode opérationnel, entrez la chassis cluster status redundancy-group commande.
{primary:node0}
user@hostA> show chassis cluster status redundancy-group 1
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 1 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Dépannage à l’aide des journaux
But
Utilisez ces journaux pour identifier les problèmes de cluster de châssis. Vous devez exécuter ces journaux sur les deux nœuds.
Action
À partir du mode opérationnel, entrez ces show log commandes.
user@hostA> show log jsrpd user@hostA> show log chassisd user@hostA> show log messages user@hostA> show log dcd user@hostA> show traceoptions
Exemple : Configuration d’une paire de clusters de châssis actifs/passifs (SRX1500 ou SRX1600)
Cet exemple montre comment configurer la mise en cluster de châssis actif/passif pour SRX1500 ou SRX1600 équipement.
Exigences
Avant de commencer :
Connectez physiquement une paire d’appareils ensemble, en vous assurant qu’il s’agit des mêmes modèles.
Créez une liaison de structure en connectant une interface Gigabit Ethernet sur un périphérique à une autre interface Gigabit Ethernet sur l’autre équipement.
Créez un lien de contrôle en connectant le port de contrôle des deux périphériques SRX1500.
Connectez-vous à l’un des périphériques à l’aide du port console. (Il s’agit du nœud qui forme le cluster.) et définissez l’ID de cluster et le numéro de nœud.
user@host> set chassis cluster cluster-id 1 node 0 reboot
Connectez-vous à l’autre périphérique à l’aide du port de console et définissez l’ID de cluster et le numéro de nœud.
user@host> set chassis cluster cluster-id 1 node 1 reboot
Aperçu
Dans cet exemple, un seul équipement du cluster est utilisé pour acheminer l’ensemble du trafic, et l’autre équipement n’est utilisé qu’en cas de défaillance. ( Reportez-vous à la figure 3.) Lorsqu’une défaillance se produit, l’unité de sauvegarde devient principale et contrôle tout le transfert.
de cluster de châssis actif/passif
Vous pouvez créer un cluster de châssis actif/passif en configurant des interfaces Ethernet redondantes (reths) qui sont toutes affectées au même groupe de redondance. Cette configuration réduit le trafic sur la liaison de structure, car un seul nud du cluster transfère le trafic à un moment donné.
Dans cet exemple, vous configurez les informations du groupe (en appliquant la configuration à l’aide de la apply-groups commande) et du cluster de châssis. Ensuite, configurez les zones de sécurité et les stratégies de sécurité. Voir les tableaux 1 à 4.
Caractéristique |
Nom |
Paramètres de configuration |
|---|---|---|
Groupe |
noeud0 |
|
|
noeud1 |
|
Caractéristique |
Nom |
Paramètres de configuration |
|---|---|---|
Liens de structure |
fab0 |
Interface : ge-0/0/1 |
|
Fab1 |
Interface : ge-7/0/1 |
Intervalle de pulsation |
– |
1000 |
Seuil de pulsation |
– |
3 |
Groupe de redondance |
0 |
|
|
1 |
|
|
|
Surveillance des interfaces
|
Nombre d’interfaces Ethernet redondantes |
– |
2 |
Interfaces |
GE-0/0/4 |
Parent redondant : reth0 |
GE-7/0/4 |
Parent redondant : reth0 |
|
GE-0/0/5 |
Parent redondant : reth1 |
|
GE-7/0/5 |
Parent redondant : reth1 |
|
Par Reth0 |
Groupe de redondance : 1 |
|
|
||
reth1 |
Groupe de redondance : 1 |
|
|
Nom |
Paramètres de configuration |
|---|---|
confiance |
L’interface reth1.0 est liée à cette zone. |
défiance |
L’interface reth0.0 est liée à cette zone. |
But |
Nom |
Paramètres de configuration |
|---|---|---|
Cette stratégie de sécurité autorise le trafic entre la zone de confiance et la zone de méfiance. |
QUELCONQUE |
|
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
[edit]
set groups node0 system host-name srx1500-A
set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24
set groups node1 system host-name srx1500-B
set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces ge-0/0/1
set interfaces fab1 fabric-options member-interfaces ge-7/0/1
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster redundancy-group 0 node 0 priority 100
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255
set chassis cluster reth-count 2
set interfaces ge-0/0/5 gigether-options redundant-parent reth1
set interfaces ge-7/0/5 gigether-options redundant-parent reth1
set interfaces ge-0/0/4 gigether-options redundant-parent reth0
set interfaces ge-7/0/4 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 198.51.100.1/24
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 203.0.113.233/24
set security zones security-zone untrust interfaces reth1.0
set security zones security-zone trust interfaces reth0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone untrust policy ANY then permit
Procédure étape par étape
Pour configurer un cluster de châssis actif/passif :
Configurez l’interface de gestion.
