Alta disponibilidad de múltiples nodos en implementaciones de AWS
RESUMEN Lea este tema para comprender la compatibilidad de alta disponibilidad de varios nodos con instancias de firewall virtual vSRX en implementaciones de Amazon Web Services (AWS).
Alta disponibilidad de varios nodos en AWS
Puede configurar la alta disponibilidad de varios nodos en los firewalls del firewall virtual vSRX implementados en AWS. Los nodos participantes ejecutan planos de control y de datos activos al mismo tiempo y los nodos se respaldan entre sí para garantizar una conmutación por error rápida y sincronizada en caso de fallo del sistema o del hardware. La conexión entre vínculos de chasis (ICL) entre los dos dispositivos sincroniza y mantiene la información de estado y controla los escenarios de conmutación por error del dispositivo.
Comencemos por familiarizarnos con los términos de alta disponibilidad de multinodo específicos de la implementación de AWS.
Terminología
Descripción del término | |
---|---|
Dirección IP elástica |
Dirección IPv4 pública que se puede enrutar desde una red especificada o desde Internet. Las direcciones IP elásticas se enlazan dinámicamente a una interfaz de cualquier nodo en una configuración de alta disponibilidad de varios nodos. En un momento dado, estas direcciones están enlazadas a una sola interfaz y también están enlazadas al mismo nodo. La configuración de alta disponibilidad de varios nodos utiliza direcciones IP elásticas para controlar el tráfico en las implementaciones de AWS. La dirección IP elástica actúa de manera similar a la dirección IP flotante en la implementación de capa 3 o una dirección IP virtual como en la implementación de puerta de enlace predeterminada. El nodo con una SRG1 activa posee la dirección IP elástica y atrae el tráfico hacia ella. |
Vínculo entre chasis (ICL) |
Vínculo basado en IP (enlace lógico) que conecta nodos a través de una red enrutada en un sistema de alta disponibilidad multinodo. El dispositivo de seguridad utiliza la ICL para sincronizar y mantener la información de estado y para controlar escenarios de conmutación por error del dispositivo. Sólo puede utilizar la interfaz ge-0/0/0 para configurar una ICL. La ICL utiliza la dirección MAC asignada por AWS (no la MAC virtual creada por vSRX Virtual Firewall). Cuando configure la ICL, asegúrese de que la dirección IP sea una subred de la nube privada virtual (VPC). Tenga en cuenta que la alta disponibilidad de Multibode no admite el despliegue entre VPC |
Proceso del Protocolo de redundancia de servicios de Juniper (jsrpd) | Proceso que gestiona la determinación de la actividad y la aplicación, y proporciona protección para el cerebro dividido. |
No se admite VPN IPsec para la alta disponibilidad de varios nodos en las implementaciones de AWS.
Arquitectura
La figura 1 muestra dos instancias de firewall virtual vSRX que forman un par de alta disponibilidad en AWS. Una instancia de firewall virtual vSRX actúa como nodo activo y la otra como nodo de respaldo.
En una configuración de alta disponibilidad multinodo, una ICL conecta los dos nodos (instancias de firewall virtual vSRX) y ayuda a sincronizar los estados del plano de control y del plano de datos.
En la configuración de alta disponibilidad de varios nodos, dos instancias de firewall virtual vSRX funcionan en modo activo/de copia de seguridad. Ambos nodos se conectan entre sí mediante una ICL para sincronizar los estados de control y plano de datos. La instancia de firewall virtual vSRX en la que SRG1 está activo aloja la dirección IP elástica. El nodo activo dirige el tráfico hacia él mediante la dirección IP elástica. El nodo de copia de seguridad permanece en modo de espera y se hace cargo de la conmutación por error.
El proceso del Protocolo de redundancia de servicios de Juniper (jsrpd) se comunica con la infraestructura de AWS para realizar la determinación y el cumplimiento de la actividad y proporciona protección para el cerebro dividido.
