SUR CETTE PAGE

Aperçu
Fonctionnement de la haute disponibilité multinœud
Détection et prévention du split-brain

Haute disponibilité multinœud

Découvrez la solution de haute disponibilité multinœud et comment l’utiliser dans des modèles de déploiement simples et fiables. Actuellement, nous prenons en charge deux nœuds dans tout déploiement de haute disponibilité multinœud.

Aperçu

La continuité des activités est une exigence importante du réseau moderne. Des temps d’arrêt, même de quelques secondes, peuvent causer des perturbations et des désagréments, en plus d’affecter les coûts d’exploitation et d’investissement. Les réseaux modernes ont également des centres de données répartis sur plusieurs zones géographiques. Dans de tels scénarios, il peut être très difficile d’obtenir une haute disponibilité.

Les pare-feu ^{SRX Series de Juniper Networks prennent en charge une nouvelle solution, la haute disponibilité multinœud, pour répondre aux exigences de haute disponibilité des datacenters modernes.®} Dans cette solution, le plan de contrôle et le plan de données des appareils participants (nœuds) sont actifs en même temps. Ainsi, la solution assure la résilience entre les châssis.

Les appareils participants peuvent être colocalisés ou physiquement séparés dans des zones géographiques ou à d’autres endroits, tels que des salles ou des bâtiments différents. Le fait de disposer de nœuds hautement disponibles sur plusieurs emplacements géographiques garantit un service résilient. Si un sinistre affecte un emplacement physique, la haute disponibilité multinœud peut basculer vers un nœud d’un autre emplacement physique, garantissant ainsi la continuité.

Avantages de la haute disponibilité multinœud
Haute disponibilité multinoeud active/de secours
Haute disponibilité multinœud actif/actif
Fonctionnalités prises en charge
Prise en charge des systèmes logiques et des systèmes de location
Scénarios de déploiement
En quoi la haute disponibilité multinœud diffère-t-elle d’un cluster de châssis ?
Glossaire de la haute disponibilité multinœud

Avantages de la haute disponibilité multinœud

Réduction des dépenses d’investissement et d’exploitation : élimine le besoin d’un réseau commuté entourant le complexe de pare-feu et le besoin d’une connectivité de couche 2 (L2) directe entre les nœuds
Flexibilité du réseau : offre une plus grande flexibilité du réseau en prenant en charge la haute disponibilité sur les segments de réseau de couche 3 (L3) et commutés.
Solution résiliente à états : prend en charge le plan de contrôle actif et le plan de données en même temps sur les deux nœuds.
La continuité des activités et la reprise après sinistre : maximisent la disponibilité et augmentent la redondance au sein des centres de données et entre les zones géographiques.
Mises à niveau fluides : prend en charge différentes versions de Junos OS sur deux nœuds pour assurer des mises à niveau fluides entre les versions de Junos OS et permet également d’exécuter deux versions différentes de Junos.

Pour obtenir la liste complète des fonctionnalités et plates-formes prises en charge, consultez Haute disponibilité multinœud dans l’Explorateur de fonctionnalités.

Haute disponibilité multinoeud active/de secours

Nous prenons en charge la haute disponibilité multinœud active/de secours sur :

SRX5800, SRX5600 SRX5400 avec SPC3, IOC3, IOC4, SCB3, SCB4 et RE3 dans Junos OS version 20.4R1
SRX4600, SRX4200, SRX4100 et SRX1500 dans Junos OS version 22.3R1
SRX2300 et SRX1600 dans Junos OS version 23.4R1.
SRX4300 et SRX1600 dans Junos OS version 24.2R1.
Pare-feu virtuels vSRX3.0 pour les plates-formes de cloud privé et public suivantes :
- KVM (machine virtuelle basée sur le noyau), VMWare ESXi dans Junos OS version 22.3R1
- Amazon Web Services (AWS) dans Junos OS version 22.3R1
- Cloud Microsoft Azure dans Junos OS version 23.4R1
- Google Cloud Platform (GCP) dans Junos OS version 24.4R1

Haute disponibilité multinœud actif/actif

À partir de , vous pouvez utiliser la haute disponibilité multinœud en mode actif-actif avec la prise en charge de plusieurs groupes de redondance de services (SRG). La prise en charge de plusieurs SSR est disponible sur les appareils de sécurité suivants :

SRX5400, SRX5600 et SRX5800 avec SPC3, IOC3, IOC4, SCB3, SCB4 et RE3 dans Junos OS version 22.4R1.
SRX4600, SRX4200, SRX4100, SRX2300, SRX1600, SRX1500 et vSRX dans Junos OS version 23.4R1.
SRX4300 dans Junos OS version 24.2R1.

Fonctionnalités prises en charge

Les pare-feu SRX Series avec haute disponibilité multinœud prennent en charge le pare-feu et les services de sécurité avancés, tels que la sécurité des applications, la sécurité du contenu, le système de prévention d’intrusion (IPS), l’authentification des utilisateurs de pare-feu, le NAT et l’ALG.

Pour obtenir la liste complète des fonctionnalités prises en charge par la haute disponibilité multinœud, reportez-vous à la section Explorateur de fonctionnalités.

La haute disponibilité multinœud ne prend pas en charge la haute disponibilité (HA) en mode transparent

Prise en charge des systèmes logiques et des systèmes de location

Les systèmes logiques des pare-feu SRX Series vous permettent de partitionner un seul équipement dans des contextes sécurisés. Un système de locataire partitionne logiquement le pare-feu physique en pare-feu logique séparé et isolé.

Un système de locataire partitionne logiquement le pare-feu physique en pare-feu logique séparé et isolé. Bien que similaires aux systèmes logiques, les systèmes de locataires ont une évolutivité beaucoup plus élevée et moins de fonctionnalités de routage.

Les pare-feu SRX Series dans la configuration de haute disponibilité multinœud prennent en charge les systèmes logiques et les systèmes de locataires sur le groupe de redondance de services 0 (SRG0).

Le comportement d’une configuration à haute disponibilité multinœud avec des pare-feu SRX Series exécutant des systèmes logiques est le même que celui d’une configuration où les nœuds SRX Series n’exécutent pas de systèmes logiques. Il n’y a aucune différence dans les événements qui déclenchent un basculement de nœud. Plus précisément, si la surveillance de l’interface est activée sous SRG0 et qu’une liaison associée à un système logique unique échoue (qui est en cours de surveillance), l’équipement bascule vers un autre nœud. Ce basculement se produit par le biais d’annonces de préférences de route dans la configuration de haute disponibilité multinœud.

Avant de configurer les systèmes logiques ou locataires, vous devez configurer la haute disponibilité multinœud. Chaque nœud de la configuration de haute disponibilité doit avoir une configuration identique. Assurez-vous que le nom, le profil et les fonctionnalités de sécurité ou les interfaces correspondantes des systèmes logiques ou des systèmes locataires sont identiques. Toutes les configurations du système logique ou locataire sont synchronisées et répliquées entre les deux nœuds.

