НА ЭТОЙ СТРАНИЦЕ
Пример: настройка активно-пассивного кластера шасси на устройствах SRX5800
Пример: настройка активно-пассивной кластерной пары шасси (SRX1500)
Пример: настройка активно-пассивной кластерной пары шасси (J-Web)
Понимание активно-пассивного кластера шасси с помощью туннеля IPsec
Пример: настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec
Пример: настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec (J-Web)
Активно-пассивное развертывание кластеров шасси
Аналитика кластера активно-пассивного кластера шасси
В этом случае для маршрутизации всего трафика используется одно устройство в кластере, в то время как другое устройство используется только в случае сбоя ( см. рисунок 1). Когда возникает сбой, резервное устройство становится первичным и контролирует всю переадресации.
шасси
Кластер активного/пассивного шасси может быть достигнут благодаря использованию резервных Ethernet-интерфейсов (reths), которые предназначены для одной группы резервирования. Если какой-либо из интерфейсов активной группы в узле выходит из строя, группа объявляется неактивной, а все интерфейсы группы перемежаются на другой узел.
Такая конфигурация минимизирует трафик по ip-фабрике, поскольку только один узел кластера переадресирует трафик в любой момент времени.
См. также
Пример: настройка активно-пассивного кластера шасси на устройствах SRX5800
В этом примере показано, как настроить базовую кластеризацию активно-пассивного шасси на устройствах SRX5800.
Требования
Прежде чем начать:
-
Для отправки сквозного трафика данных вам нужны два шлюза сервисов SRX5800 с идентичными аппаратными конфигурациями и по желанию один граничный маршрутизатор MX240 и один Ethernet-коммутатор EX8208.
-
Физическое подключение двух устройств (возврат к задней сети для IP-фабрики и портов управления) и обеспечение того, чтобы они были одинаковыми моделями.
-
Перед формированием кластера необходимо настроить порты управления для каждого устройства, а также назначить идентификатор кластера и идентификатор узла каждому устройству, а затем перезагрузить. Когда системные сапоги, оба узла приходят в качестве кластера.
Настройка портов управления требуется для устройств SRX5400, SRX5600 и SRX5800.
Теперь устройства представляют собой пару. С этой точки зрения конфигурация кластера синхронизирована между членами узла, а два отдельных устройства работают как одно устройство.
Обзор
На этом примере показано, как настроить базовую кластеризацию активно-пассивного шасси на устройстве серии SRX. Основным активным/пассивным примером является наиболее распространенный тип кластера шасси.
Базовый кластер активно-пассивного шасси состоит из двух устройств:
-
Одно устройство активно предоставляет сервисы маршрутизации, межсетевого экрана, NAT, VPN и безопасности, а также поддерживает контроль над кластером шасси.
-
Другое устройство пассивно поддерживает свое состояние для возможностей аварийного переключения кластеров в случае, если активное устройство станет неактивным.
Этот пример активно-пассивного режима для шлюза сервисов SRX5800 не описывает подробно разных конфигураций, таких как настройка NAT, политик безопасности или VPN. Они по сути одинаковы для автономных конфигураций. Однако, если вы выполняете прокси-сервер ARP в конфигурациях кластеров шасси, вы должны применять конфигурации прокси-сервера ARP к интерфейсам reth, а не к интерфейсам членов, потому что интерфейсы RETH удерживают логические конфигурации. См . настройку прокси-сервера ARP для ПРОЦЕДУРЫ NAT (CLI). Вы также можете настроить отдельные конфигурации логических интерфейсов с помощью сетей VLAN и магистральных интерфейсов в шлюзе сервисов SRX5800. Эти конфигурации аналогичны автономным реализациям с использованием сетей VLAN и магистральных интерфейсов.
На рис. 2 показана топология, используемая в этом примере.
топологии устройств серии SRX
Конфигурации
Настройка портов управления и создание кластерного режима
Быстрая настройка командной строки
Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.
На {primary:узле0}
[edit]
set groups re0 system host-name hostA
set groups re0 system backup-router 10.204.191.254
set groups re0 system backup-router destination 10.0.0.0/8
set groups re0 system backup-router destination 172.16.0.0/16
set groups re0 system backup-router destination 192.168.0.0/16
set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18
set apply-groups re0
set groups re0 system host-name hostB
set groups re0 system backup-router 10.204.191.254
set groups re0 system backup-router destination 10.0.0.0/8
set groups re0 system backup-router destination 172.16.0.0/16
set groups re0 system backup-router destination 192.168.0.0/16
set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.142/18
set apply-groups re0
set groups node0 system host-name hostA
set groups node0 system backup-router 10.204.191.254
set groups node0 system backup-router destination 10.0.0.0/8
set groups node0 system backup-router destination 172.16.0.0/16
set groups node0 system backup-router destination 192.168.0.0/16
set groups node0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18
set groups node1 system host-name hostB
set groups node1 system backup-router 10.204.191.254
set groups node1 system backup-router destination 10.0.0.0/8
set groups node1 system backup-router destination 172.16.0.0/16
set groups node1 system backup-router destination 192.168.0.0/16
set groups node1 interfaces fxp0 unit 0 family inet address 10.204.149.142/18
set chassis cluster control-ports fpc 1 port 0
set chassis cluster control-ports fpc 13 port 0
set chassis cluster cluster-id 1 node 0 reboot
set chassis cluster cluster-id 1 node 1 reboot
delete apply-groups re0
set apply-groups “${node}”
set chassis cluster reth-count 2
set chassis cluster redundancy-group 0 node 0 priority 254
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 254
set chassis cluster redundancy-group 1 node 1 priority 1
set interfaces fab0 fabric-options member-interfaces ge-3/2/8
set interfaces fab1 fabric-options member-interfaces ge-15/2/8
(Необязательно) Чтобы быстро настроить коммутатор ядра EX8208, копируйте следующие команды, вставьте их в текстовый файл, удаляйте любые перерывы в строке, изменяйте любые детали, необходимые для соответствия конфигурации сети, копируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.
На {primary:узле0}
[edit] set interfaces xe-1/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 set interfaces xe-2/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 set interfaces vlan unit 50 family inet address 10.2.2.254/24 set vlans SRX5800 vlan-id 50 set vlans SRX5800 l3-interface vlan.50 set routing-options static route 0.0.0.0/0 next-hop 10.2.2.1/24
(Необязательно) Чтобы быстро настроить граничный маршрутизатор MX240, копируйте следующие команды, вставьте их в текстовый файл, удаляйте любые перерывы в строке, изменяйте любые детали, необходимые для соответствия конфигурации сети, копируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.
