Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Enrutamiento de multidifusión y enrutamiento asimétrico en clúster de chasis

La compatibilidad con el enrutamiento de multidifusión en un clúster de chasis permite que diferentes protocolos de multidifusión envíen tráfico a través de las interfaces a varios destinatarios. El enrutamiento asimétrico es la situación en la que los paquetes del host de origen al host de destino siguen una ruta diferente a la de los paquetes del host de destino al host de origen. Para obtener más información, consulte los temas siguientes:

Descripción del enrutamiento de multidifusión en un clúster de chasis

La compatibilidad con el enrutamiento de multidifusión entre nodos de un clúster de chasis permite que los protocolos de multidifusión, como la multidifusión independiente de protocolo (PIM) versiones 1 y 2, el protocolo de administración de grupos de Internet (IGMP), el protocolo de anuncio de sesión (SAP) y el protocolo de enrutamiento multidifusión por vector de distancia (DVMRP), envíen tráfico a través de las interfaces del clúster. Sin embargo, tenga en cuenta que los protocolos de multidifusión no deben habilitarse en la interfaz de administración del chasis () ni en las interfaces de estructura (fxp0fab0 y fab1). Las sesiones de multidifusión se sincronizan en todo el clúster y se mantienen durante las conmutaciones por error de grupo redundantes. Durante la conmutación por error, al igual que con otros tipos de tráfico, puede haber alguna pérdida de paquetes de multidifusión.

El reenvío de datos de multidifusión en un clúster de chasis utiliza la interfaz entrante para determinar si la sesión permanece activa o no. Los paquetes se reenvían al nodo par si la interfaz saliente de una sesión leaf está en el par en lugar de en el nodo de la interfaz entrante. El enrutamiento de multidifusión en un clúster de chasis admite túneles para interfaces entrantes y salientes.

El tráfico de multidifusión tiene una dirección ascendente (hacia la fuente) y descendente (hacia los suscriptores) en los flujos de tráfico. Los dispositivos replican (fanout) un único paquete de multidifusión a varias redes que contienen suscriptores. En el entorno de clúster de chasis, los fanouts de paquetes de multidifusión pueden estar activos en cualquiera de los nodos.

Si la interfaz entrante está activa en el nodo actual y realiza una copia de seguridad en el nodo par, la sesión está activa en el nodo actual y la copia de seguridad en el nodo par.

La configuración de multidifusión en un clúster de chasis es la misma que la configuración de multidifusión en un dispositivo independiente. Consulte la Guía del usuario de protocolos de multidifusión para obtener más información.

Descripción del reenvío de datos PIM

La multidifusión independiente del protocolo (PIM) se utiliza entre dispositivos para rastrear los paquetes de multidifusión que se reenviarán entre sí.

Una sesión PIM encapsula los datos de multidifusión en un paquete de unidifusión PIM. Una sesión PIM crea las siguientes sesiones:

  • Sesión de control

  • Sesión de datos

La sesión de datos guarda el ID de sesión de control. La sesión de control y la sesión de datos se cierran de forma independiente. La interfaz entrante se utiliza para determinar si la sesión PIM está activa o no. Si la interfaz saliente está activa en el nodo par, los paquetes se transfieren al nodo par para su transmisión.

Descripción de la multidifusión y la sincronización de sesiones PIM

La sincronización de sesiones de multidifusión y PIM ayuda a evitar la pérdida de paquetes debido a la conmutación por error, ya que no es necesario volver a configurar las sesiones cuando hay una conmutación por error.

En las sesiones PIM, la sesión de control se sincroniza con el nodo de copia de seguridad y, a continuación, se sincroniza la sesión de datos.

En las sesiones de multidifusión, la sesión de plantilla se sincroniza con el nodo del mismo nivel, luego se sincronizan todas las sesiones de hoja y, por último, la sesión de plantilla se sincroniza de nuevo.

Descripción del enrutamiento asimétrico en un clúster de chasis

Puede usar firewalls de la serie SRX en escenarios de enrutamiento asimétrico de clústeres de chasis (consulte la figura 1). El tráfico recibido por un nodo se compara con la tabla de sesión de ese nodo. El resultado de esta búsqueda determina si el nodo procesa o no el paquete o lo reenvía al otro nodo a través del vínculo de estructura. Las sesiones se anclan en el nodo de salida del primer paquete que creó la sesión. Si se recibe tráfico en el nodo en el que la sesión no está anclada, esos paquetes se reenvían a través del vínculo de estructura al nodo donde está anclada la sesión.

El nodo de anclaje de la sesión puede cambiar si hay cambios en el enrutamiento durante la sesión.

