收藏
下载资源

Juniper SRX防火墙HA双机配置步骤.docx

上传人:壹****1 文档编号:544409696 上传时间:2023-10-29 格式:DOCX 页数:7 大小:403.65KB
返回 下载 相关 举报
Juniper SRX防火墙HA双机配置步骤.docx_第1页
第1页 / 共7页
Juniper SRX防火墙HA双机配置步骤.docx_第2页
第2页 / 共7页
Juniper SRX防火墙HA双机配置步骤.docx_第3页
第3页 / 共7页
Juniper SRX防火墙HA双机配置步骤.docx_第4页
第4页 / 共7页
Juniper SRX防火墙HA双机配置步骤.docx_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《Juniper SRX防火墙HA双机配置步骤.docx》由会员分享,可在线阅读,更多相关《Juniper SRX防火墙HA双机配置步骤.docx(7页珍藏版)》请在金锄头文库上搜索。

1、Juniper SRX防火墙双机配置步骤JSRP是Juniper SRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A模式,JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOS NSRP可看作在同步配置和动态对象(session)基础上独立运行的

2、两台单独设备。JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX 是转发与控制层面完全分裂架构,JSRP需要控制层面 (配置同步)和数据层面(Session同步)两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编。整个JSRP配置过程包括如下7个步骤l 配置Cluster id和Node id (对应Scre

3、enOS NSRP 的cluster id并需手工指定设备使用节点id)l 指定Control Port (指定控制层面使用接口,用于配置同步及心跳)l 指定Fabric Link Port (指定数据层面使用接口,主要session等RTO同步)l 配置Redundancy Group (类似NSRP的VSD group,优先级与抢占等配置)l 每个机箱的个性化配置 (单机无需同步的个性化配置,如主机名、带外管理口IP地址等)l 配置Redundant Ethernet Interface (类似NSRP的Redundant冗余接口)l 配置Interface Monitoring (类似N

4、SRP interface monitor,是RG数据层面切换依据)1.1.配置Cluster id和Node idSRX在启用JSRP之后,组成Cluster的两台机箱会被抽象成一台逻辑的机箱,cluster id和node id将会被存放在EEPROM内,每个机箱内部的各个业务引擎通讯用的TNP地址都需要重新分配,因此设备需要重启生效。注意,这一步两个node都需要配置。配置命令:SRX5800Asrx5800aset chassis cluster cluster-id 1 node 0 reboot/注1:注意该命令需在operational模式下输入/注2:Cluster ID取值范

5、围为1 15,当Cluster ID = 0时会unsets cluster配置,成为单机SRX5800Bsrx5800bset chassis cluster cluster-id 1 node 1 reboot1.2. 指定Control Port 这一步只对SRX5K有效(两个node都需要配置),因为SRX3K 的Control Port是固化的,无需指定。 JSRP中两个机箱的控制平面以主备(A/P)的方式运作。Control Port用于 连接两个机箱的控制平面(RE),实现RE之间的互相通信,包括传递jsrpd心跳信息(1000ms一次,threshold为3次), chassi

6、sd通信,kernel (ifstate) 状态同步和配置信息同步等。由于Control Port接口的流量直接通到RE,因此可以用”tcpdump”或”monitor traffic interface”来查看Control Port的流量。 由于SRX5K的RE没有专门的Control Port, 因此借用了SPC上的千兆以太网口(SFP形式)作为Control Port,而SRK3K的SFB上已设计有专门的Control Port (通过内部总线直接连接到RE),因此不需要单独指定。 由于受LAG Feature的限制,SRX5K目前只支持SPC的port 0用于Control Port

7、。配置命令:SRX5800Aset chassis cluster control-ports fpc 11 port 0set chassis cluster control-ports fpc 23 port 0/注3:Control Port最好不要选在CP所在的SPC上以降低单板故障对系统的影响注意: 当配置完contrtol port之后系统配置会自动在两个nodes之间同步,因此后面的配置可以只在一个节点上做即可1.3.指定Fabric LinkFabric Link是一个虚拟的交换平面,用于将两个SRX机箱的数据平面连接在一起,类似EX交换机的VCP接口或TX Matrix的SC

