Thuong

Tìm hiểu về EtherChannel

EtherChannel (còn gọi là Port-Channel, LAG – Link Aggregation Group hay Eth-Trunk) là công nghệ gom nhiều đường truyền vật lý thành một kết nối logic nhằm mục đích:

Tạo liên kết dự phòng
Tăng băng thông bằng cách chia tải trên tất cả các đường truyền
Giải quyết vòng lặp khi kết nối nhiều đường giữa các switch

Cách cấu hình EtherChannel trên Switch Cisco

Các loại EtherChannel

Có 2 kiểu:

Static Link Aggregation
Dynamic Link Aggregation

1. Static Link Aggregation

Đây là phương pháp cấu hình thủ công, trong đó nhiều liên kết vật lý được gom lại để tạo ra một liên kết logic có băng thông cao hơn và khả năng dự phòng. Hình thức này thường dùng khi hệ thống không hỗ trợ gom kênh động hoặc mạng hiếm khi thay đổi.

Đặc điểm của Static Link Aggregation:

Cấu hình thủ công ở cả hai đầu kết nối (không có cơ chế đàm phán như LACP – Link Aggregation Control Protocol).
Cần đảm bảo các cổng được cấu hình giống hệt nhau (speed, duplex, VLAN…).
Không hỗ trợ phát hiện lỗi cấu hình tự động – dễ gây lỗi nếu cấu hình lệch nhau.

Cách cấu hình Static EtherChannel:

✅ Điều kiện bắt buộc: Cả hai switch phải được cấu hình ở chế độ “on”. Các chế độ khác sẽ không hoạt động.

Trên switch Sx:

Trên switch Sy:

Sy(config-if-range)#channel-group 1 mode on

2. Dynamic Link Aggregation

Phương pháp này tự động gom nhiều cổng vật lý thành một cổng logic. Giống như static, nó cũng giúp tăng băng thông và độ ổn định, nhưng dễ quản lý hơn.

Gồm hai giao thức:

LACP (Link Aggregation Control Protocol) – Chuẩn mở IEEE 802.3ad
PAgP (Port Aggregation Protocol) – Giao thức độc quyền của Cisco

LACP – Giao thức gom kênh mở

Cho phép tối đa 16 liên kết, trong đó 8 liên kết hoạt động và 8 dự phòng
Hoạt động ở hai chế độ:
- Active: Luôn gửi gói LACP
- Passive: Chỉ phản hồi nếu nhận được gói LACP

Cấu hình LACP – Active Mode:

Cả hai switch ở chế độ active:

Sx(config-if-range)#channel-group 1 mode active

Sy(config-if-range)#channel-group 1 mode active

Một switch active, một switch passive:

Sx(config-if-range)#channel-group 1 mode active
Sy(config-if-range)#channel-group 1 mode passive

* Lưu ý:

Nếu cả hai switch đều ở chế độ passive, EtherChannel sẽ không được thiết lập, vì cả hai đều chờ nhận gói LACP nhưng không ai gửi.

PAgP – Giao thức gom kênh riêng của Cisco

Gom tối đa 8 liên kết thành một cổng logic
Có hai chế độ hoạt động:
- Desirable: Chủ động gửi gói PAgP
- Auto: Chờ nhận gói PAgP từ thiết bị khác

Cấu hình PAgP – Desirable Mode:

Cả hai switch ở chế độ desirable:

Sx(config-if-range)#channel-group 1 mode desirable
Sy(config-if-range)#channel-group 1 mode desirable

Một switch desirable, một switch auto:

Sx(config-if-range)#channel-group 1 mode desirable
Sy(config-if-range)#channel-group 1 mode auto

Lưu ý:

Trong chế độ này, thiết bị không gửi gói PAgP, mà chờ nhận gói từ thiết bị ở chế độ desirable. Nếu không có thiết bị nào gửi gói (tức cả hai ở auto), liên kết sẽ không được thiết lập.

