0

我的帖子

个人中心

设置

  发新话题
如题,两台SRX300防火墙,做HA,口子形连接两台Cisco 3750交换机,做了HSRP

Juniper防火墙,与Cisco交换机之间怎样通知链路状态


比如主交换机死机了,还有电,就是不能正常工作,备机已切换为主网关,这个时候,SRX防火墙怎样知道要找的是备机

怎样通知防火墙,下面的网关已切换,减少丢包




本帖最后由 小侠唐在飞 于 2017-12-29 11:43 编辑
1、接口状态来判定!
如果线断了,或对方设备死了,只要能产生接口donn信息。就能实现自动 切换

2、有可能 有的时候接口不会down ,但对方 设备S了。
在墙上可以用ip monitor 进行对方 地址判断,VRRP地址也行,实地址也行。
在主墙上判断对方地方ping不通了,而备机可以ping 通对方地址,就马上切换


推荐第二种,稳!
1、模块有问题不转发数据。但接口没有down
2、设备S了。。但接口没有down ,
3、光纤问题,单通。

都有可能造成业务中断,双机不切。

如果是对端三层设备与串接二层间端口down或数据不通了,防火墙无法感知端口变化,会造成网络中断

所以!!!ip monitor




本帖最后由 小侠唐在飞 于 2017-12-23 20:17 编辑
【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
【配置命令】
set chassis cluster redundancy-group 1 ip-monitoring family inet x.x.x.xinterface interfacesecondary-ip-address x.x.x.x
【配置说明】
设置secondary地址,用于备墙发送monitor报文监控地址可达性。
【配置命令】
set chassis cluster redundancy-group 1 ip-monitoring global-weight 255
【配置说明】


设置global-weight,当被监控的不可达地址权重相加超过global-threshold后,系统将用255减去global-weight的设定值,当结果小于或等于零时防火墙数据平面切换。



set chassis cluster redundancy-group 0 node 0 priority 200
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200
set chassis cluster redundancy-group 1 node 1 priority 100
set chassis cluster redundancy-group 1 ip-monitoring family inet 111.111.111.111 weight 255
set chassis cluster redundancy-group 1 ip-monitoring family inet 111.111.111.111 interface reth0.0 secondary-ip-address 192.168.1.2
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 192.168.1.1/24
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 100.0.0.1/24
set interfaces ge-0/0/3 gigether-options redundant-parent reth0
set interfaces ge-0/0/4 gigether-options redundant-parent reth1
set interfaces ge-7/0/3 gigether-options redundant-parent reth0
set interfaces ge-7/0/4 gigether-options redundant-parent reth1


给第二node一个地址,两台设备同时去ping对端指定地址111.111.111.111 ,保证网络可达。
第二node这个地址仅能用来做ping测试,不能用来管理或是转发数据



【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
show chassis cluster status
Cluster ID: 1
Node                  Priority          Status    Preempt  Manual failover
Redundancy group: 0 , Failover count: 0
    node0                   200         primary        no       no
    node1                   100         secondary      no       no

Redundancy group: 1 , Failover count: 0
    node0                   200         primary        no       no
    node1                   100         secondary      no       no

show chassis cluster ip-monitoring status redundancy-group 1

node0:
--------------------------------------------------------------------------
Redundancy group: 1
IP address                Status        Failure count  Reason
111.111.111.111           reachable       0            n/a

node1:
--------------------------------------------------------------------------
Redundancy group: 1
IP address                Status        Failure count  Reason
111.111.111.111           reachable       0            n/a

双机正常,两个node设备ping对端指定地址正常



【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
show chassis cluster status
Cluster ID: 1
Node                  Priority          Status    Preempt  Manual failover
Redundancy group: 0 , Failover count: 0
    node0                   200         primary        no       no
    node1                   100         secondary      no       no

Redundancy group: 1 , Failover count: 0
    node0                   0           secondary        no       no
    node1                   100         primary          no       no

show chassis cluster ip-monitoring status redundancy-group 1

node0:
--------------------------------------------------------------------------
Redundancy group: 1
IP address                Status        Failure count  Reason
111.111.111.111           unreachable     1            unknown
node1:
--------------------------------------------------------------------------
Redundancy group: 1
IP address                Status        Failure count  Reason
111.111.111.111           reachable       0            n/a


说明node 0 无法PING通对端设备指定地址,双机自动切至备机上工作
Priority  0 ,说明有问题,这时双机无法往回切换,也不能手工切换



【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次



多谢版主,你的回复完美解答了,俺的疑问


就等明天打折后,学习版主的视频,好好冲个电,多谢!



引用:
原帖由 yuhou77 于 2017-12-24 21:53 发表
多谢版主,你的回复完美解答了,俺的疑问


就等明天打折后,学习版主的视频,好好冲个电,多谢!
加学员群。。我给你福利 。看家园站内短信



【大侠唐在飞出品网络教学视频课程 】
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。♫金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~   
☺欢迎加入“唐志强技术教学交流群”,群号:67182271。   ♥【51CTO最受欢迎讲师投票开启了。找到--大侠唐在飞,投下一票吧。每天可投一次
‹‹ 上一贴:坛子里还有精通M320/T320/T640这些老古董的吗【已解决 ...   |   下一贴:防火墙是否建议配置大量限速策略??? ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com