Pourboire:

Utilisez les groupes de configuration Junos pour configurer les fonctionnalités et les fonctions, et synchronisez la configuration à l’aide de l’option de votre configuration de haute disponibilité multinœud [edit system commit peers-synchronize] . Reportez-vous à la section Synchronisation de la configuration entre les nœuds de haute disponibilité à plusieurs nœuds.

Lorsque vous utilisez des pare-feu SRX Series avec des systèmes logiques dans une haute disponibilité à plusieurs nœuds, vous devez acheter et installer le même nombre de licences pour chaque nœud de la configuration.

Pour plus d’informations, consultez Guide de l’utilisateur des systèmes logiques et des systèmes de locataires pour les équipements de sécurité.

Scénarios de déploiement

La haute disponibilité multinœud prend en charge deux pare-feu SRX Series qui se présentent comme des nœuds indépendants du reste du réseau. Les nœuds sont connectés à des infrastructures adjacentes appartenant au même réseau ou à des réseaux différents, le tout en fonction du mode de déploiement. Ces nœuds peuvent être colocalisés ou séparés d’une zone géographique à l’autre. Les nœuds participants se sauvegardent mutuellement pour assurer un basculement rapide et synchronisé en cas de défaillance du système ou du matériel.

Nous prenons en charge les types de modèles de déploiement réseau suivants pour la haute disponibilité multinœud :

Mode de routage (toutes les interfaces connectées à l’aide d’une topologie de couche 3)
Figure 1 : mode de couche 3
Mode de passerelle par défaut (toutes les interfaces connectées à l’aide d’une topologie de couche 2) utilisé dans des environnements plus traditionnels. Déploiement courant de réseaux DMZ où les pare-feu font office de passerelle par défaut pour les hôtes et les applications d’un même segment.
Figure 2 : mode de passerelle par défaut
Mode hybride (une ou plusieurs interfaces sont connectées à l’aide d’une topologie de couche 3 et une ou plusieurs interfaces sont connectées à l’aide d’une topologie de couche 2)
Figure 3 : mode hybride
Déploiement d’un cloud public
Figure 4 : déploiement d’un cloud public (exemple : AWS)

En quoi la haute disponibilité multinœud diffère-t-elle d’un cluster de châssis ?

Un cluster de châssis fonctionne dans un environnement réseau de couche 2 et nécessite deux liens entre les nœuds (lien de contrôle et lien de structure). Ces liaisons relient les deux nœuds via des VLAN dédiés à l’aide d’un câblage dos à dos ou via la fibre noire. Les liens de contrôle et les liens de structure utilisent des ports physiques dédiés sur le pare-feu SRX Series.

La haute disponibilité multinœud utilise une liaison d’interchâssis logique (ICL) chiffrée. L’ICL connecte les nœuds via un chemin routé au lieu d’un réseau de couche 2 dédié. Ce chemin routé peut utiliser un ou plusieurs ports payants pour une meilleure résilience, il est même possible de dédier sa propre instance de routage à ces ports et chemins pour assurer une isolation totale qui maximise la résilience de la solution.

Les figures 5 et 6 illustrent deux architectures.

Figure 5 : topologie de cluster de châssis dans un réseau Chassis Cluster Topology in a Layer 2 Network

de couche 2

Figure 6 : haute disponibilité multinœud dans un réseau Multinode High Availability in a Layer 3 Network

de couche 3

Le tableau 1 répertorie les différences entre les deux architectures

Tableau 1 : comparaison de la haute disponibilité d’un cluster de châssis et d’un multinœud
Paramètres	Chassis Cluster	Multinode Haute disponibilité
Topologie de réseau	Les nœuds se connectent à un domaine de diffusion	Les nœuds se connectent à un routeur, à un domaine de diffusion ou à une combinaison des deux. Les nœuds se connectent à un routeur Domaine de diffusion Combinaison des deux ci-dessus
Environnement réseau	Couche 2	Couche 3 (mode Route) Couche 2 (mode passerelle par défaut) Combinaison des couches 3 et 2 (mode hybride) Déploiements de cloud public (AWS)
Approche de basculement du trafic	Le pare-feu SRX Series envoie le GARP au commutateur	Basculement via la sélection de chemin IP par un routeur de couche 3 ou un GARP de couche 2 d’un pare-feu SRX Series vers un commutateur de couche 2 pair Mode de routage : basculement à l’aide de la sélection de chemin IP (mises à jour de route) Mode hybride : basculement à l’aide de la sélection du chemin IP (mises à jour de l’itinéraire) et envoi du GARP au commutateur Mode de passerelle par défaut : le pare-feu SRX Series envoie GARP au commutateur
Cloud public	Non pris en charge	Supporté
Fonction de routage dynamique	Processus de routage actif sur la gamme SRX Series sur laquelle le plan de contrôle (RG0) est actif	Processus de routage actif sur chaque pare-feu SRX Series participant à la haute disponibilité multinœud
Connexion entre les pare-feu SRX Series	Lien de contrôle (chemin de couche 2) Liaison fabric (chemin de couche 2)	Liaison interchâssis (chemin de couche 3)
Connectivité / Géoredondance	Nécessite un étirement de couche 2 dédié entre les nœuds SRX Series pour la liaison de contrôle et la liaison de structure.	Utilise n’importe quel chemin de routage entre les noeuds pour la liaison Interchassis.
Surveillance IP pour détecter les défaillances du réseau	Interfaces Surveillance IP à l’aide d’adresses IPv4	Interfaces Surveillance IP à l’aide d’adresses IPv4 et IPv6 Détection de transfert bidirectionnel (BFD) à l’aide d’adresses IPv4 et d’adresses IPv6

Glossaire de la haute disponibilité multinœud

Commençons par nous familiariser avec les termes de haute disponibilité multinœud utilisés dans cette documentation.