На {primary:узле0}
[edit] set interfaces xe-1/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching set interfaces xe-2/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching set interfaces irb unit 0 family inet address 10.1.1.254/24 set routing-options static route 10.0.0.0/8 next-hop 10.1.1.1 set routing-options static route 0.0.0.0/0 next-hop (upstream router) set vlans SRX5800 vlan-id X (could be set to “none”) set vlans SRX5800 domain-type bridge routing-interface irb.0 set vlans SRX5800 domain-type bridge interface xe-1/0/0 set vlans SRX5800 domain-type bridge interface xe-2/0/0
Пошаговая процедура
Следующий пример требует навигации по различным уровням в иерархии конфигурации.
Для настройки кластера шасси на устройстве серии SRX:
В кластерном режиме конфигурация синхронизирована по каналу управления между узлами при выполнении commit команды. Все команды применяются к обоим узлам независимо от того, с какого устройства настроена команда.
-
Настраивайте как автономные устройства, так и резервную конфигурацию назначения маршрутизатора, чтобы обеспечить доступ к управлению на резервном узле после того, как устройство будет работать в кластерном режиме. Доступ к основному узлу соединен с помощью маршрутизации на первичном узле.
user@hostA# set groups re0 system host-name hostA user@hostA# set groups re0 system backup-router 10.204.191.254 user@hostA# set groups re0 system backup-router destination 10.0.0.0/8 user@hostA# set groups re0 system backup-router destination 172.16.0.0/16 user@hostA# set groups re0 system backup-router destination 192.168.0.0/16 user@hostA# set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18 user@hostA# set apply-groups re0
user@hostB# set groups re0 system host-name hostB user@hostB# set groups re0 system backup-router 10.204.191.254 user@hostB# set groups re0 system backup-router destination 10.0.0.0/8 user@hostB# set groups re0 system backup-router destination 172.16.0.0/16 user@hostB# set groups re0 system backup-router destination 192.168.0.0/16 user@hostB# set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.142/18 user@hostB# set apply-groups re0
-
Поскольку кластерная конфигурация кластера шлюзов сервисов серии SRX5000 содержится в одной общей конфигурации, для назначения некоторых элементов конфигурации только определенному члену, необходимо использовать метод конфигурации, характерный для узлов ОС Junos, называемый группами. Команда
set apply-groups ${node}использует переменную узла для определения того, как группы применяются к узлам, каждый узел распознает его число и принимает конфигурацию соответственно. Вы также должны настроить внедиапационное управление на интерфейсе fxp0 шлюза сервисов серии SRX5000 с помощью отдельных IP-адресов для отдельных плоскостей управления кластера.Не разрешается настраивать резервный адрес маршрутизатора, поскольку x.x.x.0/0.
user@hostA# set groups node0 system host-name hostA user@hostA# set groups node0 system backup-router 10.204.191.254 user@hostA# set groups node0 system backup-router destination 10.0.0.0/8 user@hostA# set groups node0 system backup-router destination 172.16.0.0/16 user@hostA# set groups node0 system backup-router destination 192.168.0.0/16 user@hostA# set groups node0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18
user@hostB# set groups node1 system host-name hostB user@hostB# set groups node1 system backup-router 10.204.191.254 user@hostB# set groups node1 system backup-router destination 10.0.0.0/8 user@hostB# set groups node1 system backup-router destination 172.16.0.0/16 user@hostB# set groups node1 system backup-router destination 192.168.0.0/16 user@hostB# set groups node1 interfaces fxp0 unit 0 family inet address 10.204.149.142/18
Указанные выше узла группы 0 и узл1 настроены, но не применяются. После того как устройство находится в кластере, эти команды применяются с помощью
set apply-groups “${node}”. -
Настраивайте порт управления для каждого устройства и фиксируйте конфигурацию.
Обеспечьте физическое подключение к каналу управления между картами SPC на обоих узлах в соответствии с конфигурацией.
Порты управления производятся на основе местоположения SPC в шасси, а компенсируемая стоимость основана на платформе. В приведенном ниже примере SPC присутствует в слоте дохода 1 и, поскольку смещение SRX5800 составляет 12, порты управления 1, 13. Вы можете просматривать значение Offset для конкретной платформы с помощью
“jwhoami -c”команды в режиме оболочки. Необходимо ввести следующие команды на обоих устройствах. Например:-
На узле 0:
user@hostA# set chassis cluster control-ports fpc 1 port 0 user@hostA# set chassis cluster control-ports fpc 13 port 0 user@hostA# commit
-
На узле 1:
user@hostB# set chassis cluster control-ports fpc 1 port 0 user@hostB# set chassis cluster control-ports fpc 13 port 0 user@hostB# commit
-
-
Установите два устройства в кластерный режим. Перезагрузка требуется для вступления в кластерный режим после настройки идентива кластера и Идент-узла. Вы можете заставить систему автоматически загружаться, включив
rebootпараметр в командную строку КОМАНДной строки. Необходимо ввести команды в рабочем режиме на обоих устройствах. Например:-
На узле 0:
user@hostA> set chassis cluster cluster-id 1 node 0 reboot
-
На узле 1:
user@hostB> set chassis cluster cluster-id 1 node 1 reboot
Иденфикатор кластера должен быть одинаковым на обоих устройствах в кластере, но идента узла должна быть другой, потому что одно устройство — узел 0, а другое — узел 1. Диапазон для ИД кластера — от 1 до 255. Установка кластерного ИД на 0 равнозначна отключению кластера. Однако рекомендуется использовать
set chassis cluster disableдля отрыва узлов от кластера. -
-
Используйте следующие команды для настройки главного узла 0. Узел 1 недоступен до тех пор, пока не будет совершено конфигурация узла. Узел 0 автоматически синхронизирует конфигурацию через порт управления с узлом 1, и для явной настройки узла 1 не требуется.
user@hostA# delete apply-groups re0 user@hostA# set apply-groups “${node}” -
Настраивайте группы резервирования для кластеризации шасси. Каждый узел имеет интерфейсы в группе резервирования, где интерфейсы активны в группах активного резервирования (несколько активных интерфейсов могут существовать в одной группе резервирования). Группа резервирования 0 контролирует плоскость управления и группу резервирования 1+ контролирует плоскость данных и включает в себя порты плоскости данных. В этом примере активно-пассивного режима активен только один элемент кластера шасси, поэтому необходимо определить только группы резервирования 0 и 1. Помимо групп резервирования, вы также должны определить:
-
Резервные группы Ethernet — настраивайте количество резервных Ethernet-интерфейсов (каналов участников) на устройстве, чтобы система была способна распределять для него соответствующие ресурсы.