8、C,主要用于RTO对象同步和异步路由数据的回程。 JSRP中两个机箱的数据平面以主主(A/A)的方式运作,即不管控制平面是否是master,数据平面的SPU/NPU等始终是Active的,只要流量经过即可转发。JSRP中Fabric Link采用SRX业务板卡里的以太网接口实现,其通过SPU直接驱动,无需RE干预。因此在RE上通过”tcpdump”或”monitor traffic interface”不能看到Fabric Link的流量。 在有异步路由数据回程的情况下为保证充裕的互联带宽可采用千兆以太网捆绑或万兆以太网接口作为Fabric Link。推荐采用前一种方式,因为接口捆绑 (Agg

9、regate Interface)不但提供了更大的互联带宽,还能保证Fabric Link的高可用性。/注4: SRX 3K/5K目前尚不支持Aggregate Interface,JUNOS 10.1以后开始支持配置命令:SRX5800Aset interfaces fab0 fabric-options member-interfaces ge-1/0/0set interfaces fab1 fabric-options member-interfaces ge-13/0/0/注5:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 11.4.配置Redun

10、dancy GroupRedundancy Group (RG)类似ScreenOS NSRP里的VSD,用来抽象两个机箱之间可以互相热备切换的一组对象,其中RG0固定用于RE切换,RG1用于一组redundant interface切换,如果要做AA,则还需要RG2。由此可以看出,RE切换是独立于接口切换的。配置如下:labsrx5800b# show chassis cluster reth-count 10;/指定redundant Ethernet interface数量,类似ae interfaceredundancy-group 0 node 0 priority 200;node

11、 1 priority 100;redundancy-group 1 node 0 priority 200;node 1 priority 100;1.5.每个机箱的个性化配置通过group模板来实现,类似JUNOS RE 的group配置,实际上JSRP中的跨机箱RE切换就是模拟了JUNOS中的RE Redundancy,这样也方便以后实现NSR/ISSU。配置如下:labsrx5800a# show groups node0 system host-name srx5800a;interfaces fxp0 unit 0 family inet address 172.27.11.196

12、/25;node1 system host-name srx5800b;interfaces fxp0 unit 0 family inet address 172.27.11.197/25;apply-groups “$node”1.6.配置Redundant Ethernet InterfaceRedundant Ethernet interface是一组主备的以太网接口,实际上利用了跨机箱的802.3ad link aggregate技术来实现两个成员接口间的主备切换。Redundant Ethernet interface的MAC地址是虚拟的,其值根据以下公式可以计算得出:0010DB

13、11111111CCCCRRVV1111111CCCC: Cluster IDRR:Reserved. 00.VV: Version, 00 for the first releaseIIIIIIII:Interface id, derived from the reth index. 配置如下:labsrx5800a# show interfacege-0/0/0 /node 1的ge-0/0/0gigether-options redundant-parent reth0;ge-13/0/0 /node 1的ge-0/0/0gigether-options redundant-parent

14、 reth0;reth0 redundant-ether-options redundancy-group 1;/redundant ethernet应属于RG1unit 0 family inet address 192.168.0.1/24;/注6:JUNOS 9.5中一个RG最多容纳15个redundant Ethernet interface,而整个JSRP系统支持最多128个RG1.7.配置Interface Monitoring默认情况下,接口故障只会触发Redundant Ethernet interface内部主备接口切换,这时异步路由流量会从Fabric Link送到egre

15、ss接口所在的node;如果希望避免这种状况 (比如Fabric Link带宽不够) 则可以通过配置interface monitoring来监控物理接口的存亡,并触发整个Redundancy Group的切换。每个被监控的成员接口需要被赋予一个权重(weight),当累积的weight超过threshold (default为255)时则可触发整个Redundancy Group切换。配置如下:labsrx5800a# show chassis cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255;ge-0/0/1 weight 255;ge-13/0/1 weight 255;ge-13/0/0

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号