Juniper SRX HA enlaces que pasan a través del interruptor

9

es necesario unir dos srx650 en el clúster de chasis (pasivo / activo) a través de dos conmutadores EX4200. Necesito elegir uno de tres ejemplos. Por favor, ayude a definir la elección correcta y describa cuáles deben ser las configuraciones en Srx650 y cambie ex4200. También es un momento importante: ¿es posible conectar interruptores a través de fibra óptica? Tres diagramas a continuación describen la configuración lógica:

Opcion 1 : ingrese la descripción de la imagen aquí

Opcion 2 : ingrese la descripción de la imagen aquí

Opcion 3 : ingrese la descripción de la imagen aquí

Vital
fuente

Respuestas:

11

Cosas que debe tener en cuenta: los enlaces SRX HA se comunican mediante tramas gigantes y direcciones de multidifusión . Entonces, para que esto funcione, necesita al menos los siguientes cambios en los conmutadores EX:

  1. Configure una MTU jumbo en los enlaces HA y los enlaces entre los conmutadores EX. Esto permitirá que los marcos jumbo atraviesen la infraestructura del conmutador.

    set interface x mtu 9216
    
  2. Desactive igmp-snooping para la VLAN HA o, si no es necesario, elimínelo por completo. Si lo deja habilitado, el conmutador no reenviará las tramas de multidifusión porque no hay mensajes IGMP para indicarle al conmutador qué puerto está escuchando estas tramas.

    set protocols igmp-snooping vlan HA-VLAN disable
    

    o

    delete protocols igmp-snooping
    

Sobre qué medios conectar los interruptores entre sí no es importante, puede usar cobre o fibra como lo desee. aeUsaría una interfaz de paquete con dos o más enlaces para reducir la posibilidad de que un enlace falle y mate toda la conexión entre los conmutadores. No olvide habilitar LACP en el paquete ae. Si es posible, haga que los dos enlaces tomen rutas diferentes para evitar que alguien corte ambas fibras al mismo tiempo.

Dicho esto, si es posible, siempre sugeriría conectar directamente los enlaces HA de cualquier dispositivo de firewall. Esto reduce el riesgo de que un problema en el conmutador (falla de hardware, error de software, error humano) le cause una situación de cerebro dividido (ambos cortafuegos se convierten en maestros) que ciertamente arruinarán su día (BTDT).

Sebastian Wiesinger
fuente
Para la serie srx de sucursal (por ejemplo, srx650) solo hay enlaces de estructura dual posibles. No hay enlaces de control dual. ¿Es verdad?
Vitaliy
Sí, solo admiten un enlace de control. A mí tampoco me gusta eso.
Sebastian Wiesinger