Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

主动/被动机箱群集部署

了解主动/被动机箱群集部署

在这种情况下,群集中的单个设备用于路由所有流量,而另一个设备仅在发生故障时使用(请参阅 图 1)。发生故障时,备份设备将成为主设备并控制所有转发。

图 1:主动/被动机箱群集方案 Active/Passive Chassis Cluster Scenario

主动/被动 机箱群集 可以通过使用全部分配给同一冗余组的冗余以太网接口 (reth) 来实现。如果节点中活动组中的任何接口发生故障,则该组将被声明为非活动状态,并且组中的所有接口都将故障转移到另一个节点。

此配置可最大程度地减少通过交换矩阵链路的流量,因为群集中只有一个节点在任何给定时间转发流量。

参见

示例:在SRX5800防火墙上配置主动/被动机箱群集

此示例说明如何在SRX5800防火墙上设置基本的主动/被动机箱群集。

要求

准备工作:

  • 您需要两个具有相同硬件配置的SRX5800防火墙,以及可选的一个 MX480 边缘路由器和一个 EX9214 以太网交换机,用于发送端到端数据流量。

  • 物理连接两台设备(交换矩阵和控制端口背靠背),并确保它们的型号相同。

  • 在形成群集之前,必须为每个设备配置控制端口,并为每个设备分配群集 ID 和节点 ID,然后重新启动。当系统启动时,两个节点都作为群集启动。

    SRX5400、SRX5600 和 SRX5800 防火墙需要控制端口配置。

现在设备是一对。从此时开始,群集的配置将在节点成员之间同步,两个独立的设备作为一个设备运行。

概述

此示例说明如何在 SRX 系列防火墙上设置基本主动/被动机箱群集。基本的主动/被动示例是最常见的机箱群集类型。

基本主动/被动机箱群集由两台设备组成:

  • 一台设备主动提供路由、防火墙、NAT、VPN 和安全服务,同时保持对机箱群集的控制。

  • 另一台设备被动地维护其群集故障转移功能状态,以防活动设备变为非活动状态。

此SRX5800防火墙的主动/被动模式示例未详细描述其他配置,例如如何配置 NAT、安全策略或 VPN。它们本质上与独立配置相同。但是,如果您在机箱群集配置中执行代理 ARP,则必须将代理 ARP 配置应用于 reth 接口而不是成员接口,因为 RETH 接口包含逻辑配置。请参阅 为 NAT 配置代理 ARP(CLI 过程)。您还可以在SRX5800防火墙中使用 VLAN 和中继接口配置单独的逻辑接口配置。这些配置类似于使用 VLAN 和中继接口的独立实施。

图 2 显示了此示例中使用的拓扑。

图 2:SRX 系列防火墙拓扑上的基本主动/被动机箱群集示例 Basic Active/Passive Chassis Clustering on an SRX Series Firewall Topology Example

配置

配置控制端口并启用群集模式

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

在 {primary:node0} 上

(可选)要快速配置 EX9214 核心交换机,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

在 EX 设备上

(可选)要快速配置 MX480 边缘路由器,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

在 MX 设备上

分步过程

以下示例要求您在配置层次结构中导航各个级别。

要在 SRX 系列防火墙上配置机箱群集:

在群集模式下,执行 commit 命令时,配置将通过节点之间的控制链路同步。无论命令是从哪个设备配置的,所有命令都将应用于两个节点。

  1. 由于 SRX5000 防火墙机箱群集配置包含在单个通用配置中,因此要将配置的某些元素仅分配给特定成员,必须使用 Junos OS 节点特定的配置方法(称为组)。该 set apply-groups ${node} 命令使用 node 变量来定义如何将组应用于节点;每个节点都能识别其编号并相应地接受配置。您还必须在 SRX5000 防火墙的 fxp0 接口上配置带外管理,为群集的各个控制平面使用单独的 IP 地址。