Hướng dẫn cấu hình căn bản một số firewall thông dụng (Sonicwall, Palo Alto, Fortigate)

01. CẤU HÌNH – QUẢN TRỊ THIẾT BỊ FIREWALL SONICWALL

Basic Config Sonicwall

02. CẤU HÌNH – QUẢN TRỊ THIẾT BỊ FIREWALL PALO ALTO

Basic Config Palo Alto

03. CẤU HÌNH – QUẢN TRỊ THIẾT BỊ FIREWALL FORTIGATE

Basic config Fortigate

* Tài liệu được viết bởi Anh Đỗ Hoà Thành – Mình chỉ tổng hợp lại tại đây để tham khảo hay chia sẻ khi cần thiết.

04. TÀI LIỆU QUẢN TRỊ FORTIGATE CƠ BẢN

Fortigate_7

Chuyển Đổi Ruckus Unleashed Sang Ruckus Cloud

Bước 1

Rút cáp Ethernet của tất cả các AP.

Bước 2

Đặt lại (factory reset) các AP mà bạn muốn kết nối với Ruckus Cloud.

Bật nguồn AP và chờ khoảng 30 giây để AP khởi động.
Sau đó, nhấn và giữ nút reset trong hơn 10 giây.

Bước 3

Thêm số serial của AP vào tài khoản Ruckus Cloud của bạn.

Bước 4

Lặp lại bước 2 và 3 với từng AP mà bạn muốn thêm vào tài khoản cloud.

Bước 5

Chờ các AP này kết nối với Ruckus Cloud trước khi tiếp tục bước 6.

Trạng thái AP trong giao diện người dùng của Cloud sẽ hiển thị là “operational” (đang hoạt động).
Tham khảo đèn LED trạng thái trên AP theo hướng dẫn cài đặt nhanh (Quick Start Guide).

Bước 6

Bây giờ bạn có thể cắm lại các AP Unleashed còn lại vào Ethernet.

Các AP Cloud và cụm Unleashed giờ đây có thể hoạt động song song.

Khôi Phục Firmware Cho Access Point (AP) Ruckus

Mục đích

Hướng dẫn này giúp khôi phục lại Access Point trong trường hợp bạn không thể truy cập vào giao diện quản lý khi AP đang ở chế độ Unleashed, Standalone hoặc khi AP hoạt động không đúng như mong đợi và không thể flash firmware thông tin qua bộ điều khiển .

Yêu cầu Trước Khi Thực hiện

Tải xuống phiên bản firmware độc lập mới nhất phù hợp với loại Access Point của bạn.
Cài đặt máy chủ TFTP trên máy tính, thiết bị này phải kết nối với switch hoặc trực tiếp với Access Point
Trên Windows, khuyến khích sử dụng TFTPD32

Cấu hình điều khiển tập tin (Control File)

Trước khi thực hiện hạ cấp firmware thủ công cho AP, bạn cần tạo một tệp có tên fwcntrl.rcksvà chỉnh sửa nội dung bằng trình chỉnh sửa văn bản (notepad hoặc notepad ++).

Nội dung trong tệp phải có định dạng sau:

Ví dụ:

Ghi chú: Tệp fwcntrl.rcksvà tệp chương trình cơ sở .bl7phải được đặt trong thư mục gốc của máy chủ TFTP.

Lệnh CLI cho AP KHÔNG chạy firmware Unleashed phiên bản 207.x trở lên

Lệnh sau cần được nhập trực tiếp vào AP thông qua SSH sau khi đăng nhập:

Lưu ý: KHÔNG THỂ ngắt kết nối trong quá trình cập nhật sau khi nhập lệnh fw update.
Nếu quá trình cập nhật bị lỗi (hết thời gian chờ), hãy chạy lại toàn bộ lệnh.