Figura 1: Escenario de clúster de chasis de enrutamiento asimétrico Asymmetric Routing Chassis Cluster Scenario

En este escenario, se utilizan dos conexiones a Internet, siendo preferible una. La conexión a la zona de confianza se realiza mediante una interfaz Ethernet redundante para proporcionar redundancia LAN para los dispositivos de la zona de confianza. En este escenario se describen dos casos de conmutación por error en los que las sesiones se originan en la zona de confianza con un destino de Internet (zona que no es de confianza).

Descripción de errores en la interfaz Ethernet redundante de la zona de confianza

En condiciones normales de funcionamiento, el tráfico fluye desde la interfaz de zona de confianza ge-0/0/1, perteneciente a reth0.0, a Internet. Dado que la conexión a Internet principal se encuentra en el nodo 0, las sesiones se crean en el nodo 0 y se sincronizan con el nodo 1. Sin embargo, las sesiones solo están activas en el nodo 0.

Un error en la interfaz ge-0/0/1 desencadena una conmutación por error del grupo de redundancia, lo que hace que la interfaz ge-7/0/1 del nodo 1 se active. Después de la conmutación por error, el tráfico llega al nodo 1. Después de la búsqueda de sesión, el tráfico se envía al nodo 0 porque la sesión está activa en este nodo. A continuación, el nodo 0 procesa el tráfico y lo reenvía a Internet. El tráfico de retorno sigue un proceso similar. El tráfico llega al nodo 0 y se procesa con fines de seguridad (por ejemplo, análisis antispam, análisis antivirus y aplicación de políticas de seguridad) en el nodo 0 porque la sesión está anclada al nodo 0. Luego, el paquete se envía al nodo 1 a través de la interfaz de estructura para el procesamiento de salida y la eventual transmisión desde el nodo 1 a través de la interfaz ge-7/0/1.

Descripción de errores en las interfaces de zona de no confianza

En este caso, las sesiones se migran de un nodo a otro. En condiciones normales de funcionamiento, el tráfico es procesado solo por el nodo 0. Un error de la interfaz ge-0/0/0 en el nodo 0 provoca un cambio en la tabla de enrutamiento, de modo que ahora apunta a la interfaz ge-7/0/0 en el nodo 1. Después del error, las sesiones en el nodo 0 se vuelven inactivas y las sesiones pasivas en el nodo 1 se activan. El tráfico que llega desde la zona de confianza se sigue recibiendo en la interfaz ge-0/0/1, pero se reenvía al nodo 1 para su procesamiento. Después de procesar el tráfico en el nodo 1, se reenvía a Internet a través de la interfaz ge-7/0/0.

En esta configuración de clúster de chasis, el grupo de redundancia 1 se utiliza para controlar la interfaz Ethernet redundante conectada a la zona de confianza. Tal como está configurado en este escenario, el grupo de redundancia 1 conmuta por error sólo si falla la interfaz ge-0/0/1 o ge-7/0/1, pero no si fallan las interfaces conectadas a Internet. Opcionalmente, la configuración podría modificarse para permitir que el grupo de redundancia 1 supervise todas las interfaces conectadas a Internet y conmute por error si fallara un vínculo de Internet. Así, por ejemplo, la configuración puede permitir que el grupo de redundancia 1 supervise ge-0/0/0 y active ge-7/0/1 para reth0 si falla el vínculo de Internet ge-0/0/0. (Esta opción no se describe en los siguientes ejemplos de configuración).

Ejemplo: configuración de un par de clústeres de chasis asimétricos

En este ejemplo se muestra cómo configurar un clúster de chasis para permitir el enrutamiento asimétrico. La configuración del enrutamiento asimétrico para un clúster de chasis permite que el tráfico recibido en cualquiera de los dispositivos se procese sin problemas.

Requisitos

Antes de empezar:

  1. Conecte físicamente un par de dispositivos entre sí, asegurándose de que sean los mismos modelos. En este ejemplo se utilizan un par de dispositivos SRX1500 o SRX1600.

    1. Para crear el vínculo de estructura, conecte una interfaz Gigabit Ethernet en un dispositivo a otra interfaz Gigabit Ethernet en el otro dispositivo.

    2. Para crear el vínculo de control, conecte el puerto de control de los dos dispositivos SRX1500.

  2. Conéctese a uno de los dispositivos mediante el puerto de consola. (Este es el nodo que forma el clúster).

    1. Establezca el ID de clúster y el número de nodo.

  3. Conéctese al otro dispositivo mediante el puerto de consola.

    1. Establezca el ID de clúster y el número de nodo.

Visión general

En este ejemplo, un clúster de chasis proporciona enrutamiento asimétrico. Como se ilustra en la Figura 2, se utilizan dos conexiones a Internet, siendo una de ellas preferida. La conexión a la zona de confianza se proporciona mediante una interfaz Ethernet redundante para proporcionar redundancia LAN para los dispositivos de la zona de confianza.

