瞻博网络 SRX 跨多个 reth 接口的一个 VLAN,无需区域内策略

网络工程 路由 VLAN 杜松 交换 回复
2021-07-11 18:41:54

我想看看是否有可能让一个 VLAN 跨越多个 reth 接口而无需执行区域内安全策略(从区域 A 到区域 A)。这个想法是我将 SRX240 集群通过两个单独的 reth 接口(reth0 和 reth1)连接到两个交换机。我有一个管理 VLAN (VLAN 10),我希望 SRX 通过 RVI 充当网关 (192.168.2.1/26)。然后,SRX 将能够提供对交换机上配置的两个 RVI(交换机 A 上的 192.168.2.2/26 和交换机 B 上的 192.168.2.3/26)的访问。

阅读有关 SRX 集群上以太网交换的 Junipers 文档,我看到“从 Junos OS 12.1X44-D20、12.1X45-D10 和更高版本。 ”这似乎是一个很有前途的想法,但我无法找到有关它的更多文档。

我想看看是否有可能通过 reth 接口来做,因为使用交换结构会导致中断,在某种程度上,拥有集群的目的失败。

1个回答

机箱集群中瞻博网络 SRX 防火墙上的以太网交换不是通过 reth 接口完成的,而是通过创建跨集群的“交换结构”完成的。在这种交换结构中,您可以像往常一样创建 vlan 和 RVI,但这确实需要对您的配置稍作重新设计。你需要:

  1. 在节点之间创建一个额外的链接:swfab 接口。该链路承载节点之间的交换结构流量,并且是节点之间控制链路和结构链路的补充。
  2. 添加VLAN。
  3. 将您的 reth.X 接口(冗余以太网)更改为 vlan.X 接口 (RVI)。

Juniper 在 KB21422 ( http://kb.juniper.net/InfoCenter/index?page=content&id=KB21422 ) 中比我更好地解释了这一点

其它你可能感兴趣的问题
上一篇ospf range 命令 - 仍在通告下级路由 下一篇从本地网络到本地 VPN 服务器的 VPN 隧道问题