{primary:node0}[edit] user@host# set groups node0 system host-name srx1500-A user@host# set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24 user@host# set groups node1 system host-name srx1500-B user@host# set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24 user@host# set apply-groups “${node}”Configurez l’interface de la structure.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1Configurez les paramètres de pulsation.
{primary:node0}[edit] user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3Configurez les groupes de redondance.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 100 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 100 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255Configurez des interfaces Ethernet redondantes.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set interfaces ge-0/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-7/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-0/0/4 gigether-options redundant-parent reth0 user@host# set interfaces ge-7/0/4 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 203.0.113.233/24Configurez les zones de sécurité.
{primary:node0}[edit] user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust interfaces reth0.0Configurez les politiques de sécurité.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone untrust policy ANY then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show configuration commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name srx1500-A;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.0.2.110/24;
}
}
}
}
}
node1 {
system {
host-name srx1500-B;
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.0.2.110/24;
}
}
}
}
}
}
apply-groups "${node}";
chassis {
cluster {
reth-count 2;
heartbeat-interval 1000;
heartbeat-threshold 3;
redundancy-group 0 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
interface-monitor {
ge–0/0/4 weight 255;
ge–7/0/4 weight 255;
ge–0/0/5 weight 255;
ge–7/0/5 weight 255;
}
}
}
}
interfaces {
ge–0/0/4 {
gigether–options {
redundant–parent reth0;
}
}
ge–7/0/4{
gigether–options {
redundant–parent reth0;
}
}
ge–0/0/5 {
gigether–options {
redundant–parent reth1;
}
}
ge–7/0/5 {
gigether–options {
redundant–parent reth1;
}
}
fab0 {
fabric–options {
member–interfaces {
ge–0/0/1;
}
}
}
fab1 {
fabric–options {
member–interfaces {
ge–7/0/1;
}
}
}
reth0 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
reth1 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 203.0.113.233/24;
}
}
}
}
...
security {
zones {
security–zone untrust {
interfaces {
reth1.0;
}
}
security–zone trust {
interfaces {
reth0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy ANY {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état du cluster de châssis
- Vérification des interfaces de cluster de châssis
- Vérification des statistiques du cluster de châssis
- Vérification des statistiques du plan de contrôle du cluster de châssis
- Vérification des statistiques du plan de données du cluster de châssis
- Vérification de l’état du groupe de redondance du cluster de châssis
- Dépannage à l’aide des journaux
Vérification de l’état du cluster de châssis
But
Vérifiez l’état du cluster de châssis, l’état de basculement et les informations sur le groupe de redondance.
Action
À partir du mode opérationnel, entrez la show chassis cluster status commande.
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Vérification des interfaces de cluster de châssis
But
Vérifiez les informations sur les interfaces du cluster de châssis.
Action
À partir du mode opérationnel, entrez la show chassis cluster interfaces commande.
{primary:node0}
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Security
0 em0 Up Disabled
1 em1 Down Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
fab0 ge-0/0/1 Up Disabled
fab0
fab1 ge-7/0/1 Up Disabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
ge-0/0/4 255 Up 1
ge-7/0/4 255 Up 1
ge-0/0/5 255 Up 1
ge-7/0/5 255 Up 1
Vérification des statistiques du cluster de châssis
But
Vérifiez les informations relatives aux statistiques des différents objets en cours de synchronisation, aux hellos de l’interface de fabric et de contrôle, ainsi qu’à l’état des interfaces surveillées dans le cluster.
