SUR CETTE PAGE
Surveillance des adresses IP sur un cluster de châssis
La surveillance des adresses IP du groupe de redondance vérifie la connectivité de bout en bout et permet à un groupe de redondance de basculer si l’interface reth n’atteint pas une adresse IP configurée. Des groupes de redondance sur les deux appareils d’un cluster peuvent être configurés pour surveiller des adresses IP spécifiques afin de déterminer si un périphérique en amont du réseau est accessible. Pour plus d’informations, consultez les rubriques suivantes :
Présentation de la surveillance IP
La surveillance IP vérifie la connectivité de bout en bout des adresses IP configurées et permet à un groupe de redondance de basculer automatiquement lorsque l’adresse IP surveillée n’est pas accessible via l’interface Ethernet redondante (reth). Les nœuds principal et secondaire du cluster de châssis surveillent des adresses IP spécifiques pour déterminer si un équipement en amont du réseau est accessible.
La surveillance IP permet un basculement basé sur l’accessibilité de bout en bout d’une adresse IP surveillée configurée. Sur les pare-feu SRX Series, le test d’accessibilité est effectué en envoyant un ping à l’adresse IP surveillée à partir du nœud principal et du nœud secondaire via l’interface reth et en vérifiant si une réponse est renvoyée. L’adresse IP surveillée peut se trouver sur un hôte directement connecté dans le même sous-réseau que l’interface reth ou sur un périphérique distant accessible via un routeur à saut suivant.
Les états d’accessibilité de l’adresse IP surveillée sont accessibles, inaccessibles et inconnus. L’état est « inconnu » si les moteurs de transfert de paquets ne sont pas encore opérationnels. L’état passe à « accessible » ou « inaccessible », selon le message correspondant du moteur de transfert de paquets.
Nous vous déconseillons de configurer la surveillance IP des clusters de châssis sur le groupe de redondance 0 (RG0) pour les pare-feu SRX Series.
Le tableau 1 détaille les différentes combinaisons de résultats surveillés des nœuds principal et secondaire, ainsi que les actions correspondantes du processus jsrpd (Juniper Services Redundancy Protocol).
État surveillé du nœud principal |
État surveillé du nœud secondaire |
Action de basculement |
|---|---|---|
Accessible |
Accessible |
Aucune action |
Inaccessible |
Accessible |
Basculement |
Accessible |
Inaccessible |
Aucune action |
Inaccessible |
Inaccessible |
Aucune action |
Vous pouvez configurer jusqu’à 64 adresses IP pour la surveillance IP sur SRX5000 périphériques de ligne.
Sur les équipements SRX Branch Series, lorsque plusieurs interfaces physiques sont configurées sur l’interface reth, la surveillance IP des groupes redondants n’est pas prise en charge. Le SRX utilise l’interface la plus basse du bundle pour effectuer le suivi sur le nœud secondaire. Si l’homologue transfère la réponse sur un autre port que celui sur lequel il l’a reçue, le SRX la supprime.
L’intervalle minimum de surveillance IP est de 1 seconde et le maximum est de 30 secondes. L’intervalle par défaut est de 1 seconde.
Le seuil minimum de surveillance IP est de 5 demandes et le maximum est de 15 demandes. Si la demande de surveillance IP ne reçoit pas de réponse pour les requêtes consécutives (dépassant la valeur seuil), la surveillance IP signale que l’adresse IP surveillée est inaccessible. La valeur par défaut du seuil est 5.
L’interface Reth non associée au groupe de redondance (RG) dans la configuration CLI de surveillance IP est prise en charge.
Le tableau 2 fournit des détails sur les combinaisons d’interfaces multiples d’IOC2 et IOC3 avec des numéros MAC maximaux.
