Juniper SRX HA-Verbindungen, die durch den Schalter verlaufen

9

Es ist erforderlich, zwei srx650 im Chassis-Cluster (passiv / aktiv) über zwei Switches EX4200 zu verbinden. Ich muss eines von drei Beispielen auswählen. Bitte helfen Sie bei der Definition der richtigen Auswahl und beschreiben Sie die Einstellungen für Srx650 und den Schalter ex4200. Auch wichtiger Moment - ist es möglich, Schalter über Glasfaser anzuschließen? Drei Diagramme unten skizzieren die logische Konfiguration:

Option 1 : Geben Sie hier die Bildbeschreibung ein

Option 2 : Geben Sie hier die Bildbeschreibung ein

Option 3 : Geben Sie hier die Bildbeschreibung ein

Vitaliy
quelle

Antworten:

11

Dinge, die Sie beachten sollten: SRX HA-Links kommunizieren über Jumbo-Frames und Multicast-Adressen . Damit dies funktioniert, müssen Sie mindestens die folgenden Änderungen an den EX-Schaltern vornehmen:

  1. Konfigurieren Sie eine Jumbo-MTU für die HA-Links und die Links zwischen den EX-Switches. Dadurch können Jumbo-Frames die Switch-Infrastruktur durchlaufen.

    set interface x mtu 9216
    
  2. Deaktivieren Sie igmp-snooping für das HA-VLAN oder löschen Sie es bei Bedarf vollständig. Wenn Sie diese Option aktiviert lassen, leitet der Switch die Multicast-Frames nicht weiter, da keine IGMP-Nachrichten vorhanden sind, die dem Switch mitteilen, welcher Port auf diese Frames wartet.

    set protocols igmp-snooping vlan HA-VLAN disable
    

    oder

    delete protocols igmp-snooping
    

Es ist nicht wichtig, über welche Medien Sie die Schalter miteinander verbinden. Sie können Kupfer oder Glasfaser verwenden, wie Sie möchten. Ich würde eine aeBundle-Schnittstelle mit zwei oder mehr Links verwenden, um die Wahrscheinlichkeit zu verringern, dass ein Linkfehler die gesamte Verbindung zwischen den Switches zerstört. Vergessen Sie nicht, LACP für das ae-Bundle zu aktivieren. Wenn möglich, lassen Sie die beiden Verbindungen unterschiedliche Wege einschlagen, um zu verhindern, dass jemand beide Fasern gleichzeitig schneidet.

Vor diesem Hintergrund würde ich nach Möglichkeit immer empfehlen, die HA-Links eines Firewall-Geräts direkt zu verbinden . Dies verringert das Risiko, dass ein Problem auf dem Switch (Hardwarefehler, Softwarefehler, menschliches Versagen) zu einer Split-Brain-Situation führt (beide Firewalls werden zum Master), die Ihren Tag (BTDT) mit Sicherheit ruinieren wird.

Sebastian Wiesinger
quelle
Für Zweig-srx-Serien (z. B. srx650) sind nur Dual-Fabric-Links möglich. Es gibt keine Verbindungen mit doppelter Kontrolle. Ist es wahr?
Vitaliy
Ja, sie unterstützen nur eine Steuerverbindung. Das gefällt mir auch nicht.
Sebastian Wiesinger