Action
À partir du mode opérationnel, entrez la show chassis cluster statistics commande.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 2276
Heartbeat packets received: 2280
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2272
Probes received: 597
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Vérification des statistiques du plan de contrôle du cluster de châssis
But
Vérifiez les informations relatives aux statistiques du plan de contrôle du cluster de châssis (pulsations envoyées et reçues) et aux statistiques de liaison fabric (sondes envoyées et reçues).
Action
À partir du mode opérationnel, entrez la show chassis cluster control-plane statistics commande.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Vérification des statistiques du plan de données du cluster de châssis
But
Vérifiez les informations sur le nombre de RTO envoyés et reçus pour les services.
Action
À partir du mode opérationnel, entrez la show chassis cluster data-plane statistics commande.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Vérification de l’état du groupe de redondance du cluster de châssis
But
Vérifiez l’état et la priorité des deux nœuds d’un cluster, ainsi que des informations pour savoir si le nœud principal a été préempté ou s’il y a eu un basculement manuel.
Action
À partir du mode opérationnel, entrez la chassis cluster status redundancy-group commande.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Dépannage à l’aide des journaux
But
Utilisez ces journaux pour identifier les problèmes de cluster de châssis. Vous devez exécuter ces journaux sur les deux nœuds.
Action
À partir du mode opérationnel, entrez ces show commandes.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Exemple : Configuration d’une paire de clusters de châssis actif/passif (J-Web)
Activez la mise en cluster. Reportez-vous à l’étape 1 de la section Exemple : configuration d’une paire de clusters de châssis (CLI) active/passive.
Configurez l’interface de gestion. Reportez-vous à l’étape 2 de la section Exemple : configuration d’une paire de clusters de châssis (CLI) active/passive.
Configurez l’interface de la structure. Reportez-vous à l’étape 3 de la section Exemple : configuration d’une paire de clusters de châssis (CLI) active/passive.
Configurez les groupes de redondance.
Sélectionnez
Configure>Chassis Cluster.Entrez les informations suivantes, puis cliquez sur
Apply:Nombre d’interfaces ether redondantes :
2Intervalle de pulsation :
1000Seuil de pulsation :
3Nœuds:
0Numéro de groupe :
0Priorités:
100
Entrez les informations suivantes, puis cliquez sur
Apply:Nœuds:
0Numéro de groupe :
1Priorités:
1
Entrez les informations suivantes, puis cliquez sur
Apply:Nœuds:
1Numéro de groupe :
0Priorités:
100
Configurez les interfaces Ethernet redondantes.
Sélectionnez
Configure>Chassis Cluster.Sélectionnez
ge-0/0/4.Entrez
reth1dans la zone Parent redondant.Cliquez sur
Apply.Sélectionnez
ge-7/0/4.Entrez
reth1dans la zone Parent redondant.Cliquez sur
Apply.Sélectionnez
ge-0/0/5.Entrez
reth0dans la zone Parent redondant.Cliquez sur
Apply.Sélectionnez
ge-7/0/5.Entrez
reth0dans la zone Parent redondant.Cliquez sur
Apply.Reportez-vous à l’étape 5 de la section Exemple : configuration d’une paire de clusters de châssis (CLI) active/passive pour les quatre derniers paramètres de configuration.
Configurez les zones de sécurité. Reportez-vous à l’étape 6 de la section Exemple : configuration d’une paire de clusters de châssis (CLI) active/passive.
Configurez les stratégies de sécurité. Reportez-vous à l’étape 7 de la section Exemple : configuration d’une paire de clusters de châssis (CLI) active/passive.
Vérifiez
OKvotre configuration et enregistrez-la en tant que configuration candidate, puis cliquez surCommit Options>Commit.