Durante una conmutación por error, la dirección IP elástica se mueve del nodo activo antiguo al nuevo nodo activo activando la API de AWS SDK y atrae el tráfico hacia el nuevo nodo activo. AWS actualiza las tablas de ruteo para desviar el tráfico al nuevo nodo activo. Este mecanismo permite a los clientes comunicarse con los nodos utilizando una sola dirección IP. La dirección IP elástica se configura en la interfaz que se conecta a las redes o segmentos participantes.
Protección del cerebro dividido
Cuando la ICL entre dos nodos deja de funcionar, cada nodo comienza a hacer ping a la dirección IP de la interfaz del nodo par mediante los sondeos. Si el nodo par está en buen estado, responde a los sondeos. De lo contrario, el proceso jsrpd se comunica con la infraestructura de AWS para aplicar el rol activo para el nodo en buen estado.
Ejemplo: configurar la alta disponibilidad de varios nodos en la implementación de AWS
En este ejemplo, le mostraremos cómo configurar la alta disponibilidad de varios nodos en dos instancias de firewall virtual vSRX en la nube privada virtual de Amazon (Amazon VPC).
Requisitos
En este ejemplo se utilizan los siguientes componentes:
-
Dos instancias de firewall virtual vSRX
-
Junos OS versión 22.3R1
-
Una cuenta de Amazon Web Services (AWS) y un rol de administración de identidades y accesos (IAM), con todos los permisos necesarios para acceder, crear, modificar y eliminar objetos de Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (S3) y Amazon Virtual Private Cloud (Amazon VPC). Consulte Configuración de una nube privada virtual de Amazon para vSRX para obtener más información.
-
Una Amazon VPC configurada con su gateway de Internet, subredes, tabla de rutas y grupos de seguridad asociados. Consulte Configuración de una nube privada virtual de Amazon para vSRX.
-
Una instancia de vSRX Virtual Firewall lanzada y configurada en Amazon VPC. Consulte Lanzamiento de una instancia de vSRX en una nube privada virtual de Amazon.
Topología
La figura 2 muestra la topología utilizada en este ejemplo.
Como se muestra en la topología, dos instancias de firewall virtual vSRX (vSRX Virtual Firewall-1 y vSRX Virtual Firewall-2) se implementan en la Amazon VPC. Los nodos se comunican entre sí mediante una dirección IP enrutable (dirección IP elástica). El lado no confiable se conecta a una red pública, mientras que el lado de confianza se conecta a los recursos protegidos.
Complete las siguientes configuraciones antes de configurar la alta disponibilidad de varios nodos en las instancias del firewall virtual vSRX:
-
Utilice la etiqueta de instancia en AWS para identificar las dos instancias de vSRX Virtual Firewall como pares de alta disponibilidad de varios nodos. Por ejemplo, puede usar vsrx-node-1 como el nombre de un par (opción Nombre ) y vsrx-node-2 como el par de alta disponibilidad (opción ha-peer ).
- Implemente ambas instancias de vSRX Virtual Firewall en la misma Amazon VPC y en la misma zona de disponibilidad.
- Asigne el rol de IAM para las instancias de vSRX Virtual Firewall y lance instancias de vSRX Virtual Firewall como una instancia de Amazon Elastic Compute Cloud (EC2) con permisos completos.
- Habilite la comunicación con Internet colocando instancias de firewall virtual vSRX en la subred pública. En la Amazon VPC, las subredes públicas tienen acceso a la gateway de Internet.
- Configure una VPC con varias subredes para alojar el par de alta disponibilidad. Las subredes se utilizan para conectar los dos nodos del firewall virtual vSRX mediante una conexión lógica (similar a los puertos de conexión del cable físico). En este ejemplo, definimos CIDR for VPC como 10.0.0.0/16 y creamos un total de cuatro subredes para alojar el tráfico del firewall virtual vSRX. Necesita un mínimo de cuatro interfaces para ambas instancias de vSRX Virtual Firewall. En la tabla 1 se proporcionan los detalles de la subred y la interfaz.
