Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar un clúster de chasis de firewall virtual vSRX en Junos OS

Descripción general del clúster de chasis

El clúster de chasis agrupa un par del mismo tipo de instancias de firewall virtual vSRX en un clúster para proporcionar redundancia del nodo de red. Las instancias de firewall virtual vSRX en un clúster de chasis deben ejecutar la misma versión de Junos OS y cada instancia se convierte en un nodo en el clúster de chasis. Las interfaces virtuales de control se conectan en los nodos respectivos para formar un plano de control que sincroniza la configuración y el estado del kernel de Junos OS en ambos nodos del clúster. El vínculo de control (una red virtual o vSwitch) facilita la redundancia de interfaces y servicios. De manera similar, conecte el plano de datos en los nodos respectivos a través de las interfaces virtuales de estructura para formar un plano de datos unificado. El vínculo de estructura (una red virtual o vSwitch) permite la administración del procesamiento de flujo entre nodos y la administración de la redundancia de sesión.

El software del plano de control funciona en modo activo/pasivo. Cuando se configura como un clúster de chasis, un nodo actúa como principal y el otro como secundario para garantizar la tolerancia a fallos de estado de procesos y servicios en caso de que se produzca un error de sistema o de hardware en el principal. Si se produce un error en el principal, el secundario se encarga del procesamiento del tráfico del plano de control.

Nota:

Si configura un clúster de chasis en dos hosts, desactive igmp-snooping en el puente al que pertenece cada interfaz física de host y que utilizan las NIC virtuales de control (vNIC). Esto garantiza que ambos nodos en el clúster de chasis reciban el latido del vínculo de control.

El plano de datos del clúster de chasis funciona en modo activo/activo. En un clúster de chasis, el plano de datos actualiza la información de la sesión a medida que el tráfico atraviesa cualquiera de los nodos y transmite información entre los nodos a través del vínculo de estructura para garantizar que las sesiones establecidas no se interrumpan cuando se produce una tolerancia a fallos. En el modo activo/activo, el tráfico puede entrar en el clúster por un nodo y salir del otro.

La funcionalidad del clúster de chasis incluye:

  • Arquitectura de sistema resistente, con un único plano de control activo para todo el clúster y múltiples motores de reenvío depaquetes. Esta arquitectura presenta una vista del clúster para un solo dispositivo.

  • Sincronización de la configuración y los estados dinámicos de tiempo de ejecución entre nodos dentro de un clúster.

  • Supervisión de interfaces físicas y tolerancia a fallos si los parámetros de error cruzan un umbral configurado.

  • Compatibilidad con túneles de encapsulación de enrutamiento genérico (GRE) e IP sobre IP (IP-IP) que se usan para enrutar el tráfico IPv4 o IPv6 encapsulado por medio de dos interfaces internas, gr-0/0/0 e ip-0/0/0, respectivamente. Junos OS crea estas interfaces al iniciar el sistema y las utiliza únicamente para procesar túneles GRE e IP-IP.

En un instante dado, un nodo de clúster puede encontrarse en uno de los siguientes estados: retención, principal, retención secundaria, secundario, no elegible o deshabilitado. Varios tipos de eventos, como el monitoreo de interfaces, el monitoreo de unidades de procesamiento de servicios (SPU), errores y conmutaciones por error manuales, pueden desencadenar una transición de estado.

Habilitar la formación de clústeres de chasis

Cree dos instancias de firewall virtual vSRX para formar un clúster de chasis y, luego, establezca el ID de clúster y el ID de nodo en cada instancia para unirse al clúster. Cuando una instancia de firewall virtual vSRX se une a un clúster, se convierte en un nodo de ese clúster. Con la excepción de la configuración de nodo único y las direcciones IP de administración, los nodos de un clúster comparten la misma configuración.

Puede desplegar hasta 255 clústeres de chasis en un dominio de capa 2 . Los clústeres y los nodos se identifican de las siguientes maneras:

  • El ID del clúster (un número del 1 al 255) identifica el clúster.

  • El ID de nodo (un número del 0 al 1) identifica el nodo del clúster.

Generalmente, en los firewalls de la serie SRX, el ID de clúster y el ID de nodo se escriben en EEPROM. En la instancia de Firewall virtual vSRX, el firewall virtual vSRX almacena y lee los ID de boot/loader.conf y utiliza los ID para inicializar el clúster de chasis durante el inicio.

