Configurer un cluster de pare-feu virtuel vSRX dans Junos OS
Présentation du cluster de châssis
Le cluster chassis regroupe une paire du même type d’instances de pare-feu virtuel vSRX dans un cluster pour assurer la redondance des nœuds du réseau. Les instances du pare-feu virtuel vSRX dans un cluster de châssis doivent exécuter la même version Junos OS, et chaque instance devient un nœud dans le cluster de châssis. Vous connectez les interfaces virtuelles de contrôle sur les nœuds respectifs pour former un plan de contrôle qui synchronise la configuration et l’état du noyau Junos OS sur les deux nœuds du cluster. La liaison de contrôle ( réseau virtuel ou vSwitch) facilite la redondance des interfaces et des services. De même, vous connectez le plan de données sur les nœuds respectifs sur les interfaces virtuelles de la structure pour former un plan de données unifié. La liaison de fabric (un réseau virtuel ou vSwitch) permet de gérer le traitement des flux inter-nœuds et de gérer la redondance des sessions.
Le logiciel du plan de contrôle fonctionne en mode actif/passif. Lorsqu’il est configuré en cluster de châssis, un nœud agit en tant que nœud principal et l’autre comme secondaire pour assurer le basculement à états des processus et services en cas de défaillance du système ou du matériel sur le nœud principal . En cas d’échec du trafic principal, le secondaire prend en charge le traitement du trafic du plan de contrôle.
Si vous configurez un cluster de châssis sur deux hôtes, désactivez l’igmp-s surveillance sur le pont à qui appartient chaque interface physique de l’hôte et que les NICO virtuels (vNIC) contrôlent. Cela garantit que les deux nœuds du cluster de châssis reçoivent le battement de cœur de la liaison de contrôle.
Le plan de données du cluster de châssis fonctionne en mode actif/actif. Dans un cluster de châssis, le plan de données met à jour les informations de session lorsque le trafic traverse l’un des nœuds et transmet des informations entre les nœuds via la liaison de la structure pour garantir que les sessions établies ne sont pas abandonnées en cas de basculement. En mode actif/actif, le trafic peut entrer dans le cluster sur un nœud et sortir de l’autre nœud.
La fonctionnalité de cluster de châssis comprend :
Architecture système résiliente, avec un seul plan de contrôle actif pour l’ensemble du cluster et plusieurs moteurs de transfert de paquets. Cette architecture présente une vue unique du cluster sur les équipements.
Synchronisation de la configuration et des états d’exécution dynamiques entre les nœuds d’un cluster.
Surveillance des interfaces physiques et basculement si les paramètres de défaillance franchissent un seuil configuré.
Prise en charge des tunnels d’encapsulation de routage générique (GRE) et IP-over-IP (IP-IP) utilisés pour acheminer le trafic IPv4 ou IPv6 encapsulé au moyen de deux interfaces internes, gr-0/0/0 et ip-0/0, respectivement. Junos OS crée ces interfaces au démarrage du système et les utilise uniquement pour le traitement des tunnels GRE et IP-IP.
À tout instant, un nœud de cluster peut être dans l’un des états suivants : tenir, principal, tenir secondaire, secondaire, non éligible ou désactivé. Plusieurs types d’événements, tels que la surveillance d’interface, la surveillance de l’unité de traitement des services (SPU), les pannes et les basculements manuels, peuvent déclencher une transition d’état.
Permettre la formation de clusters de châssis
Vous créez deux instances de pare-feu virtuel vSRX pour former un cluster de châssis, puis vous définissez l’ID de cluster et l’ID de nœud sur chaque instance pour rejoindre le cluster. Lorsqu’une instance de pare-feu virtuel vSRX rejoint un cluster, elle devient un nœud de ce cluster. À l’exception des paramètres de nœud uniques et des adresses IP de gestion, les nœuds d’un cluster partagent la même configuration.
Vous pouvez déployer jusqu’à 255 clusters de châssis dans un domaine de couche 2 . Les clusters et les nœuds sont identifiés de la manière suivante :
L’ID de cluster (nombre de 1 à 255) identifie le cluster.
L’ID de nœud (un nombre de 0 à 1) identifie le nœud de cluster.
Généralement, sur les pare-feu SRX Series, l’ID de cluster et l’ID de nœud sont écrits dans EEPROM. Sur l’instance du pare-feu virtuel vSRX, le pare-feu virtuel vSRX stocke et lit les ID à partir de boot/loader.conf et utilise les ID pour initialiser le cluster de châssis au démarrage.
Conditions préalables
Assurez-vous que les instances de votre pare-feu virtuel vSRX sont conformes aux conditions préalables suivantes avant d’activer le clustering de châssis :
Vous avez engagé une configuration de base sur les deux instances de pare-feu virtuel vSRX qui forment le cluster de châssis. Voir Configurer vSRX à l’aide de la CLI.