Lệnh CLI cho AP CHẠY firmware Unleashed phiên bản 207.x trở lên

Cũng đăng nhập vào AP qua SSH và nhập các lệnh sau:

Lưu ý: KHÔNG ngắt kết nối trong quá trình cập nhật sau khi nhập fw update.
Nếu quá trình cập nhật bị lỗi, hãy lặp lại lệnh.

Hướng Dẫn Cấu Hình Tối Ưu Cho Ruckus SmartZone

Mục đích

Mục đích của hướng dẫn này là giúp bạn thiết lập mức độ ưu tiên của cấu hình cho hệ thống không dây trên bộ điều khiển SmartZone.

Bước 1

Trước tiên, bạn cần truy cập vào phần Network , sau đó từ menu thả xuống, chọn Access Point .

Bước 2

Màn hình Access Point sẽ hiển thị. Tại đây, bạn có thể tạo một Zone (Vùng) mới bằng cách chọn Domain (tên miền) tương ứng, sau đó nhấn vào biểu tượng dấu + .

Bước 3

Trong cấu hình Zone , đặt tên cho Zone và chọn mã quốc gia phù hợp vowis các điểm truy cập (AP) sẽ được khai báo.

Bước 4

Bạn buộc phải nhập tên người dùng và mật khẩu để xác định cấu hình. Tài khoản này sẽ được sử dụng để truy cập CLI (lệnh giao diện dòng lệnh) của các AP sau khi chúng đã kết nối vào SmartZone.

Bước 5

Kéo xuống để cài đặt thông số radio của AP tại Band/Spectrum Configuration (Cấu hình băng tần/phổ) .

Đối với băng tần 2.4GHz , đặt Channelization là 20MHz để hạn chế việc trùng kênh.
Với new firmware, bộ điều khiển sẽ tự động chọn các kênh: 1, 6 và 11 .
Nếu sử dụng firmware cũ, tất cả các kênh đều có thể được chọn, bạn cần phải tắt các kênh không mong muốn.
Bật “Auto Cell Sizing” để AP tự động điều chỉnh công xuất phát phù hợp với môi trường.
Kích hoạt tùy chọn “CTS only” để giúp thiết bị nhận được hiệu quả dữ liệu hơn, giảm xung đột giao tiếp.

Bước 6

Sau khi hoàn tất băng tần 2.4GHz, chuyển sang tab 5GHz bên cạnh.

Chọn Kênh à 40 MHz . Nếu khu vực bị nhiễu nặng, nên sử dụng 20MHz
Cũng bật Auto Cell Sizing như ở bước 5.

Bước 7

Tắt mặc định multicast tùy chọn (chúng đã được bật sẵn).

Bước 8

Sau khi cấu hình xong Zone, chọn Network ở thanh trên cùng, sau đó chọn Wireless LANs (Mạng không dây) trong menu thả xuống.

Bước 9

Trong phần WLAN, chọn Zone của bạn rồi nhấn Create (Tạo) .

Bước 10

Nếu bạn tạo WLAN cho khách, hãy bật tùy chọn Wireless Client Isolation (Cô lập thiết bị không dây) để các thiết bị không thể nhìn thấy nhau.

Bước 11

Trong phần Tùy chọn nâng cao, kéo xuống bật OFDM và đặt tốc độ tối thiểu BSS là 12Mbps .
Chức năng này giúp thiết bị di chuyển giữa các AP mượt mà hơn, chỉ cho phép kết nối dù tốc độ đạt mức tối thiểu.

Bước 12

Đặt giá trị Directed MC/BC Threshold về 0 .

Bước 13

Kích hoạt “Airtime Decongestion” , giúp quản lý lượng tối ưu và tránh sử dụng băng tải truyền tải của thiết bị khách.

Hướng dẫn cài đặt Mikrotik

Chuẩn bị:

USB1: Làm boot Ventory: Ventoy (https://www.ventoy.net/en/download.html)

Ném vào trong USB các file:
– WINPE.iso

– DiskImage_1_6_WinAll_Setup.exe, MX-23.3_x64.ISO

USB2: chứa file: install-image-7.16rc4.img
Releases · elseif/MikroTikPatch (https://github.com/elseif/MikroTikPatch/releases)

– install-image-7.16rc4.img: Chạy trên máy thực bằng hdd, SSD, MMC

– chr, hoặc Mirotik.iso: Dùng cho PC được cài giả lập (VMware , virtual Machine…) (*)

Cách 1: Đơn giản nhất
Boot vào WinPE.

Xoá sạch hết các phân vùng SSD, HDD, mmc của máy đi
Cài exe trong WINPE luôn nhe

Browse /chọn Physical …và yes thôi…là nó ghi đè file cài đặt lên ổ cứng rồi. Reboot

Cách 2: Hơi nhiều bước
Bước 1: Boot vào MX-23.3_x64.ISO

Giải thích:

Nếu mà Write file image Bước 1 vào USB bằng Rufus (hay các ứng dụng Wrire boot khác) thì khi cài xong nó chạy trên USB chứ không phải chạy từ HDD. Rút USB ra là nghỉ sài nhé.
Cho nên boot vào linux MX-23.3_x64.ISO để mượn sức mạnh các các lệnh Command Line của Linux để ghi đè file image lên hdd, ssd,nvme…

Bước 2: Ghi dữ liệu từ file install-image-7.16rc4.img vào HDD, SSD, NVME

Ngoài màn hình chính/ chuột phải à Open Terminal Here à lsblk (để xem coi tên ổ đĩa là gì ?)

VD: mmcblk0, sda, sdb

Mở USB2: Có chứa: install-image-7.16rc4.img à Click phải chuột vào khoảng trống à Open Terminal Here à sudo su

Nếu có bị hỏi pass: demo

Copy và paste đoạn code này:

dd if=install-image-7.16rc4.img |pv|dd bs=1M of=/dev/mmcblk0 status=progress

Khởi động lại

Đây mới chỉ là ném file cài đặt vào trong ssd thôi. Giờ mới tiến hành cài từ ssd đó nè…

Bước 3: Cài đặt
Chú ý là: Khi “cài” thiết lập Bios: Legacy (chuẩn cũ), Cài xong thì có thể boot UEFI

+ Khi cài nhấn chữ a, rồi nhấn phím mũi tên sang phải 1 cái, sau đó, đó nhấn I

Bước 4: Down Crack về như hình (Nhớ tắt phần mềm Virus)

(https://github.com/oldmanpushcar/MikroTikPatch-mips/tree/main)

PC kết nối Mikrotik OS bằng địa chỉ mac nên không cần set IP và nó cũng không tự sinh ra IP khi chưa configuration nên không hoảng loạn bước này nhé. Mở app: winbox64 kết nối nó

Login vào Mikrotik lấy Software ID: xxx
+ Điền vào trong Keygen
+ Nhấn Generate
+ Nhấn Copy / paste nó ra Notepad để save lại, xoá đi các phần thừa…
Login vào Mik và nhấn nút Paste Key
Hoặc ai muốn vọc phần mềm chia ổ đĩa thì dùng: gparted
Right click ngoài màn hình chính =>application => system => chọn gparted)

UPDATING…Web Generator
MeGa-TiK VPN

Script bảo vệ toàn diện Router Mikrotik

# Tham khảo thêm code bảo mật ở https://rickfreyconsulting.com/basic-mikrotik-firewall-rev-5-0-free-version/
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set ssh disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ip firewall filter
add chain=forward dst-port=11211 protocol=udp action=drop comment="Memcrashed - Amplification Attacks UDP 11211"
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=block-ddos comment="Anti DDoS Attacks"
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop
add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return
add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m
/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Mark Source ip port scanner to Address list " disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
add chain=input src-address-list="port scanners" action=drop comment="Drop port scanners" disabled=no
/ip firewall filter
add action=drop chain=input comment="drop ftp BRUTE FORCErs" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="drop ssh BRUTE FORCErs" dst-port=22-23 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22-23 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22-23 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22-23 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22-23 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22-23 protocol=tcp src-address-list=ssh_blacklist

Script cài đặt proxy tunnel trên mikrotik với containers.

