JSRP - SRX Migration Full Ver.

（ Junos Services Redundancy Protocol ）

物理デバイスの

論理グループ名称

VSD Group

（Virtual Security Device Group）

Redundancy Group

仮想インタフェース名称

VSI

（Virtual Security Interface）

reth Interface

（Redundant Ethernet Interface）

コントロールリンク

データリンク共有可能独立

RTO の同期

コントロールリンクデータリンク

コンフィグ

HA リンク経由で同期 2つのノードが同じコンフィグを使用

9-1 ． HA の比較（ 2/2 ）

SSG

と

SRX

の冗長構成イメージ

SSG（NSRP）冗長構成イメージ SRX（JSRP）冗長構成イメージ

データリンクコントロール

リンク Active

機器

VSI

（Virtual Security Interface）

VSD Group

（Virtual Security Device Group）

Stand-by

機器 node 0

コントロールリンク

データリンク Redundancy

Group 0

（Fabric Link）

reth Interface

（Redundant Ethernet Interface）

Redundancy Group 1

フォワーディング

（Active）プレーンルーティング

（Active）エンジン

node 1

フォワーディング

（Stand-by）プレーンルーティング

（Stand-by）エンジン

9-2 ． HA の基本的な設定項目

SSG

と

SRX

の冗長構成（

HA

）は共に以下の基本設定項目を使用：

•

クラスタの設定

•

コントロールリンク/データリンクの設定

•

冗長論理デバイスの設定

•

冗長仮想インタフェースの設定

•

ノード固有の設定

•

インタフェースモニターの設定

9-3 ．クラスタの設定（ 1/2 ）

SSG

はクラスタ

ID

を設定すると即座に反映

SRX

はクラスタ

ID

とノード番号を設定し、再起動後に設定が反映

• SSG

• SRX

SSG5-> set nsrp cluster id cluster-id SSG5(M)->

root@SRX300> set chassis cluster cluster-id cluster-id node node-id warning: A reboot is required for chassis cluster to be enabled root@SRX300> request system reboot

Reboot the system ? [yes,no] (no) yes

9-3 ．クラスタの設定（ 2/2 ）

クラスタステータスの確認

• SSG

• SRX

SSG5(M)-> get nsrp nsrp version: 2.0 cluster info:

cluster id: 1, no name local unit id: 3509696

snip

---{primary:node0}

root@SRX300> show chassis cluster status snip

---Cluster ID: 1

Node Priority Status Preempt Manual Monitor-failures Redundancy group: 0 , Failover count: 0

node0 1 primary no no None

9-4 ．コントロールリンク / データリンクの設定（ 1/3 ）

SSG

はインタフェースを

HA

ゾーンに所属させることで

HA

のリンクとして動作

SRX

はコントロールリンクとして動作するポートは機種によって固定

データリンクは任意のインタフェースを

fab インタフェースとして指定

• SSG

• SRX

-

コントロールリンク（設定不要）「fxp1」

-

データリンク「fab0」または「fab1」（node0、node1 に応じた名称）

SSG5(M)-> set interface interface-name zone HA

root@SRX300# set interfaces fab0 fabric-options member-interfaces node0_interface-name root@SRX300# set interfaces fab1 fabric-options member-interfaces node1_interface-name

9-4 ．コントロールリンク / データリンクの設定（ 2/3 ）

コントロールリンク

/

データリンクの確認

• SSG

SSG5(M)-> get nsrp ha-link total_ha_port = 2

probe on ha-link is disabled

control channel: ethernet0/5 (ifnum: 9) mac: 001bc03599c9 state: up data channel: ethernet0/6 (ifnum: 10) mac: 001bc03599ca state: up ha secondary path link not available

9-4 ．コントロールリンク / データリンクの設定（ 3/3 ）

• SRX

root@SRX300> show chassis cluster interfaces Control link status: Up

Control interfaces:

Index Interface Monitored-Status Internal-SA Security 0 fxp1 Up Disabled Disabled Fabric link status: Up

Fabric interfaces:

Name Child-interface Status Security (Physical/Monitored)

fab0 ge-0/0/2 Up / Up Disabled fab0

fab1 ge-1/0/2 Up / Up Disabled fab1

snip

---9-5 ．冗長論理デバイスの設定（ 1/3 ）

SSG

は同じ

VSD Group

のデバイスが

Active/Standby

の冗長を構成

SRX

は同じ

Redundancy Group

のデバイスが

Active/Standby

の冗長を構成

• SSG

- VSD Group

の作成

-

プライオリティの設定（小さい方が優先）

• SRX

- Redundancy Group

の作成

-

プライオリティの設定（大きい方が優先）

SSG5(M)-> set nsrp vsd-group id VSD-group-number

SSG5(A)-> set nsrp vsd-group id VSD-group-number priority priority

root@SRX300# set chassis cluster redundancy-group redundancy-group-number node node-number root@SRX300# set chassis cluster redundancy-group redundancy-group-number

9-5 ．冗長論理デバイスの設定（ 2/3 ）

冗長論理デバイスの確認

• SSG

SSG5(M)-> get nsrp vsd-group VSD group info:

init hold time: 5

heartbeat lost threshold: 3 heartbeat interval: 1000(ms) master always exist: disabled

group priority preempt holddown inelig master PB other members myself uptime 0 50 no 3 no myself 3512768 00:10:13

total number of vsd groups: 1

Total iteration=12896,time=28452219,max=17531,min=432,average=2206 vsd group id: 0, member count: 2, master: 3509696

member information:

---group unit_id state prio flag rto_peer hb miss holddown uptime

---0 3512768 primary backup 1---0---0 ---0 ---0 ---0 ---0 3 ---0---0:---07:29 0 3509696 master 50 0 0 0 0 3 00:10:13

9-5 ．冗長論理デバイスの設定（ 3/3 ）

• SRX

root@SRX300> show chassis cluster status Monitor Failure codes:

CS Cold Sync monitoring FL Fabric Connection monitoring GR GRES monitoring HW Hardware monitoring

IF Interface monitoring IP IP monitoring LB Loopback monitoring MB Mbuf monitoring NH Nexthop monitoring NP NPC monitoring SP SPU monitoring SM Schedule monitoring CF Config Sync monitoring RE Relinquish monitoring Cluster ID: 1

Node Priority Status Preempt Manual Monitor-failures Redundancy group: 0 , Failover count: 0

node0 200 primary no no None node1 100 secondary no no None Redundancy group: 1 , Failover count: 0

node0 200 primary no no None node1 100 secondary no no None

9-6 ．冗長仮想インタフェースの設定（ 1/3 ）

SSG

はデフォルトの

VSD Group

「

0

」に冗長仮想インタフェースが所属しゾーンや

IP

アドレスは対応する物理インタフェースに設定

SRX は仮想インタフェースの数、所属の Redundancy Group、ゾーン、IP アドレス、

対応する物理インタフェースを冗長インタフェース（reth インタフェース）に設定

• SSG

• SRX

SSG5(M)-> set interface interface-name zone zone-name SSG5(M)-> set interface interface-name ip ip-address

root@SRX300# set chassis cluster reth-count reth-count

root@SRX300# set interfaces reth-name redundant-ether-options group redundancy-group-number

root@SRX300# set security zones security-zone zone-name interfaces reth-name root@SRX300# set interfaces reth-name unit 0 family inet address ip-address

root@SRX300# set interfaces interface-name gigether-options redundant-parent reth-name

9-6 ．冗長仮想インタフェースの設定（ 2/3 ）

冗長仮想インタフェースの確認

• SSG

SSG5(M)-> get interface interface-name Interface ethernet0/0(VSI):

description ethernet0/0

number 0, if_info 0, if_index 0, mode nat

link up, phy-link up/full-duplex, admin status up status change:1, last change:09/07/2012 18:11:55 vsys Root, zone Trust, vr trust-vr, vsd 0

dhcp client disabled PPPoE disabled

admin mtu 0, operating mtu 1500, default mtu 1500

*ip 10.1.1.254/24 mac 0010.dbff.2000

*manage ip 10.1.1.254, mac 001b.c035.8dc0 route-deny disable

pmtu-v4 disabled

ping enabled, telnet enabled, SSH enabled, SNMP enabled web enabled, ident-reset disabled, SSL enabled

9-6 ．冗長仮想インタフェースの設定（ 3/3 ）

• SRX

root@SRX300> show interfaces terse

Interface Admin Link Proto Local Remote snip

---ge-0/0/3 up up

ge-0/0/3.0 up up aenet --> reth0.0 snip

---ge-1/0/3 up up

ge-1/0/3.0 up up aenet --> reth0.0 snip

---reth0 up up

reth0.0 up up inet 192.168.100.254/24 snip

---root@SRX300> show chassis cluster interfaces snip

---Redundant-ethernet Information:

Name Status Redundancy-group reth0 Up 1

snip

---9-7 ．ノード固有の設定

SSG

はホスト名や

VSD

設定、インタフェースの管理

IP

、コンソールの設定などはデバイス固有の設定として冗長構成の機器間で同期されない

SRX は冗長構成の機器間で同じ設定を使用、ホスト名や管理ポート（fxp0）、

管理ポート用のルーティングなどノード固有の設定は

groups 設定にて定義

• SRX

root@SRX300# set groups node system host-name host-name

root@SRX300# set groups node system backup-router next-hop destination dst-network

root@SRX300# set groups node interfaces fxp0 unit 0 family inet address management-address root@SRX300# set apply-groups "${node}"

9-8 ．インタフェースモニターの設定（ 1/2 ）

SSG

と

SRX

は共にインタフェースモニターを使用した

HA

切り替りの設定が可能

• SSG

• SRX

SSG5(M)-> set nsrp monitor interface interface-name

root@SRX300# set chassis cluster redundancy-group redundancy-group-number interface-monitor interface-name weight weight

9-8 ．インタフェースモニターの設定（ 2/2 ）

インタフェースモニター設定の確認

• SSG

• SRX

root@SRX300> show chassis cluster interfaces snip

---Interface Monitoring:

Interface Weight Status Redundancy-group ge-0/0/3 255 Up 1

SSG5(M)-> get nsrp monitor

device based nsrp monitoring threshold: 255, weighted sum: 0, not failed device based nsrp monitor interface:

device based nsrp monitor zone:

device based nsrp track ip: (weight: 255, disabled)

ドキュメント内 SRX Migration Full Ver. (ページ 140-157)