Utilisez
show version
Junos OS pour vous assurer que les deux instances de pare-feu virtuel vSRX ont la même version logicielle.Utilisez
show system license
Junos OS pour vous assurer que les deux instances de pare-feu virtuel vSRX ont les mêmes licences installées.
Vous devez définir le même ID de cluster de châssis sur chaque nœud de pare-feu virtuel vSRX et redémarrer la VM du pare-feu virtuel vSRX pour permettre la formation du cluster de châssis.
Le nom et le mappage de l’interface du pare-feu virtuel vSRX aux vNICs changent lorsque vous activez la mise en cluster du châssis. Consultez les exigences de vSRX sur KVM pour obtenir un résumé des noms d’interface et des mappages d’une paire de vms de pare-feu virtuel vSRX dans un cluster (nœud 0 et nœud 1).
Configuration rapide du cluster de châssis avec J-Web
Pour configurer un cluster de châssis à partir de J-Web :
Configurer manuellement un cluster de châssis avec J-Web
Vous pouvez utiliser l’interface J-Web pour configurer le nœud principal 0 instance de pare-feu virtuel vSRX dans le cluster. Une fois que vous avez défini les ID de cluster et de nœud et redémarré chaque pare-feu virtuel vSRX, la configuration suivante sera automatiquement synchronisée avec l’instance de pare-feu virtuel vSRX du nœud 1 secondaire.
Sélectionnez Configure>Chassis Cluster>Cluster Configuration. La page de configuration du cluster de châssis s’affiche.
Accédez à Configure>Device Settings>Cluster (HA) Setup à partir de Junos OS version 18.1 et versions ultérieures pour configurer le cluster HA.
Le tableau 1 explique le contenu de l’onglet Paramètres du cluster HA.
Le tableau 2 explique comment modifier l’onglet Paramètres du nœud.
Le tableau 3 explique comment ajouter ou modifier la table des interfaces de cluster HA.
Le tableau 4 explique comment ajouter ou modifier la table des groupes de redondance du cluster HA.
Champ |
Fonction |
---|---|
Paramètres des nœuds |
|
ID de nœud |
Affiche l’ID du nœud. |
Cluster ID |
Affiche l’ID de cluster configuré pour le nœud. |
Nom de l’hôte |
Affiche le nom du nœud. |
Routeur de sauvegarde |
Affiche le routeur utilisé comme passerelle tandis que le moteur de routage est à l’état secondaire pour la redondance du groupe 0 dans un cluster de châssis. |
Interface de gestion |
Affiche l’interface de gestion du nœud. |
Adresse IP |
Affiche l’adresse IP de gestion du nœud. |
Statut |
Affiche l’état du groupe de redondance.
|
Interfaces> paramètres de cluster de châssis>HA |
|
Nom |
Affiche le nom de l’interface physique. |
Interfaces membres/adresse IP |
Affiche le nom de l’interface membre ou l’adresse IP configurée pour une interface. |
Groupe de redondance |
Affiche le groupe de redondance. |
Paramètres de cluster>HA de cluster de châssis> groupe de réseaux de réseau |
|
Groupe |
Affiche le numéro d’identification du groupe de redondance. |
Anticiper |
Affiche l’option de préempte sélectionnée.
|
Compte ARP gratuit |
Affiche le nombre gratuit de requêtes ARP (Address Resolution Protocol) qu’un équipement principal nouvellement élu dans un cluster de châssis envoie pour annoncer sa présence aux autres équipements réseau. |
Priorité des nœuds |
Affiche la priorité attribuée au groupe de redondance sur ce nœud. Le nœud éligible ayant la priorité la plus élevée est choisi comme principal pour le groupe redondant. |
Champ |
Fonction |
Action |
---|---|---|
Paramètres des nœuds |
||
Nom de l’hôte |
Spécifie le nom de l’hôte. |
Saisissez le nom de l’hôte. |
Routeur de sauvegarde |
Affiche l’équipement utilisé comme passerelle alors que le moteur de routage est à l’état secondaire pour la redondance du groupe 0 dans un cluster de châssis. |
Saisissez l’adresse IP du routeur de secours. |
Destination |
||
IP |
Ajoute l’adresse de destination. |
Cliquez sur Ajouter. |
Supprimer |
Supprime l’adresse de destination. |
Cliquez sur Supprimer. |
Interface |
||
Interface |
Spécifie les interfaces disponibles pour le routeur.
