例:SRXシリーズ サービスゲートウェイをフルメッシュシャーシクラスターとして設定
この例では、ハイエンドのSRXシリーズデバイス上で基本的なアクティブ/パッシブフルメッシュシャーシクラスタリングを設定する方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
Junos OS リリース 9.6 以降を実行する同一のハードウェア構成の 2 つのジュニパーネットワークスSRX5800サービス ゲートウェイ。
-
Junos OS リリース 9.6 以降を実行するジュニパーネットワークス MX480 3D ユニバーサル エッジ ルーター 2 台。
-
Junos OS リリース 9.6 以降を実行するジュニパーネットワークス EX9214 イーサネットスイッチ 2 台。
この設定例は、記載されているソフトウェアリリースを使用してテストされており、それ以降のすべてのリリースで動作することを想定しています。
開始する前に、以下を実行します。
-
2台のSRXサービスゲートウェイを物理的に接続します(ファブリックポートと制御ポートをバックツーバック)。
概要
この例では、ハイエンドSRXシリーズデバイスのペアで基本的なアクティブ/パッシブフルメッシュシャーシクラスタリングを設定する方法を示しています。フルメッシュのアクティブ/パッシブクラスタリングにより、SRXシリーズ機器だけでなく、周辺のネットワーク機器にも単一障害点がない環境を構築することができます。この例で説明するフル メッシュ展開と、「 アクティブ/パッシブ シャーシ クラスタ展開の設定 」で説明する基本的なアクティブ/パッシブ展開の主な違いは、起こりうる障害シナリオの回復に対応するために、追加の設計要素を考慮する必要があることです。
フルメッシュシャーシクラスタリングでは、各ノードのrethインターフェイスを設定し、それらが1つ以上のスイッチによって接続されていることを確認する必要があります。 図 1 に示すこのシナリオでは、4 つの reth インターフェイス(reth0、reth1、reth2、reth3)があります。reth インターフェイスは、2 つの物理インターフェイス(各ノードから 1 つずつ)をバンドルします。rethインターフェイスは、冗長性グループの一部です。冗長性グループのプライマリノード(アクティブ)にあるメンバーのみがアクティブになります。セカンダリ(パッシブ)ノードのメンバーは完全に非アクティブです。つまり、トラフィックの送受信をしません。
各rethインターフェイスは、1つ以上の論理インターフェイスまたはサブインターフェイス(例えば、reth 0.0、reth0.1など)を持つことができます。それぞれ異なるVLANタグを使用する必要があります。
フルメッシュアクティブ/パッシブシャーシクラスターは、2つのデバイスで構成されています。
-
1台のデバイスが、シャーシクラスターの制御を維持しながら、ルーティング、ファイアウォール、NAT、VPN、セキュリティサービスをアクティブに提供します。
-
もう一方のデバイスは、アクティブデバイスが非アクティブになった場合に、クラスタフェイルオーバー機能のためにその状態を受動的に維持します。
図 1 は、この例で使用されているトポロジーを示しています。
構成
この例を設定するには、次の手順を実行します。
- 制御ポートの設定
- クラスタ モードの有効化
- クラスタ モードの設定
- ゾーン、セキュリティポリシー、プロトコルの設定
- EX9214-1の構成
- EX9214-2の構成
- MX480-1の設定
- MX480-2の設定
- その他の設定の構成
制御ポートの設定
手順
中心点(CP)は常にクラスター内の最下位のSPC/SPUにあるため(この例ではスロット0)、FPC 1/13を選択します。信頼性を最大限に高めるには、中央点から別のSPCに制御ポートを配置します(この例では、スロット1のSPCを使用します)。両方のデバイスで動作モードコマンドを入力する必要があります。
SRX5600およびSRX5800デバイスには制御ポートの設定が必要です。
各デバイスに制御ポートを設定し、設定をコミットするには:
-
SRX5800-1(ノード0)の制御ポートを設定し、設定をコミットします。
user@SRX5800-1# set chassis cluster control-ports fpc 1 port 0 user@SRX5800-1# set chassis cluster control-ports fpc 13 port 0 user@SRX5800-1# commit and-quit -
SRX5800-2(ノード1)の制御ポートを設定し、設定をコミットします。
user@SRX5800-2# set chassis cluster control-ports fpc 1 port 0 user@SRX5800-2# set chassis cluster control-ports fpc 13 port 0 user@SRX5800-2# commit and-quit
クラスタ モードの有効化
手順
2台のデバイスをクラスタ モードに設定します。クラスタIDとノードIDを設定した後、クラスタモードに入るには再起動が必要です。CLIに reboot パラメータを含めることで、システムを自動的に起動させることができます。両方のデバイスで動作モードコマンドを入力する必要があります。システムが起動すると、両方のノードがクラスタとして立ち上がります。
セグメントには 1 つのクラスタしかないため、この例ではクラスタ ID 1 を使用し、デバイス SRX5800-1 をノード 0、デバイス SRX5800-2 をノード 1 として使用します。
2台のデバイスをクラスタモードに設定するには、次の手順に従います。
-
SRX5800-1(ノード0)でクラスタモードを有効にします。
user@SRX5800-1> set chassis cluster cluster-id 1 node 0 reboot -
SRX5800-2(ノード1)でクラスタモードを有効にします。
user@SRX5800-2> set chassis cluster cluster-id 1 node 1 reboot手記:1 つのブロードキャスト ドメインに複数のSRX デバイス クラスタがある場合は、MAC アドレスの競合を避けるために、各クラスタに異なるクラスタ ID を割り当ててください。
クラスタIDは両方のデバイスで同じですが、一方のデバイスがノード0でもう一方のデバイスがノード1であるため、ノードIDは異なっている必要があります。クラスタ ID の範囲は 1 から 15 です。クラスタ ID を 0 に設定することは、クラスタを無効にすることと同じです。
これでデバイスはペアになりました。これ以降、ノード メンバー間でクラスタの設定が同期され、2台のデバイスは1台のデバイスとして機能します。
クラスタ モードの設定
手順
