数据心跳线的连接,是通过16口千兆接口卡上的接口互联,采用两条千兆光纤互联。为了便于识别,不会与业务连接线混淆,建议采用千兆板卡上的最后两个接口。 采用两个4口万兆板卡的防火墙对接方式:
控制心跳线的连接,是通过SPC卡上的接口互联,采用一条千兆光纤互联。由于插在标号较小的槽位上的SPC同时要负责总体协调所有其他SPC的流量分担工作,为了减少对此SPC的压力,建议采用标号较大槽位上的SPC卡用来做控制心跳线的互联。
数据心跳线的连接,是通过4口万兆接口卡上的接口互联,采用两条万兆光纤互联。为了便于识别,不会与业务连接线混淆,建议采用两个万兆板卡上的最后一个接口。
另外,SRX5800为分区供电,编号为0号和2号电源为6-11槽及右边的SCB、下方的风扇供电,编号1号和3号的电源为0-5槽及左边的SCB、上方的风扇供电。所以在连接电源线时,请确保0号和1号连接同一路电源;2号和3号连接另外一路电源,这样确保同一个区域的电源不会同时失效。
整个JSRP配置过程包括如下7个步骤
? 配置Cluster id和Node id (对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id) ? 指定Control Port (指定控制层面使用接口,用于配置同步及心跳)
? 指定Fabric Link Port (指定数据层面使用接口,主要session等RTO同步) ? 配置Redundancy Group (类似NSRP的VSD group,优先级与抢占等配置) ? 每个机箱的个性化配置 (单机无需同步的个性化配置,如主机名、带外管理口
IP地址等)
? 配置Redundant Ethernet Interface (类似NSRP的Redundant冗余接口)
? 配置Interface Monitoring (类似NSRP interface monitor,是RG数据层面切换依
据)
SRX JSRP配置样例如下:
? 配置Cluster id和Node id
在主墙operational模式下执行:
第 11 页 共 32 页
SRX-A>set chassis cluster cluster-id 1 node 0 reboot
(注意该命令需在operational模式下输入,Cluster ID取值范围为1 – 15,当Cluster ID = 0时将忽略JSRP功能)
在备墙operational模式下执行:
SRX-B>set chassis cluster cluster-id 1 node 1 reboot
以上两句配置后,设备自动重启,命令不显示。
? 指定Control Port(如果主控板RE上有固定control-ports,则无需指定,SRX5800需配置,
SRX3600无需配置):
在主防火墙上在configure模式下执行, 在备防火墙上用configure shared 分别执行如下两条命令:
set chassis cluster control-ports fpc 11 port 0 set chassis cluster control-ports fpc 23 port 0 (11是指SPC板卡的槽位,0-11)(主备执行) (23是指SPC板卡的槽位,12-23,主+12)(主备执行)
? 指定Fabric Link Port
在主防火墙上在configure模式下执行, 在备防火墙上用configure shared 分别执行如下两条命令:
set interfaces fab0 fabric-options member-interfaces ge-0/1/0 set interfaces fab1 fabric-options member-interfaces ge-12/1/0
注:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 1 端口需要按实际情况改为实际端口。
保存提交以上配置,等待双机协商完成后进行下面的操作。
待双机协商成功后,以下命令在一台墙上执行即可
? 配置Redundancy Group
RG0固定用于主控板RE切换,RG1以后用于redundant interface切换,RE切换独立于接口切换
set chassis cluster reth-count 10 (指定整个Cluster中redundant ethernet interface最多数量) set chassis cluster redundancy-group 0 node 0 priority 200 (高值优先,与NSRP相反) set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200 (高值优先,与NSRP相反) set chassis cluster redundancy-group 1 node 1 priority 100
? 每个机箱的个性化配置,便于对两台设备的区分与管理 set groups node0 system host-name SRX-A
set groups node0 interfaces fxp0 unit 0 family inet address 1.1.1.1/24 (带外网管口名称为fxp0,区别ScreenOS的MGT口)
set groups node1 system host-name SRX-B
set groups node1 interfaces fxp0 unit 0 family inet address 1.1.1.2/24 set apply-groups ${node} (应用上述groups配置)
第 12 页 共 32 页
? 配置Redundant Ethernet Interface
Redundant Ethernet Interface类似ScreenOS里的redundant interface,只不过Redundant Ethernet interface是分布在不同的机箱上 (这一特性又类似ScreenOS 的VSI接口)。 这里面的举例是配置两个业务端口。
set interface ge-0/1/4 gigether-options redundant-parent reth0 (node 0的ge-0/0/0接口) set interface ge-12/1/4 gigether-options redundant-parent reth0 (node 1的ge-0/0/0接口) set interface reth0 redundant-ether-options redundancy-group 1 (reth0属于RG1) set interface reth0 unit 0 family inet address 192.168.0.1/24
set interface ge-0/1/5 gigether-options redundant-parent reth1 (node 0的ge-0/0/0接口) set interface ge-12/1/5 gigether-options redundant-parent reth1 (node 1的ge-0/0/0接口) set interface reth1 redundant-ether-options redundancy-group 1 (reth1属于RG1) set interface reth1 unit 0 family inet address 192.168.1.1/24
? 配置Interface Monitoring,被监控的接口Down掉后,RG1将自动进行主备切换(与ScreenOS
类似)。
set chassis cluster redundancy-group 1 interface-monitor ge-0/1/4 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-12/1/4 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/1/5 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-12/1/5 weight 255
