Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Активно-пассивное развертывание кластеров шасси

Аналитика кластера активно-пассивного кластера шасси

В этом случае для маршрутизации всего трафика используется одно устройство в кластере, в то время как другое устройство используется только в случае сбоя ( см. рисунок 1). Когда возникает сбой, резервное устройство становится первичным и контролирует всю переадресации.

Рис. 1. Активно-пассивный кластер Active/Passive Chassis Cluster Scenario шасси

Кластер активного/пассивного шасси может быть достигнут благодаря использованию резервных Ethernet-интерфейсов (reths), которые предназначены для одной группы резервирования. Если какой-либо из интерфейсов активной группы в узле выходит из строя, группа объявляется неактивной, а все интерфейсы группы перемежаются на другой узел.

Такая конфигурация минимизирует трафик по ip-фабрике, поскольку только один узел кластера переадресирует трафик в любой момент времени.

Пример: настройка активно-пассивного кластера шасси на устройствах SRX5800

В этом примере показано, как настроить базовую кластеризацию активно-пассивного шасси на устройствах SRX5800.

Требования

Прежде чем начать:

  • Для отправки сквозного трафика данных вам нужны два шлюза сервисов SRX5800 с идентичными аппаратными конфигурациями и по желанию один граничный маршрутизатор MX240 и один Ethernet-коммутатор EX8208.

  • Физическое подключение двух устройств (возврат к задней сети для IP-фабрики и портов управления) и обеспечение того, чтобы они были одинаковыми моделями.

  • Перед формированием кластера необходимо настроить порты управления для каждого устройства, а также назначить идентификатор кластера и идентификатор узла каждому устройству, а затем перезагрузить. Когда системные сапоги, оба узла приходят в качестве кластера.

    Настройка портов управления требуется для устройств SRX5400, SRX5600 и SRX5800.

Теперь устройства представляют собой пару. С этой точки зрения конфигурация кластера синхронизирована между членами узла, а два отдельных устройства работают как одно устройство.

Обзор

На этом примере показано, как настроить базовую кластеризацию активно-пассивного шасси на устройстве серии SRX. Основным активным/пассивным примером является наиболее распространенный тип кластера шасси.

Базовый кластер активно-пассивного шасси состоит из двух устройств:

  • Одно устройство активно предоставляет сервисы маршрутизации, межсетевого экрана, NAT, VPN и безопасности, а также поддерживает контроль над кластером шасси.

  • Другое устройство пассивно поддерживает свое состояние для возможностей аварийного переключения кластеров в случае, если активное устройство станет неактивным.

Этот пример активно-пассивного режима для шлюза сервисов SRX5800 не описывает подробно разных конфигураций, таких как настройка NAT, политик безопасности или VPN. Они по сути одинаковы для автономных конфигураций. Однако, если вы выполняете прокси-сервер ARP в конфигурациях кластеров шасси, вы должны применять конфигурации прокси-сервера ARP к интерфейсам reth, а не к интерфейсам членов, потому что интерфейсы RETH удерживают логические конфигурации. См . настройку прокси-сервера ARP для ПРОЦЕДУРЫ NAT (CLI). Вы также можете настроить отдельные конфигурации логических интерфейсов с помощью сетей VLAN и магистральных интерфейсов в шлюзе сервисов SRX5800. Эти конфигурации аналогичны автономным реализациям с использованием сетей VLAN и магистральных интерфейсов.

На рис. 2 показана топология, используемая в этом примере.

Рис. 2. Базовая кластеризация активно-пассивного шасси на примере Basic Active/Passive Chassis Clustering on an SRX Series Device Topology Example топологии устройств серии SRX

Конфигурации

Настройка портов управления и создание кластерного режима

Быстрая настройка командной строки

Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.

На {primary:узле0}

(Необязательно) Чтобы быстро настроить коммутатор ядра EX8208, копируйте следующие команды, вставьте их в текстовый файл, удаляйте любые перерывы в строке, изменяйте любые детали, необходимые для соответствия конфигурации сети, копируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.

На {primary:узле0}

(Необязательно) Чтобы быстро настроить граничный маршрутизатор MX240, копируйте следующие команды, вставьте их в текстовый файл, удаляйте любые перерывы в строке, изменяйте любые детали, необходимые для соответствия конфигурации сети, копируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.

На {primary:узле0}

Пошаговая процедура

Следующий пример требует навигации по различным уровням в иерархии конфигурации.

Для настройки кластера шасси на устройстве серии SRX:

В кластерном режиме конфигурация синхронизирована по каналу управления между узлами при выполнении commit команды. Все команды применяются к обоим узлам независимо от того, с какого устройства настроена команда.