クラスタモードでは、 commit コマンドを実行すると、ノード間でクラスタが同期されます。コマンドがどのデバイスで設定されているかに関係なく、すべてのコマンドは両方のノードに適用されます。
ハイエンドSRXシリーズデバイスでシャーシ クラスタリングを設定するには、次の手順に従います。
-
アクティブ/パッシブモードでリアルタイムオブジェクト(RTO)を渡すために使用されるクラスターのファブリック(データ)ポートを設定します。互いに接続するために、各シャーシに 1 つずつ、合計 2 つのファブリック インターフェイスを定義します。
user@SRX5800-1# set interfaces fab0 fabric-options member-interfaces xe-11/3/0 user@SRX5800-1# set interfaces fab1 fabric-options member-interfaces xe-23/3/0 -
SRXサービスゲートウェイシャーシクラスター設定は、単一の共通設定内に含まれるため、グループと呼ばれるJunos OSノード固有の設定方法を使用して、設定の一部の要素を特定のメンバーのみに割り当てます。
set apply-groups ${node}コマンドは、ノード変数を使用して、グループをノードに適用する方法を定義します。各ノードはその番号を認識し、それに応じて設定を受け入れます。また、クラスタの個々のコントロールプレーンに個別のIPアドレスを使用して、SRX5800サービスゲートウェイのfxp0インターフェイスでアウトオブバンド管理を設定する必要があります。手記:バックアップ ルーターの宛先アドレスを x.x.x.0/0 として設定することはできません。
user@SRX5800-1# set groups node0 system host-name SRX5800-1 user@SRX5800-1# set groups node0 system backup-router 10.52.63.254 user@SRX5800-1# set groups node0 system backup-router destination 10.0.0.0/8 user@SRX5800-1# set groups node0 interfaces fxp0 unit 0 family inet address 10.52.43.57/19 user@SRX5800-1# set groups node1 system host-name SRX5800-2 user@SRX5800-1# set groups node1 system backup-router 10.52.63.254 user@SRX5800-1# set groups node1 system backup-router destination 10.0.0.0/8 user@SRX5800-1# set groups node1 interfaces fxp0 unit 0 family inet address 10.52.52.27/19 user@SRX5800-1# set apply-groups “${node}” -
シャーシクラスタリングの冗長グループを設定します。各ノードは冗長性グループ内にインターフェイスを持ち、インターフェイスはアクティブ冗長グループ内でアクティブになります(1つの冗長性グループに複数のアクティブインターフェイスが存在できます)。
冗長グループ0はコントロールプレーンを制御し、冗長グループ1+はデータプレーンを制御し、データプレーンポートを含みます。アクティブ/パッシブモードのクラスターでは、冗長グループ0と1のみを設定する必要があります。4つのrethインターフェイスを使用し、そのすべてが冗長グループ1のメンバーである。冗長性のグループの他に、以下も定義する必要があります。
-
冗長イーサネットインターフェイス数—システムが適切なリソースを割り当てられるように、設定可能な冗長イーサネットインターフェイス(reth)の数を設定します。
-
コントロールプレーンとデータプレーンの優先度:コントロールプレーンの優先度(シャーシクラスターでは優先度の高い優先度が優先される)と、データプレーンに対してアクティブにすることを優先するデバイスを定義します。
手記:アクティブ/パッシブモードまたはアクティブ/アクティブモードでは、コントロールプレーン(冗長グループ0)をデータプレーン(冗長グループ1+およびグループ)シャーシとは異なるシャーシ上でアクティブにすることができます。ただし、この例では、コントロール プレーンとデータ プレーンの両方を同じシャーシ メンバー上でアクティブにすることを推奨します。トラフィックがファブリックリンクを通過して別のメンバーノードに移動すると、遅延が発生します。
user@SRX5800-1# set chassis cluster reth-count 4 user@SRX5800-1# set chassis cluster redundancy-group 0 node 0 priority 129 user@SRX5800-1# set chassis cluster redundancy-group 0 node 1 priority 128 user@SRX5800-1# set chassis cluster redundancy-group 1 node 0 priority 129 user@SRX5800-1# set chassis cluster redundancy-group 1 node 1 priority 128 -
-
データプレーンのフェイルオーバーが発生した場合、もう一方のシャーシクラスタメンバーがシームレスに接続を引き継ぐことができるように、プラットフォーム上のデータインターフェイスを設定します。
新しいアクティブノードへのシームレスな移行は、データプレーンフェイルオーバーで行われます。コントロール プレーンのフェイルオーバーの場合、すべてのデーモンが新しいノードで再起動されます。このため、ピアとのネイバーシップを失うことを避けるために、関連するルーティングプロトコルに対してグレースフルリスタートを有効にすることを強く推奨します。これにより、パケットロスが発生することなく、新しいノードにシームレスに移行できます。
次の項目を定義します。
-
reth インターフェイスへのメンバー インターフェイスのメンバーシップ情報。