Requisitos previos

Asegúrese de que sus instancias de firewall virtual vSRX cumplan con los siguientes requisitos previos antes de habilitar la agrupación en clústeres del chasis:

  • Ha confirmado una configuración básica para ambas instancias de firewall virtual vSRX que forman el clúster de chasis. Consulte Configurar vSRX mediante la CLI.

  • Úselo show version en Junos OS para asegurarse de que ambas instancias de firewall virtual vSRX tengan la misma versión de software.

  • Úselo show system license en Junos OS para asegurarse de que ambas instancias de Firewall virtual vSRX tengan las mismas licencias instaladas.

Debe establecer el mismo ID de clúster de chasis en cada nodo de firewall virtual vSRX y reiniciar la máquina virtual de firewall virtual vSRX para habilitar la formación de clústeres de chasis.

  1. En el modo de comando operativo, establezca el ID de clúster de chasis y el número de nodo en el nodo 0 del firewall virtual vSRX.
  2. En el modo de comando operativo, establezca el ID del clúster de chasis y el número de nodo en el nodo 1 del firewall virtual vSRX.
Nota:

La nomenclatura y asignación de interfaz de firewall virtual vSRX a vNIC cambia cuando se habilita la agrupación en clústeres del chasis. Consulte Requisitos para vSRX en KVM para obtener un resumen de los nombres y asignaciones de interfaz para un par de máquinas virtuales de firewall virtual vSRX en un clúster (nodo 0 y nodo 1).

Configuración rápida del clúster de chasis con J-Web

Para configurar un clúster de chasis desde J-Web:

  1. Introduzca la dirección IP de la interfaz del nodo 0 del firewall virtual vSRX en un navegador web.
  2. Escriba el nombre de usuario y la contraseña del firewall virtual vSRX y haga clic en Iniciar sesión. Aparecerá el panel de control de J-Web.
  3. Haga clic en Asistentes de configuración> Configuración de clúster (HA) en el panel izquierdo. Aparecerá el asistente de configuración de clúster de chasis. Siga los pasos del asistente de instalación para configurar el ID de clúster y los dos nodos del clúster, y para comprobar la conectividad.
    Nota:

    Utilice el icono de Ayuda integrado en J-Web para obtener más información sobre el asistente de configuración de clúster de chasis.
    Nota:

    Vaya a Configurar>Configuración del dispositivo>Configuración del clúster (HA) desde Junos OS versión 18.1 y posteriores para configurar la configuración del clúster de chasis.
  4. Configure el nodo secundario Node1 seleccionando Sí, esta es la unidad secundaria que se va a configurar (Nodo 1) mediante el botón de opción.
  5. Haga clic en Siguiente.
  6. Especifique los ajustes como Introducir contraseña, Volver a introducir contraseña, IP FXP0 del nodo 0 e IP FXP0 del nodo 1 para el acceso al nodo secundario.
  7. Haga clic en Siguiente.
  8. Seleccione el puerto de control y el puerto de la estructura de la unidad secundaria.
  9. Haga clic en Siguiente.
  10. (Opcional) Seleccione Guardar un archivo de copia de seguridad antes de continuar con el apagado usando la casilla de verificación para volver a configurarlo para el clúster de chasis.
  11. Haga clic en Siguiente.
  12. Haga clic en Apagar y continúe conectándose con otra unidad.
  13. Haga clic en Actualizar navegador.
  14. Configure el nodo principal Nodo0 seleccionando No, esta es la unidad principal que se va a configurar (Nodo 0) para configurar la unidad principal y establecer una configuración de clúster de chasis.
  15. Haga clic en Siguiente.
  16. Especifique los ajustes como Introducir contraseña, Volver a introducir contraseña, Nodo 0 FXP0 IP y Nodo 1 FXP0 IP para el acceso al nodo principal.
  17. Haga clic en Siguiente para reiniciar la unidad principal.
  18. (Opcional) Seleccione Guardar un archivo de copia de seguridad antes de continuar con el apagado para guardar un archivo de copia de seguridad de la configuración actual antes de continuar.
  19. Haga clic en Reiniciar y continuar. Después de completar el reinicio, encienda la unidad secundaria para establecer la conexión del clúster de chasis.
  20. Inicie sesión en la consola del dispositivo y agregue una ruta estática para obtener acceso a J-Web.
  21. Inicie sesión en J-Web y haga clic en Asistentes de configuración> Configuración de clúster (HA) en el panel izquierdo. Aparecerá el asistente de configuración de clúster de chasis.
  22. Haga clic en Siguiente para conectar la unidad principal.
  23. Configure las opciones básicas: Cliente DHCP, dirección IP, puerta de enlace predeterminada, nodo de interfaz miembro 0, nodo de interfaz miembro 1.
  24. Haga clic en Siguiente para completar la configuración del clúster de chasis.
  25. Haga clic en Finalizar para salir del asistente. Puede acceder al nodo principal mediante J-Web.