Cartes |
Interfaces |
Nombre maximal de MAC pris en charge pour la surveillance IP |
|---|---|---|
IOC2 (SRX5K-MPC) |
10XGE |
10 |
20GE |
20 |
|
2X40GE |
2 |
|
1 x 100GE |
1 |
|
IOC3 (SRX5K-MPC3-40G10G ou SRX5K-MPC3-100G10G) |
24x10GE |
24 |
6 x 40GE |
6 |
|
2x100GE + 4x10GE |
6 |
Notez les limitations suivantes pour la prise en charge de la surveillance IP sur SRX5000 ligne IOC2 et IOC3 :
La surveillance IP est prise en charge via l’interface reth ou RLAG. Si votre configuration ne spécifie aucune de ces interfaces, la recherche de route renvoie une interface non-reth/RLAG, ce qui génère un rapport d’échec.
Le routage ECMP (Equal-cost multipath) n’est pas pris en charge dans la surveillance IP.
Avantages de la surveillance des adresses IP dans un cluster de châssis
Permet de déterminer l’état d’une adresse IP spécifique dans une configuration de cluster de châssis comme inconnue, accessible ou inaccessible.
Lance le basculement en fonction de l’accessibilité de bout en bout d’une adresse IP surveillée configurée. Si l’adresse IP surveillée devient inaccessible, le groupe de redondance peut basculer vers sa sauvegarde pour maintenir le service.
Voir aussi
Présentation de la redondance des clusters de châssis Surveillance des adresses IP des groupes
La surveillance des adresses IP de groupe de redondance vérifie la connectivité de bout en bout et permet à un groupe de redondance de basculer en raison de l’incapacité d’une interface Ethernet redondante (appelée reth) à atteindre une adresse IP configurée. Des groupes de redondance sur les deux appareils d’un cluster peuvent être configurés pour surveiller des adresses IP spécifiques afin de déterminer si un périphérique en amont du réseau est accessible. Le groupe de redondance peut être configuré de telle sorte que si l’adresse IP surveillée devient inaccessible, le groupe de redondance basculera vers sa sauvegarde pour maintenir le service. La principale différence entre cette fonction de surveillance et la surveillance d’interface est que la surveillance des adresses IP permet le basculement lorsque l’interface est toujours opérationnelle, mais que le périphérique réseau auquel elle est connectée n’est pas accessible pour une raison quelconque. Dans ces circonstances, l’autre nœud du cluster peut acheminer le trafic autour du problème.
Si vous souhaitez atténuer les basculements dus à des échecs de surveillance d’adresses IP, utilisez l’instruction hold-down-interval .
La configuration de surveillance des adresses IP vous permet de définir non seulement l’adresse à surveiller et son poids de basculement, mais également un seuil et un poids globaux de surveillance des adresses IP. Ce n’est qu’une fois que le seuil global de surveillance des adresses IP est atteint en raison d’un échec cumulé de l’accessibilité des adresses surveillées que la valeur de pondération globale de la surveillance des adresses IP sera déduite du seuil de basculement du groupe redondant. Ainsi, plusieurs adresses peuvent être surveillées simultanément et surveillées pour refléter leur importance pour le maintien du flux de trafic. En outre, la valeur seuil d’une adresse IP inaccessible puis redevient inaccessible sera restaurée au seuil de surveillance. Toutefois, cela n’entraînera pas de retour arrière si l’option de préemption n’a pas été activée.
Lors de la configuration, la valeur de basculement de la surveillance de l’adresse IP (poids global) est prise en compte, de même que la surveillance de l’interface, si elle est définie, et la surveillance intégrée du basculement, y compris la surveillance de l’USU, la surveillance de la synchronisation à froid et la surveillance des NPC (sur les plates-formes prises en charge). Les principales adresses IP à surveiller sont les adresses de passerelle de routeur pour s’assurer que le trafic valide entrant dans la passerelle de services peut être transféré vers le routeur réseau approprié.
À partir de Junos OS version 12.1X46-D35 et Junos OS version 17.3R1, pour tous les pare-feu SRX Series, l’interface reth prend en charge l’ARP proxy.
