SRX-HA(JSRP)配置

1、SRX JSRP CONFIG 2Copyright 2009 Juniper Networks, Inc. 课程目标课程目标 JSRP介绍 JSRP配置 JSRP维护3Copyright 2009 Juniper Networks, Inc. JSRP基本基本介绍介绍4Copyright 2009 Juniper Networks, Inc. JSRP VS NSRP JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念，两台设备完全当作一台设备来看待，两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作，无需额外执行ScreenOS的配置和会话同步等操作，而Sc

2、reenOS NSRP可看作在同步配置和动态对象（session）基础上独立运行的两台单独设备。 JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。 转发与控制层面完全分裂架构，JSRP需要控制层面 (配置同步)和数据层面(Session同步)两个平面的互联 3K5K建议控制和数据层面互联链路使用光纤链路直连（部分平台强制要求光纤链路直连）5Copyright 2009 Juniper Networks, Inc. 指定控制端口指定控制端口 必须使用下面设备指定端口来作为必须使用下面设备指定端口来作为HA控制信号端口进行互连控制信号端口进行互连 设备型号:

3、 For SRX100 devices, connect the fe-0/0/7 port to the fe-1/0/7 port For SRX210 devices, connect the fe-0/0/7 port to the fe-2/0/7 port For SRX240 devices, connect the ge-0/0/1 port to the ge-5/0/1 port For SRX650 devices, connect the ge-0/0/1 port to the ge-9/0/1 port SRX650SRX650平台如果需要部平台如果需要部署署HA结

4、构结构,则必须增加数据接口板卡则必须增加数据接口板卡6Copyright 2009 Juniper Networks, Inc. SRX240 SRX650SRX650平台如果平台如果需要部署需要部署HA结构结构,则必须增加数据接口板卡则必须增加数据接口板卡7Copyright 2009 Juniper Networks, Inc. SRX240 SRX2408Copyright 2009 Juniper Networks, Inc. SRX210 SRX2109Copyright 2009 Juniper Networks, Inc. SRX100 SRX10010Copyright 200

5、9 Juniper Networks, Inc. SRX BRANCH系列接口规范系列接口规范11Copyright 2009 Juniper Networks, Inc. JSRP 配置配置12Copyright 2009 Juniper Networks, Inc. JSRP配置步骤配置步骤 整个JSRP配置过程包括如下7个步骤 1、配置Cluster id和Node id (对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id） 2、指定Control Port （指定控制层面使用接口，用于配置同步及心跳） 3、指定Fabric Link Port （指定数

6、据层面使用接口，主要session等RTO同步） 4、配置Redundancy Group （类似NSRP的VSD group，优先级与抢占等配置） 5、每个机箱的个性化配置 （单机无需同步的个性化配置，如主机名、带外管理口IP地址等） 6、配置Redundant Ethernet Interface （类似NSRP的Redundant冗余接口） 7、配置Interface Monitoring （类似NSRP interface monitor，是RG数据层面切换依据）13Copyright 2009 Juniper Networks, Inc. 1、配置配置CLUSTER ID和和NODE

7、 ID JSRP配置样例配置样例： 配置Cluster id和Node id SRX-Aset chassis cluster cluster-id 1 node 0 reboot（注意该命令需在operational模式下输入，Cluster ID取值范围为1 15，当Cluster ID = 0时将unsets the cluster） SRX-Bset chassis cluster cluster-id 1 node 1 reboot14Copyright 2009 Juniper Networks, Inc. 2、指定指定CONTROL PORT 指定指定FABRIC LINK PO

8、RT 指定Control Port（SRX Branch系列，则无需指定,默认规定采用某一个接口作为控制接口，参考上一节）： 指定Fabric Link Port set interfaces fab0 fabric-options member-interfaces ge-0/0/2 set interfaces fab1 fabric-options member-interfaces ge-5/0/2 注：Fabric Link中的Fab0固定用于node 0，Fab1固定用于node 115Copyright 2009 Juniper Networks, Inc. 3、配置配置REDU

9、NDANCY GROUP RG0固定用于主控板RE切换，RG1以后用于redundant interface切换，RE切换独立于接口切换 set chassis cluster reth-count 10 （指定整个Cluster中redundant ethernet interface最多数量） set chassis cluster redundancy-group 0 node 0 priority 200 （高值优先，与NSRP相反） set chassis cluster redundancy-group 0 node 1 priority 100 set chassis clust

10、er redundancy-group 1 node 0 priority 200 （高值优先，与NSRP相反） set chassis cluster redundancy-group 1 node 1 priority 10016Copyright 2009 Juniper Networks, Inc. 4、个性化个性化配置配置 便于对两台设备的区分与管理 set groups node0 system host-name SRX-A set groups node0 interfaces fxp0 unit 0 family inet address /24 （带外网管口名