Voir aussi
Comprendre le déploiement de clusters de châssis actifs/passifs avec un tunnel IPsec
Dans ce cas, un équipement unique du cluster se termine dans un tunnel IPsec et est utilisé pour traiter l’ensemble du trafic, tandis que l’autre équipement n’est utilisé qu’en cas de panne ( voir Figure 4). Lorsqu’une défaillance se produit, l’unité de sauvegarde devient principale et contrôle tout le transfert.
Un cluster de châssis actif/passif peut être obtenu en utilisant des interfaces Ethernet redondantes (reth) qui sont toutes affectées au même groupe de redondance. En cas de défaillance de l’une des interfaces d’un groupe actif dans un nœud, le groupe est déclaré inactif et toutes les interfaces du groupe basculent vers l’autre nœud.
Cette configuration permet à un tunnel IPsec de site à site de se terminer dans un cluster actif/passif où une interface Ethernet redondante est utilisée comme point de terminaison de tunnel. En cas de défaillance, l’interface Ethernet redondante du pare-feu SRX Series de secours devient active, forçant le tunnel à changer de point de terminaison pour se terminer dans le nouveau pare-feu SRX Series actif. Étant donné que les clés de tunnel et les informations de session sont synchronisées entre les membres du cluster de châssis, un basculement ne nécessite pas de renégocier le tunnel et toutes les sessions établies sont conservées.
En cas de défaillance de RG0 (moteur de routage), les protocoles de routage doivent être rétablis sur le nouveau nœud principal. Si la surveillance VPN ou la détection des pairs morts est configurée et que son minuteur expire avant que le routage ne converge à nouveau vers le nouveau RG0 Principal, le tunnel VPN est arrêté et renégocié.
Les tunnels dynamiques ne peuvent pas équilibrer la charge entre différents SPC.
Voir aussi
Exemple : Configuration d’une paire de clusters de châssis actifs/passifs avec un tunnel IPsec
Cet exemple montre comment configurer la mise en cluster de châssis actif/passif avec un tunnel IPsec pour les pare-feu SRX Series.
Exigences
Avant de commencer :
Procurez-vous deux modèles SRX5000 avec des configurations matérielles identiques, un équipement SRX1500 ou SRX1600 et quatre commutateurs Ethernet EX Series.
Connectez physiquement les deux appareils (dos à dos pour les ports de structure et de contrôle) et assurez-vous qu’il s’agit des mêmes modèles. Vous pouvez configurer les ports de structure et de contrôle sur la gamme SRX5000.
Mettez les deux appareils en mode cluster et redémarrez-les. Vous devez entrer les commandes de mode de fonctionnement suivantes sur les deux appareils, par exemple :
Sur le noeud 0 :
user@host> set chassis cluster cluster-id 1 node 0 reboot
Sur le noeud 1 :
user@host> set chassis cluster cluster-id 1 node 1 reboot
L’ID de cluster est le même sur les deux périphériques, mais l’ID de nœud doit être différent, car un périphérique est le nœud 0 et l’autre périphérique est le nœud 1. La plage pour l’ID de cluster est comprise entre 1 et 255. La définition d’un ID de cluster sur 0 équivaut à la désactivation d’un cluster.
Un ID de cluster supérieur à 15 ne peut être défini que lorsque les interfaces de liaison de structure et de contrôle sont connectées l’une après l’autre.
Procurez-vous deux modèles SRX5000 avec des configurations matérielles identiques, un SRX1500 routeur de périphérie et quatre commutateurs Ethernet EX Series.
Connectez physiquement les deux appareils (dos à dos pour les ports de structure et de contrôle) et assurez-vous qu’il s’agit des mêmes modèles. Vous pouvez configurer les ports de structure et de contrôle sur la gamme SRX5000.
À partir de ce moment, la configuration du cluster est synchronisée entre les membres du nœud et les deux périphériques distincts fonctionnent comme un seul appareil. Les configurations spécifiques aux membres (telles que l’adresse IP du port de gestion de chaque membre) sont saisies à l’aide de groupes de configuration.
Aperçu
Dans cet exemple, un équipement du cluster se termine par un tunnel IPsec et est utilisé pour traiter l’ensemble du trafic. L’autre équipement n’est utilisé qu’en cas de défaillance. ( Reportez-vous à la Figure 5.) Lorsqu’une défaillance se produit, l’unité de sauvegarde devient principale et contrôle tout le transfert.
