Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:配置主动/主动第 3 层群集部署

此示例说明如何在高端 SRX 系列设备上设置基本的主动/主动机箱群集。

要求

此示例使用以下硬件和软件组件:

  • 两个运行 Junos OS 9.6 或更高版本瞻博网络具有相同硬件配置的 SRX5800 服务网关。

  • 两台运行 Junos OS 9.6 或更高版本的瞻博网络 EX9214 以太网交换机。

    • 任何 EX 系列交换机都可以在这里使用。

开始之前:

  • 物理连接两个 SRX 服务网关(交换矩阵和控制端口为背对背)。

注意:

此配置示例已经过使用列出的软件版本进行测试,并假定适用于所有更高版本。

概述

机箱群集由两台具有相同硬件的 SRX 系列设备组成。对于希望尽可能在机箱群集成员上维护流量的环境,支持在 SRX 系列设备上进行主动/主动群集。在主动/主动部署中,只有数据平面处于主动/主动模式;控制平面处于主动/被动模式。这允许一个控制平面将两个机箱成员作为单个逻辑设备进行控制,从而允许控制平面在发生故障时故障转移到另一个设备。仅将数据平面置于主动/主动模式,则允许数据平面独立于控制平面进行故障切换。

主动/主动配置还允许入口接口位于一个群集设备上,而出口接口位于另一个群集设备上。在不同设备上设置入口和出口接口时,数据流量必须通过数据结构传递到其他集群设备,然后从出口接口传出。

此主动/主动机箱群集示例要求您为每个节点配置两个冗余以太网 (reth) 接口(reth0 和 reth1),并确保它们通过一个或多个交换机连接在一起。reth 接口将两个物理接口(每个节点一个)捆绑在一起。reth 接口被分配给冗余组。

图 1 显示了此示例中使用的拓扑。

图 1:一对高端 SRX 系列设备Network topology diagram showing two ISP connections, active-active SRX5800 firewalls, EX9214 switches with VLANs 50 and 60, and two hosts in VLANs 50 and 60.上的主动/主动第 3 层机箱群集拓扑

配置

要配置此示例,请执行以下过程:

配置控制端口

分步过程

为每个设备配置控制端口。

选择 FPC 1 和 FPC 13,因为中心点 (CP) 始终位于群集中最低的 SPC/SPU 上(在本例中,它是插槽 0)。为获得最大可靠性,请将控制端口放在与中心点分开的 SPC 上(此示例使用插槽 1 中的 SPC)。

注意:

只有 SRX5600 设备和 SRX5800 设备才需要配置控制端口。

  1. 配置控制端口并提交配置:

启用群集模式

分步过程

为每台设备分配群集 ID 和节点 ID。

将两台设备设置为群集模式,方法是在每台设备上添加群集 ID 和节点 ID,然后重新启动。您可以通过在 set 命令中包含参数 reboot 来配置系统以自动引导。

注意:

由于分段上只有一个集群,此示例使用集群 ID 1,其中设备 SRX5800-1 为节点 0,设备 SRX5800-2 为节点 1。

要将两台设备设置为群集模式:

  1. 在 SRX5800-1(节点 0)上启用群集模式。

  2. 在 SRX5800-2(节点 1)上启用群集模式。

    注意:

    如果单个广播域上有多个 SRX 设备群集,请确保为每个群集分配不同的群集 ID,以避免 MAC 地址冲突。

    当系统重新启动时,节点将作为一个群集启动。从此时开始,群集的配置将在节点成员之间同步,两台独立的设备作为一台设备运行。

配置集群参数

分步过程

注意:

在群集模式下,所有命令和配置都将应用于两个节点。

要配置机箱群集设置:

  1. 在每台设备上配置一个交换矩阵(数据)端口,以便在流量到达某一节点的入口接口而离开另一台设备时,使流量能够从一台设备传递到另一台设备。

    注意:

    对于主动/主动部署,建议使用 10 千兆以太网连接。

  2. 配置每个设备的 fxp0 接口,以便进行带外管理。为群集的每个设备(控制平面)分配单独的 IP 地址。

    由于 SRX 服务网关机箱群集配置包含在单个通用配置中,因此要仅将配置的某些元素分配给特定成员,请使用称为组的 Junos OS 节点特定配置方法。命令 set apply-groups ${node} 使用节点变量定义如何将组应用于节点。每个节点都能识别其编号并接受相应的配置。

  3. 为机箱群集配置冗余组。

    每个节点在冗余组中都有接口。冗余组 0 控制控制平面,它定义哪个节点将成为主节点。冗余组 1+ 控制数据平面,并包括数据平面端口。此主动/主动群集模式示例使用 2 个具有冗余组 0、1 和 2 的 reth 接口。

    作为冗余组配置的一部分,您还必须定义控制平面和数据平面的优先级,即控制平面首选哪种设备,以及数据平面首选哪种设备。(对于机箱群集,优先级较高是首选。

    注意:

    控制平面(冗余组 0)和数据平面(冗余组 1+)可以在不同的机箱上处于活动状态。但是,对于此示例,我们建议在同一机箱成员上同时激活控制平面和数据平面。冗余组 0 (RG0) 和冗余组 1 (RG1) 默认为节点 0 上的活动状态,而冗余组 2 (RG2) 默认为节点 1 上的活动状态。

  4. 在平台上配置数据接口,以便在发生数据平面故障切换时,其他机箱群集成员可以无缝接管连接。

    定义以下项目:

    • 群集的最大 reth 接口数,以便系统可以为其分配适当的资源。

    • reth 接口信息,例如接口的 IP 地址。

    • reth 接口的成员接口成员身份信息。

    • reth 接口到冗余组的映射。

  5. 配置发生故障时的行为。

    每个接口都配置了一个权重值,当链路丢失时,该值将从冗余组阈值 255 中扣除。当冗余组阈值达到 0 时,该冗余组将故障转移到辅助节点。

    注意:

    如果未启用该 control-link-recovery 功能,则需要手动重新启动才能使辅助节点与主节点恢复同步。
    注意:

    接口上的单个 VLAN 不会受到监控。仅监控整个接口。

    此步骤将完成机箱群集配置。

  6. 配置不属于 reth 接口的其他接口。这些是通往 ISP 的上游接口。

    以下部分介绍如何配置区域、安全策略、NAT、路由和 EX8208 核心交换机以完成部署方案。

配置区域、策略、NAT 和路由

分步过程

配置 reth 接口并将其连接到相应的区域,并定义允许出站流量的安全策略。此外,在此示例中,我们将使用默认路由和 NAT 来使终端主机能够到达 Internet。

要配置区域、策略、NAT 和路由,请执行以下作:

  1. 将接口分配给相应的区域。

  2. 配置策略以允许从信任区域中的主机到 Internet 的流量。

  3. 为出站流量配置源 NAT。

  4. 定义一个默认静态路由,使主机能够到达互联网。

  5. 配置 OSPF。

配置 EX9214-1

分步过程

对于 EX9214,以下命令仅提供与此SRX5800的主动/主动示例有关的配置,尤其是 VLAN、路由和接口配置。

  1. 配置接口。

    注意:

    终端主机正在发送未标记的流量。

  2. 配置 VLAN。

  3. 启用 RSTP。

    注意:

    在此示例中,由于没有第 2 层环路,因此并非严格要求 RSTP。但是,典型环境可能会有更多交换机,这需要启用协议。

配置 EX9214-2

分步过程

要配置 EX9214-2,请执行以下作:

  1. 配置接口。

    注意:

    终端主机正在发送未标记的流量。

  2. 配置 VLAN。

  3. 启用 RSTP。

    注意:

    在此示例中,由于没有第 2 层环路,因此并非严格要求 RSTP。但是,典型环境可能会有更多交换机,这需要启用协议。

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在作模式下,输入 show chassis cluster status 命令。

意义

示例输出显示主节点和辅助节点的状态,并且没有手动故障转移。

验证机箱群集接口

目的

验证有关机箱群集接口的信息。

行动

在作模式下,输入 show chassis cluster interfaces 命令。

意义

示例输出提供有关控件和结构链路的状态信息。它还显示每个 reth 接口的状态、权重值和冗余组。

验证机箱群集统计信息

目的

验证有关机箱群集服务和控制链路统计信息(发送和接收的心跳)、交换结构链路统计信息(发送和接收的探查)以及为服务发送和接收的实时对象 (RTO) 数的信息。

行动

在作模式下,输入 show chassis cluster statistics 命令。

意义

使用示例输出可以:

  • 验证是否 Heartbeat packets sent 在递增。

  • 验证 是 Heartbeat packets received 不是接近 的数字 Heartbeats packets sent

  • 验证是否 Heartbeats packets errors 为零。

这将验证检测信号数据包的传输和接收是否正确无误。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的心跳)和交换结构链路统计信息(发送和接收的探查)的信息。

行动

在作模式下,输入 show chassis cluster control-plane statistics 命令。

意义

使用示例输出可以:

  • 验证是否 Heartbeat packets sent 在递增。

  • 验证 是 Heartbeat packets received 不是接近 的数字 Heartbeats packets sent

  • 验证是否 Heartbeats packets errors 为零。

这将验证检测信号数据包的传输和接收是否正确无误。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的实时对象 (RTO) 数量的信息。

行动

在作模式下,输入 show chassis cluster data-plane statistics 命令。

意义

示例输出显示了为各种服务发送和接收的 RTO 数。

验证机箱群集冗余组状态

目的

验证冗余组的状态。

行动

在作模式下,输入 chassis cluster status redundancy-group 命令。

意义

示例输出显示冗余组 1 运行正常,没有抢占、手动故障转移或其他故障。

使用日志进行故障排除

目的

查看系统日志文件以确定任何机箱群集问题。您应该查看两个节点上的系统日志文件。

行动

在作模式下,输入以下 show log 命令。

结果

在作模式下,输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式输入 commit

相关主题