Une unité de traitement des services (SPU) ou un moteur de transfert de paquets (PFE) par nœud est désigné pour envoyer des paquets ping ICMP (Internet Control Message Protocol) pour les adresses IP surveillées sur le cluster. Le PFE principal envoie des paquets ping à l’aide de requêtes ARP (Address Resolution Protocol) résolues par le moteur de routage (RE). La source de ces pings est l’interface Ethernet redondante MAC et adresses IP. Le PFE secondaire résout les demandes ARP pour l’adresse IP surveillée elle-même. La source de ces pings est l’adresse MAC enfant physique et une adresse IP secondaire configurée sur l’interface Ethernet redondante. Pour que la réponse ping soit reçue sur l’interface secondaire, la carte d’E/S (IOC), le processeur PFE central ou Flex IOC ajoute à la fois l’adresse MAC enfant physique et l’adresse MAC de l’interface Ethernet redondante à sa table MAC. Le PFE secondaire répond avec l’adresse MAC enfant physique aux requêtes ARP envoyées à l’adresse IP secondaire configurée sur l’interface Ethernet redondante.
La surveillance des adresses IP n’est pas prise en charge sur les périphériques SRX5000 ligne si l’interface Ethernet redondante est configurée pour une instance VRF (VPN routing and forwarding).
L’intervalle par défaut pour vérifier l’accessibilité d’une adresse IP surveillée est d’une fois par seconde. L’intervalle peut être ajusté à l’aide de la retry-interval commande. Le nombre par défaut de tentatives de ping infructueuses consécutives autorisées est 5. Le nombre de tentatives de ping infructueuses autorisées peut être ajusté à l’aide de la retry-count commande. Si vous n'avez pas réussi à atteindre une adresse IP surveillée pendant le nombre configuré de tentatives consécutives, l'adresse IP est jugée inaccessible et sa valeur de basculement est déduite du seuil global du groupe de redondance.
Sur les périphériques SRX5600 et SRX5800, seuls deux des 10 ports de chaque PIC des cartes d’E/S Ethernet 1 Gigabit (IOC) à 40 ports peuvent activer simultanément la surveillance des adresses IP. Comme il y a quatre PIC par IOC, cela permet de surveiller un total de huit ports par IOC. Si plus de deux ports par PIC sur des IOC Ethernet 1 Gigabit à 40 ports sont configurés pour la surveillance des adresses IP, la validation réussira, mais une entrée de journal sera générée et la précision et la stabilité de la surveillance des adresses IP ne pourront pas être garanties. Cette limitation ne s’applique pas aux autres IOC ou dispositifs.
Une fois que l’adresse IP est jugée inaccessible, son poids est déduit du seuil global. Si la valeur du seuil global recalculée n’est pas 0, l’adresse IP est marquée comme inaccessible, mais le poids global n’est pas déduit du seuil du groupe de redondance. Si le seuil global de surveillance IP du groupe de redondance atteint 0 et qu’il existe des adresses IP inaccessibles, le groupe de redondance basculera et basculera continuellement entre les nœuds jusqu’à ce qu’une adresse IP inaccessible devienne accessible ou qu’une modification de configuration supprime les adresses IP inaccessibles de la surveillance. Notez que l’amortissement du basculement par défaut et configuré par intervalle de maintien est toujours en vigueur.
Chaque groupe de redondance x a une valeur de tolérance de seuil initialement définie sur 255. Lorsqu'une adresse IP surveillée par le groupe de redondance x devient indisponible, son poids est soustrait du seuil du groupe de redondance x. Lorsque le seuil du groupe de redondance x atteint 0, il bascule vers l'autre nœud. Par exemple, si le groupe de redondance 1 était primaire sur le nœud 0, sur l’événement de franchissement de seuil, le groupe de redondance 1 devient principal sur le nœud 1. Dans ce cas, toutes les interfaces enfants des interfaces Ethernet redondantes du groupe de redondance 1 commencent à gérer le trafic.