  1. Настраивайте как автономные устройства, так и резервную конфигурацию назначения маршрутизатора, чтобы обеспечить доступ к управлению на резервном узле после того, как устройство будет работать в кластерном режиме. Доступ к основному узлу соединен с помощью маршрутизации на первичном узле.

  2. Поскольку кластерная конфигурация кластера шлюзов сервисов серии SRX5000 содержится в одной общей конфигурации, для назначения некоторых элементов конфигурации только определенному члену, необходимо использовать метод конфигурации, характерный для узлов ОС Junos, называемый группами. Команда set apply-groups ${node} использует переменную узла для определения того, как группы применяются к узлам, каждый узел распознает его число и принимает конфигурацию соответственно. Вы также должны настроить внедиапационное управление на интерфейсе fxp0 шлюза сервисов серии SRX5000 с помощью отдельных IP-адресов для отдельных плоскостей управления кластера.

    Не разрешается настраивать резервный адрес маршрутизатора, поскольку x.x.x.0/0.

    Указанные выше узла группы 0 и узл1 настроены, но не применяются. После того как устройство находится в кластере, эти команды применяются с помощью set apply-groups “${node}”.

  3. Настраивайте порт управления для каждого устройства и фиксируйте конфигурацию.

    Обеспечьте физическое подключение к каналу управления между картами SPC на обоих узлах в соответствии с конфигурацией.

    Порты управления производятся на основе местоположения SPC в шасси, а компенсируемая стоимость основана на платформе. В приведенном ниже примере SPC присутствует в слоте дохода 1 и, поскольку смещение SRX5800 составляет 12, порты управления 1, 13. Вы можете просматривать значение Offset для конкретной платформы с помощью “jwhoami -c” команды в режиме оболочки. Необходимо ввести следующие команды на обоих устройствах. Например:

    • На узле 0:

    • На узле 1:

  4. Установите два устройства в кластерный режим. Перезагрузка требуется для вступления в кластерный режим после настройки идентива кластера и Идент-узла. Вы можете заставить систему автоматически загружаться, включив reboot параметр в командную строку КОМАНДной строки. Необходимо ввести команды в рабочем режиме на обоих устройствах. Например:

    • На узле 0:

    • На узле 1:

    Иденфикатор кластера должен быть одинаковым на обоих устройствах в кластере, но идента узла должна быть другой, потому что одно устройство — узел 0, а другое — узел 1. Диапазон для ИД кластера — от 1 до 255. Установка кластерного ИД на 0 равнозначна отключению кластера. Однако рекомендуется использовать set chassis cluster disable для отрыва узлов от кластера.

  5. Используйте следующие команды для настройки главного узла 0. Узел 1 недоступен до тех пор, пока не будет совершено конфигурация узла. Узел 0 автоматически синхронизирует конфигурацию через порт управления с узлом 1, и для явной настройки узла 1 не требуется.

  6. Настраивайте группы резервирования для кластеризации шасси. Каждый узел имеет интерфейсы в группе резервирования, где интерфейсы активны в группах активного резервирования (несколько активных интерфейсов могут существовать в одной группе резервирования). Группа резервирования 0 контролирует плоскость управления и группу резервирования 1+ контролирует плоскость данных и включает в себя порты плоскости данных. В этом примере активно-пассивного режима активен только один элемент кластера шасси, поэтому необходимо определить только группы резервирования 0 и 1. Помимо групп резервирования, вы также должны определить:

    • Резервные группы Ethernet — настраивайте количество резервных Ethernet-интерфейсов (каналов участников) на устройстве, чтобы система была способна распределять для него соответствующие ресурсы.

    • Приоритет плоскости управления и плоскости данных: определение приоритета устройства (для кластера шасси, высокоприоритетное) для плоскости управления и какое устройство предпочтительнее быть активным для плоскости данных.

      • В активно-пассивном или активном режиме плоскость управления (группа резервирования 0) может быть активной на шасси, отличном от шасси плоскости данных (группа резервирования 1 и группы). Однако для этого примера мы рекомендуем активно использовать и плоскость управления, и плоскость данных на одном шасси. Когда трафик проходит через IP-фабрику, чтобы перейти к другому узлу участника, вводится задержка (трафик в режиме z line).

      • На устройствах серии SRX (линейка SRX5000) VPN-подключение по протоколу IPsec не поддерживается в кластерной конфигурации активно-активного шасси (то есть при наличии нескольких групп резервирования RG1).

  7. Настраивайте порты IP-фабрики (данных) кластера, которые используются для передачи RTO в активно-пассивном режиме. Для этого примера используйте один из портов прибыли. Определение двух интерфейсов IP-фабрики, по одному на каждом шасси, для совместного подключения.

