返回
juniper srx防火墙ha双机配置步骤

juniper srx防火墙ha双机配置步骤

ID:10020383

大小:403.64 KB

页数:7页

时间:2018-05-21

juniper srx防火墙ha双机配置步骤_第1页
juniper srx防火墙ha双机配置步骤_第2页
juniper srx防火墙ha双机配置步骤_第3页
juniper srx防火墙ha双机配置步骤_第4页
juniper srx防火墙ha双机配置步骤_第5页
资源描述:

《juniper srx防火墙ha双机配置步骤》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、JuniperSRX防火墙双机配置步骤JSRP是JuniperSRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A模式,JSRP对ScreenOSNSRP协议和JUNOSCluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOSNSRP可看作在同步配置和动态对

2、象(session)基础上独立运行的两台单独设备。JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX是转发与控制层面完全分裂架构,JSRP需要控制层面(配置同步)和数据层面(Session同步)两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编。整个JSRP配置过

3、程包括如下7个步骤l配置Clusterid和Nodeid(对应ScreenOSNSRP的clusterid并需手工指定设备使用节点id)l指定ControlPort(指定控制层面使用接口,用于配置同步及心跳)l指定FabricLinkPort(指定数据层面使用接口,主要session等RTO同步)l配置RedundancyGroup(类似NSRP的VSDgroup,优先级与抢占等配置)l每个机箱的个性化配置(单机无需同步的个性化配置,如主机名、带外管理口IP地址等)l配置RedundantEthernetInterface(类似NSRP的Redun

4、dant冗余接口)l配置InterfaceMonitoring(类似NSRPinterfacemonitor,是RG数据层面切换依据)1.1.配置Clusterid和NodeidSRX在启用JSRP之后,组成Cluster的两台机箱会被抽象成一台逻辑的机箱,clusterid和nodeid将会被存放在EEPROM内,每个机箱内部的各个业务引擎通讯用的TNP地址都需要重新分配,因此设备需要重启生效。注意,这一步两个node都需要配置。配置命令:SRX5800Asrx5800a>setchassisclustercluster-id1node0rebo

5、ot//注1:注意该命令需在operational模式下输入//注2:ClusterID取值范围为1–15,当ClusterID=0时会unsetscluster配置,成为单机SRX5800Bsrx5800b>setchassisclustercluster-id1node1reboot1.2.指定ControlPort这一步只对SRX5K有效(两个node都需要配置),因为SRX3K的ControlPort是固化的,无需指定。JSRP中两个机箱的控制平面以主备(A/P)的方式运作。ControlPort用于连接两个机箱的控制平面(RE),实现RE

6、之间的互相通信,包括传递jsrpd心跳信息(1000ms一次,threshold为3次),chassisd通信,kernel(ifstate)状态同步和配置信息同步等。由于ControlPort接口的流量直接通到RE,因此可以用”tcpdump”或”monitortrafficinterface”来查看ControlPort的流量。由于SRX5K的RE没有专门的ControlPort,因此借用了SPC上的千兆以太网口(SFP形式)作为ControlPort,而SRK3K的SFB上已设计有专门的ControlPort(通过内部总线直接连接到RE),因

7、此不需要单独指定。由于受LAGFeature的限制,SRX5K目前只支持SPC的port0用于ControlPort。配置命令:SRX5800Asetchassisclustercontrol-portsfpc11port0setchassisclustercontrol-portsfpc23port0//注3:ControlPort最好不要选在CP所在的SPC上以降低单板故障对系统的影响注意:当配置完contrtolport之后系统配置会自动在两个nodes之间同步,因此后面的配置可以只在一个节点上做即可1.3.指定FabricLinkFabri

8、cLink是一个虚拟的交换平面,用于将两个SRX机箱的数据平面连接在一起,类似EX交换机的VCP接口或TXMatrix的S

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。