EN ESTA PÁGINA
Alta disponibilidad entre chasis para MS-MIC y MS-MPC (versión 15.1 y anteriores)
Este tema se aplica a la versión 15.1 y anteriores de Junos OS. (Para la versión 16.1 y posterior de Junos OS, consulte Descripción general de sincronización de estado entre chasis para TDR de larga duración y flujos de firewall de estado (MS-MPC, MS-MIC) (versión 16.1 y posteriores).)
La alta disponibilidad entre chasis admite la sincronización de estado de los servicios mediante un cambio a una PIC de servicios de respaldo en un chasis diferente. Este tema se aplica a la versión 15.1 y anteriores de Junos OS. (Para la versión 16.1 y posterior de Junos OS, consulte Descripción general de sincronización de estado entre chasis para TDR de larga duración y flujos de firewall de estado (MS-MPC, MS-MIC) (versión 16.1 y posteriores).) La función se describe en los siguientes temas:
Alta disponibilidad entre chasis para firewall de estado y descripción general de NAPT44 (MS-MIC, MS-MPC)
Las implementaciones de TDR carrier-grade (CGN) pueden usar implementaciones de chasis dual para proporcionar una ruta de datos redundante y redundancia para componentes clave en el enrutador. Aunque la alta disponibilidad dentro del chasis se puede utilizar en entornos de chasis dual, solo se trata de fallas de PIC de servicio. Si el tráfico se cambia a un enrutador de respaldo debido a alguna otra falla en el enrutador, el estado se pierde. La alta disponibilidad entre chasis conserva el estado y proporciona redundancia mediante el uso de menos PIC de servicio que la alta disponibilidad dentro del chasis. Solo los flujos de larga duración se sincronizan entre el chasis principal y el de respaldo en el par de alta disponibilidad. Las PIC de servicio no replican el estado hasta que se emite un comando explícito de CLI, request services redundancy (synchronize | no-synchronize), para iniciar o detener la replicación de estado. La información de estado del firewall de estado, NAPT44 y APP se puede sincronizar.
Cuando tanto las PIC principales como las de copia de seguridad están funcionando, la request services redundancy command replicación comienza inmediatamente cuando se emite.
Para usar la alta disponibilidad entre chasis, debe usar conjuntos de servicios configurados para interfaces de servicio del próximo salto. La alta disponibilidad entre chasis funciona con interfaces de servicio ms configuradas en tarjetas de interfaz MS-MIC o MS-MPC. Se debe configurar una unidad que no sea la unidad 0 con la ip-address-owner service-plane opción.
Se aplican las siguientes restricciones:
NAPT44 es el único tipo de traducción compatible.
No se admite el punto de control para las ALG, la asignación de bloques de puerto PBA (PBA), la asignación independiente de punto de conexión (EIM) ni los filtros independientes del punto de conexión (EIF).
La Figura 1 muestra la topología de alta disponibilidad entre chasis.
entre chasis
Configuración de alta disponibilidad entre chasis para firewall de estado y NAPT44 (MS-MPC, MS-MIC)
Para configurar la disponibilidad entre chasis para firewall de estado y NAPT44 en PICS de servicio de MS-MIC o MS-MPC, realice los siguientes pasos de configuración en cada chasis del par de alta disponibilidad:
Ejemplo: Alta disponibilidad de estado para TDR y firewall de estado (MS-MIC, MS-MPC)
En este ejemplo, se muestra cómo configurar la alta disponibilidad del inter chasis para los servicios TDR y firewall de estado.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos enrutadores MX480 con tarjetas de línea MS-MPC
Junos OS versión 13.3 o posterior
Visión general
Dos enrutadores MX 3D están configurados de manera idéntica para facilitar la conmutación por error de estado para los servicios de firewall y TDR en caso de un fallo de chasis.
Configuración
Para configurar la alta disponibilidad entre chasis para este ejemplo, realice estas tareas:
- Configuración rápida de CLI
- Configuración de interfaces para el chasis 1.
- Configurar la información de enrutamiento para el chasis 1
- Configuración de TDR y firewall de estado para el chasis 1
- Configuración del conjunto de servicios
- Configuración de interfaces para el chasis 2
- Configurar la información de enrutamiento para el chasis 2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo en los enrutadores, copie los siguientes comandos y péguelos en la ventana terminal del enrutador después de eliminar los saltos de línea y sustituir la información de interfaz específica del sitio.
La siguiente configuración es para el chasis 1.
[edit] set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
La siguiente configuración es para el chasis 2. La información TDR, firewall con estado y conjunto de servicios debe ser idéntica para el chasis 1 y 2.
set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
Configuración de interfaces para el chasis 1.
Procedimiento paso a paso
Las interfaces para cada uno de los pares de enrutadores de AD se configuran de manera idéntica, con la excepción de las siguientes opciones de PIC de servicio:
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addressde una unidad, distinta de 0, que contiene laip-address-owner service-planeopción
Para configurar interfaces:
Configure la PIC de servicio redundante en el chasis 1.
[edit interfaces} user@host# set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
Configure las interfaces para el chasis 1 que se utilizan como vínculos de interchasis para el tráfico de sincronización.
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
Configure las interfaces restantes según sea necesario.
