先日、2台のジュニパーSRX 550が私の粘り強い足に突き当たりましたが、彼らはそのようにヒットしただけでなく、OSPFルーターと同様に信頼できるipsecとNATゲートウェイを編成しました。 信頼性は私たちにとって最も重要なことなので、それから始めましょう。
サービスのフォールトトレランスを確保するために、通常、重要なノードは複製されます。 データセンターの場合、これはほぼ標準-N + Nまたは少なくともN + 1です。 同時に、デバイスは相互に独立して動作することもクラスタ内で動作することもできます。 両方のタイプに長所と短所がありますが、ルーティング/スイッチングだけでなく、より「インテリジェント」なもの(たとえば、同じNATまたはIPSec)が必要な場合は、クラスターなしではできません。 そのため、計画的なアップグレード中に、クラスタで動作するルーターはCisco 7201の代替品と見なされました。 この点で、ASR 1kは(ISRのように)森に入り、ASAは考慮されませんでした(調理方法がわからないため)。また、Cat6503のVSSは、価格と消費エネルギーの両方の面で油が多すぎます。
私たちの物語のヒーロー。 (以下-ジュニパーの公式サイトからの写真)
検索(短命)の後、選択はジュニパーSRX 550に落ち、私の意見では、選択は正しいものであることが判明しました。
ジュニパーSRXは、VPN、インターネットアクセス、およびL7までのトラフィックをフィルタリングするためのブランチオフィス/本社ソリューションです。
これは非常に成功したラインであり、Cisco ASAファミリとの競合に成功しています。 ファイアウォールとして位置付けられていますが、実際には、VPNを編成するだけでなく、トラフィックのルーティングとフィルタリングのための完全なソリューションです。 範囲-小規模オフィスからデータセンターまで。 機能-IPSecからVPLS(ゾーンベースのNAT、ファイアウォール、IPS / IDS、およびウイルス対策保護を含む)まで。 これに合理的なライセンスポリシー(hello、シスコ!)エンタープライズソリューション(セントラルオフィスとブランチの両方)。 実際には、これまでのところ、テレフォニーに対する本格的なサポートはなく、たとえば、同じISR内にあるすべてのものもあります。 そして残りはただのスーパーです。
内部-すべての結果を含む完全なJunOS。 したがって、他のジュニパー製機器の構成経験がある場合は、まったく問題はありません。
まず最初に、2つのSRXのうち、HA、安定した接続を提供する従業員、および健全で健康的な睡眠を提供する管理者を提供する1つのクラスターを組み立てます。 そのためには、デバイス間に2つのリンク(データと制御)が必要です。 経営陣は、同時に、それぞれが独自のものを持つことができます。 ジュニアSRXシリーズは、1つのデバイスがトラフィックを処理し、もう1つのデバイスがTCPおよびIPSecセッションの状態まで定期的に同期するアクティブ/スタンバイクラスタリングのみをサポートします。ユーザーのダウンタイムはありません。 スキームは今日非常に一般的で、ジュニパーは新しいものを発明しませんでした。 データセンターに配置されている古いルーラーの場合、アクティブ-アクティブ操作が可能です。
1.クッキングリンク
管理は、各ルーターのge-0 / 0/0ポートで実行されます。 彼はfxp0になります。
次に、ファブリックリンク(データ)とコントロールリンク(シグナリング)を組み立てます。 ファブリックはポートge-0 / 0/2で組み立てられます。 コントロール-ge-0 / 0/1で。 この場合、制御はfxp1として指定されます。 そして同時に、これらのデバイス固有のインターフェース、すなわち 各デバイスは個別に制御できます(以下では、両方のノードを一度に管理するようにルーティングを構成する方法を示します)。
これらのリンクの目的の詳細については、 ジュニパーの Webサイト(英語のmov)で直接お読みください。
残りのポートは、必要に応じて使用できます。
2.クラスターをまとめる
簡単なコマンドでクラスターを組み立てます:
set chassis cluster cluster-id <0-15> node <0-1> reboot
0-15はスタックIDです(実際には1-15、0は非アクティブなスタックです)。 スタック番号は、外部rethインターフェイス用に生成された仮想MACに影響するため、ネットワークに複数のsrxペアがある場合、クラスターIDは異なるはずです。
0-1はノード番号です。 したがって、クラスターを構築するには、各ノードでこのコマンドを実行する必要がありますが、クラスターIDは同じで、ノードIDは異なる必要があります。
再起動後、混乱を避けるために、2番目のノードのインターフェースはge-9 / 0 / xと呼ばれます。
3.セットアップ
次に、管理を構成します
# - hostname ip set groups node0 system host-name jpsrx550-1 set groups node0 interfaces fxp0 unit 0 family inet address 192.168.1.241/24 set groups node1 system host-name jpsrx550-2 set groups node1 interfaces fxp0 unit 0 family inet address 192.168.1.242/24 # .. backup-router, # active-, standby set groups node0 system backup-router 192.168.1.1 #Destination , 0.0.0.0/0, # , set groups node0 system backup-router destination 192.168.0.0/24 set groups node1 system backup-router 192.168.1.1 set groups node1 system backup-router destination 192.168.0.0/24 # , , . # , . set apply-groups "${node}"
ルータがデータを交換するファブリックインターフェイスを収集します
set interfaces fab0 fabric-options member-interfaces ge-0/0/2 set interfaces fab1 fabric-options member-interfaces ge-9/0/2
4.フェイルオーバー
冗長グループは、両方のノードからのポートを含む仮想インターフェイスです。 インターフェースの1つはアクティブ状態で、2つ目はスタンバイ状態です。 何らかの理由でアクティブノードに障害が発生するか、アクティブインターフェイスでリンクが消えると、トラフィックはバックアップノードに切り替わります。 同時に、集約されたインターフェース(ae)をrethグループに追加することはできません。
冗長グループの構築