Kích hoạt Container trên Mikrotik

Lưu ý: Mikrotik Container cần Router với dung lượng NAND từ 128MB trở lên.

Đảm bảo đang ở phiên bản Mikrotik OS mới nhất bằng cách vào System => Packages => Check for Update.
Download Extra packages theo OS Mikrotik của bạn tại đây. Giải nén và up file container vào File manager của Winbox. Sau đó chọn System => Reboot để cài đặt gói bổ sung Container vào Router Mikrotik OS 7.
Sau khi reboot. Tiến hành login Winbox và nhập câu lệnh sau:

/system/device-mode/update container=yes

Sau khi hiện dòng chữ update: please activate by turning power off or pressing reset or mode button in... thì rút nguồn router sau đó cắm lại (bắt buộc rút nguồn, không reboot)
Chờ router khởi động lại, vào Terminal nhập lệnh /system/device-mode/print. Màn hình hiện container: yes là được.

Script: Download

Vấn đề cấp nguồn PoE cho thiết bị Wi-Fi

Trong các hệ thống mạng Wi-Fi doanh nghiệp, việc triển khai Access Point (AP) tại các vị trí tối ưu về mặt sóng thì lại thường gặp trở ngại liên quan đến cấp nguồn. Ví dụ Access gắn trên cao, AP được gắn trên nóc nhà máy, sân vận động, hầm gửi xe Metro…Chúng ta có thể không có nguồn điện tường ở các vị trí đó. Đây là lúc Power over Ethernet (PoE) trở thành giải pháp cực kỳ hiệu quả: chỉ cần một sợi cáp mạng duy nhất để truyền cả dữ liệu lẫn nguồn điện đến thiết bị đầu cuối – các Access Point.

1. Chuẩn hóa PoE và nhu cầu công suất của AP

Ban đầu, các giải pháp cấp nguồn qua Ethernet khá lộn xộn do thiếu chuẩn hóa. Nhưng ngày nay, chúng ta dựa trên các chuẩn IEEE sau:

– IEEE 802.3af (PoE): cung cấp tối đa 15W.

– IEEE 802.3at (PoE+): nâng giới hạn lên 30W.

– IEEE 802.3bt (PoE++): chuẩn mới hứa hẹn hỗ trợ tới 90W.

– Cisco Universal PoE (UPoE): cung cấp tới 60W, chưa chuẩn IEEE nhưng đã phổ biến.

Cách hoạt động của PoE

Switch PoE (PSE – Power Sourcing Equipment) sử dụng cơ chế phát hiện trở kháng vật lý để xác định thiết bị đầu cuối có hỗ trợ PoE hay không (PD – Powered Device) – trước khi cấp nguồn, tránh rủi ro hỏng thiết bị.

Sau đó, quá trình thương lượng công suất động được thực hiện thông qua

– CDP (Cisco Discovery Protocol)

– LLDP (Link Layer Discovery Protocol)

Thiết bị và switch trao đổi các thông tin dạng TLV (Type-Length-Value) để xác định chính xác lượng công suất cần cấp. TLV này chỉ là một loại cấu trúc dữ liệu được trao đổi qua lại giữa Switch và AP để bắt tay cho đúng. Nếu có bất kỳ sự thay đổi nào, AP sẽ khởi động lại để đồng bộ lại cấu hình cấp nguồn.

Khi không có switch PoE: Chúng ta phải gắn thêm Bộ tiêm nguồn (Power Injector)Khi switch không hỗ trợ PoE, giải pháp phổ biến là dùng Power Injector. Thiết bị có 2 cổng RJ45: một kết nối switch, một kết nối AP.

Cắm vào nguồn điện AC, chèn nguồn điện vào cáp mạng mà không ảnh hưởng đến truyền dữ liệu.

Injector hoạt động gần như “vô hình”, nhưng vẫn cần chú ý đến công suất và chuẩn hỗ trợ.

4. Ngân sách nguồn của Switch PoE.

Lúc này bộ nguồn cho switch cũng phải mua thêm. Switch cần có nguồn công suất cao hơn thì mới cấp PoE cho thiết bị được.

Với switch PoE, ngân sách nguồn là yếu tố cực kỳ quan trọng

Một số switch nhỏ chỉ có 30W tổng, cấp được 1 cổng PoE+ hoặc 2 cổng PoE thường.

Switch lớn hơn có thể cấp 400W trở lên.

Nếu bạn gắn thêm AP khi ngân sách đã dùng hết → AP không khởi động.

Luôn kiểm tra nguồn của Switch khi lập kế hoạch triển khai Wi-Fi (Lúc lên BOM Build of Material)

Tổn hao và thực tế tiêu thụ

Cần phân biệt giữa công suất cấp ra từ switch (PSE) và công suất tiêu thụ thực tế của AP:

Tóm lại

Power over Ethernet là công nghệ then chốt giúp triển khai Wi-Fi nhanh, gọn và hiệu quả. Là một kỹ sư mạng chuyên về wireless, bạn cần hiểu rõ:

Các chuẩn PoE và công suất tương ứng

Cách AP phản ứng khi thiếu nguồn

Ngân sách nguồn và vai trò của CDP/LLDP

Gợi ý Best practice: Luôn sử dụng switch PoE+ trở lên cho các AP hiện đại và giám sát ngân sách nguồn thường xuyên, nhất là trong các site có nhiều thiết bị IP (AP, phone, camera…).

Cấu hình HA Juniper SRX340 Router

Trước khi bắt đầu cấu hình cluster, hãy xóa hết cấu hình hiện có để tránh lỗi phát sinh trong quá trình cấu hình cluster. Trong mỗi thiết bị srx thực hiện các bước sau:

Đầu tiên, hãy xóa tất cả các logical interface dùng cho control link/plane(ge-0/0/1) & Data/fabric link/plane(ge-0/0/2).

***Note: Control link và Data link khác nhau ở mỗi model SRX

delete system host-namedelete vlans delete interfaces vlan delete security delete interfaces ge-0/0/1 delete interfaces ge-0/0/2 delete interfaces ge-0/0/3 unit 0 family ethernet-switching delete interfaces ge-0/0/4 unit 0 family ethernet-switching

Sau khi xoá kiểm tra và chắc chắn rằng không còn ethernet-switching nào

root@srx1# show | match ethernet-switching | count
Count: 0 lines
[edit]
root@srx1#

Sau đó, kết nối vật lý hai thiết bị và đảm bảo rằng chúng là cùng một loại.

Ví dụ, trên SRX340 kết nối cổng control ports trên node 0 và node 1.

***Lưu ý: Đối với các thiết bị SRX300, SRX320, SRX340 và SRX345, hãy kết nối ge-0/0/1 trên node 0 với ge-0/0/1 trên node 1.

1. Cấu hinh hai thiết bị ở chế độ cluster và khởi động lại. Việc cấu hình được thực hiện trên cả hai thiết bị

On node 0:
---------------
user@host> set chassis cluster cluster-id 1 node 0 reboot

On node 1:
---------------
user@host> set chassis cluster cluster-id 1 node 1 reboot

Sau khi khởi động lại kiểm tra tại dấu nhắc của srx1 node0, bạn sẽ thấy dấu nhắc thay đổi như bên dưới:

{hold:node0}
root@srx1>
{secondary:node0}
root@srx1>
{primary:node0}
root@srx1>

Kiểm tra tình trạng cluster

root@srx1> show chassis cluster status
Cluster ID: 1
Node                  Priority          Status    Preempt  Manual failover

Redundancy group: 0 , Failover count: 1
    node0                   1           primary        no       no
    node1                   1           secondary      no       no

Sau khi cluster được thiết lập, đối với thiết bị SRX340 interface ge-0/0/1 trên node 1 sẽ chuyển thành ge-5/0/1.

2. Cấu hình tên thiết bị và địa chỉ IP quản lý cho mỗi thiết bị, việc cấu hình chỉ thực hiện trên node đầu tiên (srx-node0)

set groups node0 system host-name srx-nd0
set groups node0 interfaces fxp0 unit 0 family inet address 192.168.33.1/24
set groups node1 system host-name srx-nd1
set groups node1 interfaces fxp0 unit 0 family inet address 192.168.33.2/24

3. Cấu hình ‘apply-groups’

set apply-groups "${node}"

4. Định nghĩa các interfaces được sử dụng cho kết nối fab (data plane links for RTO sync) bằng cách sử dụng các interfaces ge-0/0/2 từ mỗi node. Việc cấu hình các liên kết fabric chỉ thực hiện trên node đầu tiên (srx-node0)

set interfaces fab0 fabric-options member-interfaces  ge-0/0/2
set interfaces fab1 fabric-options member-interfaces  ge-5/0/2

# Sau khi commit, cấu hình cũng sẽ đồng bộ vào node srx-node1. Bây giờ hãy kiểm tra cluster interfaces status

root@srx1> show chassis cluster interfaces
Control link 0 name: fxp1
Control link status: Up

Fabric interfaces:
Name    Child-interface    Status
fab0       fe-0/0/5          up
fab0
fab1       fe-2/0/5          up
fab1
Fabric link status: Up

5. Thiết lập redundancy group 0 cho Routing Engine failover properties và thiết lập redundancy group 1 cho tất cả các interfaces. Một cluster không có redundancy group là vô dụng. RG0 được sử dụng cho control plane và RG1 sẽ là RG dịch vụ.

set chassis cluster reth-count 2
set chassis cluster redundancy-group 0 node 0 priority 200
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200
set chassis cluster redundancy-group 1 node 1 priority 100

6. Thiết lập interface monitoring để giám sát tình trạng của các interface và kích hoạt redundancy group failover .

****** Lưu ý: Juniper không khuyến nghị interface monitoring cho redundancy group 0 vì nó khiến control plane chuyển từ node này sang node khác trong trường hợp xảy ra lỗi interface.

set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-5/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-5/0/4 weight 255

#Hãy kiểm tra cluster configuration

{primary:node0}
root@SRX> show configuration chassis cluster

reth-count 2;
redundancy-group 0 {
    node 0 priority 200;
    node 1 priority 100;
}
redundancy-group 1 {
    node 0 priority 200;
    node 1 priority 100;
    preempt;
    interface-monitor {
        ge-0/0/3 weight 255;
        ge-0/0/4 weight 255;
        ge-5/0/3 weight 255;
        ge-5/0/4 weight 255;
    }
}

7. Thiết lập các redundant ethernet (reth) và chỉ định redundant interface cho 1 zone.

set interfaces ge-0/0/3 gigether-options redundant-parent reth0
set interfaces ge-5/0/3 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 198.51.100.1/24

set interfaces  ge-0/0/4 gigether-options redundant-parent reth1
set interfaces  ge-5/0/4 gigether-options redundant-parent reth1
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 203.0.113.233/24 

set security zones security-zone Trusted
set security zones security-zone Untrusted
set security zones security-zone Trusted host-inbound-traffic system-services all
set security zones security-zone Untrusted host-inbound-traffic system-services all
set security zones security-zone Untrust interfaces reth1.0
set security zones security-zone Trust interfaces reth0.0