user@SRX5800-1# set interfaces xe-6/0/0 gigether-options redundant-parent reth0 user@SRX5800-1# set interfaces xe-6/1/0 gigether-options redundant-parent reth1 user@SRX5800-1# set interfaces xe-6/2/0 gigether-options redundant-parent reth2 user@SRX5800-1# set interfaces xe-6/3/0 gigether-options redundant-parent reth3 user@SRX5800-1# set interfaces xe-18/0/0 gigether-options redundant-parent reth0 user@SRX5800-1# set interfaces xe-18/1/0 gigether-options redundant-parent reth1 user@SRX5800-1# set interfaces xe-18/2/0 gigether-options redundant-parent reth2 user@SRX5800-1# set interfaces xe-18/3/0 gigether-options redundant-parent reth3 -
rethインターフェイスがどの冗長性グループに属しているか。このアクティブ/パッシブの例では、常に 1 です。
user@SRX5800-1# set interfaces reth0 redundant-ether-options redundancy-group 1 user@SRX5800-1# set interfaces reth1 redundant-ether-options redundancy-group 1 user@SRX5800-1# set interfaces reth2 redundant-ether-options redundancy-group 1 user@SRX5800-1# set interfaces reth3 redundant-ether-options redundancy-group 1 -
インターフェイスのIPアドレスなどのrethインターフェイス情報。
user@SRX5800-1# set interfaces reth0 unit 0 family inet address 10.1.1.1/24 user@SRX5800-1# set interfaces reth1 unit 0 family inet address 10.2.2.1/24 user@SRX5800-1# set interfaces reth2 unit 0 family inet address 10.3.3.1/24 user@SRX5800-1# set interfaces reth3 unit 0 family inet address 10.4.4.1/24
-
-
障害発生時のシャーシ クラスタの動作を設定します。
各インターフェイスには、リンク喪失時に冗長グループの閾値である255から差し引かれる重み値が設定されています。フェールオーバーしきい値は 255 にハードコードされており、変更できません。インターフェイスリンクの重みを変更して、シャーシのフェイルオーバーへの影響を判断できます。
冗長性グループのしきい値が 0 に達すると、その冗長性グループはセカンダリ ノードにフェールオーバーします。
SRX5800-1 で以下のコマンドを入力します。
user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-6/2/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-6/3/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-18/2/0 weight 255 user@SRX5800-1# set chassis cluster redundancy-group 1 interface-monitor xe-18/3/0 weight 255 user@SRX5800-1# set chassis cluster control-link-recovery user@SRX5800-1# set chassis cluster redundancy-group 1 preemptこのステップで、SRX5800のアクティブ/パッシブ モードの例のシャーシ クラスタ設定部分が完了します。この手順の残りの部分では、ゾーン、仮想ルーター、ルーティング、EX9214、MX480を構成して導入シナリオを完了する方法を説明します。
ゾーン、セキュリティポリシー、プロトコルの設定
手順
ゾーンを設定し、適切なrethインターフェイスを追加して、OSPFを設定します。
ゾーンとOSPFを設定するには、次の手順に従います。
-
2つのゾーンを設定し、適切なrethインターフェイスを追加します。
user@SRX5800-1# set security zones security-zone Untrust interfaces reth0.0 user@SRX5800-1# set security zones security-zone Untrust interfaces reth1.0 user@SRX5800-1# set security zones security-zone Trust interfaces reth2.0 user@SRX5800-1# set security zones security-zone Trust interfaces reth3.0 -
適切なプロトコルとサービスが、trustゾーンとuntrustゾーンのインターフェイスに到達することを許可します。
user@SRX5800-1# set security zones security-zone Trust host-inbound-traffic protocols ospf user@SRX5800-1# set security zones security-zone Trust host-inbound-traffic system-services all user@SRX5800-1# set security zones security-zone Untrust host-inbound-traffic system-services ping user@SRX5800-1# set security zones security-zone Untrust host-inbound-traffic protocols ospf -
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
