JuniperSRX防火墙双机配置步骤JSRP是JuniperSRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A模式,JSRP对ScreenOSNSRP协议和JUNOSCluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOSNSRP可看作在同步配置和动态对象(session)基础上独立运行的两台单独设备。JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX是转发与控制层面完全分裂架构,JSRP需要控制层面(配置同步)和数据层面(Session同步)两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编。整个JSRP配置过程包括如下7个步骤配置Clusterid和Nodeid(对应ScreenOSNSRP的clusterid并需手工指定设备使用节点id)指定ControlPort(指定控制层面使用接口,用于配置同步及心跳)指定FabricLinkPort(指定数据层面使用接口,主要session等RTO同步)配置RedundancyGroup(类似NSRP的VSDgroup,优先级与抢占等配置)每个机箱的个性化配置(单机无需同步的个性化配置,如主机名、带外管理口IP地址等)配置RedundantEthernetInterface(类似NSRP的Redundant冗余接口)配置InterfaceMonitoring(类似NSRPinterfacemonitor,是RG数据层面切换依据)1.1.配置Clusterid和NodeidSRX在启用JSRP之后,组成Cluster的两台机箱会被抽象成一台逻辑的机箱,clusterid和nodeid将会被存放在EEPROM内,每个机箱内部的各个业务引擎通讯用的TNP地址都需要重新分配,因此设备需要重启生效。注意,这一步两个node都需要配置。配置命令:SRX5800Asrx5800a>setchassisclustercluster-id1node0reboot//注1:注意该命令需在operational模式下输入//注2:ClusterID取值范围为1–15,当ClusterID=0时会unsetscluster配置,成为单机SRX5800Bsrx5800b>setchassisclustercluster-id1node1reboot1.2.指定ControlPort这一步只对SRX5K有效(两个node都需要配置),因为SRX3K的ControlPort是固化的,无需指定。JSRP中两个机箱的控制平面以主备(A/P)的方式运作。ControlPort用于连接两个机箱的控制平面(RE),实现RE之间的互相通信,包括传递jsrpd心跳信息(1000ms一次,threshold为3次),chassisd通信,kernel(ifstate)状态同步和配置信息同步等。由于ControlPort接口的流量直接通到RE,因此可以用”tcpdump”或”monitortrafficinterface”来查看ControlPort的流量。由于SRX5K的RE没有专门的ControlPort,因此借用了SPC上的千兆以太网口(SFP形式)作为ControlPort,而SRK3K的SFB上已设计有专门的ControlPort(通过内部总线直接连接到RE),因此不需要单独指定。由于受LAGFeature的限制,SRX5K目前只支持SPC的port0用于ControlPort。配置命令:SRX5800Asetchassisclustercontrol-portsfpc11port0setchassisclustercontrol-portsfpc23port0//注3:ControlPort最好不要选在CP所在的SPC上以降低单板故障对系统的影响注意:当配置完contrtolport之后系统配置会自动在两个nodes之间同步,因此后面的配置可以只在一个节点上做即可1.3.指定FabricLinkFabricLink是一个虚拟的交换平面,用于将两个SRX机箱的数据平面连接在一起,类似EX交换机的VCP接口或TXMatrix的SCC,主要用于RTO对象同步和异步路由数据的回程。JSRP中两个机箱的数据平面以主主(A/A)的方式运作,即不管控制平面是否是master,数据平面的SPU/NPU等始终是Active的,只要流量经过即可转发。JSRP中FabricLink采用SRX业务板卡里的以太网接口实现,其通过SPU直接驱动,无需RE干预。因此在RE上通过”tcpdump”或”monitortrafficinterface”不能看到FabricLink的流量。在有异...