Tableau 2 : glossaire de la haute disponibilité multinœud
Description du terme
État actif/actif (SRG0)	Tous les services/flux de sécurité sont inspectés au niveau de chaque nœud et sauvegardés sur l’autre nœud. Les flux de sécurité doivent être symétriques.
État actif/de secours (SRG1+)	SRG1+ reste actif sur un noeud à tout moment et reste à l’état sauvegardé sur l’autre noeud. Le SRG1+ à l’état de sauvegarde est prêt à prendre en charge le trafic du SRG1 actif en cas de panne.
Priorité de l’appareil	La valeur de priorité détermine si un noeud peut agir en tant que noeud actif dans une configuration de haute disponibilité multinœud. Le noeud dont la valeur numérique est la plus faible a une priorité plus élevée et, par conséquent, agit comme noeud actif tandis que l’autre noeud agit comme noeud de secours.
Préemption de l’appareil	Le comportement préemptif permet à l’équipement ayant la priorité la plus élevée (valeur numérique inférieure) de reprendre en tant que nœud actif après s’être remis d’une panne. Si vous devez utiliser un périphérique spécifique dans la haute disponibilité multinoeud en tant que nœud actif, vous devez activer le comportement préemptif sur les deux périphériques et attribuer une valeur de priorité de périphérique à chaque périphérique.
basculement	Un basculement se produit lorsqu’un nœud détecte une défaillance (matérielle/logicielle, etc.) et que le trafic est transféré vers l’autre nœud de manière dynamique. Par conséquent, le nœud de sauvegarde d’un système à haute disponibilité prend en charge la tâche du nœud actif en cas de défaillance du nœud actif.
Adresse IP flottante ou adresse IP de sonde d’activité	Adresse IP qui passe d’un nœud actif au nœud de secours lors du basculement dans une configuration de haute disponibilité à plusieurs nœuds. Ce mécanisme permet aux clients de communiquer avec les nœuds à l’aide d’une seule adresse IP.
Haute disponibilité/résilience	Capacité d’un système à éliminer les points de défaillance uniques pour assurer la continuité des opérations sur une longue période.
liaison interchâssis	Liaison IP (liaison logique) qui connecte les nœuds sur un réseau routé dans un déploiement de haute disponibilité multinœud. La liaison ICL est normalement liée aux interfaces de bouclage pour la plupart des déploiements flexibles. La connectivité peut prendre n’importe quel chemin routé ou commuté tant que la connectivité est accessible entre les deux adresses IP. L’appareil de sécurité utilise l’ICL pour synchroniser et gérer les informations d’état et pour gérer les scénarios de basculement de l’appareil.
Chiffrement des liens entre châssis	Le chiffrement des liens garantit la confidentialité des données pour les messages qui transitent sur le réseau. Comme le lien ICL transmet des données privées, il est important de chiffrer le lien. Vous devez chiffrer l’ICL à l’aide d’un VPN IPsec.
de surveillance (BFD)	Surveillance d’une ou plusieurs liaisons à l’aide de la détection de transfert bidirectionnel (BFD). La surveillance BFD déclenche une modification du chemin de routage ou un basculement du système, selon la configuration du système.
de surveillance (IP)	Surveillance d’une adresse IP fiable et de l’état du système en cas de perte de communication avec le nœud pair.
Surveillance (PATH)	Méthode qui utilise ICMP pour vérifier l’accessibilité de l’adresse IP. L’intervalle par défaut pour les sondes ping ICMP est de 1 seconde.
Surveillance (système)	Surveillance des ressources et infrastructures matérielles et logicielles clés en déclenchant le basculement lorsqu’une défaillance est détectée sur un nœud.
sondage	Mécanisme utilisé pour échanger des messages entre les nœuds actifs et de secours dans la configuration de haute disponibilité. Les messages déterminent l’état et l’intégrité de l’application sur chaque nœud.
objet temps réel (RTO)	Paquet de charge utile spécial qui contient les informations nécessaires pour synchroniser les données d’un nœud à l’autre.
Détection Split-Brain (également connue sous le nom de détection du plan de contrôle ou détection des conflits d’activité)	Événement dans lequel l’ICL entre deux noeuds multinodaux haute disponibilité est en panne et les deux noeuds lancent une sonde de détermination de l’activité (sonde split-brain). En fonction de la réponse à la sonde, un basculement ultérieur vers un nouveau rôle est déclenché
Groupe de redondance des services (SSR)	Unité de basculement qui inclut et gère une collection d’objets sur les nœuds participants. Le SSR d’un nœud bascule sur l’autre nœud lorsqu’un basculement est détecté.
Le SRG0	Gère tous les services sans état du plan de contrôle tels que le pare-feu, le NAT et ALG. SRG0 est actif sur tous les nœuds participants et gère les flux de sécurité symétriques.
SRG1+	Gère le service dynamique du plan de contrôle (VPN IPsec ou IP virtuelles en mode hybride ou passerelle par défaut).
synchronisation	Processus dans lequel les contrôles et les états du plan de données sont synchronisés entre les nœuds.
adresse IP virtuelle (VIP)	Les adresses IP virtuelles en mode de passerelle hybride ou par défaut sont utilisées pour déterminer l’activité et l’application du côté de la commutation dans une configuration de haute disponibilité multinœud. L’adresse IP virtuelle est contrôlée par le SRG1+.
adresse MAC virtuelle (VMAC)	(Pour les déploiements de passerelles hybrides et par défaut). Adresse MAC virtuelle attribuée dynamiquement à l’interface sur le nœud actif faisant face au côté de la commutation.

Maintenant que nous sommes familiarisés avec les fonctionnalités et la terminologie de la haute disponibilité multinœud, essayons de comprendre le fonctionnement de la haute disponibilité multinœud.

Fonctionnement de la haute disponibilité multinœud

Note:

Nous prenons en charge une configuration à deux nœuds pour la solution de haute disponibilité multinœud.

Dans une configuration de haute disponibilité multinœud, vous connectez deux pare-feu SRX Series à des routeurs adjacents en amont et en aval (pour les déploiements de couche 3), des routeurs et des commutateurs (déploiement hybride) ou des commutateurs (déploiement de passerelle par défaut) à l’aide des interfaces de gestion.

Les nœuds communiquent entre eux à l’aide d’une liaison interchâssis (ICL). La liaison ICL utilise une connectivité de couche 3 pour communiquer entre elles, Cette communication peut avoir lieu sur un réseau routé (couche 3) ou sur un chemin de couche 2 directement connecté. Il est recommandé de lier l’ICL à l’interface de bouclage et d’avoir plus d’un lien physique (LAG/LACP) afin de garantir la diversité des chemins pour une résilience optimale.

La haute disponibilité multinœud fonctionne en mode actif/actif pour le plan de données et en mode actif/secours pour les services de plan de contrôle. Le pare-feu SRX Series actif héberge l’adresse IP flottante et oriente le trafic vers celle-ci à l’aide de l’adresse IP flottante

La haute disponibilité multinœud fonctionne dans les domaines suivants :

Mode actif/actif (SRG0) pour les services de sécurité
Mode actif/de secours (SRG1 et versions ultérieures) pour la sécurité et les services système

Les adresses IP flottantes contrôlées par SRG1 ou une valeur supérieure se déplacent entre les nœuds. Le SRG1+ actif héberge et contrôle l’adresse IP flottante. Dans les scénarios de basculement, cette adresse IP « flotte » vers un autre SRG1 actif en fonction de décisions de configuration, d'intégrité du système ou de surveillance des chemins. Le SRG1+ nouvellement actif peut assumer la fonction d’un SRG1 maintenant en veille et commence à répondre aux demandes entrantes.

Les figures 7, 8 et 9 illustrent les déploiements en mode de passerelle de couche 3, hybride et par défaut.