user@SRX5800-1# set security policies from-zone Trust to-zone Untrust policy allow match source-address any user@SRX5800-1# set security policies from-zone Trust to-zone Untrust policy allow match destination-address any user@SRX5800-1# set security policies from-zone Trust to-zone Untrust policy allow match application any user@SRX5800-1# set security policies from-zone Trust to-zone Untrust policy allow then permit user@SRX5800-1# set security policies from-zone Untrust to-zone Trust policy allow match source-address any user@SRX5800-1# set security policies from-zone Untrust to-zone Trust policy allow match destination-address any user@SRX5800-1# set security policies from-zone Untrust to-zone Trust policy allow match application any user@SRX5800-1# set security policies from-zone Untrust to-zone Trust policy allow then permit -
OSPFを設定します。
user@SRX5800-1# set protocols ospf area 0.0.0.0 interface reth0.0 user@SRX5800-1# set protocols ospf area 0.0.0.0 interface reth1.0 user@SRX5800-1# set protocols ospf area 0.0.0.0 interface reth2.0 user@SRX5800-1# set protocols ospf area 0.0.0.0 interface reth3.0
EX9214-1の構成
手順
EX9214イーサネットスイッチの場合、以下のコマンドは、SRX5800サービスゲートウェイのアクティブ/パッシブフルメッシュの例に関連する適用可能な構成の概要のみを提供します。特に顕著なのは、VLAN、ルーティング、およびインターフェイス構成です。
EX9214-1を構成するには:
-
インターフェイスを設定します。
user@EX9214-1# set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode access user@EX9214-1# set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH2 user@EX9214-1# set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode access user@EX9214-1# set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH2 user@EX9214-1# set interfaces xe-3/0/0 unit 0 family ethernet-switching interface-mode trunk user@EX9214-1# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH2 user@EX9214-1# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH3 -
2台のEXスイッチ間でVRRPを設定します。
user@EX9214-1# set interfaces irb unit 50 family inet address 10.3.3.254/24 vrrp-group 1 virtual-address 10.3.3.100 user@EX9214-1# set interfaces irb unit 50 family inet address 10.3.3.254/24 vrrp-group 1 priority 200 user@EX9214-1# set interfaces irb unit 50 family inet address 10.3.3.254/24 vrrp-group 1 accept-data user@EX9214-1# set interfaces irb unit 60 family inet address 10.4.4.254/24 vrrp-group 2 virtual-address 10.4.4.100 user@EX9214-1# set interfaces irb unit 60 family inet address 10.4.4.254/24 vrrp-group 2 priority 100 user@EX9214-1# set interfaces irb unit 60 family inet address 10.4.4.254/24 vrrp-group 2 accept-data -
VLAN を構成します。
user@EX9214-1# set vlans SRX5800-RETH2 vlan-id 50 user@EX9214-1# set vlans SRX5800-RETH2 l3-interface irb.50 user@EX9214-1# set vlans SRX5800-RETH3 vlan-id 60 user@EX9214-1# set vlans SRX5800-RETH3 l3-interface irb.60 -
プロトコルを設定します。
user@EX9214-1# set protocols ospf area 0.0.0.0 interface irb.50 user@EX9214-1# set protocols ospf area 0.0.0.0 interface irb.60 user@EX9214-1# set protocols rstp interface all
EX9214-2の構成
手順
EX9214-2を構成するには:
-
インターフェイスを設定します。
user@EX9214-2# set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode access user@EX9214-2# set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH3 user@EX9214-2# set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode access user@EX9214-2# set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH3 user@EX9214-2# set interfaces xe-3/0/0 unit 0 family ethernet-switching interface-mode trunk user@EX9214-2# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH2 user@EX9214-2# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH3 -