set chassis cluster control-link-recovery
如果控制心跳中断,备件会自动进入disable状态;配置此命令后,如果控制心跳恢复,备件会自动重启恢复backup状态
? 配置track ip,被监控的IP地址无法连通后,RG1将自动进行主备切换(与ScreenOS类似)。 set chassis cluster redundancy-group 1 ip-monitoring family inet 11.168.146.25 weight 255 (指定要监控的IP地址的权重)
set chassis cluster redundancy-group 1 ip-monitoring family inet 11.168.146.25 interface reth0.31 secondary-ip-address 11.168.146.30 (11.168.146.25为被监控的IP地址,绑定的接口为reth0.31,主机使用reth0.31的IP地址去探测被监控IP地址的连通性,备机使用secondary-ip-address 探测)
可选配置:
set chassis cluster redundancy-group 1 ip-monitoring global-weight 255(IP地址监控全局权重) set chassis cluster redundancy-group 1 ip-monitoring global-threshold 255 (IP地址监控全局阀值) set chassis cluster redundancy-group 1 ip-monitoring retry-count 5 (IP地址重试计数)
set chassis cluster redundancy-group 1 ip-monitoring retry-interval 1 (IP地址重试时间间隔,单位为秒)
? 检查双机状态:
第 13 页 共 32 页
查看cluster 节点状态、主备关系 show chassis cluster status 手工进行防火墙主备切换
request chassis cluster failover redundancy-group 0 node 1
2.1.5 设置远程登陆管理用户
执行如下命令,创建超级用户class和只读用户class。 set system login class read-only-local idle-timeout 10 set system login class read-only-local permissions access set system login class read-only-local permissions admin set system login class read-only-local permissions firewall set system login class read-only-local permissions interface set system login class read-only-local permissions routing set system login class read-only-local permissions secret
set system login class read-only-local permissions secret-control set system login class read-only-local permissions security set system login class read-only-local permissions snmp set system login class read-only-local permissions view
set system login class read-only-local permissions view-configuration
set system login class read-only-local allow-commands \
set system login class super-user-local idle-timeout 30 set system login class super-user-local permissions all
commit后,
创建需要的超级用户和只读用户:
root# set system login user admin class super-user-local authentication plain-text-password root# new password : lab123
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
root# set system login user monitor class read-only-local authentication plain-text-password root# new password : lab123
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
第 14 页 共 32 页
2.1.6 远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss /***设置系统时钟***/ set system time-zone Asia/Shanghai /***设置时区为上海***/
set system ntp server x.x.x.x prefer set system ntp server y.y.y.y
/***在系统级开启ssh/https远程接入管理服务***/ set system services ssh protocol-version v2
set system services web-management https system-generated-certificate
set system login message \Unauthorized access are forbidden!All rights reserved.\
/***当console线缆拔出时,自动结束当前session***/ set system ports console log-out-on-disconnect
/***设置路由***/
set routing-options static route x.x.x.x/x next-hop y.y.y.y
2.1.7 ZONE及相关接口的配置
/***定义各个区域的接口***/
set interfaces ge-0/1/4 gigether-options redundant-parent reth0 set interfaces ge-0/1/5 gigether-options redundant-parent reth1 set interfaces ge-12/1/4 gigether-options redundant-parent reth0 set interfaces ge-12/1/5 gigether-options redundant-parent reth1
/***将接口加入RG1中***/
set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth1 redundant-ether-options redundancy-group 1
/***配置接口的IP地址***/
set interfaces reth0 unit 0 family inet address 192.168.0.1/24 set interfaces reth1 unit 0 family inet address 192.168.1.1/24
第 15 页 共 32 页