Figure 7 : déploiement Layer 3 Deployment

de couche 3

Dans cette topologie, deux pare-feu SRX Series font partie d’une configuration de haute disponibilité multinœud. La configuration dispose d’une connectivité de couche 3 entre les pare-feu SRX Series et les routeurs voisins. Les équipements s’exécutent sur des réseaux physiques de couche 3 distincts et fonctionnent comme deux nœuds indépendants. Les noeuds présentés dans l’illustration sont colocalisés dans la topologie. Les nœuds peuvent également être séparés géographiquement.

Figure 8 : déploiement Default Gateway Deployment

de la passerelle par défaut

Dans un déploiement de passerelle par défaut typique, les hôtes et les serveurs d’un réseau local sont configurés avec une passerelle par défaut de l’équipement de sécurité. L’équipement de sécurité doit donc héberger une adresse IP virtuelle (VIP) qui se déplace entre les nœuds en fonction de son activité. La configuration sur les hôtes reste statique et le basculement des équipements de sécurité est transparent du point de vue des hôtes.

Vous devez créer des routes statiques ou un routage dynamique sur les pare-feu SRX Series pour atteindre d’autres réseaux qui ne sont pas directement connectés.

Figure 9 : déploiement Hybrid Deployment

hybride

En mode hybride, un pare-feu SRX Series utilise une adresse VIP côté couche 2 pour attirer le trafic vers lui. Si vous le souhaitez, vous pouvez configurer l’ARP statique pour l’adresse IP virtuelle à l’aide de l’adresse virtuelle afin de garantir que l’adresse IP ne change pas pendant le basculement

Voyons maintenant en détail les composants et les fonctionnalités de la haute disponibilité multinœud.

Groupes de redondance des services
Détermination de l’activité et application de la loi
Résilience et basculement
Chiffrement ICL (Interchassis Link)

Groupes de redondance des services

Un groupe de redondance de services (SRG) est une unité de basculement dans une configuration de haute disponibilité à plusieurs nœuds. Il existe deux types de SSR :

SRG0 : gère le service de sécurité de la couche 4 à la couche 7, à l’exception des services VPN IPsec. Le SRG0 fonctionne en mode actif sur les deux nœuds à tout moment. Sur SRG0, chaque session de sécurité doit traverser le nœud dans un flux symétrique, Les sauvegardes de ces flux sont entièrement synchronisées avec l’autre nœud,
SRG1+ : gère les services IPsec et les adresses IP virtuelles pour le mode de passerelle hybride et par défaut et sont sauvegardées sur l’autre nœud. Le SRG1 fonctionne en mode actif sur un noeud et en noeud de secours sur un autre noeud.

La Figure 10 illustre SRG0 et SRG1 dans une configuration de haute disponibilité à plusieurs nœuds.

Figure 10 : prise en charge d’une seule passerelle de sécurité (SSR à plusieurs nœuds) haute disponibilité (mode de sauvegarde active) Single SRG Support in Multinode High Availability (Active-Backup Mode)

Single SRG Support in Multinode High Availability (Active-Backup Mode)

La Figure 11 illustre SRG0 et SRG1+ dans une configuration de haute disponibilité à plusieurs nœuds.

Figure 11 : prise en charge de plusieurs passerelles SRG dans le cadre d’une haute disponibilité multinœud (mode actif-actif) Multi SRG Support in Multinode High Availability (Active-Active Mode)

Multi SRG Support in Multinode High Availability (Active-Active Mode)

À partir de Junos OS version 22.4R1, vous pouvez configurer la haute disponibilité multinœud pour qu’elle fonctionne en mode actif-actif avec prise en charge de plusieurs SRG1 (SRG1+). Dans ce mode, certains groupes de sécurité restent actifs sur un nœud et d’autres sur un autre nœud. Un SSR particulier fonctionne toujours en mode de sauvegarde active ; Il fonctionne en mode actif sur un nœud et en mode secondaire sur un autre nœud. Dans ce cas, les deux nœuds peuvent avoir les services dynamiques de transfert SRG1 actifs. Chaque nœud dispose d’un ensemble différent d’adresses IP flottantes attribuées à SRG1+.

Note:

À partir de la version 22.4R1 de Junos OS, vous pouvez configurer jusqu’à 20 passerelles de sécurité virtuelle dans une configuration de haute disponibilité multinœud.

Le Tableau 3 explique le comportement des passerelles de sécurité dans une configuration de haute disponibilité multinœud.

Les du

Tableau 3 : Détails des groupes de redondance des services dans la haute disponibilité multinœud
services gérés	groupe de redondance des services associés (SRG)	fonctionnent en	mode de synchronisation	lorsque le nœud actif échoue Options de	configuration
Le SRG0	Gère le service de sécurité L4-L7 à l’exception du VPN IPsec.	Mode actif/actif	Synchronisation dynamique des services de sécurité	Le trafic traité sur le nœud défaillant est transféré vers le nœud sain de manière dynamique.	Option d’arrêt en cas de défaillance Options de route d’installation en cas de défaillance
SRG1+	Gestion des adresses IPsec et Virtual IP avec les services de sécurité associés	Mode actif/de secours	Synchronisation dynamique des services de sécurité	Le trafic traité sur le nœud défaillant est transféré vers le nœud sain de manière dynamique.	Route du signal actif/secondaire Type de déploiement Activité, priorité et préemption Adresse IP virtuelle (pour les déploiements de passerelle par défaut) Sonde de l’activité Option de traitement des paquets de sauvegarde Surveillance BFD Surveillance IP Surveillance des interfaces

Note:

Lorsque vous configurez des options de surveillance (BFD ou IP ou Interface) sur SRG1+, nous vous recommandons de ne pas configurer l’option d’arrêt en cas de défaillance sur SRG0.

À partir de la version 23.4R1 de Junos OS, la configuration de la haute disponibilité multinœud fonctionne en mode combiné. Vous n’avez pas besoin de redémarrer le système lorsque vous ajoutez ou supprimez des configurations SRG (SRG0 ou SRG1+).

Détermination de l’activité et application de la loi

Dans une configuration de haute disponibilité multinœud, l’activité est déterminée au niveau du service et non au niveau du nœud. L’état actif/de secours est au niveau du SRG et le trafic est dirigé vers le SRG actif. SRG0 reste actif sur les deux nœuds, tandis que SRG1 peut rester actif ou en état de sauvegarde dans chaque nœud

Si vous préférez qu’un certain noeud prenne le relais en tant que noeud actif au démarrage, vous pouvez effectuer l’une des opérations suivantes :

Configurez les routeurs en amont afin d’inclure des préférences pour le chemin d’accès où se trouve le nœud.
Configurez la priorité d’activité.
Autorisez le noeud avec un ID de noeud plus élevé (dans le cas où les deux options ci-dessus ne sont pas configurées) à prendre le rôle actif.