Configuración manual de un clúster de chasis con J-Web

Puede utilizar la interfaz J-web para configurar el nodo principal 0 instancia de firewall virtual vSRX en el clúster. Una vez que haya establecido los ID de clúster y nodo y reiniciado cada firewall virtual vSRX, la siguiente configuración se sincronizará automáticamente con la instancia del firewall virtual vSRX del nodo secundario 1.

Seleccione Configurar> clúster de chasis>configuración de clúster. Aparecerá la página de configuración del clúster de chasis.

Nota:

Vaya a Configurar>Configuración del dispositivo>Configuración del clúster (HA) desde Junos OS versión 18.1 y posteriores para configurar la configuración del clúster de alta disponibilidad.

En la tabla 1 se explica el contenido de la pestaña Configuración del clúster con alta disponibilidad.

En la Tabla 2 se explica cómo editar la pestaña Configuración del nodo.

En la tabla 3 se explica cómo agregar o editar la tabla interfaces de clúster con alta disponibilidad.

En la tabla 4 se explica cómo agregar o editar la tabla Grupos de redundancia de clúster con alta disponibilidad.

Tabla 1: Página de configuración del clúster de chasis

Campo

Función

Configuración de nodos

ID de nodo

Muestra el ID del nodo.

ID de clúster

Muestra el ID de clúster configurado para el nodo.

Nombre de host

Muestra el nombre del nodo.

Enrutador de respaldo

Muestra el enrutador utilizado como puerta de enlace mientras el motor de enrutamiento está en estado secundario para el grupo de redundancia 0 en un clúster de chasis.

Interfaz de administración

Muestra la interfaz de administración del nodo.

Dirección IP

Muestra la dirección IP de administración del nodo.

Estado

Muestra el estado del grupo de redundancia.

  • El grupo de redundancia principal está activo.

  • El grupo de redundancia secundaria es pasivo.

Clúster de chasis>configuraciones >interfaces de clúster de alta disponibilidad

Nombre

Muestra el nombre de la interfaz física.

Interfaces de miembro/dirección IP

Muestra el nombre de la interfaz miembro o la dirección IP configurada para una interfaz.

Grupo de redundancia

Muestra el grupo de redundancia.

Clúster de chasis>configuración de clúster de alta disponibilidad>grupo de redundancia

Grupo

Muestra el número de identificación del grupo de redundancia.

Adelantarse

Muestra la opción de preferencia seleccionada.

  • Verdadero: el rol principal se puede adelantar en función de la prioridad.

  • Falso: el rol principal no se puede adelantar en función de la prioridad.

Recuento de ARP gratuito

Muestra el número de solicitudes ARP (Protocolo de resolución de direcciones) gratuitas que un dispositivo principal recién elegido en un clúster de chasis envía para anunciar su presencia a los demás dispositivos de red.

Prioridad de nodo

Muestra la prioridad asignada para el grupo de redundancia en ese nodo. El nodo elegible con la prioridad más alta se elige como principal para el grupo redundante.

Tabla 2: Editar detalles de configuración de configuración de nodos

Campo

Función

Acción

Configuración de nodos

Nombre de host

Especifica el nombre del host.

Escriba el nombre del host.

Enrutador de respaldo

Muestra el dispositivo utilizado como puerta de enlace mientras el motor de enrutamiento está en el estado secundario para el grupo de redundancia 0 en un clúster de chasis.

Introduzca la dirección IP del enrutador de respaldo.

Destino

IP

Agrega la dirección de destino.

Haga clic en Agregar.

Eliminar

Elimina la dirección de destino.

Haga clic en Eliminar.

Interfaz

Interfaz

Especifica las interfaces disponibles para el enrutador.

Nota:

Le permite agregar y editar dos interfaces para cada vínculo de estructura.

Seleccione una opción.

IP

Especifica la dirección IP de la interfaz.

Ingrese la dirección IP de la interfaz.

Añadir

Agrega la interfaz.

Haga clic en Agregar.

Eliminar

Elimina la interfaz.

Haga clic en Eliminar.
Tabla 3: Agregar detalles de configuración de interfaz de clúster de alta disponibilidad

Campo

Función

Acción

estructura Vínculo > estructura Vínculo 0 (fab0)

Interfaz

Especifica el vínculo de estructura 0.

Ingrese el vínculo de estructura IP 0 de la interfaz.