Dans cet exemple, vous configurez les informations du groupe (en appliquant la configuration à l’aide de la apply-groups commande) et du cluster de châssis. Ensuite, vous configurez les paramètres IKE, IPsec, de route statique, de zone de sécurité et de stratégie de sécurité. Voir les tableaux 5 à 11.
Caractéristique |
Nom |
Paramètres de configuration |
|---|---|---|
Groupe |
noeud0 |
|
|
noeud1 |
|
Caractéristique |
Nom |
Paramètres de configuration |
|---|---|---|
Liens de structure |
fab0 |
Interface : xe-5/3/0 |
|
Fab1 |
Interface : xe-17/3/0 |
Nombre d’interfaces Ethernet redondantes |
– |
2 |
Intervalle de pulsation |
– |
1000 |
Seuil de pulsation |
– |
3 |
Groupe de redondance |
0 |
|
|
1 |
|
|
|
Surveillance des interfaces
|
Interfaces |
xe-5/1/0 |
Parent redondant : reth1 |
|
xe-5/1/0 |
Parent redondant : reth1 |
|
xe-5/0/0 |
Parent redondant : reth0 |
|
XE-17/0/0 |
Parent redondant : reth0 |
|
Par Reth0 |
Groupe de redondance : 1 |
|
|
|
|
reth1 |
Groupe de redondance : 1 |
|
|
|
|
st0 |
|
|
|
|
Caractéristique |
Nom |
Paramètres de configuration |
|---|---|---|
Proposition |
Proposition d’établissement de normes |
- |
Politique |
pré-partagé |
|
Passerelle |
SRX1500-1 |
Note:
Dans le clustering de châssis SRX, seules les interfaces reth et lo0 sont prises en charge pour la configuration de l’interface externe IKE. D’autres types d’interfaces peuvent être configurés, mais le VPN IPsec peut ne pas fonctionner. Si une interface logique lo0 est utilisée comme interface externe de passerelle IKE, elle ne peut pas être configurée avec RG0. |
Caractéristique |
Nom |
Paramètres de configuration |
|---|---|---|
Proposition |
Proposition d’établissement de normes |
– |
Politique |
MST |
– |
VPN |
SRX1500-1 |
Note:
Le nom du VPN manuel et le nom de la passerelle de site à site ne peuvent pas être identiques. |
Une interface de tunnel sécurisée (st0) de st0.16000 à st0.16385 est réservée pour la haute disponibilité multinœud et pour le chiffrement des liens de contrôle HA dans Chassis Cluster. Ces interfaces ne sont pas des interfaces configurables par l’utilisateur. Vous ne pouvez utiliser que des interfaces de st0.0 à st0.15999.
Nom |
Paramètres de configuration |
|---|---|
0.0.0.0/0 |
Saut suivant : 10.2.1.1 |
10.3.0.0/16 |
Saut suivant : 10.10.1.2 |
Nom |
Paramètres de configuration |
|---|---|
confiance |
|
défiance |
|
Vpn |
|
But |
Nom |
Paramètres de configuration |
|---|---|---|
Cette stratégie de sécurité autorise le trafic entre la zone de confiance et la zone de méfiance. |
QUELCONQUE |
|
Cette politique de sécurité autorise le trafic de la zone de confiance vers la zone vpn. |
VPN-n’importe quel |
|
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
{primary:node0}[edit]
set chassis cluster control-ports fpc 2 port 0
set chassis cluster control-ports fpc 14 port 0
set groups node0 system host-name SRX5800-1
set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24
set groups node1 system host-name SRX5800-2
set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces xe-5/3/0
set interfaces fab1 fabric-options member-interfaces xe-17/3/0
set chassis cluster reth-count 2
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster node 0
set chassis cluster node 1
set chassis cluster redundancy-group 0 node 0 priority 254
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 254
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 preempt
set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255
set interfaces xe-5/1/0 gigether-options redundant-parent reth1
set interfaces xe-17/1/0 gigether-options redundant-parent reth1
set interfaces xe-5/0/0 gigether-options redundant-parent reth0
set interfaces xe-17/0/0 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 10.1.1.60/16
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 10.2.1.60/16
set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30
set security ike policy preShared mode main
set security ike policy preShared proposal-set standard
set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password
set security ike gateway SRX1500-1 ike-policy preShared
set security ike gateway SRX1500-1 address 10.1.1.90
set security ike gateway SRX1500-1 external-interface reth0.0
set security ipsec policy std proposal-set standard
set security ipsec vpn SRX1500-1 bind-interface st0.0
set security ipsec vpn SRX1500-1 vpn-monitor optimized
set security ipsec vpn SRX1500-1 ike gateway SRX1500-1
set security ipsec vpn SRX1500-1 ike ipsec-policy std
set security ipsec vpn SRX1500-1 establish-tunnels immediately
set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2
set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces reth1.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces reth0.0
set security zones security-zone vpn host-inbound-traffic system-services all 144
set security zones security-zone vpn host-inbound-traffic protocols all
set security zones security-zone vpn interfaces st0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone vpn policy vpn-any then permit
Procédure étape par étape
Pour configurer une paire de clusters de châssis actifs/passifs avec un tunnel IPsec :
Configurez les ports de contrôle.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 2 port 0 user@host# set chassis cluster control-ports fpc 14 port 0Configurez l’interface de gestion.
{primary:node0}[edit] user@host# set groups node0 system host-name SRX5800-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24 user@host#set groups node1 system host-name SRX5800-2 user@host# set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24 user@host# set apply-groups “${node}”Configurez l’interface de la structure.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces xe-5/3/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-17/3/0Configurez les groupes de redondance.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3 user@host# set chassis cluster node 0 user@host# set chassis cluster node 1 user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 254 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 preempt user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255Configurez des interfaces Ethernet redondantes.
{primary:node0}[edit] user@host# set interfaces xe-5/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-17/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-5/0/0 gigether-options redundant-parent reth0 user@host# set interfaces xe-17/0/0 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 10.1.1.60/16 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 10.2.1.60/16Configurez les paramètres IPsec.
{primary:node0}[edit] user@host# set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30 user@host# set security ike policy preShared mode main user@host# set security ike policy preShared proposal-set standard user@host# set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password user@host# set security ike gateway SRX1500-1 ike-policy preShared user@host# set security ike gateway SRX1500-1 address 10.1.1.90 user@host# set security ike gateway SRX1500-1 external-interface reth0.0 user@host# set security ipsec policy std proposal-set standard user@host# set security ipsec vpn SRX1500-1 bind-interface st0.0 user@host# set security ipsec vpn SRX1500-1 vpn-monitor optimized user@host# set security ipsec vpn SRX1500-1 ike gateway SRX1500-1 user@host# set security ipsec vpn SRX1500-1 ike ipsec-policy std user@host# set security ipsec vpn SRX1500-1 establish-tunnels immediatelyConfigurez les routes statiques.
{primary:node0}[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1 user@host# set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2Configurez les zones de sécurité.