Dans une configuration de haute disponibilité multinœud, les deux pare-feu SRX Series annoncent initialement le chemin de l’adresse IP flottante aux routeurs en amont. Il n’y a pas de préférence spécifique entre les deux chemins annoncés par les pare-feu SRX Series. Cependant, le routeur peut avoir ses propres préférences sur l’un des chemins en fonction des métriques configurées.

La figure 12 représente la séquence d’événements pour la détermination et l’application de l’activité.

Figure 12 : Détermination de l’activité et application de la loi Activeness Determination and Enforcement

Au démarrage, les périphériques entrent dans l’état de mise en attente et commencent à sonder en continu. Les appareils utilisent l’adresse IP flottante (adresse IP source pour sonder l’activité) comme adresse IP source et les adresses IP des routeurs en amont comme adresse IP de destination pour la sonde de détermination de l’activité.
Le routeur hébergeant l’adresse IP de destination de la sonde répond au pare-feu SRX Series disponible sur son chemin de routage préféré. Dans l’exemple suivant, SRX-1 obtient la réponse du routeur en amont.

Figure 13 : Détermination de l’activité et application
SRX-1 se présente au rôle actif depuis qu’il a obtenu la réponse de la sonde. SRX-1 communique son changement de rôle à l’autre périphérique et assume le rôle actif.
Une fois le niveau d’activité déterminé, le nœud actif (SRX-1) :
- Héberge l’adresse IP flottante qui lui est attribuée.
- Annonce le chemin de préférence élevée aux voisins BGP adjacents.
- Continue d’annoncer le chemin de préférence actif (supérieur) pour toutes les routes distantes et locales afin d’attirer le trafic.
- Notifie l’état du noeud actif à l’autre noeud par le biais de l’ICL.
L’autre appareil (SRX-2) arrête le palpage et prend le relais de secours. Le nœud de sauvegarde annonce la priorité par défaut (inférieure), en veillant à ce que les routeurs en amont ne transfèrent aucun paquet au nœud de secours.

Le module Multinode High Availability ajoute à la table de routage des routes de signaux actives et secondaires pour le SSR lorsque le noeud passe au rôle actif. En cas de défaillance d’un nœud, l’ICL tombe en panne et le nœud actif actuel libère son rôle actif et supprime la route du signal actif. Désormais, le nœud de sauvegarde détecte la condition par le biais de ses sondes et passe au rôle actif. La préférence de route est permutée pour diriger tout le trafic vers le nouveau nœud actif.

Le commutateur indiqué dans l’annonce de préférence de route fait partie des stratégies de routage configurées sur les pare-feu SRX Series. Vous devez configurer la stratégie de routage pour inclure l’itinéraire de signal actif avec la if-route-exists condition.

Pour les déploiements de passerelles par défaut
Pour les déploiements hybrides
Activité, priorité et préemption
Configuration des paramètres de la sonde d’activité

Pour les déploiements de passerelles par défaut

Si les deux noeuds démarrent en même temps, le système de haute disponibilité multinoeud utilise la valeur de priorité configurée d’un SRG pour déterminer l’activité. L’application de l’activité a lieu lorsque le nœud avec un SRG1+ actif possède l’adresse IP virtuelle (VIP) et l’adresse MAC virtuelle (VMAC). Cette action déclenche l’ARP gratuit (GARP) vers les commutateurs des deux côtés et entraîne la mise à jour des tables MAC sur les commutateurs.

Pour les déploiements hybrides

L’application de l’activité a lieu du côté de la couche 3, lorsque l’itinéraire de signal configuré applique l’activation avec les annonces de route correspondantes. Du côté de la couche 2, le pare-feu SRX Series déclenche un ARP gratuit (GARP) sur la couche de commutation et possède les adresses VIP et VMAC

Lorsque le basculement se produit et que l’ancien nœud de sauvegarde passe au rôle actif, la préférence de route est permutée pour diriger tout le trafic vers le nouveau nœud actif.

Activité, priorité et préemption

Configurez la priorité de préemption (1-254) pour SRG1+. Vous devez configurer la valeur de préemption sur les deux nœuds. L’option de préemption garantit que le trafic revient toujours au nœud spécifié lorsque le nœud se remet d’un basculement.

Vous pouvez configurer la priorité d’activité et la préemption pour un SRG1+ comme dans l’exemple suivant :

Reportez-vous à la section Configuration de la haute disponibilité multinœud dans un réseau de couche 3 pour obtenir l’exemple de configuration complet.

Tant que les nœuds peuvent communiquer entre eux via l’ICL, la priorité d’activité est respectée.

Configuration des paramètres de la sonde d’activité

À partir de Junos OS 22.4R1, passerelle par défaut (commutation) et dans les déploiements hybrides de haute disponibilité multinœud, vous pouvez éventuellement configurer les paramètres de sonde d’activité à l’aide des instructions suivantes :

L’intervalle de sonde définit le délai entre l’envoi des sondes et les adresses IP de destination. Vous pouvez définir l’intervalle de sonde sur 1000 millisecondes.

La valeur du multiplicateur détermine la période pendant laquelle le noeud de secours passe à l’état actif si le noeud de secours ne reçoit pas de réponse aux sondes d’activité du noeud homologue.

La valeur par défaut est 2, la valeur minimale est 2 et la valeur maximale est 15.

Exemple : Si vous configurez la valeur du multiplicateur sur deux, le noeud de secours passera à l’état actif s’il ne reçoit pas de réponse à la demande de sondage d’activité du noeud homologue au bout de deux secondes.

Vous pouvez le configurer multiplier et dans les déploiements hybrides et minimal-interval de commutation.

Dans les déploiements en mode hybride, si vous avez configuré les détails de l'adresse IP de destination de la sonde pour déterminer l'activité (à l'aide de l activeness-probe dest-ip 'instruction), ne configurez pas les multiplier valeurs et minimal-interval . Configurez ces paramètres lorsque vous utilisez le sondage d’activité basé sur l’adresse IP virtuelle.

Résilience et basculement

La solution de haute disponibilité multinœud prend en charge la redondance au niveau du service. La redondance au niveau du service réduit les efforts nécessaires pour synchroniser le plan de contrôle entre les nœuds.

Une fois que la configuration de la haute disponibilité multinœud a déterminé l’activité, elle négocie l’état de haute disponibilité (HA) suivant via la liste de contrôle du réseau ICL. Le nœud de sauvegarde envoie les sondes ICMP à l’aide de l’adresse IP flottante. Si l’ICL est activée, le noeud reçoit la réponse à sa sonde et reste le noeud de secours. Si l’ICL est en panne et qu’il n’y a pas de réponse de la sonde, le noeud de secours passe au noeud actif.

