Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration d’un cluster de châssis de pare-feu virtuel vSRX dans Junos OS

Présentation du cluster de châssis

Le cluster de châssis regroupe une paire du même type d’instances de pare-feu virtuel vSRX dans un cluster pour assurer la redondance des nœuds réseau. Les instances du pare-feu virtuel vSRX d’un cluster de châssis doivent exécuter la même version de Junos OS, et chaque instance devient un nœud dans le cluster de châssis. Vous connectez les interfaces virtuelles de contrôle sur les nœuds respectifs pour former un plan de contrôle qui synchronise la configuration et l’état du noyau Junos OS sur les deux nœuds du cluster. La liaison de contrôle (un réseau virtuel ou vSwitch) facilite la redondance des interfaces et des services. De même, vous connectez le plan de données sur les nœuds respectifs via les interfaces virtuelles de la structure pour former un plan de données unifié. Le lien de fabric (un réseau virtuel ou vSwitch) permet de gérer le traitement des flux entre nœuds et la redondance des sessions.

Le logiciel du plan de contrôle fonctionne en mode actif/passif. Lorsqu’il est configuré en tant que cluster de châssis, un nœud joue le rôle principal et l’autre le nœud secondaire pour assurer un basculement dynamique des processus et services en cas de défaillance du système ou du matériel sur le système principal. Si le principal tombe en panne, le secondaire prend en charge le traitement du trafic du plan de contrôle.

Note:

Si vous configurez un cluster de châssis sur deux hôtes, désactivez l’espionnage igmp sur le pont auquel appartient chaque interface physique hôte et que les cartes réseau virtuelles de contrôle (vNIC) utilisent. Cela garantit que le pulsation de la liaison de commande est reçu par les deux nœuds du cluster de châssis.

Le plan de données du cluster de châssis fonctionne en mode actif/actif. Dans un cluster de châssis, le plan de données met à jour les informations de session lorsque le trafic traverse l’un des nœuds, et il transmet les informations entre les nœuds via le lien de la structure pour garantir que les sessions établies ne sont pas supprimées lors d’un basculement. En mode actif/actif, le trafic peut entrer dans le cluster sur un nœud et sortir de l’autre nœud.

La fonctionnalité du cluster de châssis comprend :

  • Architecture système résiliente, avec un seul plan de contrôle actif pour l’ensemble du cluster et plusieurs moteurs de transfert de paquets. Cette architecture présente une vue unique du cluster.

  • Synchronisation des états de configuration et d’exécution dynamique entre les nœuds d’un cluster.

  • Surveillance des interfaces physiques et basculement si les paramètres de défaillance dépassent un seuil configuré.

  • Prise en charge des tunnels génériques d’encapsulation de routage (GRE) et IP sur IP (IP-IP) utilisés pour acheminer le trafic IPv4 ou IPv6 encapsulé au moyen de deux interfaces internes, respectivement GR-0/0/0 et IP-0/0/0. Junos OS crée ces interfaces au démarrage du système et les utilise uniquement pour le traitement des tunnels GRE et IP-IP.

À tout moment, un nœud de cluster peut se trouver dans l’un des états suivants : attente, primaire, secondaire, secondaire, inéligible ou désactivé. Plusieurs types d’événements, tels que la surveillance d’interface, la surveillance de l’unité de traitement des services (SPU), les défaillances et les basculements manuels, peuvent déclencher une transition d’état.

Activer la formation de clusters de châssis

Vous créez deux instances de pare-feu virtuel vSRX pour former un cluster de châssis, puis vous définissez l’ID de cluster et l’ID de nœud sur chaque instance à rejoindre le cluster. Lorsqu’une instance de pare-feu virtuel vSRX rejoint un cluster, elle devient un nœud de ce cluster. À l’exception des paramètres de nœud uniques et des adresses IP de gestion, les nœuds d’un cluster partagent la même configuration.

Vous pouvez déployer jusqu’à 255 clusters de châssis dans un domaine de couche 2 . Les clusters et les nœuds sont identifiés des manières suivantes :

  • L’ID de cluster (un nombre compris entre 1 et 255) identifie le cluster.

  • L’ID de nœud (un nombre compris entre 0 et 1) identifie le nœud de cluster.

En règle générale, sur les pare-feu SRX Series, l’ID de cluster et l’ID de nœud sont écrits dans EEPROM. Sur l’instance de pare-feu virtuel vSRX, le pare-feu virtuel vSRX stocke et lit les ID à partir du fichier boot/loader.conf et utilise les ID pour initialiser le cluster de châssis au démarrage.