Un basculement du groupe de redondance x se produit car le poids cumulé des adresses IP surveillées du groupe de redondance x et d'autres activités de surveillance a porté sa valeur seuil à 0. Lorsque les adresses IP surveillées du groupe de redondance x sur les deux nœuds atteignent leurs seuils en même temps, le groupe de redondance x est principal sur le nœud avec l’ID de nœud inférieur, qui est généralement le nœud 0.
La détection des défaillances des équipements en amont pour la fonction de cluster de châssis est prise en charge par les pare-feu SRX Series.
À partir de Junos OS version 15.1X49-D60 et Junos OS version 17.3R1, la configuration de la limitation des demandes ARP (Address Resolution Protocol) est prise en charge sur les périphériques SRX5000 ligne. Cette fonctionnalité vous permet de contourner le temps de limitation des requêtes ARP précédemment codé en dur par défaut (10 secondes par SPU pour chaque adresse IP) et de définir le temps sur une valeur supérieure (10 à 100 secondes). Définir le temps de limitation sur une valeur supérieure réduit l’utilisation élevée du moteur de routage, ce qui lui permet de fonctionner plus efficacement. Vous pouvez configurer le temps de limitation des requêtes ARP à l’aide de la set forwarding-options next-hop arp-throttle <seconds> commande.
La surveillance ne peut être effectuée que si l’adresse IP est accessible sur une interface Ethernet redondante (appelée reth dans les commandes CLI et les listes d’interfaces) et si les adresses IP ne peuvent pas être surveillées via un tunnel. Pour qu’une adresse IP soit surveillée via une interface Ethernet redondante sur un nœud de cluster secondaire, une adresse IP secondaire doit être configurée pour l’interface. La surveillance des adresses IP ne peut pas être utilisée sur un cluster de châssis exécuté en mode transparent. Le nombre maximal d’adresses IP de surveillance pouvant être configurées par cluster est de 64 pour la SRX5000 gamme d’équipements, SRX1500, SRX1600, SRX2300 et SRX4000 gamme d’appareils.
La surveillance des adresses IP des groupes de redondance n’est pas prise en charge pour les destinations IPv6.
Exemple : configurer la surveillance des adresses IP du groupe de redondance des clusters de châssis
Cet exemple montre comment configurer la surveillance des adresses IP de groupe de redondance pour un pare-feu SRX Series dans un cluster de châssis.
Exigences
Avant de commencer :
Définissez l’ID de nœud et l’ID de cluster du châssis. Voir Exemple : définition de l’ID de nœud et de l’ID de cluster pour les équipements de sécurité dans un cluster de châssis
Configurez l’interface de gestion du cluster de châssis. Voir Exemple : Configuration de l’interface de gestion du cluster de châssis.
Configurez la structure du cluster de châssis. Voir Exemple : Configuration des interfaces de structure de cluster de châssis.
Aperçu
Vous pouvez configurer des groupes de redondance pour surveiller les ressources en amont en envoyant un ping à des adresses IP spécifiques accessibles via des interfaces Ethernet redondantes sur l’un ou l’autre nœud d’un cluster. Vous pouvez également configurer les paramètres global seuil, poids, intervalle de nouvelles tentatives et nombre de nouvelles tentatives pour un groupe de redondance. Lorsqu’une adresse IP surveillée devient inaccessible, le poids de cette adresse IP surveillée est déduit du seuil global de surveillance des adresses IP du groupe de redondance. Lorsque le seuil global atteint 0, le poids global est déduit du seuil du groupe de redondance. L’intervalle de nouvelle tentative détermine l’intervalle ping pour chaque adresse IP surveillée par le groupe de redondance. Les pings sont envoyés dès que la configuration est validée. Le nombre de nouvelles tentatives définit le nombre d’échecs ping consécutifs autorisés pour chaque adresse IP surveillée par le groupe de redondance.