Le SRG1 du nœud de sauvegarde précédent passe maintenant à l’état actif et continue de fonctionner de manière transparente. Lorsque la transition se produit, l’adresse IP flottante est attribuée au SRG1 actif. De cette façon, l’adresse IP flotte entre le nœud actif et le nœud de secours et reste accessible à tous les hôtes connectés. Ainsi, le trafic continue de circuler sans aucune interruption.

Les services, tels que le VPN IPsec, qui nécessitent à la fois l’état du plan de contrôle et du plan de données sont synchronisés sur tous les nœuds. Chaque fois qu’un noeud actif tombe en panne pour cette fonction de service, le plan de contrôle et le plan de données basculent simultanément vers le noeud de secours.

Les nœuds utilisent les messages suivants pour synchroniser les données :

Messages d’application du moteur de routage vers le moteur de routage
Messages relatifs à la configuration du moteur de routage
Messages RTO du plan de données

Chiffrement ICL (Interchassis Link)

En haute disponibilité multinœud, les nœuds actif et secondaire communiquent entre eux à l’aide d’une liaison interchâssis (ICL) connectée via un réseau routé ou connectée directement. L’ICL est un lien IP logique et il est établi à l’aide d’adresses IP qui sont routables dans le réseau.

Les nœuds utilisent l’ICL pour synchroniser les états du plan de contrôle et du plan de données entre eux. La communication ICL peut passer par un réseau partagé ou non approuvé, et les paquets envoyés via l’ICL peuvent emprunter un chemin qui n’est pas toujours fiable. Par conséquent, vous devez sécuriser les paquets qui traversent la liste ICL en chiffrant le trafic à l’aide des normes IPsec.

IPsec protège le trafic en établissant un tunnel de chiffrement pour la liste ICL. Lorsque vous appliquez le chiffrement des liens HA, le trafic HA circule entre les nœuds uniquement via le tunnel chiffré sécurisé. Sans chiffrement des liens HA, la communication entre les nœuds peut ne pas être sécurisée.

Pour chiffrer le lien HA pour l’ICL :

Installez le package IKE Junos sur votre pare-feu SRX Series à l’aide de la commande suivante :
request system software add optional://junos-ike.tgz .
Configurez un profil VPN pour le trafic HA et appliquez-le aux deux nœuds. Le tunnel IPsec négocié entre les pare-feu SRX Series utilise le protocole IKEv2.
Assurez-vous d’avoir inclus l’instruction ha-link-encryption dans votre configuration VPN IPsec. Exemple : user@host# set security ipsec vpn vpn-name ha-link-encryption.

Pour la configuration d’une ICL, nous vous recommandons de suivre :

Utilisez des ports et un réseau moins susceptibles d’être saturés
Ne pas utiliser les ports HA dédiés (ports de contrôle et de structure, s’ils sont disponibles sur votre pare-feu SRX Series)
Liez l’ICL à l’interface de bouclage (lo0) ou à une interface Ethernet agrégée (ae0) et disposez de plusieurs liaisons physiques (LAG/LACP) qui garantissent la diversité des chemins pour une résilience optimale.
Vous pouvez utiliser un port Ethernet payant sur les pare-feu SRX Series pour configurer une connexion ICL. Assurez-vous de séparer le trafic de transit dans les interfaces payantes du trafic haute disponibilité (HA).

Pour plus d’informations, reportez-vous à la section Configuration de la haute disponibilité multinœud .

Chiffrement de liens basé sur PKI pour ICL

À partir de la version 22.3R1 de Junos OS, nous prenons en charge le chiffrement de liaisons basé sur PKI pour les liaisons interchâssis (ICL) dans la haute disponibilité multinœud. Dans le cadre de cette prise en charge, vous pouvez désormais générer et stocker des objets PKI spécifiques aux nœuds, tels que des paires de clés locales, des certificats locaux et des demandes de signature de certificat sur les deux nœuds. Les objets sont spécifiques aux noeuds locaux et sont stockés dans les emplacements spécifiques des deux noeuds.

Les objets locaux du nœud vous permettent de faire la distinction entre les objets PKI utilisés pour le chiffrement ICL et les objets PKI utilisés pour le tunnel VPN IPsec créé entre deux points de terminaison.

Vous pouvez utiliser les commandes suivantes, exécutées sur le noeud local, pour travailler avec des objets PKI spécifiques au nœud.

Tableau 4 : commandes pour les objets PKI spécifiques à un nœud
Génération d’une paire de clés privée/publique pour un nœud local	Request Security PKI noeud-local generate-key-pair
Génération et inscription d’un certificat numérique local dans un nœud local	Request Security PKI noeud-local generate-certificate-request Exportation de la paire de clés locale et nœud PKI de demande de sécurité Demander la sécurité PKI noeud-local-certificat local Vérifier Demander la réinscription du certificat PKI local-noeud-local Charger le certificat local du nœud PKI de demande de sécurité Exportation de certificat PKI de demande de sécurité, nœud local, local Demander la sécurité PKI noeud-local local-certificat S’inscrire
Effacer les certificats spécifiques aux nœuds	Effacer la sécurité PKI noeud-local certificat-demande clear security pki node-local-local-certificate Paire de clés PKI n°-clé locale Clear Security \|
Affichez les certificats locaux et les demandes de certificats spécifiques à chaque nœud.	show security pki node-local-local-certificate show security pki noeud-certificat local-demande

Sur votre équipement de sécurité en haute disponibilité multinœud, si vous avez configuré l'option de réinscription automatique et que l'ICL tombe en panne au moment du déclenchement de la réinscription, les deux appareils commencent à inscrire le même certificat séparément auprès du serveur d'autorité de certification et téléchargent le même fichier de CRL. Une fois que la haute disponibilité multinœud rétablit l’ICL, l’installation n’utilise qu’un seul certificat local. Vous devez synchroniser les certificats du noeud actif vers le noeud de sauvegarde à l’aide de la user@host> request security pki sync-from-peer commande sur le noeud de secours.

Si vous ne synchronisez pas les certificats, le problème d'incompatibilité de certificats entre les nœuds homologues persiste jusqu'à la prochaine réinscription.

Si vous le souhaitez, vous pouvez activer le module TPM (Trusted Platform) sur les deux nœuds avant de générer des paires de clés sur les nœuds. Reportez-vous à la section Utilisation du module Trusted Platform pour lier des secrets sur des périphériques SRX Series.

Détection et prévention du split-brain

Un conflit de détection ou d’activité se produit lorsque l’ICL entre deux nœuds de haute disponibilité multinœud est désactivé et que les deux nœuds ne peuvent plus se joindre pour obtenir le statut de nœud pair.

Sondage Split-Brain basé sur ICMP
Sondage Split-Brain basé sur BFD
Configurer le sondage Split-Brain

Sondage Split-Brain basé sur ICMP

Imaginons un scénario dans lequel deux équipements SRX Series font partie d’une configuration de haute disponibilité multinœud. Considérons SRX-1 comme nœud local et SRX-2 comme nœud distant. Le nœud local joue actuellement un rôle actif et héberge une adresse IP flottante pour diriger le trafic vers lui. Le routeur en amont a un chemin de priorité plus élevé pour le nœud local.