{primary:node0}[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces reth0.0 user@host# set security zones security-zone vpn host-inbound-traffic system-services all user@host# set security zones security-zone vpn host-inbound-traffic protocols all user@host# set security zones security-zone vpn interfaces st0.0Configurez les politiques de sécurité.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone vpn policy vpn-any then permit
Résultats
Depuis le mode opérationnel, confirmez votre configuration en entrant la show configuration commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name SRX58001;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.50/24;
}
}
}
}
}
node1 {
system {
host-name SRX58002;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.51/24;
}
}
}
}
}
}
apply-groups "${node}";
system {
root-authentication {
encrypted-password "$ABC123";
}
}
chassis {
cluster {
reth-count 2;
heartbeat-interval 1000;
heartbeat-threshold 3;
control-ports {
fpc 2 port 0;
fpc 14 port 0;
}
redundancy-group 0 {
node 0 priority 254;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 254;
node 1 priority 1;
preempt;
interface-monitor {
xe–6/0/0 weight 255;
xe–6/1/0 weight 255;
xe–18/0/0 weight 255;
xe–18/1/0 weight 255;
}
}
}
}
interfaces {
xe–5/0/0 {
gigether–options {
redundant–parent reth0;
}
}
xe–5/1/0 {
gigether–options {
redundant–parent reth1;
}
}
xe–17/0/0 {
gigether–options {
redundant–parent reth0;
}
}
xe–17/1/0 {
gigether–options {
redundant–parent reth1;
}
}
fab0 {
fabric–options {
member–interfaces {
xe–5/3/0;
}
}
}
fab1 {
fabric–options {
member–interfaces {
xe–17/3/0;
}
}
}
reth0 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.1.1.60/16;
}
}
}
reth1 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.2.1.60/16;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 5.4.3.2/32;
}
}
}
}
routing–options {
static {
route 0.0.0.0/0 {
next–hop 10.2.1.1;
}
route 10.3.0.0/16 {
next–hop 10.10.1.2;
}
}
}
security {
zones {
security–zone trust {
host–inbound–traffic {
system–services {
all;
}
}
interfaces {
reth0.0;
}
}
security–zone untrust
host-inbound-traffic {
system-services {
all;
}
}
protocols {
all;
}
interfaces {
reth1.0;
}
}
security-zone vpn {
host-inbound-traffic {
system-services {
all;
}
}
protocols {
all;
}
interfaces {
st0.0;
}
}
}
policies {
from–zone trust to–zone untrust {
policy ANY {
match {
source–address any;
destination–address any;
application any;
}
then {
permit;
}
}
}
from–zone trust to–zone vpn {
policy vpn {
match {
source–address any;
destination–address any;
application any;
}
then {
permit;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état du cluster de châssis
- Vérification des interfaces de cluster de châssis
- Vérification des statistiques du cluster de châssis
- Vérification des statistiques du plan de contrôle du cluster de châssis
- Vérification des statistiques du plan de données du cluster de châssis
- Vérification de l’état du groupe de redondance du cluster de châssis
- Dépannage à l’aide des journaux
Vérification de l’état du cluster de châssis
But
Vérifiez l’état du cluster de châssis, l’état de basculement et les informations sur le groupe de redondance.
Action
À partir du mode opérationnel, entrez la show chassis cluster status commande.
{primary:node0}
show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 1 primary no no
node1 254 secondary no no
Redundancy group: 1 , Failover count: 1
node0 1 primary yes no
node1 254 secondary yes no
Vérification des interfaces de cluster de châssis
But
Vérifiez les interfaces du cluster de châssis.
Action
À partir du mode opérationnel, entrez la show chassis cluster interfaces commande.
{primary:node0}
user@host> show chassis cluster interfaces
Control link name: fxp1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
xe-5/0/0 255 Up 1
xe-5/1/0 255 Up 1
xe-17/0/0 255 Up 1
xe-17/1/0 255 Up 1
Vérification des statistiques du cluster de châssis
But
Vérifiez les informations sur les services de cluster de châssis et les statistiques des liens de contrôle (pulsations envoyées et reçues), les statistiques des liaisons de structure (sondes envoyées et reçues) et le nombre de RTO envoyés et reçus pour les services.
Action
À partir du mode opérationnel, entrez la show chassis cluster statistics commande.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Vérification des statistiques du plan de contrôle du cluster de châssis
But
Vérifiez les informations relatives aux statistiques du plan de contrôle du cluster de châssis (pulsations envoyées et reçues) et aux statistiques de liaison fabric (sondes envoyées et reçues).
Action
À partir du mode opérationnel, entrez la show chassis cluster control-panel statistics commande.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Vérification des statistiques du plan de données du cluster de châssis
But
Vérifiez les informations sur le nombre de RTO envoyés et reçus pour les services.
Action
À partir du mode opérationnel, entrez la show chassis cluster data-plane statistics commande.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Vérification de l’état du groupe de redondance du cluster de châssis
But
Vérifiez l’état et la priorité des deux nœuds d’un cluster, ainsi que des informations pour savoir si le nœud principal a été préempté ou s’il y a eu un basculement manuel.