Tabla 1: Configuraciones de subredes Número de puerto de función Interfaz Conexión Tipo de tráfico Subred Administración 0 fxp0 Interfaz de administración Tráfico de administración 10.0.254.0/24 ICL 1 ge-0/0/0 ICL a nodo par Tráfico relacionado con RTO, sincronización y sondeos 10.0.253.0/24 Público 2 ge-0/0/1 Conéctese a la red pública. (Interfaz de ingresos) Tráfico externo 10.0.1.0/24 Privado 3 ge-0/0/2 Conéctese a una red privada. (Interfaz de ingresos) Tráfico interno 10.0.2.0/24 Tenga en cuenta que la asignación de interfaz con la funcionalidad mencionada en la tabla es para la configuración predeterminada. Se recomienda utilizar la misma asignación en la configuración.
- Configure interfaces con direcciones IP principales y secundarias. Puede asignar una dirección IP elástica como direcciones IP secundarias para una interfaz. Necesitará la dirección IP principal al lanzar la instancia. La dirección IP secundaria se puede transferir de un nodo del firewall virtual vSRX a otro durante una conmutación por error. En la tabla 2 se muestran las asignaciones de interfaz y dirección IP utilizadas en este ejemplo.
Tabla 2: Asignaciones de interfaces y direcciones IP Interfaz de instancia Dirección IP principal Dirección IP secundaria (dirección IP elástica) Firewall virtual vSRX-1 ge-0/0/1 10.0.1.101 10.0.1.103 ge-0/0/2 10.0.2.201 10.0.2.203 Firewall virtual vSRX-2 ge-0/0/1 10.0.1.102 10.0.1.103 ge-0/0/2 10.0.2.202 10.0.2.203 -
Configure los enrutadores vecinos para que incluyan Firewall virtual vSRX en la ruta de datos y marque Firewall virtual vSRX como el siguiente salto para el tráfico. Puede usar una dirección IP elástica para configurar la ruta. Por ejemplo, use el comando
sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203
, donde la dirección 10.0.2.203 es una dirección IP elástica.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
Estas configuraciones se capturan desde un entorno de laboratorio y se proporcionan solo como referencia. Las configuraciones reales pueden variar según los requisitos específicos de su entorno.
En el firewall virtual vSRX-1
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.3.10 set chassis high-availability peer-id 2 peer-ip 10.0.3.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.102 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.10/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.101/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.201/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
En el firewall virtual vSRX-2
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.3.11 set chassis high-availability peer-id 1 peer-ip 10.0.3.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
-
Configure ge-0/0/0 como interfaz para la ICL
[edit] user@host# set interfaces ge-0/0/0 mtu 9192 user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24
- Configurar interfaces para tráfico interno y externo.
[edit] user@host# set interfaces ge-0/0/1 mtu 9192 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 user@host# set interfaces ge-0/0/2 mtu 9192 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24
Usaremos la dirección IP secundaria asignada a ge-0/0/1 y ge-0/0/2 como dirección IP elástica.
-
Configure las zonas de seguridad, asigne interfaces a las zonas y especifique los servicios del sistema permitidos para las zonas de seguridad.
[edit] user@host# set security zones security-zone fab host-inbound-traffic system-services all user@host# set security zones security-zone fab host-inbound-traffic protocols all user@host# set security zones security-zone fab interfaces ge-0/0/0.0 user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/2.0
-
Configure las opciones de enrutamiento.
[edit] user@host# set routing-instances s1-router instance-type virtual-router user@host# set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 user@host# set routing-instances s1-router interface ge-0/0/1.0 user@host# set routing-instances s1-router interface ge-0/0/2.0
Aquí, necesitará un tipo
virtual router
de instancia de enrutamiento independiente para separar el tráfico de administración y el tráfico de ingresos. -
Configure los detalles del nodo local y del nodo par.
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.0.3.10 user@host# set chassis high-availability peer-id 2 peer-ip 10.0.3.11
-
Asocie la interfaz al nodo par para la supervisión de la interfaz y configure los detalles de detección de vida.
[edit] user@host# set chassis high-availability peer-id 2 interface ge-0/0/0.0 user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
Configure SRG1 con el tipo de despliegue como nube, asigne un ID y establezca la prioridad de preferencia y actividad.