    Настраивайте интерфейсы данных на платформе, чтобы в случае аварийного аварийного переключения в плоскости данных другой участник кластера шасси сможет беспрепятственно контролировать соединение. Плавный переход на новый активный узел произойдет при аварийном переключении плоскости данных. В случае аварийного переключения плоскости управления все демоны перезапускаются на новом узле, что позволяет изящно перезапустить, чтобы избежать потери соседства со сверстниками (ospf, bgp). Это способствует плавному переходу на новый узел без потери пакетов.

    Необходимо определить следующие элементы:

    • Определяйте информацию о членстве в интерфейсах участника с помощью интерфейса reth.

    • Определяйте группу резервирования, в которой состоит интерфейс reth. Для этого активно-пассивного примера всегда 1.

    • Определение информации об интерфейсе reth, такой как IP-адрес интерфейса.

  8. (Необязательно) Настройте кластерное поведение шасси в случае сбоя. Для шлюза сервисов SRX5800 порог аварийного переключения установлен в 255. Вы можете изменить вес, чтобы определить влияние аварийного переключения шасси. Также необходимо настроить восстановление каналов управления. Восстановление автоматически приводит к перезагрузке дополнительного узла в случае сбоя канала управления, а затем вернуться в интернет. Введите эти команды на узле 0.

    Этот шаг завершает конфигурацию кластера шасси частью активно-пассивного режима, например для шлюза сервисов SRX5800. В остальной части этой процедуры описывается, как настроить зону, виртуальный маршрутизатор, маршрутизацию, коммутатор ядра EX8208 и граничный маршрутизатор MX240 для завершения сценария развертывания.

  9. (Необязательно) Настраивайте и подключайте интерфейсы reth к соответствующим зонам и виртуальным маршрутизаторам. На этом примере оставьте интерфейсы reth0 и reth1 в виртуальном маршрутизаторе по умолчанию inet.0, что не требует дополнительной конфигурации.

  10. (Необязательно) Для этого примера активно-пассивного режима из-за простой сетевой архитектуры используйте статические маршруты для определения пути к другим сетевым устройствам.

  11. (Необязательно) Для Ethernet-коммутатора EX8208 следующие команды предоставляют только очертания соответствующей конфигурации, поскольку она относится к этому активно-пассивному режиму для шлюза сервисов SRX5800; в первую очередь VLAN, маршрутизация и конфигурация интерфейсов.

  12. (Необязательно) Для граничного маршрутизатора MX240 следующие команды предоставляют только очертания соответствующей конфигурации, поскольку она относится к этому активно-пассивному режиму для шлюза сервисов SRX5800; прежде всего, вы должны использовать интерфейс IRB в виртуальном коммутаторе на коммутаторе.

Проверки

Подтвердите, что конфигурация работает правильно.

Проверка статуса кластера шасси

Цель

Проверка статуса кластера шасси, статуса аварийного переключения и информации группы резервирования.

Действий

Из эксплуатационного режима введите show chassis cluster status команду.

Проверка кластерных интерфейсов шасси

Цель

Проверка информации о кластерных интерфейсах шасси.

Действий

Из эксплуатационного режима введите show chassis cluster interfaces команду.

Проверка статистики кластеров шасси

Цель

Проверка информации об услугах кластера шасси и статистике каналов управления (сердцебиение, отправленное и полученное), статистических данных ip-фабрик (зонды, отправленные и полученные) и количестве сообщений о rtos, отправленных и полученных за услуги.

Действий

Из эксплуатационного режима введите show chassis cluster statistics команду.

Проверка статистики плоскости управления кластером шасси

Цель

Проверить информацию о статистике плоскости управления кластером шасси (сердцебиения, отправленные и полученные) и статистике каналов IP-фабрики (зонды, отправленные и полученные).

Действий

Из эксплуатационного режима введите show chassis cluster control-plane statistics команду.

Проверка статистики плоскости кластера данных шасси

Цель

Проверка информации о количестве отправленных и полученных для предоставления услуг ООО.

Действий

Из эксплуатационного режима введите show chassis cluster data-plane statistics команду.

Проверка статуса группы резервирования кластеров Шасси

Цель

Проверка состояния и приоритета как узлов в кластере, так и информации о том, был ли первичный узел упреждаемым или произошло ли ручное аварийное переключение.

Действий

Из эксплуатационного режима введите chassis cluster status redundancy-group команду.

Устранение неполадок с помощью журналов

Цель

Используйте эти журналы для выявления проблем кластеров шасси. Эти журналы должны запускаться на обоих узлах.

Действий

Из эксплуатационного режима введите эти show log команды.

Пример: настройка активно-пассивной кластерной пары шасси (SRX1500)

На этом примере показано, как настроить активно-пассивную кластеризацию шасси для устройства SRX1500.

