Links Juniper SRX HA passando pelo comutador

9

é necessário unir dois srx650 no cluster de chassi (passivo / ativo) por meio de dois comutadores EX4200. Eu preciso escolher um dos três exemplos. Por favor, ajude a definir a escolha correta e descreva quais devem ser as configurações no Srx650 e alterne para ex4200. Momento também importante - é possível conectar swithes via fibra óptica? Três diagramas abaixo descrevem a configuração lógica:

Opção 1 : insira a descrição da imagem aqui

Opção 2 : insira a descrição da imagem aqui

Opção 3 : insira a descrição da imagem aqui

Vitaliy
fonte

Respostas:

11

O que você deve estar ciente: Os links SRX HA se comunicam usando quadros jumbo e endereços multicast . Portanto, para fazer isso funcionar, você precisa de pelo menos as seguintes alterações nos comutadores EX:

  1. Configure uma MTU jumbo nos links de alta disponibilidade e nos links entre os comutadores EX. Isso permitirá que os jumbo-frames percorram a infraestrutura do switch.

    set interface x mtu 9216
    
  2. Desative o igmp-snooping para a VLAN HA ou, se não for necessário, exclua-o completamente. Se você deixá-lo ativado, o comutador não encaminhará os quadros multicast porque não há mensagens IGMP para informar ao comutador qual porta está escutando esses quadros.

    set protocols igmp-snooping vlan HA-VLAN disable
    

    ou

    delete protocols igmp-snooping
    

Sobre a mídia em que você conecta os comutadores não é importante, você pode usar cobre ou fibra conforme desejar. Eu usaria uma aeinterface de pacote configurável com dois ou mais links para reduzir a chance de uma falha de link acabar com toda a conexão entre os comutadores. Não se esqueça de ativar o LACP no pacote ae. Se possível, os dois links seguem rotas diferentes para impedir que alguém corte as duas fibras ao mesmo tempo.

Dito isto, se possível, eu sempre sugeriria conectar diretamente os links de alta disponibilidade de qualquer dispositivo de firewall. Isso reduz o risco de que um problema no comutador (falha de hardware, bug de software, erro humano) cause uma situação de cérebro dividido (ambos os firewalls se tornam mestre), o que certamente arruinará o seu dia (BTDT).

Sebastian Wiesinger
fonte
Para a série srx de ramificação (por exemplo, srx650), apenas são possíveis links de malha dupla. não há links de controle duplo. É verdade?
Vitaliy 14/03
Sim, eles suportam apenas um link de controle. Também não gosto disso.
Sebastian Wiesinger