Dans cet exemple, vous configurez les paramètres suivants pour le groupe de redondance 1 :
Adresse IP à surveiller : 10.1.1.10
Surveillance des adresses IP poids global—100
Surveillance des adresses IP seuil global : 200
Le seuil s’applique cumulativement à toutes les adresses IP surveillées par le groupe de redondance.
Intervalle de nouvelle tentative d’adresse IP : 3 secondes
Nombre de nouvelles tentatives d’adresses IP : 10
Poids—100
Interface Ethernet redondante : reth1.0
Adresse IP secondaire : 10.1.1.101
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
{primary:node0}[edit]
user@host#
set chassis cluster redundancy-group 1 ip-monitoring global-weight 100
set chassis cluster redundancy-group 1 ip-monitoring global-threshold 200
set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3
set chassis cluster redundancy-group 1 ip-monitoring retry-count 10
set chassis cluster redundancy-group 1 ip-monitoring family inet 10.1.1.10 weight 100 interface reth1.0 secondary-ip-address 10.1.1.101
Procédure étape par étape
Pour configurer la surveillance des adresses IP de groupe de redondance :
Spécifiez une masse de surveillance globale.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 100Spécifiez le seuil de surveillance global.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 200Spécifiez l’intervalle des nouvelles tentatives.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3Spécifiez le nombre de nouvelles tentatives.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10Spécifiez l’adresse IP à surveiller, l’épaisseur, l’interface Ethernet redondante et l’adresse IP secondaire.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 10.1.1.10 weight 100 interface reth1.0 secondary-ip-address 10.1.1.101
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show chassis cluster redundancy-group 1 commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette show sortie de commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
{primary:node0}[edit]
user@host# show chassis cluster redundancy-group 1
ip-monitoring {
global-weight 100;
global-threshold 200;
family {
inet {
10.1.1.10 {
weight 100;
interface reth1.0 secondary-ip-address 10.1.1.101;
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Vérification
Vérification de l’état des adresses IP surveillées pour un groupe de redondance
But
Vérifiez l’état des adresses IP surveillées pour un groupe de redondance.
Action
En mode opérationnel, saisissez la show chassis cluster ip-monitoring status commande. Pour plus d’informations sur un groupe spécifique, entrez la show chassis cluster ip-monitoring status redundancy-group commande.
{primary:node0}
user@host> show chassis cluster ip-monitoring status
node0:
--------------------------------------------------------------------------
Redundancy group: 1
Global threshold: 200
Current threshold: -120
IP address Status Failure count Reason Weight
10.1.1.10 reachable 0 n/a 100
10.1.1.101 reachable 0 n/a 100
node1:
--------------------------------------------------------------------------
Redundancy group: 1
Global threshold: 200
Current threshold: -120
IP address Status Failure count Reason Weight
10.1.1.10 reachable 0 n/a 100
10.1.1.101 reachable 0 n/a 100
Exemple : configuration de la surveillance IP sur les périphériques SRX5000 Line pour IOC2 et IOC3
Cet exemple montre comment surveiller l’adresse IP sur un périphérique de ligne SRX5000 avec un cluster de châssis activé.
Exigences
Cet exemple utilise le matériel et les logiciels suivants :
Deux passerelles de services SRX5400 avec micro (srx-mic-10XG-SFPP [IOC2]) et un commutateur Ethernet
Junos OS version 15.1X49-D30
La procédure mentionnée dans cet exemple est également applicable à IOC3.
Avant de commencer :
Connectez physiquement les deux appareils SRX5400 (dos à dos pour la structure et les ports de contrôle).
Configurez les deux équipements pour qu’ils fonctionnent dans un cluster de châssis.
Aperçu
La surveillance des adresses IP vérifie l’accessibilité de bout en bout de l’adresse IP configurée et permet à un groupe de redondance de basculer automatiquement lorsqu’elle n’est pas accessible via la liaison enfant de l’interface Ethernet redondante (reth). Les groupes de redondance sur les deux appareils, ou nœuds, d’un cluster peuvent être configurés pour surveiller des adresses IP spécifiques afin de déterminer si un périphérique en amont du réseau est accessible.
Topologie
Dans cet exemple, deux équipements SRX5400 d’un cluster de châssis sont connectés à un commutateur Ethernet. L’exemple montre comment les groupes de redondance peuvent être configurés pour surveiller les ressources clés en amont accessibles via des interfaces Ethernet redondantes sur l’un ou l’autre nœud d’un cluster.
Vous configurez le système pour envoyer des pings toutes les secondes, avec 10 pertes requises pour déclarer l’inaccessibilité à l’appairage. Vous configurez également une adresse IP secondaire pour autoriser les tests à partir du nœud secondaire.
Dans cet exemple, vous configurez les paramètres suivants pour le groupe de redondance 1 :
Adresse IP à surveiller : 192.0.2.2, 198.51.100.2, 203.0.113.2
Surveillance IP poids global—255
Surveillance IP seuil global—240
Intervalle de nouvelles tentatives de surveillance IP : 3 secondes
Nombre de nouvelles tentatives de surveillance IP : 10
Poids de l’adresse IP surveillée : 80
Adresses IP secondaires — 192.0.2.12, 198.51.100.12, 203.0.113.12
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configuration de la surveillance IP sur un MIC SFP+ 10x10GE
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails pour qu’ils correspondent à la configuration de votre réseau, copiez et collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set chassis cluster reth-count 10 set chassis cluster control-ports fpc 3 port 0 set chassis cluster control-ports fpc 0 port 0 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 199 set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 set chassis cluster redundancy-group 1 ip-monitoring global-threshold 240 set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 set chassis cluster redundancy-group 1 ip-monitoring retry-count 10 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 interface reth0.0 secondary-ip-address 192.0.2.12 set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 interface reth1.0 secondary-ip-address 198.51.100.12 set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 interface reth2.0 secondary-ip-address 203.0.113.12 set interfaces xe-1/2/1 gigether-options redundant-parent reth0 set interfaces xe-1/2/2 gigether-options redundant-parent reth2 set interfaces xe-1/2/3 gigether-options redundant-parent reth1 set interfaces xe-4/2/1 gigether-options redundant-parent reth0 set interfaces xe-4/2/2 gigether-options redundant-parent reth2 set interfaces xe-4/2/3 gigether-options redundant-parent reth1 set interfaces fab0 fabric-options member-interfaces xe-1/2/0 set interfaces fab1 fabric-options member-interfaces xe-4/2/0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.1/24 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth2 unit 0 family inet address 203.0.113.1/24 set security zones security-zone HOST host-inbound-traffic system-services any-service set security zones security-zone HOST host-inbound-traffic protocols all set security zones security-zone HOST interfaces all
Configuration de la surveillance IP sur un MIC SFP+ 10x10GE
Procédure étape par étape
Pour configurer la surveillance IP sur un MIC SFP+ 10x10GE :
Spécifiez le nombre d’interfaces Ethernet redondantes.
{primary:node0}[edit] user@host# set chassis cluster reth-count 10Configurez les ports de contrôle.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 3 port 0 user@host# set chassis cluster control-ports fpc 0 port 0Configurez les interfaces de structure.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces xe-1/2/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-4/2/0Spécifiez la priorité d'un groupe de redondance pour la primauté sur chaque nœud du cluster. Le nombre le plus élevé a priorité.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 200 user@host# set chassis cluster redundancy-group 1 node 1 priority 199Configurez la surveillance IP dans le groupe de redondance 1 avec le poids global, le seuil global, l’intervalle des nouvelles tentatives et le nombre de nouvelles tentatives.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 240 user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10Configurez les interfaces Ethernet redondantes pour le groupe de redondance 1. Attribuez une pondération à l’adresse IP à surveiller et configurez une adresse IP secondaire qui sera utilisée pour envoyer des paquets à partir du nœud secondaire afin de suivre l’adresse IP surveillée.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.2.2 interface reth0.0 secondary-ip-address 192.0.2.12 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 198.51.100.2 interface reth1.0 secondary-ip-address 198.51.100.12 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 203.0.113.2 interface reth2.0 secondary-ip-address 203.0.113.12Attribuez des interfaces enfants aux interfaces Ethernet redondantes des nœuds 0, 1 et 2.