Lorsque l’ICL entre les noeuds tombe en panne, les deux noeuds lancent une sonde de détermination de l’activité (sonde ICMP). Les nœuds utilisent l’adresse IP flottante (adresse IP de détermination de l’activité) comme adresse IP source et les adresses IP des routeurs en amont comme adresse IP de destination pour les sondes.

Cas 1 : Si le noeud actif est actif

Figure 14 : Le nœud actif est actif et ICL est désactivé Active Node is Up and ICL is Down

Le routeur en amont, qui héberge l’adresse IP de destination de la sonde, reçoit les sondes ICMP des deux nœuds.
Le routeur en amont ne répond qu’au nœud actif ; car sa configuration a un chemin de préférence plus élevé pour le nœud actif
Le noeud actif conserve son rôle actif.

Si le nœud actif est en panne :

Figure 15 : Le nœud actif est en panne et ICL est en panne Active Node is Down and ICL is Down

Le noeud distant redémarre les sondes de détermination de l’activité.
Le routeur hébergeant l’adresse IP de destination de la sonde a perdu son chemin de préférence le plus élevé (de l’ancien nœud actif) et répond au nœud distant.
Le résultat de la sonde est un succès pour le noeud distant et le noeud distant passe à l’état actif.
Comme illustré dans les cas ci-dessus, les sondes de détermination de l’activité et la configuration de la préférence de chemin plus élevée dans le routeur en amont garantissent qu’un nœud reste toujours dans son rôle actif et empêchent le split-brain de se produire.

Sondage Split-Brain basé sur BFD

Dans la version 23.4R1 de Junos OS, nous prenons en charge le sondage Split-Brain basé sur BFD pour la passerelle par défaut et le mode hybride des déploiements pour la haute disponibilité multinœud.

Les défaillances d’Interchassis Link (ICL) sont souvent attribuées à deux facteurs clés : les perturbations du réseau ou les configurations incohérentes. Vous pouvez utiliser la sonde d’activité pour déterminer le nœud qui peut jouer un rôle actif pour chaque SRG1+. En fonction du résultat de la sonde, l’un des nœuds passe à l’état actif et cette action empêche le scénario de cerveau renversé.

Grâce au sondage Split-Brain basé sur BFD, vous pouvez désormais avoir un contrôle plus granulaire sur les sondes, car vous pouvez définir l’interface, l’intervalle minimal et les multiplicateurs. Dans le sondage Split-Brain basé sur BFD, le sondage commence immédiatement après la configuration et le début du fonctionnement d’un SRG. Dans le sondage par défaut de cerveau divisé basé sur ICMP, le sondage ne démarre qu’après la défaillance de la liaison ICL.

En comparaison, le sondage basé sur le BFD est beaucoup plus proactif de la manière suivante pour assurer une réponse plus rapide afin d’éviter les scénarios de split-brain :

Le palpage démarre directement après une configuration SRG.
Si le BFD ICL et la sonde Split-Brain tombent en panne en même temps, le nœud de secours assume immédiatement le rôle actif et prend le relais du VIP.

Cela garantit une réponse plus rapide pour éviter les scénarios de split-brain.

Comment ça marche ?
Différence entre les palpages basés sur ICMP et BFD

Comment ça marche ?

Lorsque l’ICL est en panne et que les deux périphériques démarrent, les nœuds entrent d’abord dans un état HOLD et attendent que le nœud homologue se lève et se connecte. Pour une raison quelconque, si l’autre nœud n’apparaît pas, le système lance des sondes cérébrales divisées vers les adresses IP hébergées sur un autre périphérique du réseau. Si le processus se termine correctement, un nœud passe à actif et l’autre à sauvegarder. Avant que la sonde ne réussisse, en cas d’échec de la surveillance de chemin/d’une défaillance de la surveillance du matériel interne, les deux nœuds deviennent inéligibles afin d’éviter un scénario de split-brain.

Si la sonde à cerveau divisé tombe en panne pour une raison quelconque, les nœuds restent à l’état HOLD et continuent à sonder. L’adresse IP de la sonde Split-Brain doit toujours être disponible sur le réseau. À l’exception d’IPsec, le trafic des autres applications ne subira aucune perte sur SRX tant que le routage est disponible, même à l’état HOLD.

Lorsque les deux noeuds sont à l’état En attente ou Inéligible, aucun trafic n’est transféré tant que le noeud n’est pas redevenu actif/de secours.

Note:

Le cerveau divisé est basé sur les sondes d’activité différentes des sondes de surveillance de chemin. Il ne se déclenche que lorsque l’ICL/la communication est interrompue par les nœuds MNHA
Lorsque la liaison interchâssis (ICL) entre les noeuds est rompue, les deux noeuds lancent des sondes cérébrales scindées. Le noeud actif conserve la maîtrise tant que sa sonde ne tombe pas en panne. Il est recommandé d’héberger l’adresse IP de détection sur un chemin qui assure une accessibilité continue, à condition que le nœud SRX Series soit sain. Un changement d’état n’est déclenché que si la sonde du noeud actif actuel échoue et que la sonde du noeud de secours actuel réussit.
En mode commutation et hybride, l’orientation du trafic utilise l’adresse IP virtuelle (VIP), qui ne fonctionne qu’à l’état ACTIF. Le système ne doit pas rester à l’état HOLD après l’expiration du minuteur de attente, car il sondera l’homologue MNHA pour résoudre la situation de split-brain.

Différence entre les palpages basés sur ICMP et BFD

Le tableau suivant montre les différences entre les tests basés sur ICMP et les tests BFD pour la détection du cerveau divisé.

Tableau 5 : Différence entre les sondages basés sur ICMP et BFD
Paramètres	Sonde basée sur ICMP	Palpage basé sur BFD
Type de sonde	Paquet ICMP	BFD paquets, BFD à saut unique
Intervalle minimal	1000 ms	L'intervalle BFD minimal du pare-feu SRX Series dépend de la plate-forme. Par exemple: Pare-feu SRX5000 lignes avec SPC3, l’intervalle est de 100 ms . SRX4200, l’intervalle est de 300 ms.
Sondes de nœud de secours SRG	Oui	Oui
Sondes de nœud actif SRG	Non	Oui
Résolution du split-brain SRG lorsque ICL est en panne	Uniquement lorsque l’ICL tombe en panne.	Après la configuration de la passerelle SRG.
	Ce n’est pas possible	Possible
Options de configuration	show chassis high-availability services-redundancy-group 1 activeness-probe dest-ip { 192.168.21.1; src-ip 192.168.21.2; }	show chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness { source-ip 192.168.21.1; (inet address of the local SRX sub interface) destination-ip 192.168.21.2; (inet address of the peers SRX sub interface) interface xe-0/0/1.0; }

La figure suivante illustre les options de configuration pour le palpage ICMP et le palpage BFD pour la détection Split-brain.

