SRX - Chassis Cluster Command



 ◆ SRX - 冗長化( Chassis Cluster )の設定例


  


 1. オペレーショナルモードでCluster modeへの移行
 ※ 
コントロールリンク(fe-0/0/7)を接続した上で下記コマンドを実行します(1号機、2号機の順番でなるべく早く実行)
 ※ ファブリックリンクは定義していない状態で再起動するので、ファブリックリンクを接続している必要はありません。

 【 SRX100-1 の設定 】
 root@SRX100-1> set chassis cluster cluster-id 1 node 0 reboot


 【 SRX100-2 の設定 】
 root@SRX100-2> set chassis cluster cluster-id 1 node 1 reboot


 Chassis Clusterを構成する2台が同一のJUNOSバージョンであれば、上記の実行後、再起動後に cli を入力すれば以下状態へ。

 【 SRX100-1 の状態 】

 
{primary:node0}
 root>


 【 SRX100-2 の設定 】

 
{hold:node1}
 root>

 ※ この時点でファブリックリンクを接続しましょう。

 ※ Chassis Clusterを行う2台のSRXのモデルやバージョンが異なる場合、commit 時に以下のようなメッセージが出力されます。


 node1:
 error: The mime-pattern junos-default-bypass-mime error!
 error: The filename-extension junos-default-extension error!
 error: The custom-url-category Adult_Sexually_Explicit error!
 error: configuration check-out failed

 node0:
 error: remote commit-configuration failed on node1
 error: commit failed



 Chassis Clusterを無効化したい場合、両方の機器でオペレーショナルモードで set chassis cluster disable を実行し再起動します。


 以降の 2〜6 の設定はPrimary Node(Node 0)のみに設定を行います。設定内容は同期されていきます。


 2. fxp0 のIPアドレスとbackup-routerの設定

 
root# set groups node0 system host-name SRX100-1
 root# set groups node0 system backup-router 10.0.0.254
 root# set groups node0 system backup-router destination 10.1.1.0/24
 root# set groups node0 system service telnet
 root# set groups node0 system service ssh
 root# set groups node0 interface fxp0 unit 0 family inet address 10.0.0.1/24

 root# set groups node1 system host-name SRX100-2
 root# set groups node1 system backup-router 10.0.0.254
 root# set groups node1 system backup-router destination 10.1.1.0/24
 root# set groups node1 system service telnet
 root# set groups node1 system service ssh
 root# set groups node1 interface fxp0 unit 0 family inet address 10.0.0.2/24
 root# set apply-groups "${node}"


 3. RG0、RG1 では node0 のプライオリティを129、node1 のプライオリティを128としてfe-0(1)/0/0 と fe-0(1)/0/1 をモニター

 root# set chassis cluster control-link-recovery
 root# set chassis cluster reth-count 2
 root# set chassis cluster redundancy-group 0 node 0 priority 129
 root# set chassis cluster redundancy-group 0 node 1 priority 128
 root# set chassis cluster redundancy-group 1 node 0 priority 129
 root# set chassis cluster redundancy-group 1 node 1 priority 128

 root# set chassis cluster redundancy-group 1 interface-monitor fe-0/0/0 weight 255
 
root# set chassis cluster redundancy-group 1 interface-monitor fe-1/0/0 weight 255
 
root# set chassis cluster redundancy-group 1 interface-monitor fe-0/0/1 weight 255
 root# set chassis cluster redundancy-group 1 interface-monitor fe-1/0/1 weight 255


 4. ファブリックインターフェースの指定

 root# set interfaces fab0 fabric-options member-interfaces fe-0/0/5
 root# set interfaces fab1 fabric-options member-interfaces fe-1/0/5


 5. reth0 と reth1 への物理インターフェースへの割当、IPアドレスの割り当て、RG1の割り当て

 root# set interfaces fe-0/0/0 fastether-options redundant-parent reth0
 root# set interfaces fe-0/0/1 fastether-options redundant-parent reth1
 root# set interfaces fe-1/0/0 fastether-options redundant-parent reth0
 root# set interfaces fe-1/0/1 fastether-options redundant-parent reth1

 root# set interfaces reth0 redundant-ether-options redundancy-group 1
 
root# set interfaces reth0 unit 0 family inet address 172.16.0.1/24
 
root# set interfaces reth1 redundant-ether-options redundancy-group 1
 root# set interfaces reth1 unit 0 family inet address 192.168.0.1/24


 6. ゾーンの割り当て、セキュリティポリシーの設定

 root# set security zones security-zone UNTRUST interface reth0 host-inbound-traffic system-services all
 
root# set security zones security-zone TRUST interface reth1 host-inbound-traffic system-services all

 
root# set security address-book TRUST-NW address NW1 192.168.0.0/24
 
root# set security address-book TRUST-NW attach zone TRUST

 root# edit security policies from-zone TRUST to-zone UNTRUST
 root# set policy TRUST-TO-UNTRUST match source-address NW1
 root# set policy TRUST-TO-UNTRUST match destination-address any
 root# set policy TRUST-TO-UNTRUST match application any
 root# set policy TRUST-TO-UNTRUST then permit


 NSRPによる切替りは、数秒以内となります。
 それは、reth 0 や reth 0 インターフェース
 の障害試験だけでなく、電源障害の試験でも
 そのような結果となります。

 電源障害の試験方法の注意点となりますが
 SRXを再起動させることを電源障害の試験に
 するのではなくフロントの電源ボタンを押す
 ことで障害試験を実施するようにしましょう。

 request system reboot等で再起動しても
 正確な電源障害による切替り時間が得られ
 ないので注意しましょう。


 【 ステータス確認 】
 


 例えば、TRUSTネットワークからUNTRUSTネットワークへtelnetやSSH通信を行った状態にしておいて
 show security flow session を実行すれば Node0 ⇔ Node1間においてセッションの同期を確認できます。



 ◆ SRX - JSRPの手動フェールオーバー

 SRXのJSRPの手動フェールオーバーは以下のコマンドで実現できます。アクティブ機側で実行します。

 ◆ 実行例 : Redundancy Group 1 と 0 の Primary を node1 にフェイルーオーバー

 root@srx> request chassis cluster failover redundancy-group 1 node 1

 root@srx> request chassis cluster failover redundancy-group 0 node 1




Juniper SRX - 設定コマンド解説

Copyright(C) 2002-2024 ネットワークエンジニアとして All Rights Reserved