Liaisons Juniper SRX HA passant par le commutateur

9

il est nécessaire de joindre deux srx650 dans un cluster de châssis (passif / actif) via deux commutateurs EX4200. Je dois en choisir un parmi trois exemples. S'il vous plaît, aidez à définir le bon choix et décrivez quels devraient être les paramètres du Srx650 et du commutateur ex4200. Moment également important: est-il possible de connecter des commutateurs via une fibre optique? Les trois diagrammes ci-dessous décrivent la configuration logique:

Option 1 : entrez la description de l'image ici

Option 2 : entrez la description de l'image ici

Option 3 : entrez la description de l'image ici

firewall  juniper  redundancy  juniper-srx 
Vitaliy
source

Réponses:

11

À savoir: les liaisons SRX HA communiquent à l'aide de trames jumbo et d' adresses de multidiffusion . Donc, pour que cela fonctionne, vous avez besoin au moins des modifications suivantes sur les commutateurs EX:

  1. Configurez un jumbo MTU sur les liaisons HA et les liaisons entre les commutateurs EX. Cela permettra aux trames jumbo de traverser l'infrastructure du commutateur.

    set interface x mtu 9216

  2. Désactivez l'igmp-snooping pour le VLAN HA ou, si nécessaire, supprimez-le complètement. Si vous la laissez activée, le commutateur ne transmettra pas les trames de multidiffusion, car aucun message IGMP n’indique au commutateur quel port écoute ces trames.

    set protocols igmp-snooping vlan HA-VLAN disable

    ou

    delete protocols igmp-snooping

Sur quel support vous connectez les commutateurs entre eux n'est pas important, vous pouvez utiliser du cuivre ou de la fibre comme vous le souhaitez. J'utiliserais une aeinterface de bundle avec deux ou plusieurs liens pour réduire les risques de défaillance d'un lien tuant toute la connexion entre les commutateurs. N'oubliez pas d'activer LACP sur le bundle ae. Si possible, demandez aux deux liaisons de suivre des itinéraires différents pour éviter que quelqu'un ne coupe les deux fibres en même temps.

Cela étant dit, si possible, je suggère toujours de connecter directement les liens HA de tout périphérique pare-feu. Cela réduit le risque qu'un problème sur le commutateur (panne matérielle, bogue logiciel, erreur humaine) vous provoque une situation de cerveau divisé (les deux pare-feu deviennent maîtres) qui ruinera certainement votre journée (BTDT).

Sebastian Wiesinger
source
Pour la série srx de branche (par exemple, srx650), il n'y a que des liens de structure double possibles. il n'y a pas de double liaison de contrôle. Est-ce vrai?
Vitaliy
Oui, ils ne prennent en charge qu'un seul lien de contrôle. Je n'aime pas ça non plus.
Sebastian Wiesinger
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.