配置SRX100 b双机热备哈心得:厂商指定F0/0/7——控制接口,F0/0/6——设备管理接口
1,配置集群id和节点id
设置底盘集群cluster-id 1节点0启动
设置集群cluster-id底盘1节点1启动
注:节点越小,级别越高,为主设备。另外,需要先把接口删除,否则重启后不能进入配置模式。
2,配置控制接口和数据接口,数据这里接口我这里自己指定为F0/0/2
控制接口系统默认指定F0/0/7,不需要配置,直接2台设备F0/0/7互联就行。
设置接口fab0 fabric-options member-interfaces fe-0/0/2
设置接口fab1 fabric-options member-interfaces fe-1/0/2
注:数据接口不用配置ip
3,每个机箱的个性化配置:
设置组node0系统主机SRX-A
设置组fxp0 node0接口单元0家庭inet地址192.168.100.100/24 # # # # #主设备的管理ip
设置组node1系统主机SRX-B
设置组fxp0 node1接口单元0家庭inet地址192.168.100.101/24 # # # # #备设备的管理ip组
apply-groups“${节点}“
注:2台设备的管理ip都是fxp0,另外配置完成记得设置apply-groups“${节点}“,否则出现问题。
4,配置冗余组:RG0为引擎切换.RG1为数据层面切换,记得此处有开启preemt抢占。
设置底盘集群reth-count 8
设置底盘集群redundancy-group 0节点0优先200
设置底盘集群redundancy-group 0节点优先级100
设置集群redundancy-group底盘1优先级节点0 200
底盘集群redundancy-group 100
节点1优先级设置集群redundancy-group底盘1抢占
设置集群redundancy-group底盘1 interface-monitor fe-0/0/0体重255 # # # # # # # #配置接口interface-monitor
设置集群redundancy-group底盘1 interface-monitor fe-0/0/1体重255 # # # # # # # #配置接口interface-monitor
设置集群redundancy-group底盘1 interface-monitor fe-1/0/0体重255 # # # # # # # #配置接口interface-monitor
设置集群redundancy-group底盘1 interface-monitor fe-1/0/1体重255 # # # # # # # #配置接口interface-monitor
5,将interface-monitor加入到冗余接口reth0 reth2,并把冗余接口加入到RG1
设置接口fe-0/0/0 fastether-options redundant-parent reth0
设置接口fe-0/0/0单位0
设置接口fe-0/0/1 fastether-options redundant-parent reth2
设置接口fe-0/0/1单位0
设置接口fe-1/0/0 fastether-options redundant-parent reth0
设置接口fe-1/0/0单位0
设置接口fe-1/0/1 fastether-options redundant-parent reth2
设置接口fe-1/0/1单位0
设置接口reth0 redundant-ether-options redundancy-group 1
设置接口reth2 redundant-ether-options redundancy-group 1
6,给冗余接口reth0 reth2配置ip,划入对应的区域,及策略放通。
设置接口reth0单位0家庭inet地址202.100.1.10/24
设置接口reth2单位0家庭inet地址192.168.10.10/24
设置安全区域安全区untrust接口reth0.0 host-inbound-traffic系统服务所有
设置安全区域安全区untrust接口reth0.0 host-inbound-traffic协议所有
设置安全区域安全区信任接口reth2.0 host-inbound-traffic系统服务所有
设置安全区域安全区信任接口reth2.0 host-inbound-traffic协议所有
设置安全策略from-zone untrust”信任策略untrust-to-trust匹配源地址任何
设置安全策略from-zone untrust”信任策略untrust-to-trust匹配目的地址任何
设置安全策略from-zone untrust”信任策略untrust-to-trust匹配应用程序任何
设置安全策略from-zone untrust”信任策略untrust-to-trust然后允许
设置安全策略from-zone信任对信任策略trust-to-trust匹配源地址任何
设置安全策略from-zone信任对信任策略trust-to-trust匹配目的地址任何
设置安全策略from-zone信任对信任策略trust-to-trust匹配应用程序任何
设置安全策略from-zone信任对信任策略trust-to-trust然后允许