Требования

Прежде чем начать:

  1. Физически соединяем пару устройств вместе, гарантируя, что они являются теми же моделями.

  2. Создайте канал IP-фабрики, подключив гигабитный Ethernet-интерфейс на одном устройстве к другому гигабитному Ethernet-интерфейсу на другом устройстве.

  3. Создайте контрольный канал, подключив порт управления двух устройств SRX1500.

  4. Подключайтесь к одному из устройств с помощью порта консоли. (Это узел, который формирует кластер.) и установить ИДЕНТ кластера и номер узла.

  5. Подключайтесь к другому устройству с помощью порта консоли и установите идентик кластера и номер узла.

Обзор

В этом примере для маршрутизации всего трафика используется одно устройство в кластере, а другое устройство используется только в случае сбоя. (См . рисунок 3.) Когда возникает сбой, резервное устройство становится первичным и контролирует всю переадресации.

Рис. 3. Топология Active/Passive Chassis Cluster Topology кластера активно-пассивного шасси

Можно создать кластер активно-пассивного шасси, настроив резервные Ethernet-интерфейсы (reths), которые предназначены для одной группы резервирования. Такая конфигурация минимизирует трафик по ip-фабрике, поскольку только один узел кластера переадресирует трафик в любой момент времени.

В этом примере вы настраиваете группу (применяя конфигурацию с командой apply-groups ) и информацию о кластере шасси. Затем вы настраиваете зоны безопасности и политики безопасности. См . таблицу с 1 по таблицу 4.

Таблица 1. Параметры конфигурации кластеров групп и шасси

Функция

Имя

Параметры конфигурации

Группы

узел0

  • Имя хоста: srx1500-A

  • Интерфейс: fxp0

    • Блок 0

    • 192.0.2.110/24

узел1

  • Имя хоста: srx1500-B

  • Интерфейс: fxp0

    • Блок 0

    • 192.0.2.111/24

Таблица 2. Параметры конфигурации кластера шасси

Функция

Имя

Параметры конфигурации

Каналы IP-фабрики

fab0

Интерфейс: ge-0/0/1

fab1

Интерфейс: ge-7/0/1

Интервал сердцебиения

1000

Порог сердцебиения

3

Группа резервирования

0

  • Приоритет:

    • Узел 0: 254

    • Узел 1: 1

1

  • Приоритет:

    • Узел 0: 254

    • Узел 1: 1

Мониторинг интерфейсов

  • ge-0/0/4

  • ge-7/0/4

  • ge-0/0/5

  • ge-7/0/5

Количество резервных Ethernet-интерфейсов

2

Интерфейсы

ge-0/0/4

Резервный родитель: reth0

ge-7/0/4

Резервный родитель: reth0

ge-0/0/5

Резервный родитель: reth1

ge-7/0/5

Резервный родитель: reth1

reth0

Группа резервирования: 1

  • Блок 0

  • 198.51.100.1/24

reth1

Группа резервирования: 1

  • Блок 0

  • 203.0.113.233/24

Таблица 3. Параметры конфигурации зон безопасности

Имя

Параметры конфигурации

Доверять

Интерфейс reth1.0 связан с этой зоной.

ненадежный

Интерфейс reth0.0 связан с этой зоной.

Таблица 4. Параметры конфигурации политики безопасности

Цель

Имя

Параметры конфигурации

Такая политика безопасности позволяет осуществлять трафик из целевой зоны в ненадежную зону.

ЛЮБОЙ

  • Критерии соответствия:

    • адрес источника любого

    • адрес назначения любого

    • приложение любое

  • Действие: разрешение

Конфигурации

Процедуры

Быстрая настройка командной строки

Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.

Пошаговая процедура

Для настройки активно-пассивного кластера шасси:

  1. Настройка интерфейса управления.

  2. Настраивайте интерфейс IP-фабрики.

  3. Настраивайте настройки сердцебиения.

  4. Настраивайте группы резервирования.

  5. Настраивайте резервные Ethernet-интерфейсы.

  6. Настраивайте зоны безопасности.

  7. Настраивайте политики безопасности.

Результаты

Из режима конфигурации подтвердите конфигурацию, введя show configuration команду. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.

Для краткости этот show выход команды включает в себя только конфигурацию, которая актуальна для этого примера. Любая другая конфигурация системы была заменена эллипсами (...).

Если настройка устройства завершена, введите commit его из режима конфигурации.

Проверки

Подтвердите, что конфигурация работает правильно.

Проверка статуса кластера шасси

Цель

Проверка статуса кластера шасси, статуса аварийного переключения и информации группы резервирования.