-
Приоритет плоскости управления и плоскости данных: определение приоритета устройства (для кластера шасси, высокоприоритетное) для плоскости управления и какое устройство предпочтительнее быть активным для плоскости данных.
-
В активно-пассивном или активном режиме плоскость управления (группа резервирования 0) может быть активной на шасси, отличном от шасси плоскости данных (группа резервирования 1 и группы). Однако для этого примера мы рекомендуем активно использовать и плоскость управления, и плоскость данных на одном шасси. Когда трафик проходит через IP-фабрику, чтобы перейти к другому узлу участника, вводится задержка (трафик в режиме z line).
-
На устройствах серии SRX (линейка SRX5000) VPN-подключение по протоколу IPsec не поддерживается в кластерной конфигурации активно-активного шасси (то есть при наличии нескольких групп резервирования RG1).
-
user@hostA# set chassis cluster reth-count 2 user@hostA# set chassis cluster redundancy-group 1 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 1 node 1 priority 1 user@hostA# set chassis cluster redundancy-group 0 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 0 node 1 priority 1
-
-
Настраивайте порты IP-фабрики (данных) кластера, которые используются для передачи RTO в активно-пассивном режиме. Для этого примера используйте один из портов прибыли. Определение двух интерфейсов IP-фабрики, по одному на каждом шасси, для совместного подключения.
Настраивайте интерфейсы данных на платформе, чтобы в случае аварийного аварийного переключения в плоскости данных другой участник кластера шасси сможет беспрепятственно контролировать соединение. Плавный переход на новый активный узел произойдет при аварийном переключении плоскости данных. В случае аварийного переключения плоскости управления все демоны перезапускаются на новом узле, что позволяет изящно перезапустить, чтобы избежать потери соседства со сверстниками (ospf, bgp). Это способствует плавному переходу на новый узел без потери пакетов.
Необходимо определить следующие элементы:
-
Определяйте информацию о членстве в интерфейсах участника с помощью интерфейса reth.
-
Определяйте группу резервирования, в которой состоит интерфейс reth. Для этого активно-пассивного примера всегда 1.
-
Определение информации об интерфейсе reth, такой как IP-адрес интерфейса.
{primary:node0}[edit]user@hostA# set interfaces fab0 fabric-options member-interfaces ge-3/2/8 user@hostA# set interfaces fab1 fabric-options member-interfaces ge-15/2/8 -
-
(Необязательно) Настройте кластерное поведение шасси в случае сбоя. Для шлюза сервисов SRX5800 порог аварийного переключения установлен в 255. Вы можете изменить вес, чтобы определить влияние аварийного переключения шасси. Также необходимо настроить восстановление каналов управления. Восстановление автоматически приводит к перезагрузке дополнительного узла в случае сбоя канала управления, а затем вернуться в интернет. Введите эти команды на узле 0.
{primary:node0}[edit]user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255 user@hostA# set chassis cluster control-link-recoveryЭтот шаг завершает конфигурацию кластера шасси частью активно-пассивного режима, например для шлюза сервисов SRX5800. В остальной части этой процедуры описывается, как настроить зону, виртуальный маршрутизатор, маршрутизацию, коммутатор ядра EX8208 и граничный маршрутизатор MX240 для завершения сценария развертывания.
-
(Необязательно) Настраивайте и подключайте интерфейсы reth к соответствующим зонам и виртуальным маршрутизаторам. На этом примере оставьте интерфейсы reth0 и reth1 в виртуальном маршрутизаторе по умолчанию inet.0, что не требует дополнительной конфигурации.
{primary:node0}[edit]user@hostA# set security zones security-zone untrust interfaces reth0.0 user@hostA# set security zones security-zone trust interfaces reth1.0 -
(Необязательно) Для этого примера активно-пассивного режима из-за простой сетевой архитектуры используйте статические маршруты для определения пути к другим сетевым устройствам.
{primary:node0}[edit]user@hostA# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.254 user@hostA# set routing-options static route 10.0.0.0/8 next-hop 10.2.2.254 -
(Необязательно) Для Ethernet-коммутатора EX8208 следующие команды предоставляют только очертания соответствующей конфигурации, поскольку она относится к этому активно-пассивному режиму для шлюза сервисов SRX5800; в первую очередь VLAN, маршрутизация и конфигурация интерфейсов.
{primary:node0}[edit]user@hostA# set interfaces xe-1/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 user@hostA# set interfaces xe-2/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 user@hostA# set interfaces vlan unit 50 family inet address 10.2.2.254/24 user@hostA# set vlans SRX5800 vlan-id 50 user@hostA# set vlans SRX5800 l3-interface vlan.50 user@hostA# set routing-options static route 0.0.0.0/0 next-hop 10.2.2.1/24 -
(Необязательно) Для граничного маршрутизатора MX240 следующие команды предоставляют только очертания соответствующей конфигурации, поскольку она относится к этому активно-пассивному режиму для шлюза сервисов SRX5800; прежде всего, вы должны использовать интерфейс IRB в виртуальном коммутаторе на коммутаторе.
{primary:node0}[edit]user@hostA# set interfaces xe-1/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching user@hostA# set interfaces xe-2/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching user@hostA# set interfaces irb unit 0 family inet address 10.1.1.254/24 user@hostA# set routing-options static route 10.0.0.0/8 next-hop 10.1.1.1 user@hostA# set routing-options static route 0.0.0.0/0 next-hop (upstream router) user@hostA# set vlans SRX5800 vlan-id X (could be set to “none”) user@hostA# set vlans SRX5800 domain-type bridge routing-interface irb.0 user@hostA# set vlans SRX5800 domain-type bridge interface xe-1/0/0 user@hostA# set vlans SRX5800 domain-type bridge interface xe-2/0/0
Проверки
Подтвердите, что конфигурация работает правильно.
- Проверка статуса кластера шасси
- Проверка кластерных интерфейсов шасси
- Проверка статистики кластеров шасси
- Проверка статистики плоскости управления кластером шасси
- Проверка статистики плоскости кластера данных шасси
- Проверка статуса группы резервирования кластеров Шасси
- Устранение неполадок с помощью журналов
Проверка статуса кластера шасси
Цель
Проверка статуса кластера шасси, статуса аварийного переключения и информации группы резервирования.