    不允许将备份路由器目标地址配置为 x.x.x.0/0。

    上述组 node0 和节点 1 配置已提交,但未应用。设备在群集中启动后,将使用 应用 set apply-groups “${node}”这些命令。

  2. 使用以下命令配置主节点 0。在提交节点配置之前,节点 1 无法访问。节点 0 将通过控制端口自动将配置同步到节点 1,不需要显式配置节点 1。

  3. 为每个设备配置控制端口,然后提交配置。

    确保按照配置在两个节点上的 SPC 卡之间建立物理控制链路连接。

    控制端口基于 SPC 在机箱中的位置派生,偏移值基于平台。在以下示例中,SPC 位于收入插槽 1 中,由于 SRX5800 的偏移量为 12,因此控制端口为 1, 13。您可以在 shell 模式下使用命令查看 “jwhoami -c” 特定平台的偏移值。您必须在两台设备上输入以下命令。例如:

    • 在节点 0 上:

    • 在节点 1 上:

  4. 将两台设备设置为群集模式。设置群集 ID 和节点 ID 后,需要重新启动才能进入群集模式。您可以通过在 reboot CLI 命令行中包含参数来使系统自动引导。您必须在两台设备上输入操作模式命令。例如:

    • 在节点 0 上:

    • 在节点 1 上:

    群集中两台设备上的群集 ID 必须相同,但节点 ID 必须不同,因为一台设备是节点 0,另一台设备是节点 1。群集 ID 的范围为 1 到 255。将集群 ID 设置为 0 等效于禁用集群。但建议使用 从 set chassis cluster disable 群集中断节点。

  5. 为机箱群集配置冗余组。每个节点在冗余组中都有接口,其中接口在活动冗余组中处于活动状态(一个冗余组中可以存在多个活动接口)。冗余组 0 控制控制平面,冗余组 1+ 控制数据平面并包括数据平面端口。对于此主动/被动模式示例,一次只有一个机箱群集成员处于活动状态,因此您只需定义冗余组 0 和 1。除了冗余组,还必须定义:

    • 冗余以太网组 — 配置设备上将处于活动状态的冗余以太网接口(成员链路)数量,以便系统为其分配适当的资源。

    • 控制平面和数据平面的优先级 — 定义哪个设备对控制平面具有优先级(对于机箱群集,首选高优先级),以及哪个设备优先处于活动状态对于数据平面。

      • 在主动/被动或主动/主动模式下,控制平面(冗余组 0)可以在不同于数据平面(冗余组 1+ 和组)机箱的机箱上处于活动状态。但是,对于此示例,我们建议在同一机箱构件上同时激活控制平面和数据平面。当流量通过交换矩阵链路转到另一个成员节点时,会引入延迟(z 线路模式流量)。

      • 在 SRX 系列防火墙(SRX5000 系列)上,Z 模式下的主动/主动机箱群集配置(即,当有多个 RG1+ 冗余组时)不支持 IPsec VPN。

  6. 配置群集的结构(数据)端口,用于在主动/被动模式下传递 RTO。对于此示例,请使用其中一个收入端口。定义两个交换矩阵接口(每个机箱一个)以连接在一起。

    在平台上配置数据接口,以便在发生数据平面故障切换时,其他机箱群集成员可以无缝接管连接。数据平面故障转移将无缝过渡到新的活动节点。在发生控制平面故障切换时,所有守护程序都将在新节点上重新启动,从而实现平稳重启,以避免失去与对等方的邻接关系(ospf、bgp)。这有助于无缝过渡到新节点,而不会丢失任何数据包。

    必须定义以下项:

    • 定义成员接口的成员资格信息到reth接口。

    • 定义 reth 接口所属的冗余组。对于此主动/被动示例,它始终为 1。

    • 定义接口信息,例如接口的 IP 地址。

  7. (可选)配置发生故障时的机箱群集行为。对于SRX5800防火墙,故障转移阈值设置为 255。您可以更改权重以确定对机箱故障切换的影响。您还必须配置控制链路恢复。如果控制链路出现故障,恢复会自动使辅助节点重新启动,然后重新联机。在节点 0 上输入这些命令。