Conditions préalables

Assurez-vous que vos instances de pare-feu virtuel vSRX sont conformes aux conditions préalables suivantes avant d’activer la mise en cluster des châssis :

  • Vous avez validé une configuration de base pour les deux instances du pare-feu virtuel vSRX qui forment le cluster de châssis. Reportez-vous à Configurer vSRX à l’aide de l’interface de ligne de commande.

  • À utiliser show version dans Junos OS pour vous assurer que les deux instances de pare-feu virtuel vSRX ont la même version logicielle.

  • À utiliser show system license dans Junos OS pour vous assurer que les mêmes licences sont installées dans les deux instances du pare-feu virtuel vSRX.

Vous devez définir le même ID de cluster de châssis sur chaque nœud du pare-feu virtuel vSRX et redémarrer la machine virtuelle du pare-feu virtuel vSRX pour permettre la formation du cluster de châssis.

  1. En mode commande opérationnelle, définissez l’ID du cluster de châssis et le numéro de nœud sur le nœud 0 du pare-feu virtuel vSRX.
  2. En mode de commande opérationnelle, définissez l’ID du cluster de châssis et le numéro de nœud sur le nœud 1 du pare-feu virtuel vSRX.
Note:

Le nommage et le mappage de l’interface du pare-feu virtuel vSRX aux vNIC changent lorsque vous activez la mise en cluster des châssis. Reportez-vous à la section Configuration requise pour vSRX sur KVM pour obtenir un résumé des noms d’interface et des mappages pour une paire de machines virtuelles de pare-feu virtuel vSRX dans un cluster (nœud 0 et nœud 1).

Configuration rapide d’un cluster de châssis avec J-Web

Pour configurer un cluster de châssis à partir de J-Web :

  1. Entrez l’adresse IP de l’interface du nœud 0 du pare-feu virtuel vSRX dans un navigateur Web.
  2. Entrez le nom d’utilisateur et le mot de passe du pare-feu virtuel vSRX, puis cliquez sur Connexion. Le tableau de bord J-Web s’affiche.
  3. Cliquez sur Configuration Wizards> Cluster (HA) Setup (HA) dans le panneau de gauche. L’Assistant Installation du cluster de châssis s’affiche. Suivez les étapes de l’Assistant Installation pour configurer l’ID du cluster et les deux nœuds du cluster, et pour vérifier la connectivité.
    Note:

    Utilisez l’icône d’aide intégrée dans J-Web pour plus de détails sur l’assistant de configuration du cluster de châssis.
    Note:

    Accédez à Configure>Device Settings>Cluster (HA) Setup (HA) à partir de Junos OS version 18.1 et ultérieure pour configurer la configuration du cluster de châssis.
  4. Configurez le nœud secondaire Nœud1 en sélectionnant Oui, il s’agit de l’unité secondaire à configurer (nœud 1) à l’aide de la case d’option .
  5. Cliquez sur Suivant.
  6. Spécifiez les paramètres tels que Entrer le mot de passe, Entrer à nouveau le mot de passe, Nœud 0 FXP0 IP et Nœud 1 FXP0 IP pour l’accès au nœud secondaire.
  7. Cliquez sur Suivant.
  8. Sélectionnez le port de contrôle et le port de structure de l’unité secondaire.
  9. Cliquez sur Suivant.
  10. (Facultatif) Cochez la case Enregistrer un fichier de sauvegarde avant de procéder à l’arrêt à l’aide pour le reconfigurer pour le cluster de châssis.
  11. Cliquez sur Suivant.
  12. Cliquez sur Arrêter et continuez à vous connecter à une autre unité.
  13. Cliquez sur Actualiser le navigateur.
  14. Configurez le nœud principal Nœud0 en sélectionnant Non, il s’agit de l’unité principale à configurer (nœud 0) pour configurer l’unité principale et établir une configuration de cluster de châssis.
  15. Cliquez sur Suivant.
  16. Spécifiez les paramètres tels que Entrer le mot de passe, Entrer à nouveau le mot de passe, Nœud 0 FXP0 IP et Nœud 1 FXP0 IP pour l’accès au nœud principal.
  17. Cliquez sur Suivant pour redémarrer l’unité principale.
  18. (Facultatif) Sélectionnez Enregistrer un fichier de sauvegarde avant de procéder à l’arrêt pour enregistrer un fichier de sauvegarde des paramètres actuels avant de continuer.
  19. Cliquez sur Redémarrer et continuer. Une fois le redémarrage terminé, mettez l’unité secondaire sous tension pour établir la connexion du cluster de châssis.
  20. Connectez-vous à la console de l’appareil et ajoutez une route statique pour obtenir l’accès J-Web.
  21. Connectez-vous à J-Web et cliquez sur Configuration Wizards> Cluster (HA) Setup (HA) dans le panneau de gauche. L’Assistant Installation du cluster de châssis s’affiche.
  22. Cliquez sur Suivant pour connecter l’unité principale.
  23. Configurez les paramètres de base Client DHCP, adresse IP, passerelle par défaut, nœud d’interface membre 0, nœud d’interface membre 1.
  24. Cliquez sur Suivant pour terminer la configuration du cluster de châssis.
  25. Cliquez sur Terminer pour quitter l’Assistant. Vous pouvez accéder au nœud principal à l’aide de J-Web.

