cluster SRX1500 juniper config

Home » Blog » Application » clustering and upgrade hw-sw » firewall » cluster SRX1500 juniper config

cluster SRX1500 juniper config

13.11 2019 | by massimiliano

La configurazione in cluster dei nuovi SRX-1500 è indicata in figura:           ENABLE CLUSTER MODE: Come […]


https://www.ingegnerianetworking.com/wp-content/uploads/2019/11/srx1500-cluster-41e-1.png

La configurazione in cluster dei nuovi SRX-1500 è indicata in figura:

 

 

 

 

 

ENABLE CLUSTER MODE:

Come primo passo bisogna abilitare la funzionalità di cluster per entrambi gli apparati SRX-1500 (configurazione in operational mode)

Esempio di configurazione

Device A (Node0):

set chassis cluster cluster-id 1 node 0 reboot

Device B (Node1):

set chassis cluster cluster-id 1 node 1 reboot

 

MANAGEMENT NETWORK:

L’interfaccia di management fxp0 è necessaria per servizi di telnet, ssh ed accesso al cluster remotamente; vengono assegnati due IP address per ciascuna interfaccia di management Node0 e Node 1

Esempio di configurazione:

[ primary: node0 ] edit

set groups node0 system host-name SRX1500-node0

set groups node1 system host-name SRX1500-node1

set groups node0 interface fpx0 unit 0 family inet address a.b.c.d/24

set groups node1 interface fpx0 unit 0 family inet address a.b.c.e/24

set apply-group “${node}”

 

CHASSIS CLUSTER FABRIC LINK:

Vengono assegnate dedicate ethernet port in back-to-back e servono per il trasporto del traffico tra lo chassis; il data plane software quindi opera per gestire flussi di traffico in modo ridondato tra i due nodi in cluster.

Esempio di configurazione

[ primary: node0 ] edit

set interface fab0 fabric-option member-interface ge-0/y/a

set interface fab0 fabric-option member-interface ge-0/y/b

set interface fab1 fabric-option member-interface ge-7/y/a

set interface fab1 fabric-option member-interface ge-7/y/b

 

CHASSIS CLUSTER CONTROL LINK:

Il Control Plane Routing Engine opera come active presso il Node0 (primary node) del cluster; la ridondanza è assicurata attraverso la comunicazione di configurazioni, status ed aggiornamenti dal nodo primario verso la RE del nodo secondario in backup ed in caso di fault del nodo primary, il nodo secondario è pronto ad assumere il ruolo active.

 

REDUNDANT GROUP CONFIG:

Una volta creato il cluster tra i due device è necessario creare una ridondanza a livello di gruppo per allocare le risorse e definire quale risorsa, appartenente ad uno specifico gruppo è in stato attivo.

 

I Gruppi sono definiti:

  • Redundancy Group 0 per il piano di controllo (Control Plane)
  • Redundancy Group 1 per il piano di forwarding (Data Plane)

VSS cisco

 

 

 

Infine dobbiamo configurare quante Reduntant Ethernet Ports dovranno essere attive.

Il valore di priority definisce, poi, quale nodo sarà attivo per il gruppo dedicato sia per il Control Plane che per il Forwarding Plane (il valore più alto è quello preferito)

Esempio di configurazione

[ primary: node0 ] edit

set chassis cluster reth-count <N>

set chassis cluster redundancy-mode active-backup

set chassis cluster redundancy-group 0 node 0 priority <high priority>

set chassis cluster redundancy-group 0 node 1 priority <low priority>

set chassis cluster redundancy-group 1 node 0 priority <high priority>

set chassis cluster redundancy-group 1 node 1 priority <low priority>

 

 

 

REDUNDANT ETHERNET CONFIG: 

Reth rappresenta una pseudo interfaccia che associa due interfacce fisiche appartenenti ai due diversi Nodi in cluster; le interfacce Reth sono configurate nel redundancy group 1 (Packet Forwarding Engine)

Esempio di configurazione

[ primary: node0 ] edit

set interface xe-0/b/c gigaether-option redundant-parent reth1

set interface xe-7/b/c gigaether-option redundant-parent reth1

set interface rethx redundant-ether-option redundancy-group 1

set interface rethz redundant-ether-option redundancy-group 1

 

INTERFACE MONITORING CONFIG:

Questo step permette di monitorare lo status di ogni singola interfaccia fisica appartenente al redundancy group 1 e permette in caso di down di sottrarre di 1 il valore iniziale di 255 (soglia predefinita); quando il valore arriva a zero un failover tra i due nodi active standby occorre (ad esempio se il redundancy group 1 è attivo sul nodo 0, a seguito di un threshold-crossing event, il redundancy group 1 diventa attivo sul nodo 1)

Esempio di configurazione

[ primary: node0 ] edit

set chassis cluster fabric-monitoring

set chassis cluster redundancy-group 1 interface-monitor xe-0/b/c weight <value>

set chassis cluster redundancy-group 1 interface-monitor xe-7/b/c weight <value>

 

SECURITY ZONE:

Infine dobbiamo configurare le security zone ed associarle alle Reth ports

Esempio di configurazione

set security zones security-zone untrust interface reth1.x

set security zones security-zone trust interface reth1.y

 

 

Torna in alto