2台のEXスイッチ間でVRRPを設定します。
user@EX9214-2# set interfaces irb unit 50 family inet address 10.3.3.250/24 vrrp-group 1 virtual-address 10.3.3.100 user@EX9214-2# set interfaces irb unit 50 family inet address 10.3.3.250/24 vrrp-group 1 priority 100 user@EX9214-2# set interfaces irb unit 50 family inet address 10.3.3.250/24 vrrp-group 1 accept-data user@EX9214-2# set interfaces irb unit 60 family inet address 10.4.4.250/24 vrrp-group 2 virtual-address 10.4.4.100 user@EX9214-2# set interfaces irb unit 60 family inet address 10.4.4.250/24 vrrp-group 2 priority 200 user@EX9214-2# set interfaces irb unit 60 family inet address 10.4.4.250/24 vrrp-group 2 accept-data -
VLAN を構成します。
user@EX9214-2# set vlans SRX5800-RETH2 vlan-id 50 user@EX9214-2# set vlans SRX5800-RETH2 l3-interface irb.50 user@EX9214-2# set vlans SRX5800-RETH3 vlan-id 60 user@EX9214-2# set vlans SRX5800-RETH3 l3-interface irb.60 -
プロトコルを設定します。
user@EX9214-2# set protocols ospf area 0.0.0.0 interface irb.50 user@EX9214-2# set protocols ospf area 0.0.0.0 interface irb.60 user@EX9214-2# set protocols rstp interface all
MX480-1の設定
手順
MX480エッジルーターの場合、以下のコマンドは、SRX5800サービスゲートウェイのこのアクティブ/パッシブモードの例に関連する適用可能な設定の概要のみを提供します。特に、スイッチ上の仮想スイッチ インスタンス内で IRB インターフェイスを使用する必要があります。
MX480-1を設定するには:
-
ダウンストリーム インターフェイスを設定します。
user@MX480-1# set interfaces xe-1/0/0 encapsulation ethernet-bridge user@MX480-1# set interfaces xe-1/0/0 unit 0 family bridge user@MX480-1# set interfaces xe-3/0/0 encapsulation ethernet-bridge user@MX480-1# set interfaces xe-3/0/0 unit 0 family bridge -
アップストリーム インターフェイスを設定します。
user@MX480-1# set interfaces xe-6/0/0 unit 0 family inet address 198.51.100.1/24 -
IRB インターフェイスを設定します。
user@MX480-1# set interfaces irb unit 0 family inet address 10.1.1.254/24 -
静的ルートとグレースフルリスタートを設定します。
user@MX480-1# set routing-options static route 0.0.0.0/0 next-hop 198.51.100.254 user@MX480-1# set policy-options policy-statement def-route term 1 from protocol static user@MX480-1# set policy-options policy-statement def-route term 1 from route-filter 0.0.0.0/0 exact user@MX480-1# set policy-options policy-statement def-route term 1 then accept -
ブリッジドメインを設定します。
user@MX480-1# set bridge-domains BD-50 vlan-id 50 user@MX480-1# set bridge-domains BD-50 domain-type bridge user@MX480-1# set bridge-domains BD-50 interface xe-1/0/0 user@MX480-1# set bridge-domains BD-50 interface xe-3/0/0 user@MX480-1# set bridge-domains BD-50 routing-interface irb.0 -
OSPFを設定します。
user@MX480-1# set protocols ospf area 0.0.0.0 interface irb.0 user@MX480-1# set protocols ospf area 0.0.0.0 interface xe-6/0/0.0 passive user@MX480-1# set protocols ospf export def-route
MX480-2の設定
手順
MX480-2を設定するには:
-
ダウンストリーム インターフェイスを設定します。
user@MX480-2# set interfaces xe-1/0/0 encapsulation ethernet-bridge user@MX480-2# set interfaces xe-1/0/0 unit 0 family bridge user@MX480-2# set interfaces xe-3/0/0 encapsulation ethernet-bridge user@MX480-2# set interfaces xe-3/0/0 unit 0 family bridge -
アップストリーム インターフェイスを設定します。