Действий
Из эксплуатационного режима введите show chassis cluster status команду.
{primary:node0}
show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Проверка кластерных интерфейсов шасси
Цель
Проверка информации о кластерных интерфейсах шасси.
Действий
Из эксплуатационного режима введите show chassis cluster interfaces команду.
{primary:node0}
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA
0 em0 Up Disabled
1 em1 Down Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status
(Physical/Monitored)
fab0 ge-3/2/8 Up / Up
fab0
fab1 ge-15/2/8 Up / Up
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Down Not configured
reth1 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
Проверка статистики кластеров шасси
Цель
Проверка информации об услугах кластера шасси и статистике каналов управления (сердцебиение, отправленное и полученное), статистических данных ip-фабрик (зонды, отправленные и полученные) и количестве сообщений о rtos, отправленных и полученных за услуги.
Действий
Из эксплуатационного режима введите show chassis cluster statistics команду.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 16275
Heartbeat packets received: 16072
Heartbeat packet errors: 0
Control link 1:
Heartbeat packets sent: 0
Heartbeat packets received: 0
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 30690
Probes received: 9390
Child link 1
Probes sent: 0
Probes received: 0
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 0 0
IPv6 session create 0 0
Session close 0 0
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 0
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Проверка статистики плоскости управления кластером шасси
Цель
Проверить информацию о статистике плоскости управления кластером шасси (сердцебиения, отправленные и полученные) и статистике каналов IP-фабрики (зонды, отправленные и полученные).
Действий
Из эксплуатационного режима введите show chassis cluster control-plane statistics команду.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 16315
Heartbeat packets received: 16113
Heartbeat packet errors: 0
Control link 1:
Heartbeat packets sent: 0
Heartbeat packets received: 0
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 30772
Probes received: 9472
Child link 1
Probes sent: 0
Probes received: 0
Проверка статистики плоскости кластера данных шасси
Цель
Проверка информации о количестве отправленных и полученных для предоставления услуг ООО.
Действий
Из эксплуатационного режима введите show chassis cluster data-plane statistics команду.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 0 0
IPv6 session create 0 0
Session close 0 0
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 0
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Проверка статуса группы резервирования кластеров Шасси
Цель
Проверка состояния и приоритета как узлов в кластере, так и информации о том, был ли первичный узел упреждаемым или произошло ли ручное аварийное переключение.
Действий
Из эксплуатационного режима введите chassis cluster status redundancy-group команду.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 1 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Устранение неполадок с помощью журналов
Цель
Используйте эти журналы для выявления проблем кластеров шасси. Эти журналы должны запускаться на обоих узлах.
Действий
Из эксплуатационного режима введите эти show log команды.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Пример: настройка активно-пассивной кластерной пары шасси (SRX1500)
На этом примере показано, как настроить активно-пассивную кластеризацию шасси для устройства SRX1500.
Требования
Прежде чем начать:
Физически соединяем пару устройств вместе, гарантируя, что они являются теми же моделями.
Создайте канал IP-фабрики, подключив гигабитный Ethernet-интерфейс на одном устройстве к другому гигабитному Ethernet-интерфейсу на другом устройстве.
Создайте контрольный канал, подключив порт управления двух устройств SRX1500.
Подключайтесь к одному из устройств с помощью порта консоли. (Это узел, который формирует кластер.) и установить ИДЕНТ кластера и номер узла.
user@host> set chassis cluster cluster-id 1 node 0 reboot
Подключайтесь к другому устройству с помощью порта консоли и установите идентик кластера и номер узла.
user@host> set chassis cluster cluster-id 1 node 1 reboot
Обзор
В этом примере для маршрутизации всего трафика используется одно устройство в кластере, а другое устройство используется только в случае сбоя. (См . рисунок 3.) Когда возникает сбой, резервное устройство становится первичным и контролирует всю переадресации.
кластера активно-пассивного шасси
Можно создать кластер активно-пассивного шасси, настроив резервные Ethernet-интерфейсы (reths), которые предназначены для одной группы резервирования. Такая конфигурация минимизирует трафик по ip-фабрике, поскольку только один узел кластера переадресирует трафик в любой момент времени.
В этом примере вы настраиваете группу (применяя конфигурацию с командой apply-groups ) и информацию о кластере шасси. Затем вы настраиваете зоны безопасности и политики безопасности. См . таблицу с 1 по таблицу 4.
Функция |
Имя |
Параметры конфигурации |
|---|---|---|
Группы |
узел0 |
|
|
узел1 |
|
Функция |
Имя |
Параметры конфигурации |
|---|---|---|
Каналы IP-фабрики |
fab0 |
Интерфейс: ge-0/0/1 |
|
fab1 |
Интерфейс: ge-7/0/1 |
Интервал сердцебиения |
– |
1000 |
Порог сердцебиения |
– |
3 |
Группа резервирования |
0 |
|
|
1 |
|
|
|
Мониторинг интерфейсов
|
Количество резервных Ethernet-интерфейсов |
– |
2 |
Интерфейсы |
ge-0/0/4 |
Резервный родитель: reth0 |
ge-7/0/4 |
Резервный родитель: reth0 |
|
ge-0/0/5 |
Резервный родитель: reth1 |
|
ge-7/0/5 |
Резервный родитель: reth1 |
|
reth0 |
Группа резервирования: 1 |
|
|
||
reth1 |
Группа резервирования: 1 |
|
|
Имя |
Параметры конфигурации |
|---|---|
Доверять |
Интерфейс reth1.0 связан с этой зоной. |
ненадежный |
Интерфейс reth0.0 связан с этой зоной. |
Цель |
Имя |
Параметры конфигурации |
|---|---|---|
Такая политика безопасности позволяет осуществлять трафик из целевой зоны в ненадежную зону. |
ЛЮБОЙ |
|
Конфигурации
Процедуры
Быстрая настройка командной строки
Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.
[edit]
set groups node0 system host-name srx1500-A
set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24
set groups node1 system host-name srx1500-B
set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces ge-0/0/1
set interfaces fab1 fabric-options member-interfaces ge-7/0/1
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster redundancy-group 0 node 0 priority 100
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255
set chassis cluster reth-count 2
set interfaces ge-0/0/5 gigether-options redundant-parent reth1
set interfaces ge-7/0/5 gigether-options redundant-parent reth1
set interfaces ge-0/0/4 gigether-options redundant-parent reth0
set interfaces ge-7/0/4 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 198.51.100.1/24
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 203.0.113.233/24
set security zones security-zone untrust interfaces reth1.0
set security zones security-zone trust interfaces reth0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone untrust policy ANY then permit
Пошаговая процедура
Для настройки активно-пассивного кластера шасси:
Настройка интерфейса управления.
{primary:node0}[edit] user@host# set groups node0 system host-name srx1500-A user@host# set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24 user@host# set groups node1 system host-name srx1500-B user@host# set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24 user@host# set apply-groups “${node}”Настраивайте интерфейс IP-фабрики.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1Настраивайте настройки сердцебиения.
{primary:node0}[edit] user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3Настраивайте группы резервирования.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 100 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 100 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255Настраивайте резервные Ethernet-интерфейсы.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set interfaces ge-0/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-7/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-0/0/4 gigether-options redundant-parent reth0 user@host# set interfaces ge-7/0/4 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 203.0.113.233/24Настраивайте зоны безопасности.
{primary:node0}[edit] user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust interfaces reth0.0Настраивайте политики безопасности.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone untrust policy ANY then permit
Результаты
Из режима конфигурации подтвердите конфигурацию, введя show configuration команду. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.
Для краткости этот show выход команды включает в себя только конфигурацию, которая актуальна для этого примера. Любая другая конфигурация системы была заменена эллипсами (...).
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name srx1500-A;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.0.2.110/24;
}
}
}
}
}
node1 {
system {
host-name srx1500-B;
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.0.2.110/24;
}
}
}
}
}
}
apply-groups "${node}";
chassis {
cluster {
reth-count 2;
heartbeat-interval 1000;
heartbeat-threshold 3;
redundancy-group 0 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
interface-monitor {
ge–0/0/4 weight 255;
ge–7/0/4 weight 255;
ge–0/0/5 weight 255;
ge–7/0/5 weight 255;
}
}
}
}
interfaces {
ge–0/0/4 {
gigether–options {
redundant–parent reth0;
}
}
ge–7/0/4{
gigether–options {
redundant–parent reth0;
}
}
ge–0/0/5 {
gigether–options {
redundant–parent reth1;
}
}
ge–7/0/5 {
gigether–options {
redundant–parent reth1;
}
}
fab0 {
fabric–options {
member–interfaces {
ge–0/0/1;
}
}
}
fab1 {
fabric–options {
member–interfaces {
ge–7/0/1;
}
}
}
reth0 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
reth1 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 203.0.113.233/24;
}
}
}
}
...
security {
zones {
security–zone untrust {
interfaces {
reth1.0;
}
}
security–zone trust {
interfaces {
reth0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy ANY {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
Если настройка устройства завершена, введите commit его из режима конфигурации.
Проверки
Подтвердите, что конфигурация работает правильно.
- Проверка статуса кластера шасси
- Проверка кластерных интерфейсов шасси
- Проверка статистики кластеров шасси
- Проверка статистики плоскости управления кластером шасси
- Проверка статистики плоскости кластера данных шасси
- Проверка статуса группы резервирования кластеров Шасси
- Устранение неполадок с помощью журналов
Проверка статуса кластера шасси
Цель
Проверка статуса кластера шасси, статуса аварийного переключения и информации группы резервирования.
Действий
Из эксплуатационного режима введите show chassis cluster status команду.
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Проверка кластерных интерфейсов шасси
Цель
Проверка информации о кластерных интерфейсах шасси.
Действий
Из эксплуатационного режима введите show chassis cluster interfaces команду.
{primary:node0}
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Security
0 em0 Up Disabled
1 em1 Down Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
fab0 ge-0/0/1 Up Disabled
fab0
fab1 ge-7/0/1 Up Disabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
ge-0/0/4 255 Up 1
ge-7/0/4 255 Up 1
ge-0/0/5 255 Up 1
ge-7/0/5 255 Up 1
Проверка статистики кластеров шасси
Цель
Проверка информации о синхронизации статистических данных разных объектов, а также приветот интерфейса IP-фабрики и интерфейса управления, а также о состоянии контролируемых интерфейсов в кластере.
Действий
Из эксплуатационного режима введите show chassis cluster statistics команду.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 2276
Heartbeat packets received: 2280
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2272
Probes received: 597
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Проверка статистики плоскости управления кластером шасси
Цель
Проверить информацию о статистике плоскости управления кластером шасси (сердцебиения, отправленные и полученные) и статистике каналов IP-фабрики (зонды, отправленные и полученные).
Действий
Из эксплуатационного режима введите show chassis cluster control-plane statistics команду.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Проверка статистики плоскости кластера данных шасси
Цель
Проверка информации о количестве отправленных и полученных для предоставления услуг ООО.
Действий
Из эксплуатационного режима введите show chassis cluster data-plane statistics команду.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Проверка статуса группы резервирования кластеров Шасси
Цель
Проверка состояния и приоритета как узлов в кластере, так и информации о том, был ли первичный узел упреждаемым или произошло ли ручное аварийное переключение.
Действий
Из эксплуатационного режима введите chassis cluster status redundancy-group команду.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Устранение неполадок с помощью журналов
Цель
Используйте эти журналы для выявления проблем кластеров шасси. Эти журналы должны запускаться на обоих узлах.
Действий
Из эксплуатационного режима введите эти show команды.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Пример: настройка активно-пассивной кластерной пары шасси (J-Web)
Обеспечение кластеризации. См. шаг 1 в примере: настройка активно-пассивной кластерной пары шасси (CLI).
Настройка интерфейса управления. Пример этапа 2: настройка активно-пассивной кластерной пары шасси (CLI).
Настраивайте интерфейс IP-фабрики. См. шаг 3 в примере: настройка активно-пассивной кластерной пары шасси (CLI).
Настраивайте группы резервирования.
Выберите
Configure>Chassis Cluster.Введите следующую информацию, а затем нажмите
Apply:Количество резервных Ether-интерфейсов:
2Интервал сердцебиения:
1000Порог сердцебиения:
3Узлов:
0Номер группы:
0Приоритеты:
100
Введите следующую информацию, а затем нажмите
Apply:Узлов:
0Номер группы:
1Приоритеты:
1
Введите следующую информацию, а затем нажмите
Apply:Узлов:
1Номер группы:
0Приоритеты:
100
Настраивайте резервные Ethernet-интерфейсы.
Выберите
Configure>Chassis Cluster.Выберите
ge-0/0/4.Введите
reth1резервную коробку для родителей.Нажмите
Apply.Выберите
ge-7/0/4.Введите
reth1резервную коробку для родителей.Нажмите
Apply.Выберите
ge-0/0/5.Введите
reth0резервную коробку для родителей.Нажмите
Apply.Выберите
ge-7/0/5.Введите
reth0резервную коробку для родителей.Нажмите
Apply.Пример этапа 5 : настройка активно-пассивной кластерной пары шасси (CLI) для последних четырех настроек конфигурации.