#Nếu bạn muốn tạo một subinterface với vlan tagging, hãy làm như sau

set interfaces reth0 vlan-tagging
set interfaces reth0 unit 150 vlan-id 150
set interfaces reth0 unit 150 family inet address 192.168.150.200/24
set interfaces reth1 unit 0 family inet address 10.16.9.1/24

set security zones security-zone Trusted interfaces reth0.150
set security zones security-zone Untrusted interfaces reth1.0

Các lệnh kiểm tra và xác minh cấu hình

show chassis cluster status
show chassis cluster interfaces
show chassis cluster statistics
show chassis cluster control-plane statistics
show chassis cluster data-plane statistics
show chassis cluster status redundancy-group 1

show configuration

root@srx# run show configuration
## Last commit: 2017-08-07 16:41:31 GMT+6 by root
version 15.1X49-D90.7;
groups {
    node0 {
        system {
            host-name srx-nd0;
        }
        interfaces {
            fxp0 {
                unit 0 {
                    family inet {
                        address 192.168.33.1/24;
                    }
                }
            }
        }
    }
    node1 {
        system {
            host-name srx-nd1;
        }
        interfaces {
            fxp0 {
                unit 0 {
                    family inet {
                        address 192.168.33.2/24;
                    }
                }
            }
        }
    }
}
apply-groups "${node}";
system {
    auto-snapshot;
    time-zone GMT+6;
    root-authentication {
        encrypted-password "$5$ZsCeZsruXu$TZ8Kvvzb/mxQOMqf8AxJkFqW.r5OZFnrdagxRl8LSH."; ## SECRET-DATA
 
    }
    services {
        ssh;
        telnet;

        }
    }
 
}
chassis {
    cluster {
        reth-count 2;
        redundancy-group 0 {
            node 0 priority 200;
            node 1 priority 100;
        }
        redundancy-group 1 {
            node 0 priority 200;
            node 1 priority 100;
            preempt;
            interface-monitor {
                ge-0/0/3 weight 255;
                ge-0/0/4 weight 255;
                ge-5/0/3 weight 255;
                ge-5/0/4 weight 255;
            }
        }
    }
}
security {
    screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    nat {
        source {
            rule-set nsw_srcnat {
                from zone Internal;
                to zone Internet;
                rule nsw-src-interface {
                    match {
                        source-address 0.0.0.0/0;
                        destination-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone Internal to-zone Internet {
            policy All_Internal_Internet {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone Internal;
        security-zone Internet {
            screen untrust-screen;
        }
        security-zone Trusted {
            host-inbound-traffic {
                system-services {
                    all;
                }
            }
            interfaces {
                reth0.0;
            }
        }
        security-zone Untrusted {
            host-inbound-traffic {
                system-services {
                    all;
                }
            }
            interfaces {
                reth1.0;
            }
        }
    }
}
interfaces {
    ge-0/0/3 {
        gigether-options {
            redundant-parent reth0;
        }
    }
    ge-0/0/4 {
        gigether-options {
            redundant-parent reth1;
        }
    }
    ge-5/0/3 {
        gigether-options {
            redundant-parent reth0;
        }
    }
    ge-5/0/4 {
        gigether-options {
            redundant-parent reth1;
        }
    }
    fab0 {
        fabric-options {
            member-interfaces {
                ge-0/0/2;
            }
        }
    }
    fab1 {
        fabric-options {
            member-interfaces {
                ge-5/0/2;
            }
        }
    }
    fxp0 {
        unit 0 {
            family inet;
        }
    }
    reth0 {
   
        redundant-ether-options {
            redundancy-group 1;
        }
        unit 0 {
            family inet {
                address 198.51.100.1/24;
            }
        }
    }
    reth1 {
        redundant-ether-options {
            redundancy-group 1;
        }
        unit 0 {
            family inet {
                address 203.0.113.233/24;
            }