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type cloud user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 preemption user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
-
Configure las opciones relacionadas con la implementación de AWS. Por ejemplo, especifique basado en eip como tipo de servicio y, además, configure opciones de monitorización, como AWS peer liveness.
[edit] user@host# set security cloud high-availability aws eip-based user@host# set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 user@host# set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router
En las instancias de alta disponibilidad de varios nodos para vSRX Virtual Firewall en el entorno VMware ESXi con VMXNET3 vNIC, la configuración de la dirección MAC virtual no se admite en la siguiente instrucción:
[set chassis high-availability services-redundancy-group <number> virtual-ip <id> use-virtual-mac
Resultados
Firewall virtual vSRX-1
Desde el modo de configuración, confirme su configuración introduciendo los siguientes comandos.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show chassis high-availability local-id 1 local-ip 10.0.3.10; peer-id 2 { peer-ip 10.0.3.11; interface ge-0/0/0.0; liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 1 { deployment-type cloud; peer-id { 2; } preemption; activeness-priority 200; }
[edit] user@host# show routing-instances s1-router { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.1; } } interface ge-0/0/1.0; interface ge-0/0/2.0; }
[edit] user@host# show security zones security-zone security-zone fab { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } }
[edit] user@host# show interfaces ge-0/0/0 { mtu 9192; unit 0 { family inet { address 10.0.3.10/24; } } } ge-0/0/1 { mtu 9192; unit 0 { family inet { address 10.0.1.101/24 { primary; } address 10.0.1.103/24; } } } ge-0/0/2 { mtu 9192; unit 0 { family inet { address 10.0.2.201/24 { primary; } address 10.0.2.203/24; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Firewall virtual vSRX-2
Desde el modo de configuración, confirme su configuración introduciendo los siguientes comandos.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show chassis high-availability local-id 2 local-ip 10.0.3.11; peer-id 1 { peer-ip 10.0.3.10; interface ge-0/0/0.0; liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 1 { deployment-type cloud; peer-id { 1; } preemption; activeness-priority 100; }
[edit] user@host# show routing-instances s1-router { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.1; } } interface ge-0/0/1.0; interface ge-0/0/2.0; }
[edit] user@host# show security zones security-zone fab { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } }
[edit] user@host# show interfaces ge-0/0/0 { mtu 9192; unit 0 { family inet { address 10.0.3.11/24; } } } ge-0/0/1 { mtu 9192; unit 0 { family inet { address 10.0.1.102/24 { primary; } address 10.0.1.103/24; } } } ge-0/0/2 { mtu 9192; unit 0 { family inet { address 10.0.2.202/24 { primary; } address 10.0.2.203/24; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
- Compruebe los detalles de alta disponibilidad de Multinode
- Compruebe la información de alta disponibilidad de varios nodos en AWS
- Comprobar el estado del nodo del par de alta disponibilidad de varios nodos
- Compruebe la SRG de alta disponibilidad de multinodo
- Comprobar el estado de alta disponibilidad de varios nodos antes y después de la conmutación por error
Compruebe los detalles de alta disponibilidad de Multinode
Propósito
Vea y verifique los detalles de la configuración de alta disponibilidad multinodo configurada en la instancia de vSRX Virtual Firewall.
Acción
Desde el modo operativo, ejecute el siguiente comando:
Firewall virtual vSRX-1
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.0.3.10 HA Peer Information: Peer Id: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: NOT READY
Firewall virtual vSRX-2
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: BACKUP Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: NOT READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
Significado
Compruebe estos detalles desde el resultado del comando:
-
Detalles del nodo local y del nodo par, como la dirección IP y el ID.
-
El campo
Deployment Type: CLOUD
indica que la configuración es para la implementación en la nube. -
El campo
Services Redundancy Group: 1
indica el estado de la SRG1 (ACTIVE o BACKUP) en ese nodo.
Compruebe la información de alta disponibilidad de varios nodos en AWS
Propósito
Compruebe si Multinode High Availability está desplegado en la nube de AWS.