Figura 2: Topología de clúster de chasis de enrutamiento asimétrico Asymmetric Routing Chassis Cluster Topology

En este ejemplo, se configura la información del grupo (aplicando la configuración con el comando) y del clúster del apply-groups chasis. A continuación, se configuran las zonas de seguridad y las políticas de seguridad. Consulte la Tabla 1 a la Tabla 4.

Tabla 1: Parámetros de configuración de grupos y clústeres de chasis

Característica

Nombre

Parámetros de configuración

Grupos

nodo0

  • Nombre de host: srxseries-1

  • Interfaz: fxp0

    • Unidad 0

    • 192.168.100.50/24

nodo1

  • Nombre de host: srxseries-2

  • Interfaz: fxp0

    • Unidad 0

    • 192.168.100.51/24

Tabla 2: Parámetros de configuración del clúster de chasis

Característica

Nombre

Parámetros de configuración

Vínculos de estructura

fab0

Interfaz: ge-0/0/7

fab1

Interfaz: ge-7/0/7

Intervalo de latidos

1000

Umbral de latidos cardíacos

3

Grupo de redundancia

1

  • Prioridad:

    • Nodo 0: 100

    • Nodo 1: 1

Monitoreo de interfaz

  • ge-0/0/3

  • GE-7/0/3

Número de interfaces Ethernet redundantes

1

Interfaces

ge-0/0/1

  • Unidad 0

  • 10.4.0.202/24

GE-7/0/1

  • Unidad 0

  • 10.2.1.233/24

ge-0/0/3

Padre redundante: reth0

GE-7/0/3

Padre redundante: reth0

reth0

  • Unidad 0

  • 10.16.8.1/24

     
Tabla 3: Parámetros de configuración de la zona de seguridad

Nombre

Parámetros de configuración

Confianza

La interfaz reth0.0 está enlazada a esta zona.

Untrust

Las interfaces ge-0/0/1 y ge-7/0/1 están vinculadas a esta zona.

Tabla 4: Parámetros de configuración de la política de seguridad

Propósito

Nombre

Parámetros de configuración

Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza.

CUALQUIER

  • Criterios de coincidencia:

    • dirección de origen cualquiera

    • dirección-destino cualquiera

    • aplicación cualquiera

  • Acción: permiso

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar un par de clústeres de chasis asimétricos:

  1. Configure la interfaz de administración.

  2. Configure la interfaz de estructura.

  3. Configure el número de interfaces Ethernet redundantes.

  4. Configure los grupos de redundancia.

  5. Configure las interfaces Ethernet redundantes.

  6. Configure las rutas estáticas (una a cada ISP, con ruta preferida a través de ge-0/0/1).

  7. Configure las zonas de seguridad.

  8. Configure las políticas de seguridad.

Resultados

Desde el modo operativo, ingrese el comando para confirmar la show configuration configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para abreviar, este resultado del comando solo incluye la configuración relevante para este show ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificación del estado del clúster de chasis

Propósito

Compruebe el estado del clúster de chasis, el estado de conmutación por error y la información del grupo de redundancia.

Acción

Desde el modo operativo, ingrese el show chassis cluster status comando.

Comprobación de interfaces de clúster de chasis

Propósito

Compruebe la información sobre las interfaces de clúster de chasis.

Acción

Desde el modo operativo, ingrese el show chassis cluster interfaces comando.

Verificación de estadísticas de clúster de chasis

Propósito

Verifique la información sobre las estadísticas de los distintos objetos que se sincronizan, los saludos de la estructura y la interfaz de control, y el estado de las interfaces supervisadas en el clúster.

Acción

Desde el modo operativo, ingrese el show chassis cluster statistics comando.

Verificación de estadísticas del plano de control del clúster de chasis

Propósito

Verifique la información sobre las estadísticas del plano de control del clúster del chasis (latidos enviados y recibidos) y las estadísticas del vínculo de estructura (sondeos enviados y recibidos).

Acción

Desde el modo operativo, ingrese el show chassis cluster control-plane statistics comando.

Comprobación de estadísticas de plano de datos del clúster de chasis

Propósito

Verifique la información sobre la cantidad de RTO enviados y recibidos por servicios.

Acción

Desde el modo operativo, ingrese el show chassis cluster data-plane statistics comando.

Comprobación del estado del grupo de redundancia del clúster de chasis

Propósito

Compruebe el estado y la prioridad de ambos nodos en un clúster e información acerca de si el nodo principal ha tenido preferencia o si ha habido una conmutación por error manual.

Acción

Desde el modo operativo, ingrese el chassis cluster status redundancy-group comando.

Solución de problemas con registros

Propósito

Utilice estos registros para identificar cualquier problema del clúster del chasis. Debe ejecutar estos registros en ambos nodos.

Acción

Desde el modo operativo, ingrese estos show comandos.