Action
À partir du mode opérationnel, entrez la chassis cluster status redundancy-group commande.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 0 primary yes no
node1 254 secondary yes no
Dépannage à l’aide des journaux
But
Utilisez ces journaux pour identifier les problèmes de cluster de châssis. Vous devez exécuter ces journaux sur les deux nœuds.
Action
À partir du mode opérationnel, entrez ces show commandes.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Exemple : Configuration d’une paire de clusters de châssis actifs/passifs avec un tunnel IPsec (J-Web)
Activez les clusters. Reportez-vous à l’étape 1 de la section Exemple : configuration d’une paire de clusters de châssis actifs/passifs avec un tunnel IPsec.
Configurez l’interface de gestion. Reportez-vous à l’étape 2 de la section Exemple : configuration d’une paire de clusters de châssis actif/passif avec un tunnel IPsec.
Configurez l’interface de la structure. Reportez-vous à l’étape 3 de la section Exemple : configuration d’une paire de clusters de châssis actifs/passifs avec un tunnel IPsec.
Configurez les groupes de redondance.
Sélectionnez
Configure>System Properties>Chassis Cluster.Entrez les informations suivantes, puis cliquez sur
Apply:Nombre d’interfaces ether redondantes :
2Intervalle de pulsation :
1000Seuil de pulsation :
3Nœuds:
0Numéro de groupe :
0Priorités:
254
Entrez les informations suivantes, puis cliquez sur
Apply:Nœuds:
0Numéro de groupe :
1Priorités:
254
Entrez les informations suivantes, puis cliquez sur
Apply:Nœuds:
1Numéro de groupe :
0Priorités:
1
Entrez les informations suivantes, puis cliquez sur
Apply:Nœuds:
1Numéro de groupe :
1Priorités:
1Préempter : cochez la case.
Moniteur d’interface : Interface :
xe-5/0/0Moniteur d’interface : poids :
255Moniteur d’interface : Interface :
xe-5/1/0Moniteur d’interface : poids :
255Moniteur d’interface : Interface :
xe-17/0/0Moniteur d’interface : poids :
255Moniteur d’interface : Interface :
xe-17/1/0Moniteur d’interface : poids :
255
Configurez les interfaces Ethernet redondantes.
Sélectionnez
Configure>System Properties>Chassis Cluster.Sélectionnez
xe-5/1/0.Entrez
reth1dans la zone Parent redondant.Cliquez sur
Apply.Sélectionnez
xe-17/1/0.Entrez
reth1dans la zone Parent redondant.Cliquez sur
Apply.Sélectionnez
xe-5/0/0.Entrez
reth0dans la zone Parent redondant.Cliquez sur
Apply.Sélectionnez
xe-17/0/0.Entrez
reth0dans la zone Parent redondant.Cliquez sur
Apply.
Configurez la configuration IPsec. Reportez-vous à l’étape 6 de la section Exemple : configuration d’une paire de clusters de châssis actif/passif avec un tunnel IPsec.
Configurez les routes statiques.
Sélectionnez
Configure>Routing>Static Routing.Cliquez sur
Add.Entrez les informations suivantes, puis cliquez sur
Apply:Adresse de route statique :
0.0.0.0/0Adresses Next-hop :
10.2.1.1
Entrez les informations suivantes, puis cliquez sur
Apply:Adresse de route statique :
10.3.0.0/16Adresses Next-hop :
10.10.1.2
Configurez les zones de sécurité. Reportez-vous à l’étape 8 de la section Exemple : configuration d’une paire de clusters de châssis actifs/passifs avec un tunnel IPsec.
Configurez les stratégies de sécurité. Reportez-vous à l’étape 9 de la section Exemple : configuration d’une paire de clusters de châssis actifs/passifs avec un tunnel IPsec.
Vérifiez
OKvotre configuration et enregistrez-la en tant que configuration candidate, puis cliquez surCommit Options>Commit.