网络工程 - 将 SRX 机箱集群连接到冗余上游 WAN 链接 - 吾爱随笔录

将 SRX 机箱集群连接到冗余上游 WAN 链接

网络工程万杜松-srx 高铁环形

2021-07-09 11:40:48

我的任务是将主动/被动集群中的一些瞻博网络 SSG 140 迁移到 SRX 340 集群。我对 ScreenOS 非常熟悉，但仍在学习 JunOS。

目前，我们通过交换机通过单个上行链路连接到我们的上游提供商，但将切换到使用 SRX 的双上行链路设置：

Current:
                |
 Provider R1 ---|---- switch ---(vlan)- ssg1
                |        ^                 XX
                         ^------(vlan)- ssg2

Future:
                |
 Provider R1 ---|---- srx1 (ge-0/0/7)
      XX        |      XX
 Provider R2 ---|---- srx2 (ge-5/0/7)
                |

两个 SRX 设备位于一个机箱集群中，我想将一个连接到每个上行链路。但是，我很担心意外创建一个切换循环并使我们的连接脱机。

我的提供商告诉我他们正在运行 HSRP，并给了我三个 IP：R1、R2 和 HSRP IP。从我读过的内容来看，似乎一次应该只有一个上行链路处于活动状态。

我想尝试这样的事情：

set interfaces ge-0/0/7 gigether-options redundant-parent reth2
set interfaces ge-5/0/7 gigether-options redundant-parent reth2
set interfaces reth2 family inet address 1.2.3.4/26

如果我将两个接口（每个 SRX 上一个）放在 a 中reth，是否足以确保不会有任何循环？
这是确保两条上游链路冗余的正确/最佳方法吗？
强制活动 SRX 机箱与活动上游路由器匹配是否有任何好处？如果是这样，如何实现？（interface-monitor似乎它不会工作，因为两个接口在正常操作下都会启动）

编辑：提供商从他们那里向我发送了有关配置的更多信息。似乎他们的路由器是dst0009和dst0010：

dst0009#sh run int vlan586
Building configuration...

Current configuration : 365 bytes
!
interface Vlan586
 description <snip>
 ip address x.y.61.2 255.255.255.240
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 no ip mroute-cache
 load-interval 30
 ntp disable
 arp timeout 180
 standby 1 ip x.y.61.1
 standby 1 preempt
 standby 1 mac-address 0000.0c00.0586
 standby 1 track Vlan903 20
 standby 1 track Vlan924 20
end

dst0009#sh standby Vlan586
Vlan586 - Group 1
  State is Active
    1 state change, last state change 50w4d
  Virtual IP address is x.y.61.1
  Active virtual MAC address is 0000.0c00.0586
    Local virtual MAC address is 0000.0c00.0586 (cfgd)
  Hello time 3 sec, hold time 10 sec
    Next hello sent in 0.192 secs
  Preemption enabled
  Active router is local
  Standby router is x.y.61.3, priority 60 (expires in 8.848 sec)
  Priority 100 (default 100)
    Track interface Vlan903 state Up decrement 20
    Track interface Vlan924 state Up decrement 20
  Group name is "hsrp-Vl586-1" (default)

dst0009#sho vlan id 586

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
586  <snip>                           active    Po1, Fa9/89

=========================================================
dst0010#sh run int vlan586
Building configuration...

Current configuration : 365 bytes
!
interface Vlan586
 description <snip>
 ip address x.y.61.3 255.255.255.240
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 no ip mroute-cache
 load-interval 30
 ntp disable
 arp timeout 180
 standby 1 ip x.y.61.1
 standby 1 preempt
 standby 1 mac-address 0000.0c00.0586
 standby 1 track Vlan903 20
 standby 1 track Vlan924 20
end

dst0010#sh standby Vlan586
Vlan586 - Group 1
  State is Standby
    1 state change, last state change 50w4d
  Virtual IP address is x.y.61.1
  Active virtual MAC address is 0000.0c00.0586
    Local virtual MAC address is 0000.0c00.0586 (cfgd)
  Hello time 3 sec, hold time 10 sec
    Next hello sent in 0.544 secs
  Preemption enabled
  Active router is x.y.61.2, priority 100 (expires in 9.888 sec)
  Standby router is local
  Priority 60 (default 100)
    Track interface Vlan903 state Down decrement 20
    Track interface Vlan924 state Down decrement 20
  Group name is "hsrp-Vl586-1" (default)

1个回答

如果我将两个接口（每个 SRX 上一个）放在一个 reth 中，是否足以确保不会有任何循环？

是* - reth 接口本质上是一个逻辑 L3 接口 - 它们不会在 SRX 机箱集群的 node0 和 node1 之间循环流量

这是确保两条上游链路冗余的正确/最佳方法吗？

不可以。向您的提供商询问两个独立的 L3 链接。

*绘制的拓扑的问题在于，您的提供商似乎依赖您的交换机来将他们的两个链接插入其中，以便他们的 HSRP 心跳将在他们的两个边缘设备之间传递。

如果您在它们之间安装 L3 设备（例如：SRX 集群），我怀疑 HSRP 故障转移将永远无法工作（它可能会变为主动/主动）。

如果您的提供商不能/不会提供这个，我会尝试另一个提供商，但如果您有 L8 问题阻止了这一点，那么您最好的选择是每个提供商都有一个单独的 L2 交换机，一个专用的 VLAN 中继在两者之间提供者网络，以及从节点 0 到交换机 A 的链路和从节点 1 到交换机 B 的链路，例如：

Provider R1 -----|------Switch A-------SRX:node0-----
                 |         |      reth0   ||    reth1
Provider R2 -----|------Switch B-------SRX:node1-----

我还将在 SRX 节点和交换机 A / 交换机 B 之间的上行链路上实施 LACP - 这将确保 SRX 始终了解其自身与每个交换机之间的链路状态。如果每个交换机都是独立的，请不要担心 - 只需将每个交换机的 1 个成员 LACP 包启用到 SRX，然后interface-monitor reth0在redundancy-group节下使用。

这里的一个例子：

http://blog.8thlayer.io/failure-is-optional/

（完全披露：我的博客）

强制活动 SRX 机箱与活动上游路由器匹配是否有任何好处？如果是这样，如何实现？（interface-monitor 似乎不起作用，因为两个接口在正常操作下都会启动）

由于上述关于 L2 和 HSRP 心跳的问题，这将不起作用。你也是对的 -interface-monitor只是一个 L1 监控解决方案。

如果 HSRP 由于链路/节点故障以外的任何原因在上游发生故障，SRX 将继续转发出 node0，并且您的所有流量都将被丢弃。

从上面继续 - 如果我从供应商那里订购冗余链接，我希望它们在 L1、L2 和 L3 上是冗余的，而上面不是。

您真正想要的是面向两个独立 L3 电路的非 reth 接口，一个连接到每个节点 - 然后您可以使用 BGP 来处理供应商故障转移，并让机箱集群故障转移来处理设备级故障，独立上游供应商。

其它你可能感兴趣的问题