Действий

Из эксплуатационного режима введите show chassis cluster status команду.

Проверка кластерных интерфейсов шасси

Цель

Проверка информации о кластерных интерфейсах шасси.

Действий

Из эксплуатационного режима введите show chassis cluster interfaces команду.

Проверка статистики кластеров шасси

Цель

Проверка информации о синхронизации статистических данных разных объектов, а также приветот интерфейса IP-фабрики и интерфейса управления, а также о состоянии контролируемых интерфейсов в кластере.

Действий

Из эксплуатационного режима введите show chassis cluster statistics команду.

Проверка статистики плоскости управления кластером шасси

Цель

Проверить информацию о статистике плоскости управления кластером шасси (сердцебиения, отправленные и полученные) и статистике каналов IP-фабрики (зонды, отправленные и полученные).

Действий

Из эксплуатационного режима введите show chassis cluster control-plane statistics команду.

Проверка статистики плоскости кластера данных шасси

Цель

Проверка информации о количестве отправленных и полученных для предоставления услуг ООО.

Действий

Из эксплуатационного режима введите show chassis cluster data-plane statistics команду.

Проверка статуса группы резервирования кластеров Шасси

Цель

Проверка состояния и приоритета как узлов в кластере, так и информации о том, был ли первичный узел упреждаемым или произошло ли ручное аварийное переключение.

Действий

Из эксплуатационного режима введите chassis cluster status redundancy-group команду.

Устранение неполадок с помощью журналов

Цель

Используйте эти журналы для выявления проблем кластеров шасси. Эти журналы должны запускаться на обоих узлах.

Действий

Из эксплуатационного режима введите эти show команды.

Пример: настройка активно-пассивной кластерной пары шасси (J-Web)

  1. Обеспечение кластеризации. См. шаг 1 в примере: настройка активно-пассивной кластерной пары шасси (CLI).

  2. Настройка интерфейса управления. Пример этапа 2: настройка активно-пассивной кластерной пары шасси (CLI).

  3. Настраивайте интерфейс IP-фабрики. См. шаг 3 в примере: настройка активно-пассивной кластерной пары шасси (CLI).

  4. Настраивайте группы резервирования.

    • Выберите Configure>Chassis Cluster.

    • Введите следующую информацию, а затем нажмите Apply:

      1. Количество резервных Ether-интерфейсов: 2

      2. Интервал сердцебиения: 1000

      3. Порог сердцебиения: 3

      4. Узлов: 0

      5. Номер группы: 0

      6. Приоритеты: 100

    • Введите следующую информацию, а затем нажмите Apply:

      1. Узлов: 0

      2. Номер группы: 1

      3. Приоритеты: 1

    • Введите следующую информацию, а затем нажмите Apply:

      1. Узлов: 1

      2. Номер группы: 0

      3. Приоритеты: 100

  5. Настраивайте резервные Ethernet-интерфейсы.

    • Выберите Configure>Chassis Cluster.

    • Выберите ge-0/0/4.

    • Введите reth1 резервную коробку для родителей.

    • Нажмите Apply.

    • Выберите ge-7/0/4.

    • Введите reth1 резервную коробку для родителей.

    • Нажмите Apply.

    • Выберите ge-0/0/5.

    • Введите reth0 резервную коробку для родителей.

    • Нажмите Apply.

    • Выберите ge-7/0/5.

    • Введите reth0 резервную коробку для родителей.

    • Нажмите Apply.

    • Пример этапа 5 : настройка активно-пассивной кластерной пары шасси (CLI) для последних четырех настроек конфигурации.

  6. Настраивайте зоны безопасности. В примере см. этап 6: настройка активно-пассивной кластерной пары шасси (CLI).

  7. Настраивайте политики безопасности. Пример этапа 7: настройка активно-пассивной кластерной пары шасси (CLI).

  8. Нажмите, OK чтобы проверить конфигурацию и сохранить ее в качестве конфигурации кандидата, а затем нажмите Commit Options>Commit.

Понимание активно-пассивного кластера шасси с помощью туннеля IPsec

В этом случае одно устройство в кластере заканчивается в туннеле IPsec и используется для обработки всего трафика, в то время как другое устройство используется только в случае сбоя ( см. рисунок 4). Когда возникает сбой, резервное устройство становится первичным и контролирует всю переадресации.

Рис. 4. Кластер активно-пассивного шасси с помощью сценария туннеля IPsec (устройства серии SRX) Active/Passive Chassis Cluster with IPsec Tunnel Scenario (SRX Series Devices)

Кластер активного/пассивного шасси может быть достигнут благодаря использованию резервных Ethernet-интерфейсов (reths), которые предназначены для одной группы резервирования. Если какой-либо из интерфейсов активной группы в узле выходит из строя, группа объявляется неактивной, а все интерфейсы группы перемежаются на другой узел.