    此步骤将完成 SRX5800 防火墙的主动/被动模式示例的机箱群集配置部分。此过程的其余部分介绍如何配置区域、虚拟路由器、路由、EX9214 核心交换机和 MX480 边缘路由器以完成部署方案。

  8. (可选)配置 reth 接口并将其连接到相应的区域和虚拟路由器。对于此示例,请将 reth0 和 reth1 接口保留在默认虚拟路由器 inet.0 中,这不需要任何其他配置。

  9. 创建安全策略以允许从信任区域到不信任区域的流量。

  10. (可选)对于 EX9214 以太网交换机,以下命令仅提供适用配置的概要,因为它与 SRX5800 防火墙的主动/被动模式示例有关;最值得注意的是 VLAN、路由和接口配置。

  11. (可选)对于 MX480 边缘路由器,以下命令仅提供适用配置的概要,因为它与 SRX5800 防火墙的主动/被动模式示例有关;最值得注意的是,您必须在交换机上的虚拟交换机实例中使用 IRB 接口。

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证有关机箱群集接口的信息。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关机箱群集服务和控制链路统计信息(发送和接收的心跳)、结构链路统计信息(发送和接收的探测)以及为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的检测信号)和结构链路统计信息(发送和接收的探测)的信息。

行动

在操作模式下,输入 show chassis cluster control-plane statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证来自 EX 设备的 Ping

目的

从 EX 设备验证连接状态。

行动

在操作模式下,输入 ping 172.16.1.254 count 2 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障转移的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志确定任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入以下命令 show log

参见

示例:配置主动/被动机箱群集对(SRX1500 或 SRX1600)

此示例说明如何为SRX1500或SRX1600设备配置主动/被动机箱群集。

要求

准备工作:

  1. 将一对设备物理连接在一起,确保它们的型号相同。

  2. 通过将一台设备上的千兆以太网接口连接到另一台设备上的另一个千兆以太网接口来创建结构链路。

  3. 通过连接两个SRX1500设备的控制端口来创建控制链路。

  4. 使用控制台端口连接到其中一台设备。(这是构成群集的节点。并设置集群 ID 和节点号。

  5. 使用控制台端口连接到其他设备,并设置群集 ID 和节点号。

概述

在此示例中,群集中的单个设备用于路由所有流量,而另一台设备仅在发生故障时使用。(请参阅 图 3。发生故障时,备份设备将成为主设备并控制所有转发。

图 3:主动/被动机箱群集拓扑 Active/Passive Chassis Cluster Topology

您可以通过配置全部分配给同一冗余组的冗余以太网接口 (reth) 来创建主动/被动机箱群集。此配置可最大程度地减少通过交换矩阵链路的流量,因为群集中只有一个节点在任何给定时间转发流量。

在此示例中,您将配置组(使用命令应用 apply-groups 配置)和机箱群集信息。然后配置安全区域和安全策略。请参阅 表 1表 4

表 1: 组和机箱群集配置参数

特征

名字

配置参数

节点0

  • 主机名: srx1500-A

  • 接口:fxp0

    • 单元 0

    • 192.0.2.110/24

节点 1

  • 主机名: srx1500-B

  • 接口:fxp0

    • 单元 0

    • 192.0.2.111/24
表 2:机箱群集配置参数

特征

名字

配置参数

结构链路

晶圆厂0

接口:ge-0/0/1

晶圆厂1

接口:ge-7/0/1

检测信号间隔

1000

检测信号阈值

3

冗余组

0

  • 优先权:

    • 节点 0:254

    • 节点 1:1

1

  • 优先权:

    • 节点 0:254

    • 节点 1:1

接口监控

  • ge-0/0/4

  • GE-7/0/4

  • ge-0/0/5

  • GE-7/0/5

冗余以太网接口数量

2

接口

ge-0/0/4

冗余父级:reth0

GE-7/0/4

冗余父级:reth0

ge-0/0/5

冗余父级:reth1

GE-7/0/5

冗余父级:reth1

reth0

冗余组:1

  • 单元 0

  • 198.51.100.1/24

RETH1

冗余组:1

  • 单元 0

  • 203.0.113.233/24
表 3:安全区域配置参数

名字

配置参数

信任

reth1.0 接口绑定到此区域。

不信任

reth0.0 接口绑定到此区域。
表 4:安全策略配置参数

目的

名字

配置参数

此安全策略允许从信任区域到不信任区域的流量。

任何

  • 匹配标准:

    • 源-地址 任意

    • 目标地址

    • 应用任意

  • 操作:允许

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

要配置主动/被动机箱群集:

  1. 配置管理接口。

  2. 配置结构接口。

  3. 配置检测信号设置。

  4. 配置冗余组。

  5. 配置冗余以太网接口。

  6. 配置安全区域。

  7. 配置安全策略。

结果

在配置模式下,输入 show configuration 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证有关机箱群集接口的信息。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关正在同步的不同对象的统计信息、结构和控制接口问候以及集群中受监控接口的状态的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的检测信号)和结构链路统计信息(发送和接收的探测)的信息。

行动

在操作模式下,输入 show chassis cluster control-plane statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障转移的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志确定任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入以下命令 show

参见

示例:配置主动/被动机箱群集对 (J-Web)

  1. 启用群集。请参阅 示例:配置主动/被动机箱群集对 (CLI) 中的步骤 1。

  2. 配置管理接口。请参阅 示例:配置主动/被动机箱群集对 (CLI) 中的步骤 2。

  3. 配置结构接口。请参阅 示例:配置主动/被动机箱群集对 (CLI) 中的步骤 3。

  4. 配置冗余组。

    • 选择 Configure>Chassis Cluster

    • 输入以下信息,然后单击 Apply

      1. 冗余以太网接口计数: 2

      2. 心跳间隔: 1000

      3. 检测信号阈值: 3

      4. 节点: 0

      5. 组号: 0

      6. 优先 级: 100

    • 输入以下信息,然后单击 Apply

      1. 节点: 0

      2. 组号: 1

      3. 优先 级: 1

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 0

      3. 优先 级: 100

  5. 配置冗余以太网接口。

    • 选择 Configure>Chassis Cluster

    • 选择 ge-0/0/4

    • 在“冗余父项”框中输入 reth1

    • 单击 Apply

    • 选择 ge-7/0/4

    • 在“冗余父项”框中输入 reth1

    • 单击 Apply

    • 选择 ge-0/0/5

    • 在“冗余父项”框中输入 reth0

    • 单击 Apply

    • 选择 ge-7/0/5

    • 在“冗余父项”框中输入 reth0

    • 单击 Apply

    • 有关最后四个配置设置,请参阅 示例:配置主动/被动机箱群集对 (CLI) 中的步骤 5。

  6. 配置安全区域。请参阅 示例:配置主动/被动机箱群集对 (CLI) 中的步骤 6。

  7. 配置安全策略。请参阅 示例:配置主动/被动机箱群集对 (CLI) 中的步骤 7。

  8. 单击OK以检查配置并将其另存为候选配置,然后单击>Commit OptionsCommit

参见

了解使用 IPsec 隧道的主动/被动机箱群集部署

在这种情况下,群集中的单个设备在 IPsec 隧道中终止并用于处理所有流量,而另一台设备仅在发生故障时使用(请参阅 图 4)。发生故障时,备份设备将成为主设备并控制所有转发。

图 4:具有 IPsec 隧道方案的主动/被动机箱群集(SRX 系列防火墙) Active/Passive Chassis Cluster with IPsec Tunnel Scenario (SRX Series Firewalls)