Acción
Desde el modo operativo, ejecute el siguiente comando:
user@host> show security cloud high-availability information Cloud HA Information: Cloud Type Cloud Service Type Cloud Service Status AWS EIP Bind to Local Node
Significado
Compruebe estos detalles desde el resultado del comando:
-
El campo
Cloud Type: AWS
indica que la implementación es para AWS. -
El campo
Cloud Service Type: EIP
indica que la implementación de AWS utiliza el tipo de servicio EIP (para la dirección IP elástica) para controlar el tráfico. El campo
.Cloud Service Status: Bind to Local Node
indica el enlace de la dirección IP elástica al nodo local. Para el nodo de copia de seguridad, este campo muestraBind to Peer Node
.
Comprobar el estado del nodo del par de alta disponibilidad de varios nodos
Propósito
Compruebe el estado del nodo del mismo nivel de alta disponibilidad de varios nodos.
Acción
Desde el modo operativo, ejecute el siguiente comando:
Firewall virtual vSRX-1
user@host> show chassis high-availability peer-info HA Peer Information: Peer-ID: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE Internal Interface: N/A Internal Local-IP: N/A Internal Peer-IP: N/A Internal Routing-instance: N/A Packet Statistics: Receive Error : 0 Send Error : 0 Packet-type Sent Received SRG Status Msg 7 6 SRG Status Ack 6 7 Attribute Msg 2 1 Attribute Ack 1 1
Firewall virtual vSRX-2
user@host> show chassis high-availability peer-info HA Peer Information: Peer-ID: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE Internal Interface: N/A Internal Local-IP: N/A Internal Peer-IP: N/A Internal Routing-instance: N/A Packet Statistics: Receive Error : 0 Send Error : 0 Packet-type Sent Received SRG Status Msg 9 9 SRG Status Ack 9 9 Attribute Msg 3 2 Attribute Ack 2 2
Significado
Compruebe estos detalles desde el resultado del comando:
-
Detalles del nodo par, incluidos ID, dirección IP e interfaz.
-
Estadísticas de paquetes en todo el nodo.
Compruebe la SRG de alta disponibilidad de multinodo
Propósito
Vea y verifique los detalles de SRG en Alta disponibilidad multinodo.
Acción
Desde el modo operativo, ejecute el siguiente comando:
user@host> show chassis high-availability services-redundancy-group 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: READY Split-brain Prevention Probe Info: DST-IP: 10.0.1.102 SRC-IP: 0.0.0.0 Routing Instance: s1-router Status: NOT RUNNING Result: N/A Reason: N/A
Significado
Compruebe estos detalles desde el resultado del comando:
-
SRG detalla dicho tipo de implementación. El campo
Status: ACTIVE
indica que el SRG1 en particular está en rol activo. También puede ver la prioridad de actividad y el estado de preferencia en la salida. -
Detalles del nodo par.
-
Detalles de la sonda de prevención del cerebro dividido.
Comprobar el estado de alta disponibilidad de varios nodos antes y después de la conmutación por error
Propósito
Compruebe el cambio en el estado del nodo antes y después de una conmutación por error en una configuración de alta disponibilidad de varios nodos.
Acción
Compruebe el estado de alta disponibilidad de varios nodos en el nodo de copia de seguridad (SRX-2).
Desde el modo operativo, ejecute el siguiente comando:
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: BACKUP Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: NOT READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
Significado
En Services Redundancy Group: 1
la sección, puede ver el Status: BACKUP
archivo . Este campo indica que el SRG-1 está en modo de copia de seguridad.
Acción
Inicie la conmutación por error en el nodo activo (vSRX Virtual Firewall-1) y vuelva a ejecutar el comando en el nodo de copia de seguridad (vSRX Virtual Firewall-2).
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : BACKUP Health Status: HEALTHY Failover Readiness: NOT READY
Significado
En la Services Redundancy Group: 1
sección, el estado de SRG1 cambia de BACKUP
a ACTIVE
. El cambio en el valor del campo indica que el nodo ha pasado al rol activo y que el otro nodo (previamente activo) ha pasado al rol de copia de seguridad. Puede ver el estado del otro nodo en la Peer Information
opción, que muestra BACKUP
.