Эта конфигурация обеспечивает возможность завершения использования туннеля IPsec между объектами в активно-пассивном кластере, где в качестве конечной точки туннеля используется резервный интерфейс Ethernet. В случае сбоя резервный интерфейс Ethernet в резервном устройстве серии SRX становится активным, заставляя туннель менять конечные точки, чтобы завершить работу в новом активном устройстве серии SRX. Поскольку ключи туннеля и информация о сеансах синхронизируются между участниками кластера шасси, аварийное переключение не требует пересмотра туннеля и обслуживания всех установленных сеансов.

В случае отказа модуля маршрутизации RG0 протоколы маршрутизации необходимо восстановить на новом узле Первоначального общества. Если настраивается мониторинг VPN или обнаружение мертвого пиринга и истечет срок его действия до того, как маршрутизация перепроектируется в новых первичных сетях RG0, туннель VPN будет снесен и пересмотрен.

Динамические туннели не могут сбалансировать нагрузку между различными платами обработки сервисов.

Пример: настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec

В этом примере показано, как настроить активно-пассивную кластеризацию шасси с помощью туннеля IPsec для устройств серии SRX.

Требования

Прежде чем начать:

  • Получите две модели SRX5000 с идентичными аппаратными конфигурациями, одним устройством SRX1500 и четырьмя Ethernet-коммутаторами серии EX.

  • Физическое подключение двух устройств (возврат к задней сети для IP-фабрики и портов управления) и обеспечение того, чтобы они были одинаковыми моделями. Вы можете настроить ip-фабрику и порты управления на линейке SRX5000.

  • Установите два устройства в режим кластера и перезагрузить устройства. Например, необходимо ввести следующие команды в режиме эксплуатации на обоих устройствах:

    • На узле 0:

    • На узле 1:

    ИДЕНТ кластера одинаковый на обоих устройствах, но идента узла должна быть другой, потому что одно устройство — узел 0, а другое — узел 1. Диапазон для ИД кластера — от 1 до 255. Установка кластерного ИД на 0 равнозначна отключению кластера.

    Идентизация кластера, превысив 15, может быть установлена только тогда, когда ip-фабрика и интерфейсы каналов управления подключаются обратно к спине.

  • Получите две модели SRX5000 с идентичными аппаратными конфигурациями, один граничный маршрутизатор SRX1500 и четыре Ethernet-коммутатора серии EX.

  • Физическое подключение двух устройств (возврат к задней сети для IP-фабрики и портов управления) и обеспечение того, чтобы они были одинаковыми моделями. Вы можете настроить ip-фабрику и порты управления на линейке SRX5000.

С этого момента конфигурация кластера синхронизирована между членами узла, а два отдельных устройства работают как одно устройство. Конфигурации, характерные для членов (например, IP-адрес порта управления каждого члена) вводятся с помощью групп конфигурации.

Обзор

В этом примере одно устройство в кластере завершается в туннеле IPsec и используется для обработки всего трафика, а другое устройство используется только в случае сбоя. ( См. рисунок 5.) Когда возникает сбой, резервное устройство становится первичным и контролирует всю переадресации.

Рис. 5. Кластер активно-пассивного шасси с топологией туннелей IPsec (устройства серии SRX) Active/Passive Chassis Cluster with IPsec Tunnel Topology (SRX Series Devices)

В этом примере вы настраиваете группу (применяя конфигурацию с командой apply-groups ) и информацию о кластере шасси. Затем вы настраиваете IKE, IPsec, статический маршрут, зону безопасности и параметры политики безопасности. См . таблицу с 5 по таблицу 11.

Таблица 5. Параметры конфигурации кластеров групп и шасси

Функция

Имя

Параметры конфигурации

Группы

узел0

  • Имя хоста: SRX5800-1

  • Интерфейс: fxp0

    • Блок 0

    • 172.19.100.50/24

узел1

  • Имя хоста: SRX5800-2

  • Интерфейс: fxp0

    • Блок 0

    • 172.19.100.51/24

Таблица 6. Параметры конфигурации кластера Шасси

Функция

Имя

Параметры конфигурации

Каналы IP-фабрики

fab0

Интерфейс: xe-5/3/0

fab1

Интерфейс: xe-17/3/0

Количество резервных Ethernet-интерфейсов

2

Интервал сердцебиения

1000

Порог сердцебиения

3

Группа резервирования

0

  • Приоритет:

    • Узел 0: 254

    • Узел 1: 1

1

  • Приоритет:

    • Узел 0: 254

    • Узел 1: 1

Мониторинг интерфейсов

  • xe-5/0/0

  • xe-5/1/0

  • xe-17/0/0

  • xe-17/1/0

Интерфейсы

xe-5/1/0

Резервный родитель: reth1

xe-5/1/0

Резервный родитель: reth1

xe-5/0/0

Резервный родитель: reth0

xe-17/0/0

Резервный родитель: reth0

reth0

Группа резервирования: 1

  • Блок 0

  • 10.1.1.60/16

reth1

Группа резервирования: 1

  • Multipoint

  • Блок 0

  • 10.10.1.1/30

st0

  • Блок 0

  • 10.10.1.1/30

Таблица 7. Параметры конфигурации IKE

Функция

Имя

Параметры конфигурации

Предложение

стандарт, установленный на основе предложений

-

Политики

Предварительный

  • Режим: основной

  • Ссылка на предложение: стандарт, установленный в предложении

  • Метод аутентификации политик на этапе 1 IKE: предварительный общий ключ ascii-текст

Шлюза

SRX1500-1

  • Ссылка на политику IKE: в пересылке

  • Внешний интерфейс: reth0.0

  • Адрес шлюза: 10.1.1.90

Примечание:

При кластеризации шасси SRX поддерживаются только интерфейсы reth и lo0 для внешней конфигурации интерфейса IKE. Можно настроить и другие типы интерфейсов, но VPN-настрой IPsec может не сработать. Если в качестве внешнего интерфейса шлюза IKE используется логический интерфейс lo0, его невозможно настроить с помощью RG0.

Таблица 8. Параметры конфигурации IPsec

Функция

Имя

Параметры конфигурации

Предложение

стандарт, установленный на основе предложений

Политики

Std

VPN

SRX1500-1

  • Эталонный шлюз IKE: SRX1500-1

  • Ссылка на политику IPsec: std

  • Привязка к интерфейсу: st0.0

  • Мониторинг VPN: оптимизирован vpn-монитор

  • Установленные туннели: сразу же устанавливаются туннели

Примечание:

Имя VPN-подключений вручную и название шлюза между объектами не могут быть одинаковыми.

Таблица 9: Параметры статической конфигурации маршрута

Имя

Параметры конфигурации

0.0.0.0/0

Следующий переход: 10.2.1.1

10.3.0.0/16

Следующий переход: 10.10.1.2

Таблица 10: Параметры конфигурации зон безопасности

Имя

Параметры конфигурации

Доверять

  • Разрешены все системные сервисы.

  • Разрешены все протоколы.

  • Интерфейс reth0.0 связан с этой зоной.

ненадежный

  • Разрешены все системные сервисы.

  • Разрешены все протоколы.

  • Интерфейс reth1.0 связан с этой зоной.

Vpn

  • Разрешены все системные сервисы.

  • Разрешены все протоколы.

  • Интерфейс st0.0 связан с этой зоной.

Таблица 11: Параметры конфигурации политики безопасности

Цель

Имя

Параметры конфигурации

Такая политика безопасности позволяет осуществлять трафик из целевой зоны в ненадежную зону.

ЛЮБОЙ

  • Критерии соответствия:

    • адрес источника любого

    • адрес назначения любого

    • приложение любое

  • Действие: разрешение

Такая политика безопасности позволяет осуществлять трафик из целевой зоны в зону vpn.

vpn-any

  • Критерии соответствия:

    • адрес источника любого

    • адрес назначения любого

    • приложение любое

  • Действие: разрешение

Конфигурации

Процедуры

Быстрая настройка командной строки

Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.

Пошаговая процедура

Для настройки активно-пассивной пары кластеров шасси с туннелем IPsec:

  1. Настраивайте порты управления.

  2. Настройка интерфейса управления.

  3. Настраивайте интерфейс IP-фабрики.

  4. Настраивайте группы резервирования.

  5. Настраивайте резервные Ethernet-интерфейсы.

  6. Настройка параметров IPsec.

  7. Настраивайте статичные маршруты.

  8. Настраивайте зоны безопасности.

  9. Настраивайте политики безопасности.

Результаты

Из эксплуатационного режима подтверждайте конфигурацию, вступив в show configuration команду. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.

Для краткости этот show выход команды включает в себя только конфигурацию, которая актуальна для этого примера. Любая другая конфигурация системы была заменена эллипсами (...).

Если настройка устройства завершена, введите commit его из режима конфигурации.

Проверки

Подтвердите, что конфигурация работает правильно.

Проверка статуса кластера шасси

Цель

Проверка статуса кластера шасси, статуса аварийного переключения и информации группы резервирования.

Действий

Из эксплуатационного режима введите show chassis cluster status команду.

Проверка кластерных интерфейсов шасси

Цель

Проверить интерфейсы кластера шасси.