{primary:node0}[edit] user@host# set interfaces xe-1/2/1 gigether-options redundant-parent reth0 user@host# set interfaces xe-1/2/2 gigether-options redundant-parent reth2 user@host# set interfaces xe-1/2/3 gigether-options redundant-parent reth1 user@host# set interfaces xe-4/2/1 gigether-options redundant-parent reth0 user@host# set interfaces xe-4/2/2 gigether-options redundant-parent reth2 user@host# set interfaces xe-4/2/3 gigether-options redundant-parent reth1Configurez les interfaces Ethernet redondantes pour le groupe de redondance 1.
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 192.0.2.1/24 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces reth2 redundant-ether-options redundancy-group 1 user@host# set interfaces reth2 unit 0 family inet address 203.0.113.1/24Créez une zone de sécurité et affectez des interfaces à la zone.
user@host# set security zones security-zone HOST host-inbound-traffic system-services any-service user@host# set security zones security-zone HOST host-inbound-traffic protocols all user@host# set security zones security-zone HOST interfaces all
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security chassis cluster commandes et show interfaces . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
chassis {
cluster {
reth-count 10;
redundancy-group 0 {
node 0 priority 254;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 200;
node 1 priority 199;
ip-monitoring {
global-weight 255;
global-threshold 240;
retry-interval 3;
retry-count 10;
family {
inet {
192.0.2.2 {
weight 80;
interface reth0.0 secondary-ip-address 192.0.2.12;
}
198.51.100.2 {
weight 80;
interface reth1.0 secondary-ip-address 198.51.100.12;
}
203.0.113.2 {
weight 80;
interface reth2.0 secondary-ip-address 203.0.113.12;
}
}
}
}
}
}
}
interfaces {
xe-1/2/1 {
gigether-options {
redundant-parent reth0;
}
}
xe-1/2/2 {
gigether-options {
redundant-parent reth2;
}
}
xe-1/2/3 {
gigether-options {
redundant-parent reth1;
}
}
xe-4/2/1 {
gigether-options {
redundant-parent reth0;
}
}
xe-4/2/2 {
gigether-options {
redundant-parent reth2;
}
}
xe-4/2/3 {
gigether-options {
redundant-parent reth1;
}
}
fab0 {
fabric-options {
member-interfaces {
xe-1/2/0;
}
}
}
fab1 {
fabric-options {
member-interfaces {
xe-4/2/0;
}
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 203.0.113.1/24;
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de l’état de surveillance IP
But
Vérifiez l’état IP surveillé par les deux nœuds et le nombre d’échecs pour les deux nœuds.
Action
En mode opérationnel, saisissez la show chassis cluster ip-monitoring status commande.
show chassis cluster ip-monitoring status
node0:
--------------------------------------------------------------------------
Redundancy group: 1
Global weight: 255
Global threshold: 240
Current threshold: 240
IP address Status Failure count Weight Reason
203.0.113.2 reachable 1 80 n/a
198.51.100.2 reachable 1 80 n/a
192.0.2.2 reachable 1 80 n/a
node1:
--------------------------------------------------------------------------
Redundancy group: 1
Global weight: 255
Global threshold: 240
Current threshold: 240
IP address Status Failure count Weight Reason
203.0.113.2 reachable 2 80 n/a
198.51.100.2 reachable 1 80 n/a
192.0.2.2 reachable 2 80 n/a
Sens
Toutes les adresses IP surveillées sont accessibles.