Configuration manuelle d’un cluster de châssis avec J-Web

Vous pouvez utiliser l’interface J-Web pour configurer l’instance de pare-feu virtuel vSRX du nœud principal 0 dans le cluster. Une fois que vous avez défini les ID de cluster et de nœud et redémarré chaque pare-feu virtuel vSRX, la configuration suivante sera automatiquement synchronisée avec l’instance de pare-feu virtuel vSRX du nœud secondaire 1.

Sélectionnez Configure>Chassis Cluster>Cluster Configuration. La page de configuration du cluster de châssis s’affiche.

Note:

Accédez à Configure>Device Settings>Cluster (HA) Setup (HA) à partir de Junos OS version 18.1 et ultérieure pour configurer la configuration du cluster HA.

Le tableau 1 explique le contenu de l’onglet Paramètres du cluster HA.

Le tableau 2 explique comment modifier l’onglet Paramètres du nœud.

Le tableau 3 explique comment ajouter ou modifier le tableau des interfaces de cluster HA.

Le tableau 4 explique comment ajouter ou modifier le tableau Groupes de redondance des clusters HA.

Tableau 1 : page de configuration du cluster de châssis

Champ

Fonction

Paramètres de nœud

ID de nœud

Affiche l’ID du nœud.

Cluster ID

Affiche l’ID de cluster configuré pour le nœud.

Nom d’hôte

Affiche le nom du nœud.

Routeur de sauvegarde

Affiche le routeur utilisé comme passerelle lorsque le moteur de routage est à l’état secondaire pour le groupe de redondance 0 dans un cluster de châssis.

Interface de gestion

Affiche l’interface de gestion du nœud.

Adresse IP

Affiche l’adresse IP de gestion du nœud.

Statut

Affiche l’état du groupe de redondance.

  • Le groupe Principal–Redondance est actif.

  • Le groupe secondaire-redondant est passif.

Paramètres >interfaces du cluster de châssis>HA

Nom

Affiche le nom de l’interface physique.

Interfaces membres/Adresse IP

Affiche le nom de l’interface membre ou l’adresse IP configurée pour une interface.

Groupe de redondance

Affiche le groupe de redondance.

Paramètres du cluster>HA de châssis>groupe de redondance

Groupe

Affiche le numéro d’identification du groupe de redondance.

Anticiper

Affiche l’option de préemption sélectionnée.

  • Le rôle réel peut être préempté en fonction de la priorité.

  • False : le rôle principal ne peut pas être préempté en fonction de la priorité.

Compte ARP gratuit

Affiche le nombre de demandes ARP (Address Resolution Protocol) gratuites qu’un équipement principal nouvellement élu dans un cluster de châssis envoie pour annoncer sa présence aux autres périphériques réseau.

Priorité des nœuds

Affiche la priorité affectée au groupe de redondance sur ce nœud. Le nœud éligible ayant la priorité la plus élevée est élu comme nœud principal pour le groupe redondant.

Tableau 2 : détails de configuration du paramètre de nœud de modification

Champ

Fonction

Action

Paramètres de nœud

Nom d’hôte

Spécifie le nom de l’hôte.

Entrez le nom de l’hôte.

Routeur de sauvegarde

Affiche le périphérique utilisé comme passerelle lorsque le moteur de routage est à l’état secondaire pour le groupe de redondance 0 dans un cluster de châssis.

Entrez l’adresse IP du routeur de secours.

Destination

IP

Ajoute l’adresse de destination.

Cliquez sur Ajouter.

Supprimer

Supprime l’adresse de destination.

Cliquez sur Supprimer.

Interface

Interface

Spécifie les interfaces disponibles pour le routeur.

Note:

Permet d’ajouter et de modifier deux interfaces pour chaque lien de fabric.

Sélectionnez une option.

IP

Spécifie l’adresse IP de l’interface.

Entrez l’adresse IP de l’interface.

Ajouter

Ajoute l’interface.

Cliquez sur Ajouter.

Supprimer

Supprime l’interface.

Cliquez sur Supprimer.
Tableau 3 : ajout des détails de configuration de l’interface de cluster HA

Champ

Fonction

Action

Fabric Link > Fabric Link 0 (fab0)

Interface

Spécifie le lien de fabric 0.