Note:
Permet d’ajouter et de modifier deux interfaces pour chaque liaison de structure. |
Sélectionnez une option. |
IP |
Spécifie l’adresse IP de l’interface. |
Saisissez l’adresse IP de l’interface. |
Ajouter |
Ajoute l’interface. |
Cliquez sur Ajouter. |
Supprimer |
Supprime l’interface. |
Cliquez sur Supprimer. |
Champ |
Fonction |
Action |
---|---|---|
Liaison de structure > fabric Liaison 0 (fab0) |
||
Interface |
Spécifie la liaison de structure 0. |
Saisissez la liaison 0 de la structure IP de l’interface. |
Ajouter |
Ajoute l’interface de structure 0. |
Cliquez sur Ajouter. |
Supprimer |
Supprime l’interface de structure 0. |
Cliquez sur Supprimer. |
Liaison de structure > fabric Liaison 1 (fab1) |
||
Interface |
Spécifie la liaison de structure 1. |
Saisissez l’ADRESSE IP de l’interface de la structure, liaison 1. |
Ajouter |
Ajoute l’interface de structure 1. |
Cliquez sur Ajouter. |
Supprimer |
Supprime l’interface de structure 1. |
Cliquez sur Supprimer. |
Ethernet redondant |
||
Interface |
Spécifie une interface logique composée de deux interfaces Ethernet physiques, une sur chaque châssis. |
Entrez dans l’interface logique. |
IP |
Spécifie une adresse IP Ethernet redondante. |
Saisissez une adresse IP Ethernet redondante. |
Groupe de redondance |
Spécifie le numéro d’ID du groupe de redondance dans le cluster de châssis. |
Sélectionnez un groupe de redondance dans la liste. |
Ajouter |
Ajoute une adresse IP Ethernet redondante. |
Cliquez sur Ajouter. |
Supprimer |
Supprime une adresse IP Ethernet redondante. |
Cliquez sur Supprimer. |
Champ |
Fonction |
Action |
---|---|---|
Groupe de redondance |
Spécifie le nom du groupe de redondance. |
Saisissez le nom du groupe de redondance. |
Permettre la préemption du vaisseau principal |
Permet à un nœud ayant une meilleure priorité d’initier un basculement pour un groupe de redondance.
Note:
Par défaut, cette fonctionnalité est désactivée. Lorsqu’il est désactivé, un nœud ayant une meilleure priorité n’initie pas de basculement de groupe de redondance (à moins qu’un autre facteur, comme une connectivité réseau défaillante identifiée pour les interfaces surveillées, ne provoque un basculement). |
– |
Compte ARP gratuit |
Spécifie le nombre de requêtes gratuites du protocole de résolution d’adresses qu’une nouvelle primaire élue envoie sur les liaisons enfants d’interface Ethernet redondantes actives pour notifier les équipements réseau d’une modification du rôle principal sur les liaisons d’interface Ethernet redondantes. |
Saisissez une valeur de 1 à 16. La valeur par défaut est 4. |
priorité node0 |
Spécifie la valeur de priorité du nœud0 pour un groupe de redondance. |
Saisissez le numéro de priorité du nœud comme 0. |
priorité nœud1 |
Spécifie la valeur de priorité du nœud1 pour un groupe de redondance. |
Sélectionnez le numéro de priorité du nœud comme 1. |
Moniteur d’interface |
||
Interface |
Spécifie le nombre d’interfaces Ethernet redondantes à créer pour le cluster. |
Sélectionnez une interface dans la liste. |
Poids |
Spécifie le poids de l’interface à surveiller. |
Saisissez une valeur de 1 à 125. |
Ajouter |
Ajoute des interfaces à surveiller par le groupe de redondance avec leurs poids respectifs. |
Cliquez sur Ajouter. |
Supprimer |
Supprime les interfaces à surveiller par le groupe de redondance ainsi que leurs poids respectifs. |
Sélectionnez l’interface dans la liste configurée et cliquez sur Supprimer. |
Surveillance IP |
||
Poids |
Spécifie le poids global de la surveillance IP. |
Saisissez une valeur de 0 à 255. |
Seuil |
Spécifie le seuil global de surveillance IP. |
Saisissez une valeur de 0 à 255. |
Nombre de tentatives |
Spécifie le nombre de tentatives nécessaires pour déclarer une défaillance d’accessibilité. |
Saisissez une valeur de 5 à 15. |
Intervalle de nouvelle tentative |
Spécifie l’intervalle de temps en secondes entre les tentatives. |
Saisissez une valeur de 1 à 30. |
Adresses IPV4 à surveiller |
||
IP |
Spécifie les adresses IPv4 à surveiller pour en assurer l’accessibilité. |
Saisissez les adresses IPv4. |
Poids |
Spécifie le poids de l’interface de groupe de redondance à surveiller. |
Saisissez le poids. |
Interface |
Spécifie l’interface logique à travers laquelle surveiller cette adresse IP. |
Saisissez l’adresse de l’interface logique. |
Adresse IP secondaire |
Spécifie l’adresse source pour surveiller les paquets sur une liaison secondaire. |
Saisissez l’adresse IP secondaire. |
Ajouter |
Ajoute l’adresse IPv4 à surveiller. |
Cliquez sur Ajouter. |
Supprimer |
Supprime l’adresse IPv4 à surveiller. |
Sélectionnez l’adresse IPv4 dans la liste et cliquez sur Supprimer. |