SRX防火牆cluster配置步驟

SRX防火牆cluster配置步驟

防火牆HA配置必須要按照以下步驟進行

1.首先將2臺防火牆的HA控制信號端口進行直連，HA控制信號端口爲廠商指定的端口

設備型號:

For SRX100 devices, connect the fe-0/0/7 port to the fe-1/0/7 port

For SRX210 devices, connect the fe-0/0/7 port to the fe-2/0/7 port

For SRX240 devices, connect the ge-0/0/1 port to the ge-5/0/1 port

For SRX650 devices, connect the ge-0/0/1 port to the ge-9/0/1 port

 

2.配置root密碼（2臺設備配置相同的密碼）

SRX-A>set system root-authentication plain-text-password

SRX-B>set system root-authentication plain-text-password

 

3.將所有默認端口的配置進行刪除

SRX-A>delete interface ge-0/0/0

SRX-B>delete interface ge-0/0/0

 

4.配置cluster（建議將主設備配置爲node 0）

SRX-A>set chassis cluster cluster-id 1 node 0 reboot

（Cluster ID 取值範圍爲1 – 15，當Cluster ID = 0 時將unsets the cluster）

SRX-B>set chassis cluster cluster-id 1 node 1 reboot

 

5.以上配置完成，重啓後，HA狀態將同步，可以通過show命令查看狀態，以後所有的操作將在一臺防火牆上完成

show chassis cluster status

 

6.將2臺防火牆的HA的控制界面端口進行直連（可以任意指定），然後進行配置

set interfaces fab0 fabric-options member-interfaces ge-0/0/2

set interfaces fab1 fabric-options member-interfaces ge-5/0/2

 

7.配置優先級別（node 0 爲高優先級別）

RG0 固定用於主控板RE 切換，RG1 以後用於redundant interface 切換，RE 切換獨立於接口切換

set chassis cluster reth-count 10 （指定整個Cluster 中redundant ethernet interface 最多數量）

set chassis cluster redundancy-group 0 node 0 priority 200

set chassis cluster redundancy-group 0 node 1 priority 100

set chassis cluster redundancy-group 1 node 0 priority 200

set chassis cluster redundancy-group 1 node 1 priority 100

 

8.配置設備名稱，以及管理口（管理口也爲廠商指定的端口）

set groups node0 system host-name SRX-A

set groups node0 interfaces fxp0 unit 0 family inet address 1.1.1.1/24 （帶外網管口名稱爲fxp0）

set groups node1 system host-name SRX-B

set groups node1 interfaces fxp0 unit 0 family inet address 1.1.1.2/24

set apply-groups ${node} （應用上述groups 配置）

 

9.通過以下命令查看所有端口的信息

run show interfaces terse

 

10.將要配置的端口進行接線（等設置端口監控後，如果不接線會導致HA狀態異常）

 

11.端口配置

set interface ge-0/0/8 gigether-options redundant-parent reth0 （node 0 的ge-0/0/8 接口）

set interface ge-5/0/8 gigether-options redundant-parent reth0 （node 1 的ge-0/0/8 接口）

set interface reth0 redundant-ether-options redundancy-group 1 （reth0 屬於RG1）

set interface reth0 unit 0 family inet address 192.168.0.1/24

 

12.端口監控

set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255

set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255

set chassis cluster redundancy-group 1 interface-monitor ge-5/0/3 weight 255

set chassis cluster redundancy-group 1 interface-monitor ge-5/0/4 weight 255

 

13.如果在配置過程中，需要進行出廠值恢復

A．關閉cluster，並且重啓設備

SRX-A>set chassis cluster disable reboot

SRX-B>set chassis cluster disable reboot

 

B．出廠值恢復

SRX-A>Load factory-default

SRX-A>set system root-authentication plain-text-password

SRX-A>commit

 

SRX-B>Load factory-default

SRX-B>set system root-authentication plain-text-password

SRX-B>commit