11、称为fxp0，区别ScreenOS的MGT口） set groups node1 system host-name SRX-B set groups node1 interfaces fxp0 unit 0 family inet address /24 set apply-groups $node （应用上述groups配置）17Copyright 2009 Juniper Networks, Inc. 5、配置配置REDUNDANT ETHERNET INTERFACE Redundant Ethernet Interface类似ScreenOS里的redundant int

12、erface，只不过Redundant Ethernet interface是分布在不同的机箱上 (这一特性又类似ScreenOS 的VSI接口)。 Set interface ge-0/0/8 gigether-options redundant-parent reth0 （node 0的ge-0/0/8接口） Set interface ge-5/0/8 gigether-options redundant-parent reth0 （node 1的ge-0/0/8接口） Set interface reth0 redundant-ether-options redundancy-grou

13、p 1 （reth0属于RG1） Set interface reth0 unit 0 family inet address /2418Copyright 2009 Juniper Networks, Inc. 6、配置配置INTERFACE MONITORING 配置Interface Monitoring，被监控的接口Down掉后，RG1将自动进行主备切换（与ScreenOS类似）， Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255 Set cluster redundancy-

14、group 1 interface-monitor ge-0/0/1 weight 255 Set cluster redundancy-group 1 interface-monitor ge-13/0/0 weight 255 Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 25519Copyright 2009 Juniper Networks, Inc. JSRP维护维护20Copyright 2009 Juniper Networks, Inc. 维护命令维护命令手工切换JSRP Master，RG1

15、 原backup将成为Master rootsrx240a request chassis cluster failover redundancy-group 1 node 1手工恢复JSRP状态，按照优先级重新确定主备关系（高值优先） rootsrx240b request chassis cluster failover reset redundancy-group 1查看cluster interface rootrouter show chassis cluster interfaces查看cluster 状态、节点状态、主备关系 lab240a# run show chassis c

16、luster status 取消cluster配置 labSrx240a# set chassis cluster disable reboot21Copyright 2009 Juniper Networks, Inc. 维护命令维护命令升级JSRP软件版本 SRX目前暂不支持软件在线升级（目前暂不支持软件在线升级（ISSU），升级过程会中断业务），升级过程会中断业务。 升级步骤如下： 1.升级升级node 0，注意不要重启系统，注意不要重启系统 2.升级升级node 1，注意不要重启系统，注意不要重启系统. 3.同时重启两个系统同时重启两个系统恢复处于disabled状态的node 当co

17、ntrol port或fabric link出现故障时，为避免出现双master (split-brain)现象，JSRP会把出现故障前状态为secdonary的node设为disabled状态，即除了RE，其余部件都不工作。想要恢复必须reboot该node。22Copyright 2009 Juniper Networks, Inc. 透明模式透明模式23Copyright 2009 Juniper Networks, Inc. CONFIGURING BRIDGE DOMAINS To configure bridge domains: userhost# set bridge-doma

18、ins bd1 domain-type bridge vlan-id-list 1,10 userhost# set bridge-domains bd2 domain-type bridge vlan-id 2 To limit the number of MAC addresses learned on all logical interfaces on the device: userhost# set protocols l2-learning global-mac-limit 64000 packet-action drop24Copyright 2009 Juniper Netwo

19、rks, Inc. CONFIGURING LAYER 2 LOGICAL INTERFACES To configure a Layer 2 logical interface as a trunk port: userhost# set interfaces ge-3/0/0 unit 0 family bridge interface-mode trunk vlan-id-list 110 To configure a VLAN identifier for untagged packets received on a physical interface: userhost# set

20、interfaces ge-3/0/0 vlan-tagging native-vlan-id 1025Copyright 2009 Juniper Networks, Inc. CREATING LAYER 2 SECURITY ZONES To create a Layer 2 security zone and assign interfaces to the zone: userhost# set security zones security-zone l2zone1 interfaces ge-3/0/0.0 userhost# set security zones securit

21、y-zone l2zone2 interfaces ge-3/0/1.0 To configure a Layer 2 security zone to allow host-inbound traffic: userhost# set security zones security-zone l2zone2 host-inbound-traffic system-services all26Copyright 2009 Juniper Networks, Inc. CONFIGURING SECURITY POLICIES FOR TRANSPARENT MODE To configure

22、Layer 2 security policies: userhost# set security policies from-zone l2zone1 to-zone l2zone2 policy p1 match source-address /24 userhost# set security policies from-zone l2zone1 to-zone l2zone2 policy p1 match destination-address /32 userhost# set security policies from-zone l2zone1

23、to-zone l2zone2 policy p1 match application http userhost# set security policies from-zone l2zone1 to-zone l2zone2 policy p1 then permit27Copyright 2009 Juniper Networks, Inc. CONFIGURING VLAN RETAGGING To create a Layer 2 trunk interface: userhost# set interface ge-3/0/0 unit 0 family bridge interface-mode trunk vlan-id-list 110 To configure VLAN retagging: