Đã có rất nhiều nhầm lẫn về việc làm thế nào để kết nối 2 switch chạy virtual chassis với SRX cluster. mọi người thường thêm nhiều interface vật lý và tạo ra nhiều interface RETH trên SRX sau đó gán các chức năng khác nhau cho mỗi interface RETH.
Phương pháp này không có khả năng mở rộng cao và sau một thời gian, các bạn sẽ gặp phải một mớ hỗn độn không thể quản lý được.
Cá nhân tôi thích tạo một interface RETH duy nhất với nhiều sub interface, mỗi interface tương ứng với L2 VLAN trên switch.
Đối với các trường hợp không yêu cầu đặc biệt tôi thường chọn cơ chế Active/Passive cho SRX Cluster. Theo kinh nghiệm của tôi Active / Active không hoạt động tốt trong SRX Chassis Cluster. Nó cũng gây khó khăn trong việc quản lý và vận hành. Không có lợi ích thực sự trong cơ chế Active / Active và gây ra các vấn đề nghiêm trọng trong thiết bị được sử dụng với lượng traffic cao. Tùy chọn khác của tôi là sử dụng SRX làm “Router on a Stick ” – Các switch chạy ở L2 và thực hiện tất cả L3/Routing/Security trên SRX.
SRX là thiết bị cực kỳ mạnh mẽ sử dụng nó theo cách này mang lại khả năng bảo mật, theo dõi phiên, định tuyến và kiểm soát tốt hơn. Thiết kế này cũng sẽ hoạt động tốt khi giảm tải các chức năng định tuyến cho switch L3.
Ví dụ bên dưới hai liên kết hoạt động trên mỗi switch vật lý, nhưng có thể mở rộng dễ dàng. Việc thêm nhiều liên kết vật lý để tăng dung lượng thực sự rất dễ và nó không ảnh hưởng đến cấu hình thực tế. Thiết kế tương tự có thể được sử dụng với nhiều switch, miễn là chúng là số chẵn
Phía SRX có 8 liên kết được kết nối với Cluster, 4 liên kết với mỗi thiết bị. Mỗi thành viên kết nối với Interface Aggregated khác nhau trên switch (ae0 – node0, ae1 – node1), nhưng chỉ một ae / node sẽ hoạt động tại một thời điểm (đây là cách hoạt động của cụm Chassis).
Phía EX: ae0 bao gồm 8 liên kết vật lý trên mỗi VC (4 cho mỗi thành viên). Mỗi thành viên có 2 Interface trong ae0 và 2 trong ae1.
Như bạn có thể thấy trong sơ đồ, lỗi của 1 thành viên EX hoặc / và 1SRX sẽ không làm gián đoạn lưu lượng và 2 đường trục liên kết sẽ được duy trì. Tăng lên 3 trung kế liên kết sẽ yêu cầu thêm liên kết vào mỗi nhóm.
Configuration
- SRX
Interface reth1 được gán cho RE1. Tôi sử dụng weight=100, vì vậy việc chuyển đổi dự phòng (failover) có thể do lỗi của 3 liên kết trở lên. Chúng tôi muốn ngăn ngừa lỗi VC gây ra failover Chassis Cluster RE, vì các thiết bị được nối cáp đồng bộ.
> show configuration chassis cluster
control-link-recovery;
reth-count 3;
redundancy-group 0 {
node 0 priority 100;
node 1 priority 1;
}
/* To Core Switch */
redundancy-group 1 {
node 1 priority 1;
node 0 priority 100;
preempt;
inactive: hold-down-interval 180;
interface-monitor {
ge-0/0/4 weight 100;
ge-0/0/5 weight 100;
ge-0/0/6 weight 100;
ge-0/0/7 weight 100;
ge-5/0/4 weight 100;
ge-5/0/5 weight 100;
ge-5/0/6 weight 100;
ge-5/0/7 weight 100;
}
}
Sau đó, tôi sử dụng subinterface để gán IP cho mỗi VLAN. Mỗi subineterface sau đó được gán cho security zone, routered, etc.
> show configuration interfaces reth0
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
unit 1 {
vlan-id 1;
family inet {
address 10.0.0.1/26;
}
}
unit 2 {
vlan-id 2;
address 10.0.0.65/26;
}
}
unit 3 {
vlan-id 3;
family inet {
address 10.0.0.129/25;
}
}
Physical Interfaces:
ge-0/0/4 {
description "Link to EX-01 ae0:ge-0/0/46";
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/5 {
description "Link to EX-01 ae0:ge-1/0/47";
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/6 {
description "Link to EX-01 ae0:ge-0/0/44";
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/7 {
description "Link to EX-01 ae0:ge-1/0/45";
gigether-options {
redundant-parent reth1;
}
}
ge-5/0/4 {
description "Link to EX-01 ae1:ge-1/0/46";
gigether-options {
redundant-parent reth1;
}
}
ge-5/0/5 {
description "Link to EX-01 ae1:ge-0/0/47";
gigether-options {
redundant-parent reth1;
}
}
ge-5/0/6 {
description "Link to EX-01 ae1:ge-0/0/45";
gigether-options {
redundant-parent reth1;
}
}
ge-5/0/7 {
description "Link to EX-01 ae1:ge-1/0/44";
gigether-options {
redundant-parent reth1;
}
}
2. EX Virtual Chassis
Configuration is as simple as creating VLANs and assigning the phyiscal inerfaces to ae as per diagram above:
ae0 {
description "links to SRX-01 node0";
aggregated-ether-options {
minimum-links 2;
link-speed 1g;
}
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members all;
}
}
}
}
ae1 {
description "links to SRX-01 node1";
aggregated-ether-options {
minimum-links 1;
link-speed 1g;
}
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members all;
}
}
}
}
ge-0/0/44 {
description "ae0:Link to SRX-01 ge-0/0/6";
ether-options {
802.3ad ae0;
}
}
ge-0/0/45 {
description "ae1:Link to SRX-01 ge-5/0/7";
ether-options {
802.3ad ae1;
}
}
ge-0/0/46 {
description "ae0:Link to SRX-01 ge-0/0/4";
ether-options {
802.3ad ae0;
}
}
ge-0/0/47 {
description "ae1:Link to SRX-01 ge-5/0/5";
ether-options {
802.3ad ae1;
}
}
ge-1/0/44 {
description "ae1:Link to SRX-01 ge-5/0/6";
ether-options {
802.3ad ae1;
}
}
ge-1/0/45 {
description "ae0:Link to SRX-01 ge-0/0/7";
ether-options {
802.3ad ae0;
}
}
ge-1/0/46 {
description "ae1:Link to SRX-01 ge-5/0/4";
ether-options {
802.3ad ae1;
}
}
ge-1/0/47 {
description "ae0:Link to SRX-01 ge-0/0/5";
ether-options {
802.3ad ae0;
}
}