Настраивайте зоны безопасности. В примере см. этап 6: настройка активно-пассивной кластерной пары шасси (CLI).
Настраивайте политики безопасности. Пример этапа 7: настройка активно-пассивной кластерной пары шасси (CLI).
Нажмите,
OKчтобы проверить конфигурацию и сохранить ее в качестве конфигурации кандидата, а затем нажмитеCommit Options>Commit.
См. также
Понимание активно-пассивного кластера шасси с помощью туннеля IPsec
В этом случае одно устройство в кластере заканчивается в туннеле IPsec и используется для обработки всего трафика, в то время как другое устройство используется только в случае сбоя ( см. рисунок 4). Когда возникает сбой, резервное устройство становится первичным и контролирует всю переадресации.
Кластер активного/пассивного шасси может быть достигнут благодаря использованию резервных Ethernet-интерфейсов (reths), которые предназначены для одной группы резервирования. Если какой-либо из интерфейсов активной группы в узле выходит из строя, группа объявляется неактивной, а все интерфейсы группы перемежаются на другой узел.
Эта конфигурация обеспечивает возможность завершения использования туннеля IPsec между объектами в активно-пассивном кластере, где в качестве конечной точки туннеля используется резервный интерфейс Ethernet. В случае сбоя резервный интерфейс Ethernet в резервном устройстве серии SRX становится активным, заставляя туннель менять конечные точки, чтобы завершить работу в новом активном устройстве серии SRX. Поскольку ключи туннеля и информация о сеансах синхронизируются между участниками кластера шасси, аварийное переключение не требует пересмотра туннеля и обслуживания всех установленных сеансов.
В случае отказа модуля маршрутизации RG0 протоколы маршрутизации необходимо восстановить на новом узле Первоначального общества. Если настраивается мониторинг VPN или обнаружение мертвого пиринга и истечет срок его действия до того, как маршрутизация перепроектируется в новых первичных сетях RG0, туннель VPN будет снесен и пересмотрен.
Динамические туннели не могут сбалансировать нагрузку между различными платами обработки сервисов.
См. также
Пример: настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec
В этом примере показано, как настроить активно-пассивную кластеризацию шасси с помощью туннеля IPsec для устройств серии SRX.
Требования
Прежде чем начать:
Получите две модели SRX5000 с идентичными аппаратными конфигурациями, одним устройством SRX1500 и четырьмя Ethernet-коммутаторами серии EX.
Физическое подключение двух устройств (возврат к задней сети для IP-фабрики и портов управления) и обеспечение того, чтобы они были одинаковыми моделями. Вы можете настроить ip-фабрику и порты управления на линейке SRX5000.
Установите два устройства в режим кластера и перезагрузить устройства. Например, необходимо ввести следующие команды в режиме эксплуатации на обоих устройствах:
На узле 0:
user@host> set chassis cluster cluster-id 1 node 0 reboot
На узле 1:
user@host> set chassis cluster cluster-id 1 node 1 reboot
ИДЕНТ кластера одинаковый на обоих устройствах, но идента узла должна быть другой, потому что одно устройство — узел 0, а другое — узел 1. Диапазон для ИД кластера — от 1 до 255. Установка кластерного ИД на 0 равнозначна отключению кластера.
Идентизация кластера, превысив 15, может быть установлена только тогда, когда ip-фабрика и интерфейсы каналов управления подключаются обратно к спине.
Получите две модели SRX5000 с идентичными аппаратными конфигурациями, один граничный маршрутизатор SRX1500 и четыре Ethernet-коммутатора серии EX.
Физическое подключение двух устройств (возврат к задней сети для IP-фабрики и портов управления) и обеспечение того, чтобы они были одинаковыми моделями. Вы можете настроить ip-фабрику и порты управления на линейке SRX5000.
С этого момента конфигурация кластера синхронизирована между членами узла, а два отдельных устройства работают как одно устройство. Конфигурации, характерные для членов (например, IP-адрес порта управления каждого члена) вводятся с помощью групп конфигурации.
Обзор
В этом примере одно устройство в кластере завершается в туннеле IPsec и используется для обработки всего трафика, а другое устройство используется только в случае сбоя. ( См. рисунок 5.) Когда возникает сбой, резервное устройство становится первичным и контролирует всю переадресации.
В этом примере вы настраиваете группу (применяя конфигурацию с командой apply-groups ) и информацию о кластере шасси. Затем вы настраиваете IKE, IPsec, статический маршрут, зону безопасности и параметры политики безопасности. См . таблицу с 5 по таблицу 11.
Функция |
Имя |
Параметры конфигурации |
|---|---|---|
Группы |
узел0 |
|
|
узел1 |
|
Функция |
Имя |
Параметры конфигурации |
|---|---|---|
Каналы IP-фабрики |
fab0 |
Интерфейс: xe-5/3/0 |
|
fab1 |
Интерфейс: xe-17/3/0 |
Количество резервных Ethernet-интерфейсов |
– |
2 |
Интервал сердцебиения |
– |
1000 |
Порог сердцебиения |
– |
3 |
Группа резервирования |
0 |
|
|
1 |
|
|
|
Мониторинг интерфейсов
|
Интерфейсы |
xe-5/1/0 |
Резервный родитель: reth1 |
|
xe-5/1/0 |
Резервный родитель: reth1 |
|
xe-5/0/0 |
Резервный родитель: reth0 |
|
xe-17/0/0 |
Резервный родитель: reth0 |
|
reth0 |
Группа резервирования: 1 |
|
|
|
|
reth1 |
Группа резервирования: 1 |
|
|
|
|
st0 |
|
|
|
|
Функция |
Имя |
Параметры конфигурации |
|---|---|---|
Предложение |
стандарт, установленный на основе предложений |
- |
Политики |
Предварительный |
|
Шлюза |
SRX1500-1 |
Примечание:
При кластеризации шасси SRX поддерживаются только интерфейсы reth и lo0 для внешней конфигурации интерфейса IKE. Можно настроить и другие типы интерфейсов, но VPN-настрой IPsec может не сработать. Если в качестве внешнего интерфейса шлюза IKE используется логический интерфейс lo0, его невозможно настроить с помощью RG0. |
Функция |
Имя |
Параметры конфигурации |
|---|---|---|
Предложение |
стандарт, установленный на основе предложений |
– |
Политики |
Std |
– |
VPN |
SRX1500-1 |
Примечание:
Имя VPN-подключений вручную и название шлюза между объектами не могут быть одинаковыми. |
Имя |
Параметры конфигурации |
|---|---|
0.0.0.0/0 |
Следующий переход: 10.2.1.1 |
10.3.0.0/16 |
Следующий переход: 10.10.1.2 |
Имя |
Параметры конфигурации |
|---|---|
Доверять |
|
ненадежный |
|
Vpn |
|
Цель |
Имя |
Параметры конфигурации |
|---|---|---|
Такая политика безопасности позволяет осуществлять трафик из целевой зоны в ненадежную зону. |
ЛЮБОЙ |
|
Такая политика безопасности позволяет осуществлять трафик из целевой зоны в зону vpn. |
vpn-any |
|
Конфигурации
Процедуры
Быстрая настройка командной строки
Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.