Añadir

Agrega la interfaz de estructura 0.

Haga clic en Agregar.

Eliminar

Elimina la interfaz de estructura 0.

Haga clic en Eliminar.

Vínculo estructura > estructura Vínculo 1 (fab1)

Interfaz

Especifica el vínculo de estructura 1.

Ingrese la IP de interfaz para el vínculo de estructura 1.

Añadir

Agrega interfaz de estructura 1.

Haga clic en Agregar.

Eliminar

Elimina la interfaz de estructura 1.

Haga clic en Eliminar.

Ethernet redundante

Interfaz

Especifica una interfaz lógica que consta de dos interfaces Ethernet físicas, una en cada chasis.

Introduzca la interfaz lógica.

IP

Especifica una dirección IP Ethernet redundante.

Ingrese una dirección IP Ethernet redundante.

Grupo de redundancia

Especifica el número de ID del grupo de redundancia en el clúster de chasis.

Seleccione un grupo de redundancia de la lista.

Añadir

Agrega una dirección IP Ethernet redundante.

Haga clic en Agregar.

Eliminar

Elimina una dirección IP Ethernet redundante.

Haga clic en Eliminar.
Tabla 4: Agregar detalles de configuración de grupos de redundancia

Campo

Función

Acción

Grupo de redundancia

Especifica el nombre del grupo de redundancia.

Escriba el nombre del grupo de redundancia.

Permitir la preferencia de la primaria.

Permite que un nodo con una prioridad mejor inicie una tolerancia a fallos para un grupo de redundancia.

Nota:

De forma predeterminada, esta función está deshabilitada. Cuando está deshabilitado, un nodo con una prioridad mejor no inicia una conmutación por tolerancia a fallos del grupo de redundancia (a menos que algún otro factor, como una conectividad de red defectuosa identificada para interfaces supervisadas, provoque una conmutación por tolerancia a fallos).

Recuento de ARP gratuito

Especifica el número de solicitudes gratuitas del Protocolo de resolución de direcciones que una principal recién elegida envía en los vínculos secundarios de interfaz Ethernet redundantes activos para notificar a los dispositivos de red un cambio en la función principal en los vínculos de interfaz Ethernet redundantes.

Introduzca un valor del 1 al 16. El valor predeterminado es 4.

prioridad del nodo 0

Especifica el valor de prioridad de node0 para un grupo de redundancia.

Escriba el número de prioridad del nodo como 0.

Prioridad del nodo 1

Especifica el valor de prioridad del nodo 1 para un grupo de redundancia.

Seleccione el número de prioridad del nodo como 1.

Monitor de interfaz

    

Interfaz

Especifica el número de interfaces Ethernet redundantes que se van a crear para el clúster.

Seleccione una interfaz de la lista.

Peso

Especifica el peso de la interfaz que se va a supervisar.

Introduzca un valor del 1 al 125.

Añadir

Agrega interfaces que el grupo de redundancia supervisará junto con sus respectivos pesos.

Haga clic en Agregar.

Eliminar

Elimina las interfaces que va a supervisar el grupo de redundancia junto con sus respectivos pesos.

Seleccione la interfaz en la lista configurada y haga clic en Eliminar.

Monitoreo de IP

Peso

Especifica el peso global para la supervisión IP.

Introduzca un valor de 0 a 255.

Umbral

Especifica el umbral global para la supervisión de IP.

Introduzca un valor de 0 a 255.

Recuento de reintentos

Especifica el número de reintentos necesarios para declarar un error de accesibilidad.

Introduzca un valor del 5 al 15.

Intervalo de reintento

Especifica el intervalo de tiempo en segundos entre reintentos.

Introduzca un valor del 1 al 30.

Direcciones IPV4 que se deben monitorear

IP

Especifica la accesibilidad de las direcciones IPv4 que se deben supervisar.

Ingrese las direcciones IPv4.

Peso

Especifica el peso de la interfaz de grupo de redundancia que se va a supervisar.

Introduzca el peso.

Interfaz

Especifica la interfaz lógica a través de la cual se debe supervisar esta dirección IP.

Escriba la dirección de interfaz lógica.

Dirección IP secundaria

Especifica la dirección de origen para supervisar paquetes en un vínculo secundario.

Ingrese la dirección IP secundaria.

Añadir

Agrega la dirección IPv4 que se va a monitorear.

Haga clic en Agregar.

Eliminar

Elimina la dirección IPv4 que se va a monitorear.

Seleccione la dirección IPv4 de la lista y haga clic en Eliminar.

Ver también