Действий

Из эксплуатационного режима введите show chassis cluster interfaces команду.

Проверка статистики кластеров шасси

Цель

Проверка информации об услугах кластера шасси и статистике каналов управления (сердцебиение, отправленное и полученное), статистических данных ip-фабрик (зонды, отправленные и полученные) и количестве сообщений о rtos, отправленных и полученных за услуги.

Действий

Из эксплуатационного режима введите show chassis cluster statistics команду.

Проверка статистики плоскости управления кластером шасси

Цель

Проверить информацию о статистике плоскости управления кластером шасси (сердцебиения, отправленные и полученные) и статистике каналов IP-фабрики (зонды, отправленные и полученные).

Действий

Из эксплуатационного режима введите show chassis cluster control-panel statistics команду.

Проверка статистики плоскости кластера данных шасси

Цель

Проверка информации о количестве отправленных и полученных для предоставления услуг ООО.

Действий

Из эксплуатационного режима введите show chassis cluster data-plane statistics команду.

Проверка статуса группы резервирования кластеров Шасси

Цель

Проверка состояния и приоритета как узлов в кластере, так и информации о том, был ли первичный узел упреждаемым или произошло ли ручное аварийное переключение.

Действий

Из эксплуатационного режима введите chassis cluster status redundancy-group команду.

Устранение неполадок с помощью журналов

Цель

Используйте эти журналы для выявления проблем кластеров шасси. Эти журналы должны запускаться на обоих узлах.

Действий

Из эксплуатационного режима введите эти show команды.

Пример: настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec (J-Web)

  1. Включаем кластеры. Пример этапа 1 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.

  2. Настройка интерфейса управления. Пример этапа 2 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.

  3. Настраивайте интерфейс IP-фабрики. Пример этапа 3 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.

  4. Настраивайте группы резервирования.

    • Выберите Configure>System Properties>Chassis Cluster.

    • Введите следующую информацию, а затем нажмите Apply:

      1. Количество резервных Ether-интерфейсов: 2

      2. Интервал сердцебиения: 1000

      3. Порог сердцебиения: 3

      4. Узлов: 0

      5. Номер группы: 0

      6. Приоритеты: 254

    • Введите следующую информацию, а затем нажмите Apply:

      1. Узлов: 0

      2. Номер группы: 1

      3. Приоритеты: 254

    • Введите следующую информацию, а затем нажмите Apply:

      1. Узлов: 1

      2. Номер группы: 0

      3. Приоритеты: 1

    • Введите следующую информацию, а затем нажмите Apply:

      1. Узлов: 1

      2. Номер группы: 1

      3. Приоритеты: 1

      4. Предварительная проверка: Выберите чек.

      5. Интерфейсный монитор — интерфейс: xe-5/0/0

      6. Интерфейсный монитор — масса: 255

      7. Интерфейсный монитор — интерфейс: xe-5/1/0

      8. Интерфейсный монитор — масса: 255

      9. Интерфейсный монитор — интерфейс: xe-17/0/0

      10. Интерфейсный монитор — масса: 255

      11. Интерфейсный монитор — интерфейс: xe-17/1/0

      12. Интерфейсный монитор — масса: 255

  5. Настраивайте резервные Ethernet-интерфейсы.

    • Выберите Configure>System Properties>Chassis Cluster.

    • Выберите xe-5/1/0.

    • Введите reth1 резервную коробку для родителей.

    • Нажмите Apply.

    • Выберите xe-17/1/0.

    • Введите reth1 резервную коробку для родителей.

    • Нажмите Apply.

    • Выберите xe-5/0/0.

    • Введите reth0 резервную коробку для родителей.

    • Нажмите Apply.

    • Выберите xe-17/0/0.

    • Введите reth0 резервную коробку для родителей.

    • Нажмите Apply.

    • Пример этапа 5 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.

  6. Настройка конфигурации IPsec. Например, см. этап 6 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.

  7. Настраивайте статические маршруты.

    • Выберите Configure>Routing>Static Routing.

    • Нажмите Add.

    • Введите следующую информацию, а затем нажмите Apply:

      1. Статический адрес маршрута: 0.0.0.0/0

      2. Следующие адреса: 10.2.1.1

    • Введите следующую информацию, а затем нажмите Apply:

      1. Статический адрес маршрута: 10.3.0.0/16

      2. Следующие адреса: 10.10.1.2

  8. Настраивайте зоны безопасности. Пример этапа 8 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.

  9. Настраивайте политики безопасности. Пример этапа 9 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.

  10. Нажмите, OK чтобы проверить конфигурацию и сохранить ее в качестве конфигурации кандидата, а затем нажмите Commit Options>Commit.