# failover-, .. redundancy-group, # , , – set chassis cluster redundancy-group 0 node 0 priority 100 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 100 set chassis cluster redundancy-group 1 node 1 priority 1 # set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-9/0/3 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-9/0/4 weight 255
今、最も興味深いのは、いわゆる rethインターフェイス。 これは、古典的な意味でのポートチャネルではなく、正確にフェールオーバーペアです。 つまり スイッチ側からは、同じ設定の2つのポートになります。
rethグループのセットアップ
# Juniper, , # reth- : set chassis cluster reth-count 2 # reth- # , # etherchannel! set interfaces ge-0/0/4 gigether-options redundant-parent reth1 set interfaces ge-9/0/4 gigether-options redundant-parent reth1 set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-9/0/3 gigether-options redundant-parent reth0 # , redundancy- . # set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth0 redundant-ether-options redundancy-group 1 #reth- , , routed-. #.. ip, sub-if .. set interfaces reth1 unit 0 family inet address 192.168.1.1/24 set interfaces reth0 unit 0 family inet address 10.10.10.200/24 #.. zone-based ( ), # set security zones security-zone untrust interfaces reth0.0 set security zones security-zone trust interfaces reth1.0
お気付きかもしれませんが、優先順位を使用して、両方のデバイスがほぼ均一に使用されるようにフェールオーバーグループを構成できます。 もちろん、これは本格的なアクティブ-アクティブ作業ではありませんが、たとえば、両方のデバイスの負荷を「分解」できます。
変更を適用します。
commit
5.軽いストローク
クラスターをセットアップしますが、少し手を加えておくと便利です。
美をもたらす
# hostname set system host-name jpsrx550-X # set system time-zone Europe/Moscow # DNS. # DNS, # set system name-server 8.8.8.8 set system name-server 8.8.4.4 # . set system login user admin uid 2000 set system login user admin class super-user set system login user admin authentication encrypted-password "XXXXXXXXXXXXXX" #Syslog, set system syslog host 192.168.1.100 any any # set system ntp server 192.168.1.2 prefer # SNMP set snmp location DataCenter set snmp contact "noc@nixman.info" set snmp community public authorization read-only # trust __ . #, , , policy set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all # , set security zones security-zone trust interfaces reth0.0 host-inbound-traffic system-services all # set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic system-services traceroute
再度コミットして確認する
admin@jpsrx550-X> show chassis cluster status Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 100 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 4 node0 0 secondary no no node1 0 primary no no {primary:node0} admin@jpsrx550-X> show chassis cluster interfaces Control link status: Up Control interfaces: Index Interface Status 0 fxp1 Up Fabric link status: Up Fabric interfaces: Name Child-interface Status (Physical/Monitored) fab0 ge-0/0/2 Up / Up fab0 fab1 ge-9/0/2 Up / Up fab1 Redundant-ethernet Information: Name Status Redundancy-group reth0 Down 1 reth1 Down 1 reth2 Down 1 reth3 Down Not configured reth4 Down Not configured reth5 Down Not configured Redundant-pseudo-interface Information: Name Status Redundancy-group lo0 Up 0 Interface Monitoring: Interface Weight Status Redundancy-group ge-9/0/4 255 Down 1 ge-0/0/4 255 Down 1 ge-9/0/6 255 Down 1 ge-0/0/6 255 Down 1 ge-9/0/3 255 Down 1 ge-0/0/3 255 Down 1
クラスター診断:
show chassis cluster statistics show chassis cluster control-plane statistics show chassis cluster data-plane statistics show chassis cluster status redundancy-group 1
このクラスターでは、作業の準備ができていると見なすことができます。
PS構成は、可能であれば、ネタバレの下で削除されました。私はそれがより正しいと思います。 あなたがそれを取得する必要がある場合-コメントに書いてください。