{primary:node0}[edit]
set chassis cluster control-ports fpc 2 port 0
set chassis cluster control-ports fpc 14 port 0
set groups node0 system host-name SRX5800-1
set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24
set groups node1 system host-name SRX5800-2
set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces xe-5/3/0
set interfaces fab1 fabric-options member-interfaces xe-17/3/0
set chassis cluster reth-count 2
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster node 0
set chassis cluster node 1
set chassis cluster redundancy-group 0 node 0 priority 254
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 254
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 preempt
set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255
set interfaces xe-5/1/0 gigether-options redundant-parent reth1
set interfaces xe-17/1/0 gigether-options redundant-parent reth1
set interfaces xe-5/0/0 gigether-options redundant-parent reth0
set interfaces xe-17/0/0 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 10.1.1.60/16
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 10.2.1.60/16
set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30
set security ike policy preShared mode main
set security ike policy preShared proposal-set standard
set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password
set security ike gateway SRX1500-1 ike-policy preShared
set security ike gateway SRX1500-1 address 10.1.1.90
set security ike gateway SRX1500-1 external-interface reth0.0
set security ipsec policy std proposal-set standard
set security ipsec vpn SRX1500-1 bind-interface st0.0
set security ipsec vpn SRX1500-1 vpn-monitor optimized
set security ipsec vpn SRX1500-1 ike gateway SRX1500-1
set security ipsec vpn SRX1500-1 ike ipsec-policy std
set security ipsec vpn SRX1500-1 establish-tunnels immediately
set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2
set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces reth1.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces reth0.0
set security zones security-zone vpn host-inbound-traffic system-services all 144
set security zones security-zone vpn host-inbound-traffic protocols all
set security zones security-zone vpn interfaces st0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone vpn policy vpn-any then permit
Пошаговая процедура
Для настройки активно-пассивной пары кластеров шасси с туннелем IPsec:
Настраивайте порты управления.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 2 port 0 user@host# set chassis cluster control-ports fpc 14 port 0Настройка интерфейса управления.
{primary:node0}[edit] user@host# set groups node0 system host-name SRX5800-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24 user@host#set groups node1 system host-name SRX5800-2 user@host# set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24 user@host# set apply-groups “${node}”Настраивайте интерфейс IP-фабрики.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces xe-5/3/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-17/3/0Настраивайте группы резервирования.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3 user@host# set chassis cluster node 0 user@host# set chassis cluster node 1 user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 254 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 preempt user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255Настраивайте резервные Ethernet-интерфейсы.
{primary:node0}[edit] user@host# set interfaces xe-5/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-17/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-5/0/0 gigether-options redundant-parent reth0 user@host# set interfaces xe-17/0/0 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 10.1.1.60/16 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 10.2.1.60/16Настройка параметров IPsec.
{primary:node0}[edit] user@host# set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30 user@host# set security ike policy preShared mode main user@host# set security ike policy preShared proposal-set standard user@host# set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password user@host# set security ike gateway SRX1500-1 ike-policy preShared user@host# set security ike gateway SRX1500-1 address 10.1.1.90 user@host# set security ike gateway SRX1500-1 external-interface reth0.0 user@host# set security ipsec policy std proposal-set standard user@host# set security ipsec vpn SRX1500-1 bind-interface st0.0 user@host# set security ipsec vpn SRX1500-1 vpn-monitor optimized user@host# set security ipsec vpn SRX1500-1 ike gateway SRX1500-1 user@host# set security ipsec vpn SRX1500-1 ike ipsec-policy std user@host# set security ipsec vpn SRX1500-1 establish-tunnels immediatelyНастраивайте статичные маршруты.
{primary:node0}[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1 user@host# set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2Настраивайте зоны безопасности.
{primary:node0}[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces reth0.0 user@host# set security zones security-zone vpn host-inbound-traffic system-services all user@host# set security zones security-zone vpn host-inbound-traffic protocols all user@host# set security zones security-zone vpn interfaces st0.0Настраивайте политики безопасности.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone vpn policy vpn-any then permit
Результаты
Из эксплуатационного режима подтверждайте конфигурацию, вступив в show configuration команду. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.
Для краткости этот show выход команды включает в себя только конфигурацию, которая актуальна для этого примера. Любая другая конфигурация системы была заменена эллипсами (...).
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name SRX58001;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.50/24;
}
}
}
}
}
node1 {
system {
host-name SRX58002;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.51/24;
}
}
}
}
}
}
apply-groups "${node}";
system {
root-authentication {
encrypted-password "$ABC123";
}
}
chassis {
cluster {
reth-count 2;
heartbeat-interval 1000;
heartbeat-threshold 3;
control-ports {
fpc 2 port 0;
fpc 14 port 0;
}
redundancy-group 0 {
node 0 priority 254;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 254;
node 1 priority 1;
preempt;
interface-monitor {
xe–6/0/0 weight 255;
xe–6/1/0 weight 255;
xe–18/0/0 weight 255;
xe–18/1/0 weight 255;
}
}
}
}
interfaces {
xe–5/0/0 {
gigether–options {
redundant–parent reth0;
}
}
xe–5/1/0 {
gigether–options {
redundant–parent reth1;
}
}
xe–17/0/0 {
gigether–options {
redundant–parent reth0;
}
}
xe–17/1/0 {
gigether–options {
redundant–parent reth1;
}
}
fab0 {
fabric–options {
member–interfaces {
xe–5/3/0;
}
}
}
fab1 {
fabric–options {
member–interfaces {
xe–17/3/0;
}
}
}
reth0 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.1.1.60/16;
}
}
}
reth1 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.2.1.60/16;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 5.4.3.2/32;
}
}
}
}
routing–options {
static {
route 0.0.0.0/0 {
next–hop 10.2.1.1;
}
route 10.3.0.0/16 {
next–hop 10.10.1.2;
}
}
}
security {
zones {
security–zone trust {
host–inbound–traffic {
system–services {
all;
}
}
interfaces {
reth0.0;
}
}
security–zone untrust
host-inbound-traffic {
system-services {
all;
}
}
protocols {
all;
}
interfaces {
reth1.0;
}
}
security-zone vpn {
host-inbound-traffic {
system-services {
all;
}
}
protocols {
all;
}
interfaces {
st0.0;
}
}
}
policies {
from–zone trust to–zone untrust {
policy ANY {
match {
source–address any;
destination–address any;
application any;
}
then {
permit;
}
}
}
from–zone trust to–zone vpn {
policy vpn {
match {
source–address any;
destination–address any;
application any;
}
then {
permit;
}
}
}
}
}
Если настройка устройства завершена, введите commit его из режима конфигурации.