主动/被动 机箱群集 可以通过使用全部分配给同一冗余组的冗余以太网接口 (reth) 来实现。如果节点中活动组中的任何接口发生故障,则该组将被声明为非活动状态,并且组中的所有接口都将故障转移到另一个节点。

此配置为站点到站点 IPsec 隧道提供了一种在主动/被动群集中终止的方法,其中冗余以太网接口用作隧道端点。发生故障时,备份 SRX 系列防火墙中的冗余以太网接口将变为活动状态,从而强制隧道更改端点以在新的活动 SRX 系列防火墙中终止。由于隧道密钥和会话信息在机箱群集成员之间同步,因此故障切换不需要重新协商隧道,并且会维护所有已建立的会话。

如果 RG0(路由引擎)发生故障,需要在新的主节点上重新建立路由协议。如果配置了 VPN 监控或失效对等体检测,并且其计时器在路由重新收敛到新的 RG0 主节点之前过期,则 VPN 隧道将被关闭并重新协商。

动态隧道无法在不同的 SPC 之间进行负载平衡。

参见

示例:使用 IPsec 隧道配置主动/被动机箱群集对

此示例说明如何使用 IPsec 隧道为 SRX 系列防火墙配置主动/被动机箱群集。

要求

准备工作:

  • 获取两种具有相同硬件配置的 SRX5000 型号、一台SRX1500或SRX1600设备以及四台 EX 系列以太网交换机。

  • 物理连接两台设备(交换矩阵和控制端口背靠背),并确保它们的型号相同。您可以在SRX5000线上配置结构和控制端口。

  • 将两台设备设置为群集模式并重新启动设备。例如,您必须在两台设备上输入以下操作模式命令:

    • 在节点 0 上:

    • 在节点 1 上:

    两台设备上的群集 ID 相同,但节点 ID 必须不同,因为一台设备是节点 0,另一台设备是节点 1。群集 ID 的范围为 1 到 255。将集群 ID 设置为 0 等效于禁用集群。

    仅当结构和控制链路接口背对背连接时,才能设置大于 15 的群集 ID。

  • 获取两种具有相同硬件配置的 SRX5000 型号、一台SRX1500边缘路由器和四台 EX 系列以太网交换机。

  • 物理连接两台设备(交换矩阵和控制端口背靠背),并确保它们的型号相同。您可以在SRX5000线上配置结构和控制端口。

从此时开始,群集的配置将在节点成员之间同步,两个独立的设备作为一个设备运行。成员特定的配置(例如每个成员的管理端口的 IP 地址)使用配置组输入。

概述

在此示例中,群集中的单个设备在 IPsec 隧道中终止并用于处理所有流量,而另一台设备仅在发生故障时使用。(请参阅 图 5。发生故障时,备份设备将成为主设备并控制所有转发。

图 5:采用 IPsec 隧道拓扑的主动/被动机箱群集(SRX 系列防火墙) Active/Passive Chassis Cluster with IPsec Tunnel Topology (SRX Series Firewalls)

在此示例中,您将配置组(使用命令应用 apply-groups 配置)和机箱群集信息。然后配置 IKE、IPsec、静态路由、安全区域和安全策略参数。请参阅 表 5表 11

表 5: 组和机箱群集配置参数

特征

名字

配置参数

节点0

  • 主机名: SRX5800-1

  • 接口:fxp0

    • 单元 0

    • 172.19.100.50/24

节点 1

  • 主机名: SRX5800-2

  • 接口:fxp0

    • 单元 0

    • 172.19.100.51/24
表 6: 机箱群集配置参数

特征

名字

配置参数

结构链路

晶圆厂0

接口:xe-5/3/0

晶圆厂1

接口: xe-17/3/0

冗余以太网接口数量

2

检测信号间隔

1000

检测信号阈值

3

冗余组

0

  • 优先权:

    • 节点 0:254

    • 节点 1:1

1

  • 优先权:

    • 节点 0:254

    • 节点 1:1

接口监控

  • xe-5/0/0

  • XE-5/1/0

  • XE-17/0/0

  • XE-17/1/0

接口

XE-5/1/0

冗余父级:reth1

XE-5/1/0

冗余父级:reth1

xe-5/0/0

冗余父级:reth0

XE-17/0/0

冗余父级:reth0

reth0

冗余组:1

  • 单元 0

  • 10.1.1.60/16

RETH1

冗余组:1

  • 多点

  • 单元 0

  • 10.10.1.1/30

st0

  • 单元 0

  • 10.10.1.1/30
表 7:IKE 配置参数

特征

名字

配置参数

建议

提案设定标准

-

政策

预共享

  • 模式:主

  • 提案参考:提案集标准

  • IKE 第 1 阶段策略身份验证方法:预共享密钥 ASCII 文本

网关

SRX1500-1

  • IKE 策略参考:perShared

  • 外部接口:reth0.0

  • 网关地址:10.1.1.90

注意:

在 SRX 机箱群集中,IKE 外部接口配置仅支持 reth 和 lo0 接口。可以配置其他接口类型,但 IPsec VPN 可能无法正常工作。如果将 lo0 逻辑接口用作 IKE 网关外部接口,则无法使用 RG0 对其进行配置。
表 8:IPsec 配置参数

特征

名字

配置参数

建议

提案设定标准

政策

性病

VPN

SRX1500-1

  • IKE 网关参考:SRX1500-1

  • IPsec 策略参考:标准

  • 绑定到接口:st0.0

  • VPN 监控:VPN 监控器经过优化

  • 隧道建立:立即建立隧道

注意:

手动 VPN 名称和站点到站点网关名称不能相同。
注意:

从 st0.16000 到 st0.16385 的安全隧道接口 (st0) 保留用于机箱群集中的多节点高可用性和 HA 控制链路加密。这些接口不是用户可配置的接口。只能使用 st0.0 到 st0.15999 之间的接口。
表 9:静态路由配置参数

名字

配置参数

0.0.0.0/0

下一跃点:10.2.1.1

10.3.0.0/16

下一跃点:10.10.1.2
表 10:安全区域配置参数

名字

配置参数

信任

  • 允许所有系统服务。

  • 允许所有协议。

  • reth0.0 接口绑定到此区域。

不信任

  • 允许所有系统服务。

  • 允许所有协议。

  • reth1.0 接口绑定到此区域。

VPN

  • 允许所有系统服务。

  • 允许所有协议。

  • st0.0 接口绑定到此区域。
表 11:安全策略配置参数

目的

名字

配置参数

此安全策略允许从信任区域到不信任区域的流量。

任何

  • 匹配标准:

    • 源-地址 任意

    • 目标地址

    • 应用任意

  • 操作:允许

此安全策略允许从信任区域到 VPN 区域的流量。

vpn-any

  • 匹配标准:

    • 源-地址 任意

    • 目标地址

    • 应用任意

  • 操作:允许

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

要使用 IPsec 隧道配置主动/被动机箱群集对:

  1. 配置控制端口。

  2. 配置管理接口。

  3. 配置结构接口。

  4. 配置冗余组。

  5. 配置冗余以太网接口。

  6. 配置 IPsec 参数。

  7. 配置静态路由。

  8. 配置安全区域。

  9. 配置安全策略。

结果

在操作模式下,输入 show configuration 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证机箱群集状态

目的

验证机箱群集状态、故障切换状态和冗余组信息。

行动

在操作模式下,输入 show chassis cluster status 命令。

验证机箱群集接口

目的

验证机箱群集接口。

行动

在操作模式下,输入 show chassis cluster interfaces 命令。

验证机箱群集统计信息

目的

验证有关机箱群集服务和控制链路统计信息(发送和接收的心跳)、结构链路统计信息(发送和接收的探测)以及为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster statistics 命令。