user@MX480-2# set interfaces xe-6/0/0 unit 0 family inet address 203.0.113.1/24 -
IRB インターフェイスを設定します。
user@MX480-2# set interfaces irb unit 0 family inet address 10.2.2.250/24 -
静的ルートとグレースフルリスタートを設定します。
user@MX480-2# set routing-options static route 0.0.0.0/0 next-hop 203.0.113.254 user@MX480-2# set policy-options policy-statement def-route term 1 from protocol static user@MX480-2# set policy-options policy-statement def-route term 1 from route-filter 0.0.0.0/0 exact user@MX480-2# set policy-options policy-statement def-route term 1 then accept -
ブリッジドメインを設定します。
user@MX480-2# set bridge-domains BD-60 vlan-id 60 user@MX480-2# set bridge-domains BD-60 domain-type bridge user@MX480-2# set bridge-domains BD-60 interface xe-1/0/0 user@MX480-2# set bridge-domains BD-60 interface xe-3/0/0 user@MX480-2# set bridge-domains BD-60 routing-interface irb.0 -
OSPFを設定します。
user@MX480-2# set protocols ospf area 0.0.0.0 interface irb.0 user@MX480-2# set protocols ospf area 0.0.0.0 interface xe-6/0/0.0 passive user@MX480-2# set protocols ospf export def-route
その他の設定の構成
手順
このSRX5800のフルメッシュシャーシクラスタリングの例では、NAT、セキュリティポリシー、VPNの設定方法などのその他の設定については詳しく説明しません。これらは、基本的にスタンドアロン構成の場合と同じです。
ただし、シャーシ クラスタ設定でプロキシ ARPを実行する場合は、reth インターフェイスが論理設定を保持するため、メンバー インターフェイスではなく reth インターフェイスにプロキシ ARP設定を適用する必要があります。
SRX5800内のVLANとトランクインターフェイスを使用して、個別の論理インターフェイス設定を設定することもできます。これらの構成は、VLAN とトランク インターフェイスを使用するスタンドアロン実装と類似しています。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- シャーシ クラスタ ステータスの確認
- シャーシ クラスタ インターフェイスの確認
- シャーシ クラスタ統計情報の確認
- シャーシ クラスタ コントロール プレーン統計情報の確認
- シャーシ クラスタ データ プレーン統計情報の検証
- シャーシ クラスタ冗長グループ ステータスの検証
- EXデバイスで接続を確認する
- ログを使用したトラブルシューティング
シャーシ クラスタ ステータスの確認
目的
シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。
アクション
動作モードから、 show chassis cluster status コマンドを入力します。
{primary:node0}
user@SRX5800-1> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 129 primary no no None
node1 128 secondary no no None
Redundancy group: 1 , Failover count: 3
node0 129 primary yes no None
node1 128 secondary yes no None
意味
サンプル出力では、プライマリノードとセカンダリノードのステータスと、手動フェイルオーバーがないことが示されています。
シャーシ クラスタ インターフェイスの確認
目的
シャーシ クラスタ インターフェイスに関する情報を検証します。
アクション
動作モードから、 show chassis cluster interfaces コマンドを入力します。
{primary:node0}
user@SRX5800-1> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-11/3/0 Up / Up Disabled
fab0
fab1 xe-23/3/0 Up / Up Disabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
reth2 Up 1
reth3 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
Interface Monitoring:
Interface Weight Status Redundancy-group
(Physical/Monitored)
xe-18/3/0 255 Up / Up 1
xe-18/1/0 255 Up / Up 1
xe-6/3/0 255 Up / Up 1
xe-6/1/0 255 Up / Up 1
xe-18/2/0 255 Up / Up 1
xe-6/2/0 255 Up / Up 1
xe-18/0/0 255 Up / Up 1
xe-6/0/0 255 Up / Up 1
意味
サンプル出力は、各インターフェイスのステータス、重み値、およびそのインターフェイスが属する冗長性グループを示しています。
シャーシ クラスタ統計情報の確認
目的
シャーシ クラスタ サービスに関する情報を検証し、リンク統計情報(送受信したハートビート)、ファブリック リンク統計情報(送受信したプローブ)、サービスに対して送受信したリアルタイム オブジェクト(RTO)の数を確認します。
アクション
動作モードから、 show chassis cluster statistics コマンドを入力します。
{primary:node0}
user@SRX5800-1> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 1191183