Проверки
Подтвердите, что конфигурация работает правильно.
- Проверка статуса кластера шасси
- Проверка кластерных интерфейсов шасси
- Проверка статистики кластеров шасси
- Проверка статистики плоскости управления кластером шасси
- Проверка статистики плоскости кластера данных шасси
- Проверка статуса группы резервирования кластеров Шасси
- Устранение неполадок с помощью журналов
Проверка статуса кластера шасси
Цель
Проверка статуса кластера шасси, статуса аварийного переключения и информации группы резервирования.
Действий
Из эксплуатационного режима введите show chassis cluster status команду.
{primary:node0}
show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 1 primary no no
node1 254 secondary no no
Redundancy group: 1 , Failover count: 1
node0 1 primary yes no
node1 254 secondary yes no
Проверка кластерных интерфейсов шасси
Цель
Проверить интерфейсы кластера шасси.
Действий
Из эксплуатационного режима введите show chassis cluster interfaces команду.
{primary:node0}
user@host> show chassis cluster interfaces
Control link name: fxp1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
xe-5/0/0 255 Up 1
xe-5/1/0 255 Up 1
xe-17/0/0 255 Up 1
xe-17/1/0 255 Up 1
Проверка статистики кластеров шасси
Цель
Проверка информации об услугах кластера шасси и статистике каналов управления (сердцебиение, отправленное и полученное), статистических данных ip-фабрик (зонды, отправленные и полученные) и количестве сообщений о rtos, отправленных и полученных за услуги.
Действий
Из эксплуатационного режима введите show chassis cluster statistics команду.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Проверка статистики плоскости управления кластером шасси
Цель
Проверить информацию о статистике плоскости управления кластером шасси (сердцебиения, отправленные и полученные) и статистике каналов IP-фабрики (зонды, отправленные и полученные).
Действий
Из эксплуатационного режима введите show chassis cluster control-panel statistics команду.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Проверка статистики плоскости кластера данных шасси
Цель
Проверка информации о количестве отправленных и полученных для предоставления услуг ООО.
Действий
Из эксплуатационного режима введите show chassis cluster data-plane statistics команду.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Проверка статуса группы резервирования кластеров Шасси
Цель
Проверка состояния и приоритета как узлов в кластере, так и информации о том, был ли первичный узел упреждаемым или произошло ли ручное аварийное переключение.
Действий
Из эксплуатационного режима введите chassis cluster status redundancy-group команду.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 0 primary yes no
node1 254 secondary yes no
Устранение неполадок с помощью журналов
Цель
Используйте эти журналы для выявления проблем кластеров шасси. Эти журналы должны запускаться на обоих узлах.
Действий
Из эксплуатационного режима введите эти show команды.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Пример: настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec (J-Web)
Включаем кластеры. Пример этапа 1 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.
Настройка интерфейса управления. Пример этапа 2 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.
Настраивайте интерфейс IP-фабрики. Пример этапа 3 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.
Настраивайте группы резервирования.
Выберите
Configure>System Properties>Chassis Cluster.Введите следующую информацию, а затем нажмите
Apply:Количество резервных Ether-интерфейсов:
2Интервал сердцебиения:
1000Порог сердцебиения:
3Узлов:
0Номер группы:
0Приоритеты:
254
Введите следующую информацию, а затем нажмите
Apply:Узлов:
0Номер группы:
1Приоритеты:
254
Введите следующую информацию, а затем нажмите
Apply:Узлов:
1Номер группы:
0Приоритеты:
1
Введите следующую информацию, а затем нажмите
Apply:Узлов:
1Номер группы:
1Приоритеты:
1Предварительная проверка: Выберите чек.
Интерфейсный монитор — интерфейс:
xe-5/0/0Интерфейсный монитор — масса:
255Интерфейсный монитор — интерфейс:
xe-5/1/0Интерфейсный монитор — масса:
255Интерфейсный монитор — интерфейс:
xe-17/0/0Интерфейсный монитор — масса:
255Интерфейсный монитор — интерфейс:
xe-17/1/0Интерфейсный монитор — масса:
255
Настраивайте резервные Ethernet-интерфейсы.
Выберите
Configure>System Properties>Chassis Cluster.Выберите
xe-5/1/0.Введите
reth1резервную коробку для родителей.Нажмите
Apply.Выберите
xe-17/1/0.Введите
reth1резервную коробку для родителей.Нажмите
Apply.Выберите
xe-5/0/0.Введите
reth0резервную коробку для родителей.Нажмите
Apply.Выберите
xe-17/0/0.Введите
reth0резервную коробку для родителей.Нажмите
Apply.Пример этапа 5 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.
Настройка конфигурации IPsec. Например, см. этап 6 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.
Настраивайте статические маршруты.
Выберите
Configure>Routing>Static Routing.Нажмите
Add.Введите следующую информацию, а затем нажмите
Apply:Статический адрес маршрута:
0.0.0.0/0Следующие адреса:
10.2.1.1
Введите следующую информацию, а затем нажмите
Apply:Статический адрес маршрута:
10.3.0.0/16Следующие адреса:
10.10.1.2
Настраивайте зоны безопасности. Пример этапа 8 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.
Настраивайте политики безопасности. Пример этапа 9 : настройка активно-пассивной кластерной пары шасси с помощью туннеля IPsec.
Нажмите,
OKчтобы проверить конфигурацию и сохранить ее в качестве конфигурации кандидата, а затем нажмитеCommit Options>Commit.