Resultados
user@host# show interfaces
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.1/24;
}
}
}
ms-4/0/0 {
redundancy-options {
redundancy-peer {
ipaddress 5.5.5.2;
}
routing-instance HA;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.1/32;
}
}
unit 20 {
family inet;
family inet6;
service-domain inside;
}
unit 30 {
family inet;
family inet6;
service-domain outside;
}
}
}
Configurar la información de enrutamiento para el chasis 1
Procedimiento paso a paso
La configuración de enrutamiento detallada no se incluye en este ejemplo. Se requiere una instancia de enrutamiento para el tráfico de sincronización de AD entre el chasis de la siguiente manera:
Configure instancias de enrutamiento para el chasis 1.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2
Resultados
user@host# show routing-instances
HA {
instance-type vrf;
interface ge-2/0/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.1/32 next-hop ms-4/0/0.10;
route 5.5.5.2/32 next-hop 20.1.1.2;
}
}
}
Configuración de TDR y firewall de estado para el chasis 1
Procedimiento paso a paso
Configure TDR y firewall de estado de manera idéntica en ambos enrutadores. Para configurar TDR y firewall de estado:
Configure TDR según sea necesario.
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
Configure el firewall de estado según sea necesario.
user@host# set services stateful-firewall rule r2 match-direction input user@host# set services stateful-firewall rule r2 term t1 from source-address any-unicast user@host# set services stateful-firewall rule r2 term t1 then accept user@host# set services stateful-firewall rule r2 term t1 then syslog
Resultados
user@host# show services nat
nat {
pool p2 {
address 32.0.0.0/24;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule r2 {
match-direction input;
term t1 {
from {
source-address {
129.0.0.0/8;
128.0.0.0/8;
}
}
then {
translated {
source-pool p2;
translation-type {
napt-44;
}
address-pooling paired;
}
syslog;
}
}
}
}
}
user@host show services stateful-firewell
rule r2 {
match-direction input;
term t1 {
from {
source-address {
any-unicast;
}
}
then {
accept;
syslog;
}
}
}
Configuración del conjunto de servicios
Procedimiento paso a paso
Configure el conjunto de servicios de manera idéntica en ambos enrutadores. Para configurar el conjunto de servicios:
Configure las opciones de replicación del conjunto de servicios.
user@host# set services service-set ss2 replicate-services replication-threshold 180 user@host# set services service-set ss2 replicate-services stateful-firewall user@host# set services service-set ss2 replicate-services nat
Configure referencias a TDR y reglas de firewall de estado para el conjunto de servicios.
user@host# set services service-set ss2 stateful-firewall-rules r2 user@host# set services service-set ss2 nat-rules r2
Configure la interfaz de servicio del siguiente salto en el MS-PIC.
user@host# set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
Configure las opciones de registro deseadas.
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class stateful-firewall-logs user@host# set services service-set ss2 syslog host local class nat-logs
Resultados
user@host# show services service-set ss2
syslog {
host local {
class {
session-logs;
inactive: stateful-firewall-logs;
nat-logs;
}
}
}
replicate-services {
replication-threshold 180;
stateful-firewall;
nat;
}
stateful-firewall-rules r2;
inactive: nat-rules r2;
next-hop-service {
inside-service-interface ms-3/0/0.20;
outside-service-interface ms-3/0/0.30;
}
}
Configuración de interfaces para el chasis 2
Procedimiento paso a paso
Las interfaces para cada uno de los pares de enrutadores de AD se configuran de manera idéntica, con la excepción de las siguientes opciones de PIC de servicio:
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addressde una unidad, distinta de 0, que contiene laip-address-owner service-planeopción
Configure la PIC de servicio redundante en el chasis 2.
Los
redundancy-peer ipaddresspuntos a la dirección de la unidad (unidad 10) en ms-4/0/0 en chasis en chasis 1 que contiene laip-address-owner service-planeinstrucción.[edit interfaces} set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
Configure las interfaces para el chasis 2 que se utilizan como vínculos de interchasis para el tráfico de sincronización
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
Configure las interfaces restantes para el chasis 2 según sea necesario.
Resultados
user@host# show interfaces
ms-4/0/0 {
redundancy-options {
redundancy-peer {
ipaddress 5.5.5.1;
}
routing-instance HA;
}
unit 0 {
family inet;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.2/32;
}
}
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.2/24;
}
}
unit 10 {
vlan-id 10;
family inet {
address 2.10.1.2/24;
}
Configurar la información de enrutamiento para el chasis 2
Procedimiento paso a paso
La configuración de enrutamiento detallada no se incluye en este ejemplo. Se requiere una instancia de enrutamiento para el tráfico de sincronización de AD entre los dos chasis y se incluye aquí.
Configure instancias de enrutamiento para el chasis 2.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1
Nota:Los siguientes pasos de configuración son idénticos a los que se muestran para el chasis 1.
Configuración de TDR y firewall stateful
Configuración del conjunto de servicios
Resultados
user@host# show services routing-instances
HA {
instance-type vrf;
interface xe-2/2/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.2/32 next-hop ms-4/0/0.10;
route 5.5.5.1/32 next-hop 20.1.1.1;
}
}