Связи Juniper SRX HA, проходящие через коммутатор

9

необходимо объединить два srx650 в кластер шасси (пассивный / активный) через два коммутатора EX4200. Мне нужно выбрать один из трех примеров. Пожалуйста, помогите определить правильный выбор и опишите, какие настройки должны быть на Srx650 и переключателе ex4200. Также важный момент - можно ли подключать коммутаторы через оптоволокно? Три диаграммы ниже обрисовывают в общих чертах логическую конфигурацию:

Вариант 1 : введите описание изображения здесь

Вариант 2 : введите описание изображения здесь

Вариант 3 : введите описание изображения здесь

Виталий
источник

Ответы:

11

Вещи, о которых вы должны знать: ссылки SRX HA взаимодействуют с использованием гигантских кадров и многоадресных адресов . Таким образом, чтобы это работало, вам нужны как минимум следующие изменения на коммутаторах EX:

  1. Настройте jumbo MTU на каналах HA и каналах между коммутаторами EX. Это позволит гигантским кадрам проходить через инфраструктуру коммутатора.

    set interface x mtu 9216
    
  2. Отключите igmp-snooping для HA VLAN или, если не нужно, полностью удалите его. Если вы оставите его включенным, коммутатор не будет пересылать многоадресные кадры, поскольку нет сообщений IGMP, сообщающих коммутатору, какой порт прослушивает эти кадры.

    set protocols igmp-snooping vlan HA-VLAN disable
    

    или

    delete protocols igmp-snooping
    

На каких носителях вы соединяете коммутаторы друг с другом, не важно, вы можете использовать медь или оптоволокно по своему желанию. Я бы использовал aeинтерфейс связки с двумя или более ссылками, чтобы уменьшить вероятность сбоя одного канала, разрушающего все соединение между коммутаторами. Не забудьте включить LACP в комплекте. Если возможно, сделайте так, чтобы две линии проходили по разным маршрутам, чтобы кто-то не перерезал оба волокна одновременно.

При этом, если возможно, я бы всегда предлагал напрямую подключать ссылки HA любого брандмауэра. Это снижает риск того, что проблема на коммутаторе (аппаратный сбой, программная ошибка, человеческая ошибка) вызовет у вас ситуацию с раздвоенным мозгом (оба брандмауэра станут главными), что наверняка испортит ваш день (BTDT).

Себастьян Визингер
источник
Для веток серии srx (например, srx650) возможны только двойные тканевые связи. нет двойного контроля ссылок. Это правда?
Виталий
Да, они поддерживают только одну контрольную ссылку. Мне это тоже не нравится.
Себастьян Визингер