验证机箱群集控制平面统计信息

目的

验证有关机箱群集控制平面统计信息(发送和接收的检测信号)和结构链路统计信息(发送和接收的探测)的信息。

行动

在操作模式下,输入 show chassis cluster control-panel statistics 命令。

验证机箱群集数据平面统计信息

目的

验证有关为服务发送和接收的 RTO 数量的信息。

行动

在操作模式下,输入 show chassis cluster data-plane statistics 命令。

验证机箱群集冗余组状态

目的

验证群集中两个节点的状态和优先级,以及有关主节点是否已被抢占或是否存在手动故障转移的信息。

行动

在操作模式下,输入 chassis cluster status redundancy-group 命令。

使用日志进行故障排除

目的

使用这些日志确定任何机箱群集问题。您必须在两个节点上运行这些日志。

行动

在操作模式下,输入以下命令 show

示例:使用 IPsec 隧道 (J-Web) 配置主动/被动机箱群集对

  1. 启用群集。请参阅 示例:使用 IPsec 隧道配置主动/被动机箱群集对中的步骤 1。

  2. 配置管理接口。请参阅 示例:使用 IPsec 隧道配置主动/被动机箱群集对中的步骤 2。

  3. 配置结构接口。请参阅 示例:使用 IPsec 隧道配置主动/被动机箱群集对中的步骤 3。

  4. 配置冗余组。

    • 选择 Configure>System Properties>Chassis Cluster

    • 输入以下信息,然后单击 Apply

      1. 冗余以太网接口计数: 2

      2. 心跳间隔: 1000

      3. 检测信号阈值: 3

      4. 节点: 0

      5. 组号: 0

      6. 优先 级: 254

    • 输入以下信息,然后单击 Apply

      1. 节点: 0

      2. 组号: 1

      3. 优先 级: 254

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 0

      3. 优先 级: 1

    • 输入以下信息,然后单击 Apply

      1. 节点: 1

      2. 组号: 1

      3. 优先 级: 1

      4. 抢占:选中该复选框。

      5. 接口监视器 — 接口: xe-5/0/0

      6. 接口监视器 — 重量: 255

      7. 接口监视器 — 接口: xe-5/1/0

      8. 接口监视器 — 重量: 255

      9. 接口监视器 — 接口: xe-17/0/0

      10. 接口监视器 — 重量: 255

      11. 接口监视器 — 接口: xe-17/1/0

      12. 接口监视器 — 重量: 255

  5. 配置冗余以太网接口。

    • 选择 Configure>System Properties>Chassis Cluster

    • 选择 xe-5/1/0

    • 在“冗余父项”框中输入 reth1

    • 单击 Apply

    • 选择 xe-17/1/0

    • 在“冗余父项”框中输入 reth1

    • 单击 Apply

    • 选择 xe-5/0/0

    • 在“冗余父项”框中输入 reth0

    • 单击 Apply

    • 选择 xe-17/0/0

    • 在“冗余父项”框中输入 reth0

    • 单击 Apply

    • 请参阅 示例:使用 IPsec 隧道配置主动/被动机箱群集对中的步骤 5。

  6. 配置 IPsec 配置。请参阅 示例:使用 IPsec 隧道配置主动/被动机箱群集对中的步骤 6。

  7. 配置静态路由 。

    • 选择 Configure>Routing>Static Routing

    • 单击 Add

    • 输入以下信息,然后单击 Apply

      1. 静态路由地址: 0.0.0.0/0

      2. 下一跃点地址: 10.2.1.1

    • 输入以下信息,然后单击 Apply

      1. 静态路由地址: 10.3.0.0/16

      2. 下一跃点地址: 10.10.1.2

  8. 配置安全区域。请参阅 示例:使用 IPsec 隧道配置主动/被动机箱群集对中的步骤 8。

  9. 配置安全策略。请参阅 示例:使用 IPsec 隧道配置主动/被动机箱群集对中的步骤 9。

  10. 单击OK以检查配置并将其另存为候选配置,然后单击>Commit OptionsCommit

相关文档