Figure 16 : Configuration des sondes d’activité pour les palpages Activeness-Probes Configuration for ICMP-Based and BFD-Based Probing

ICMP et BFD

Note:

Les sondes basées sur ICMP et les sondes BFD s’excluent mutuellement.

Dans les déploiements de passerelle en mode hybride et par défaut, vous pouvez configurer l’intervalle et le seuil de sonde d’activité aux deux niveaux suivants :

Au niveau mondial, qui s’applique au sondage Split-Brain basé sur l’ICMP
Niveau de vivacité BFD qui est spécifique à la sonde BFD split-brain. Lorsque vous configurez le palpage basé sur BFD, ne configurez pas les options globales minimum-interval et multiplier sous activeness-probe l’instruction.

Pour configurer la sonde d’activité pour les déploiements de passerelle par défaut, utilisez l’interface d’adresse IP virtuelle principale (VIP1) sur les deux nœuds (local et pair) pour configurer votre sonde d’activité. L’adresse IP de destination provient du nœud homologue et l’adresse IP source provient de votre nœud local. Les deux adresses IP virtuelles doivent avoir la même valeur d’index. Les adresses IP doivent être les adresses d’entrée attribuées à l’interface LAN du pare-feu SRX Series.

Configurer le sondage Split-Brain

Vous pouvez configurer le sondage Split-Brain sur une configuration de haute disponibilité de nœud multinœud de l’une des manières suivantes :

Exemple de configuration
Vérification

Routage et mode hybride : si vous avez configuré les détails de l'adresse IP de destination de la sonde pour déterminer l'activité (à l'aide de l activeness-probe dest-ip 'instruction), ne configurez pas les valeurs du multiplicateur et de l'intervalle minimal. Configurez ces paramètres lorsque vous utilisez le sondage d’activité basé sur l’adresse IP virtuelle.
Mode hybride et commutation : palpage Split-Brain de couche 2 à l’aide de l’ICMP. Utilisez le type de sonde ICMP et définissez l’intervalle et le seuil de délai d’expiration à l’aide de l’instruction suivante :

Mode hybride et commutation : palpage Split-Brain de couche 2 avec BFD. Utilisez le type de sonde BFD et définissez le seuil de délai d’expiration inférieur à la seconde en fonction de l’intervalle minimum BFD configuré.

La figure 17 montre l’exemple de topologie. Deux pare-feu SRX Series sont connectés à des routeurs adjacents du côté de la confiance et de la méfiance, formant ainsi un lien de voisinage BGP. Une liaison d’interchâssis logique (ICL) chiffrée relie les nœuds sur un réseau routé. Les nœuds communiquent entre eux à l’aide d’une adresse IP routable (adresse IP flottante) sur le réseau.

Figure 17 : configuration à haute disponibilité multinœud pour le sondage Multinode High Availability Configuration for Split-Brain Probing

Split-Brain

Considérons SRX-1 comme un nœud local et SRX-2 comme un nœud distant. Le nœud local est actuellement actif et le routeur en amont a un chemin de priorité plus élevé pour le nœud local.

Pour activeness-probe, vous devez configurer les options suivantes :

Adresse IP source : utilisez l’adresse IP virtuelle 1 (VIP1) de SRG1 du nœud local.
Adresse IP de destination : utilisez le VIP1 de SRG1 du nœud pair.
Interface : Interface associée à VIP1

Dans cet exemple, attribuez une adresse IP virtuelle (VIP) (192.168.21.1) et une interface xe-0/0/1.0 pour la vivacité BFD. Ici, vous configurez le sondage Split-Brain basé sur BFD en spécifiant les adresses IP source et de destination ainsi que l’interface.

Les noeuds utilisent l’adresse d’entrée familiale de l’interface associée à l’adresse IP virtuelle (VIP1) de SRG1.

Les deux noeuds lancent une sonde de détermination de l’activité (sonde basée sur BFD) dès que les SRG commencent à fonctionner.

Note:

Pour l’examen du cerveau divisé basé sur BFD, vous devez :

Configurez les adresses IP source et de destination correspondantes pour le même SSR sur les deux nœuds.
Configurez l’option permettant de déterminer le activeness-priority nœud actif à la suite d’un sondage Split-Brain.

Le tableau suivant montre comment la configuration de la haute disponibilité multinœud résout les problèmes de split-brain grâce à un palpage BFD lorsque l’ICL est en panne. En fonction de l’état des noeuds et des résultats des sondes, le système de haute disponibilité multinoeud sélectionne le noeud qui jouera le rôle actif.

Le Tableau 6 montre comment la configuration de la haute disponibilité multinœud résout les problèmes de split-brain grâce à un palpage BFD lorsque l’ICL est en panne. En fonction de l’état des noeuds et des résultats des sondes, le système de haute disponibilité multinoeud sélectionne le noeud qui jouera le rôle actif.

Dans cet exemple, nous supposons que SRG1 du nœud 1 a la priorité d’activité la plus élevée.

Tableau 6 : Détermination de l’activité à l’aide de sondes Split-Brain et d’états nodaux
État du nœud 1	Analyse de l’état du noeud 1	État du nœud 2	Analyse de l’état du nœud 2	Nœud passant à l’état actif SRG1
Actif	En bas	Inéligible	Pas de palpage	Nœud 1
Actif	En haut	Sauvegarde	En haut	Nœud 1
Actif	En haut	Actif	En haut	Nœud 1 (bris d’égalité)
Sauvegarde	En bas	Inéligible	Pas de palpage	Nœud 1
Sauvegarde	En haut	Sauvegarde	En haut	Nœud 1 (bris d’égalité)
Sauvegarde	En haut	Actif	En haut	Nœud 2
Inéligible	Pas de palpage	Inéligible	Pas de palpage	Ni l’un ni l’autre des nœuds
Inéligible	Pas de palpage	Sauvegarde	En bas	Nœud 2
Inéligible	Pas de palpage	Actif	En bas	Nœud 2

Exemple de configuration

Nœud 1 :

Nœud 2 :

Vérification

Utilisez la show chassis high-availability services-redundancy-group 1 commande pour voir le type de sonde à cerveau divisé configuré sur l’appareil.

(Sondage basé sur BFD) (Sondage basé sur ICMP)

Utilisez la commande pour voir si l’état show bfd session de la sonde basée sur BFD.

Dans l’exemple, vous pouvez remarquer que le sondage Split-Brain basé sur BFD est en cours d’exécution pour l’interface xe-0/0/1.0.

Utilisez la show chassis high-availability services-redundancy-group 1 commande pour obtenir les détails des sondes basées sur BFD.