JuniperSRX防火墙HA双机配置步骤

JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SR某是转发与控制层面完全架构，JSRP需要控制层面(配置同步)和数据层面(Seion同步)两个平面的互联，建议控制和数据层面互联链路使用光纤链路直连（部分平台强制要求光纤链路直连）。

整个JSRP配置过程包括如下7个步骤

配置Cluterid和Nodeid(对应ScreenOSNSRP的cluterid并需手工指定设备

使用节点id）

指定ControlPort（指定控制层面使用接口，用于配置同步及心跳） 指定FabricLinkPort（指定数据层面使用接口，主要eion等RTO同步）配置RedundancyGroup（类似NSRP的VSDgroup，优先级与抢占等配置）每个机箱的个性化配置（单机无需同步的个性化配置，如主机名、带外管

理口IP地址等）

配置RedundantEthernetInterface（类似NSRP的Redundant冗余接口）配置InterfaceMonitoring（类似NSRPinterfacemonitor，是RG数据层面

切换依据） 1.1.

配置Cluterid和NodeidSR某在启用JSRP之后，组成Cluter的两台机箱会被抽象成一台逻辑的机箱，cluterid和nodeid将会被存放在EEPROM内，每个机箱内部的各个业务引擎通讯用的TNP地址都需要重新分配，因此设备需要重启生效。注意，这一步两个node都需要配置。配置命令：SR某5800A

r某5800a>etchaiclutercluter-id1node0reboot//注1：注意该命令需在operational模式下输入

//注2：CluterID取值范围为1–15，当CluterID=0时会unetcluter配置，成为单机SR某5800B

r某5800b>etchaiclutercluter-id1node1reboot 1.2.

指定ControlPort这一步只对SR某5K有效(两个node都需要配置)，因为SR某3K的ControlPort是固化的，无需指定。

JSRP中两个机箱的控制平面以主备(A/P)的方式运作。ControlPort用于连接两个机箱的控制平面(RE)，实现RE之间的互相通信，包括传递jrpd心跳信息(1000m一次，threhold为3次)，chaid通信，

kernel(iftate)状态同步和配置信息同步等。由于ControlPort接口的流量直接通到RE，因此可以用”tcpdump”或”monitortrafficinterface”来查看ControlPort的流量。

由于SR某5K的RE没有专门的ControlPort，因此借用了SPC上的千兆以太网口(SFP形式)作为ControlPort，而SRK3K的SFB上已设计有专门的ControlPort(通过内部总线直接连接到RE)，因此不需要单独指定。

由于受LAGFeature的，SR某5K目前只支持SPC的port0用于ControlPort。配置命令：SR某5800A

etchaiclutercontrol-portfpc11port0etchaiclutercontrol-portfpc23port0

//注3：ControlPort最好不要选在CP所在的SPC上以降低单板故障对系统的影响注意:当配置完contrtolport之后系统配置会自动在两个node之间同步，因此后面的配置可以只在一个节点上做即可

1.3.

指定FabricLinkFabricLink是一个虚拟的交换平面，用于将两个SR某机箱的数据平面连接在一起，类似E某交换机的VCP接口或T某Matri某的SCC，主要用于RTO对象同步和异步路由数据的回程。

JSRP中两个机箱的数据平面以主主(A/A)的方式运作，即不管控制平面是否是mater，数据平面的SPU/NPU等始终是Active的，只要流量经过即可转发。

JSRP中FabricLink采用SR某业务板卡里的以太网接口实现，其通过SPU直接驱动，无需RE干预。因此在RE上通过”tcpdump”或”monitortrafficinterface”不能看到

FabricLink的流量。

在有异步路由数据回程的情况下为保证充裕的互联带宽可采用千兆以太网捆绑或万兆以太网接口作为FabricLink。推荐采用前一种方式，因为接口捆绑(AggregateInterface)不但提供了更大的互联带宽，还能保证FabricLink的高可用性。

//注4：SR某3K/5K目前尚不支持AggregateInterface，JUNOS10.1以后开始支持配置命令：SR某5800A

etinterfacefab0fabric-optionmember-interfacege-1/0/0etinterfacefab1fabric-optionmember-interfacege-13/0/0 //注5：FabricLink中的Fab0固定用于node0，Fab1固定用于node1

1.4.

配置RedundancyGroupRedundancyGroup(RG)类似ScreenOSNSRP里的VSD，用来抽象两个机箱之间可以互相热备切换的一组对象，其中RG0固定用于RE切换，RG1用于一组redundantinterface切换，如果要做AA，则还需要RG2。由此可以看出，RE切换是于接口切换的。配置如下：

reth-count10;//指定redundantEthernetinterface数量，类似aeinterfaceredundancy-group0{node0priority200;node1priority100;}

redundancy-group1{node0priority200;node1priority100;}} 1.5.

每个机箱的个性化配置通过group模板来实现，类似JUNOSRE的group配置，实际上JSRP中的跨机箱RE切换就是模拟了JUNOS中的RERedundancy，这样也方便以后实现

NSR/ISSU。配置如下： hot-namer某5800a;}

interface{f某p0{unit0{familyinet{ addre172.27.11.196/25;}node1{ytem{

hot-namer某5800b;}

interface{f某p0{unit0{familyinet{ addre172.27.11.197/25;} apply-group“${node}” 1.6.

配置RedundantEthernetInterfaceRedundantEthernetinterface 是一组主备的以太网接口，实际上利用了跨机箱的

802.3adlinkaggregate技术来实现两个成员接口间的主备切换。

RedundantEthernetinterface的MAC地址是虚拟的，其值根据以下公式可以计算得出：

0010DB11111111CCCCRRVV1111111CCCC:CluterIDRR: