-
Juniper SRX
防火墙双机配置步骤
JSRP
是
Juniper SRX<
/p>
的私有
HA
协议,对应
< br>ScreenOS
的
NSRP
双
机集群协议,支
持
A/P
和
A/A
模式,
JSRP
对
ScreenOS
NSRP
协议和
JUNOS Cluster
< br>集群技术进行了整
合集成,熟悉
NSRP
协议有助于对
JSRP
协议的理解。
< br>JSRP
和
NSRP
最大的区别
在于
JSRP
是完全意义上的
Clus
ter
概念,两台设备完全当作一台设备来看待,两台设备的
接
口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行
ScreenOS
的
配置和会话同步等操作,而
Scre
enOS NSRP
可看作在同步配置和动态对象(
sessi
on
)
基础上独立运行的两台单独设备。
JSRP
要求两台设备在软件版本、硬件型号、板卡数量、
插槽位置及端口使用方面
严格一一对应。由于
SRX
是转发与控制层面完全分裂架构,
JSRP
需要
控制层面
(
配置
同步
)
和数据层面
(Session
同步
)
两个平面的互联,建议控制和数据层面互联链路使用光
纤链路直连(部分平台强制要求光纤链路直连)。
JSRP
接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,
如上所
示的
SRX5800
,每个
SRX58
00
机箱有
12
个业务槽位,节点
0
槽位号从
0
开始
编号,节点
1
槽位号从
12
开始往后编。
整个
JSRP
配置过程包括如下
7
个步骤
?
配置
Cluster
id
和
Node
id
(
对应
ScreenOS
NSRP
的
cluster
id
并需手工指定设备
使用节点
id
)
?
指定
Control Port
(指定控制层面使用接口,用于配置同步及心跳)
?
指定
Fabric Link Port
(指定数据层面使用接口,主要
session
等
RTO
同步)
?
配置
Redundancy Group <
/p>
(类似
NSRP
的
VSD group
,优先级与抢占等配置)
?
每个机箱的个性化配置
< br>(单机无需同步的个性化配置,如主机名、带外管
理口
I
P
地址等)
?
配置
Redundant Ethernet
Interface
(类似
NSRP
的
Redundant
冗余接口)
?
配置
Interface Monitoring
(类似
NSRP interface monitor
,是
RG
数据层面
切
换依据)
1.1.
配置
Cluster
id
和
Node idSRX
在启用<
/p>
JSRP
之后,组成
Cluster
的两台机箱会被抽象成
一台逻辑的机箱,
c
luster id
和
node id
将会被存放在
EEPROM
内,每个机箱内部的各个
业务引擎通讯用的
TNP
地址都需要重新分配,因
此设备需要重启生效。
注意,这一步两个
node
都需要配置。
配置命令:
SRX5800A
srx5800a>set chassis cluster cluster-id
1 node 0 reboot
//
注
1
:注意该命令需在
operat
ional
模式下输入
//
注
2
:
Cluster
ID
取值范围为
1
–
15
,当
Cluster ID =
0
时会
unsets
cluster
配置,
成为单机
SRX5800B
srx5800b>set
chassis cluster cluster-id 1 node 1 reboot
1.2.
指定
Control Port
这一
步只对
SRX5K
有效
(
两个
node
都需要配置
)
,因为
SRX3K
的
Control
Port
是固化的,无需指定。
JSRP
中两个机箱的控制平面以主备
(A/P)
的方式运作。
Control
Port
用于
连接两个
机箱的控制平面
(RE)
,实现
RE
之间的互相通信,包括传递
jsrpd
心跳信息
(1000ms
一次,
threshold
为
3
次
)
,
chassisd
通信,
kernel (ifstate)
状态同步和配置信息同步等。由
于
Co
ntrol Port
接口的流量直接通到
RE
,因此可以用”
tcpdump
”或”
monitor traffic
interface
”来查看
Control
Port
的流量。
由于
SRX5K
的
R
E
没有专门的
Control
Port
,
因此借用了
SPC
上的千兆以太网口
(SFP
< br>形式
)
作为
Control P
ort
,而
SRK3K
的
SFB
上已设计有专门的
Control Port
(
通过内
部总线直接连接到
RE)
,因此不需要单独指定。
由于受
LAG Feature
的限制
,
SRX5K
目前只支持
SPC
的
port
0
用于
Control
Port
。
配置命令:
SRX5800A
set
chassis cluster control-ports fpc 11 port
0
set chassis cluster
control-ports fpc 23 port 0
//
注
3
:
C
ontrol Port
最好不要选在
CP
所在的
SPC
上以降低单板故障对系统的影响
注意
:
当配置完
contrtol port
之后系统配置会自动在两个
nodes
之间同步,因此后面的配
置
可以只在一个节点上做即可
1.3.
指定
Fabric
LinkFabric Link
是一个虚拟的交换平面,用于将两个
< br>SRX
机箱的数据平面
连接在一起,类似
EX
交换机的
VCP
接口或<
/p>
TX Matrix
的
SCC
,主要用于
RTO
对象同步和异
< br>步路由数据的回程。
JSRP
中两个机箱的数据平面以主主
(A/A)
的方式运作,即不管控制平面是否是
master
,
数据平面的
SPU/NPU
等始终是<
/p>
Active
的,只要流量经过即可转发。
JSRP
中
Fabric Lin
k
采用
SRX
业务板卡里的以太网接口
实现,其通过
SPU
直接驱动,无需
R
E
干预。因此在
RE
上通过”
tcpdump
”或”
monitor
traffic interface
”不能看到
-
-
-
-
-
-
-
-
-
上一篇:Snapmirror操作手册
下一篇:安装工程一切险附加险条款