Heartbeat packets received: 1191154
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2387707
Probes received: 2387679
Child link 1
Probes sent: 0
Probes received: 0
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 251 7
IPv6 session create 0 0
IPv4/6 session RTO ACK 0 0
Session close 230 4
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 1
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 1 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Packet stats Pkts sent Pkts received
ICD Data 0 0
意味
サンプル出力を使用して、次のことを行います。
-
Heartbeat packets sentが増加していることを確認します。
-
Heartbeat packets receivedがHeartbeats packets sent数に近い数値であることを確認します。
-
Heartbeats packets errorsがゼロであることを確認します。
これにより、ハートビートパケットがエラーなしで送受信されていることが検証されます。
シャーシ クラスタ コントロール プレーン統計情報の確認
目的
シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計情報(送受信したプローブ)に関する情報を検証します。
アクション
動作モードから、 show chassis cluster control-plane statistics コマンドを入力します。
{primary:node0}
user@SRX5800-1> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 1191222
Heartbeat packets received: 1191193
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2387785
Probes received: 2387757
Child link 1
Probes sent: 0
Probes received: 0
意味
サンプル出力を使用して、次のことを行います。
-
Heartbeat packets sentが増加していることを確認します。
-
Heartbeat packets receivedがHeartbeats packets sent数に近い数値であることを確認します。
-
Heartbeats packets errorsがゼロであることを確認します。
これにより、ハートビートパケットがエラーなしで送受信されていることが検証されます。
シャーシ クラスタ データ プレーン統計情報の検証
目的
サービスで送受信されたリアルタイムオブジェクト(RTO)の数に関する情報を検証します。
アクション
動作モードから、 show chassis cluster data-plane statistics コマンドを入力します。
{primary:node0}
user@SRX5800-1> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 251 7
IPv6 session create 0 0
IPv4/6 session RTO ACK 0 0
Session close 230 4
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 1
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 1 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Packet stats Pkts sent Pkts received
ICD Data 0 0
意味
サンプル出力は、さまざまなサービスで送受信されたRTOを示しています。
シャーシ クラスタ冗長グループ ステータスの検証
目的
クラスタ内の両ノードの状態と優先度、プライマリ ノードの事前対応の有無または手動フェイルオーバーの有無に関する情報を検証します。
アクション
動作モードから、 chassis cluster status redundancy-group コマンドを入力します。
{primary:node0}
user@SRX5800-1> show chassis cluster status redundancy-group 1
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 1 , Failover count: 3
node0 129 primary yes no None
node1 128 secondary yes no None
意味
サンプル出力では、プライマリノードとセカンダリノードのステータスと、手動フェイルオーバーがないことが示されています。
EXデバイスで接続を確認する
目的
EXデバイスからの接続を確認します。
アクション
動作モードから、以下の ping 192.168.1.1 count 2 および traceroute 192.168.1.1 コマンドを入力します。
user@@EX1-R3> ping 192.168.1.1 count 2 PING 192.168.1.1 (192.168.1.1): 56 data bytes 64 bytes from 192.168.1.1: icmp_seq=0 ttl=62 time=3.964 ms 64 bytes from 192.168.1.1: icmp_seq=1 ttl=62 time=20.603 ms --- 192.168.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.964/12.284/20.603/8.320 ms
user@@EX1-R3> traceroute 192.168.1.1 traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 52 byte packets 1 10.3.3.1 (10.3.3.1) 2.287 ms 1.700 ms 1.978 ms 2 10.1.1.254 (10.1.1.254) 3.164 ms 2.750 ms 2.537 ms 3 192.168.1.1 (192.168.1.1) 4.660 ms 4.144 ms 4.473 ms