Cosas que debe tener en cuenta: los enlaces SRX HA se comunican mediante tramas gigantes y direcciones de multidifusión . Entonces, para que esto funcione, necesita al menos los siguientes cambios en los conmutadores EX:
Configure una MTU jumbo en los enlaces HA y los enlaces entre los conmutadores EX. Esto permitirá que los marcos jumbo atraviesen la infraestructura del conmutador.
set interface x mtu 9216
Desactive igmp-snooping para la VLAN HA o, si no es necesario, elimínelo por completo. Si lo deja habilitado, el conmutador no reenviará las tramas de multidifusión porque no hay mensajes IGMP para indicarle al conmutador qué puerto está escuchando estas tramas.
set protocols igmp-snooping vlan HA-VLAN disable
o
delete protocols igmp-snooping
Sobre qué medios conectar los interruptores entre sí no es importante, puede usar cobre o fibra como lo desee. ae
Usaría una interfaz de paquete con dos o más enlaces para reducir la posibilidad de que un enlace falle y mate toda la conexión entre los conmutadores. No olvide habilitar LACP en el paquete ae. Si es posible, haga que los dos enlaces tomen rutas diferentes para evitar que alguien corte ambas fibras al mismo tiempo.
Dicho esto, si es posible, siempre sugeriría conectar directamente los enlaces HA de cualquier dispositivo de firewall. Esto reduce el riesgo de que un problema en el conmutador (falla de hardware, error de software, error humano) le cause una situación de cerebro dividido (ambos cortafuegos se convierten en maestros) que ciertamente arruinarán su día (BTDT).
Sebastian Wiesinger
fuente