Entrez l’interface IP fabric link 0.

Ajouter

Ajoute l’interface de fabric 0.

Cliquez sur Ajouter.

Supprimer

Supprime l’interface de fabric 0.

Cliquez sur Supprimer.

Fabric Link > Fabric Link 1 (fab1)

Interface

Spécifie le lien de fabric 1.

Entrez l’IP de l’interface pour le lien fabric 1.

Ajouter

Ajoute l’interface de fabric 1.

Cliquez sur Ajouter.

Supprimer

Supprime l’interface de fabric 1.

Cliquez sur Supprimer.

Ethernet redondant

Interface

Spécifie une interface logique composée de deux interfaces Ethernet physiques, une sur chaque châssis.

Entrez dans l’interface logique.

IP

Spécifie une adresse IP Ethernet redondante.

Entrez une adresse IP Ethernet redondante.

Groupe de redondance

Spécifie le numéro d’identification du groupe de redondance dans le cluster de châssis.

Sélectionnez un groupe de redondance dans la liste.

Ajouter

Ajoute une adresse IP Ethernet redondante.

Cliquez sur Ajouter.

Supprimer

Supprime une adresse IP Ethernet redondante.

Cliquez sur Supprimer.
Tableau 4 : détails de configuration de l’ajout de groupes de redondance

Champ

Fonction

Action

Groupe de redondance

Spécifie le nom du groupe de redondance.

Entrez le nom du groupe de redondance.

Autoriser la préemption du primaire

Permet à un nœud ayant une meilleure priorité d’initier un basculement pour un groupe de redondance.

Note:

Par défaut, cette fonctionnalité est désactivée. Lorsqu’il est désactivé, un nœud avec une meilleure priorité n’initie pas de basculement de groupe de redondance (à moins qu’un autre facteur, tel qu’une connectivité réseau défectueuse identifiée pour les interfaces surveillées, n’entraîne un basculement).

Compte ARP gratuit

Spécifie le nombre de demandes gratuites de protocole de résolution d’adresses qu’un principal nouvellement élu envoie sur les liens enfants de l’interface Ethernet redondante active pour informer les périphériques réseau d’un changement de rôle principal sur les liaisons d’interface Ethernet redondantes.

Entrez une valeur comprise entre 1 et 16. La valeur par défaut est 4.

Priorité nœud0

Spécifie la valeur de priorité de node0 pour un groupe de redondance.

Entrez le numéro de priorité du nœud 0.

Priorité nœud1

Spécifie la valeur de priorité de node1 pour un groupe de redondance.

Sélectionnez le numéro de priorité du nœud 1.

Moniteur d’interface

    

Interface

Spécifie le nombre d’interfaces Ethernet redondantes à créer pour le cluster.

Sélectionnez une interface dans la liste.

Poids

Spécifie le poids de l’interface à surveiller.

Entrez une valeur comprise entre 1 et 125.

Ajouter

Ajoute les interfaces à surveiller par le groupe de redondance avec leurs poids respectifs.

Cliquez sur Ajouter.

Supprimer

Supprime les interfaces à surveiller par le groupe de redondance ainsi que leurs poids respectifs.

Sélectionnez l’interface dans la liste configurée et cliquez sur Supprimer.

Surveillance IP

Poids

Spécifie le poids global de la surveillance IP.

Entrez une valeur comprise entre 0 et 255.

Seuil

Spécifie le seuil global pour la surveillance IP.

Entrez une valeur comprise entre 0 et 255.

Nombre de nouvelles tentatives

Spécifie le nombre de nouvelles tentatives nécessaires pour déclarer un échec d’accessibilité.

Entrez une valeur comprise entre 5 et 15.

Intervalle des nouvelles tentatives

Spécifie l’intervalle de temps en secondes entre les nouvelles tentatives.

Entrez une valeur comprise entre 1 et 30.

Adresses IPV4 à surveiller

IP

Spécifie l’accessibilité des adresses IPv4 à surveiller.

Entrez les adresses IPv4.

Poids

Spécifie le poids de l’interface du groupe de redondance à surveiller.

Entrez le poids.

Interface

Spécifie l’interface logique via laquelle surveiller cette adresse IP.

Entrez l’adresse de l’interface logique.

Adresse IP secondaire

Spécifie l’adresse source pour la surveillance des paquets sur une liaison secondaire.

Entrez l’adresse IP secondaire.

Ajouter

Ajoute l’adresse IPv4 à surveiller.

Cliquez sur Ajouter.

Supprimer

Supprime l’adresse IPv4 à surveiller.

Sélectionnez l’adresse IPv4 dans la liste et cliquez sur Supprimer.

Voir aussi