SRX300 cluster設定と注意点

SRX300でcluster(HA)構成設定をする際の注意点を記載します。

対象機種：
version:

設定上の注意点

SRX300でcluster構成を組む場合、ポート構成が下記のように制限されます
Gi 0/0/0 監視用ポート(運用ポート） fxp0になってしまうため、データポートとして使用不可
Gi 0/0/1 コントロールリンクになる
Gi 0/0/2 データリンクとして使用する　※このポートは設定で変更可能

ポート構成

データラインで使えるポートは、実質0/0/3-0/0/7までの４ポートとなる。
primary側では
Gi 0/0/0 監視用ポート(運用ポート） fxp0になってしまうため、データポートとして使用不可
Gi 0/0/1 コントロールリンクになる
Gi 0/0/2 データリンクとして使用する　※このポートは設定で変更可能

secondary側では
Gi 1/0/0 監視用ポート(運用ポート） fxp0になってしまうため、データポートとして使用不可
Gi 1/0/1 コントロールリンクになる
Gi 1/0/2 データリンクとして使用する　※このポートは設定で変更可能という表記になります。

設定削除

はじめに設定を削除します。

root# delete
This will delete the entire configuration
Delete everything under this level? [yes,no] (no) yes

この理由は、上記に記載した0/0/0-0/0/2のポート設定があった場合、cluster構成がうまく動作しないからです。
また、この後設定する設定で、0/0/3以降のポートもあるとcluster設定をする上でポート設定があるとうまく
cluster設定ができないため、とりあえず全部削除する方法をとります。
全部削除できない状態なら、インターフェイス0/0/0-0/0/2までをとりあえず削除すれば問題ないです。
次に、必要最低限の設定（root パスワー ド）を適用します。

root# set system root-authentication plain-text-password
New password: Juniper123
Retype new password: Juniper123
root# commit

それぞれの機器の Chassis Cluster 設定を有効に設定

root> set chassis cluster cluster-id 1 node0 reboot ※１台目 にて実行
root> set chassis cluster cluster-id 1 node1 reboot ※2台目 にて実行

Chassis Cluster 有効化後の処理

それぞれの機器の再起動処理後、Chassis Cluster の設定が有効となり、接続中の control リンクを通じて機器同士を認識し 合うためのやり取りが発生し、おのおのの機器が設定の node ID に応じて、primary および secondary のクラスタ機器として 動作します。 （※再起動後の処理に、10分程度かかることがあります。）

機器固有設定の指定

これ以降は、primaryノード側のみで設定変更します
※プロンプトに {primary:node0} が表示されていれば、OKです
確認後、機器の configuration モードに移動し、次の設定により、それぞれの機器の固有設定を指定します。
（※設定例では、それぞれの機器ホスト名を SRX300-1 と SRX300-2、管理専用インタフェース IP を 172.20.1.11/24 と 172.20.1.12/24 と設定しています。）

{primary:node0}
root> config shared

{primary:node0}
root# set groups node0 system host-name SRX300-1
root# set groups node0 interfaces fxp0 unit 0 family inet address 172.20.1.11/24
root# set groups node1 system host-name SRX300-2
root# set groups node1 interfaces fxp0 unit 0 family inet address 172.20.1.12/24
root# set apply groups ”${node}”

fabric リンクの設定

fabric リンク（Chassis Cluster のデータ用リンク） fab0 と fab1 に、それぞれの機器のインタフェースを割当てて設定します。 （※こちらの例では、fab0 に ge-0/0/2、fab1 に ge-1/0/2 を割当てて使用します。）

{primary:node0}
# set interfaces fab0 fabric-options member-interfaces ge-0/0/2
# set interfaces fab1 fabric-options member-interfaces ge-1/0/2

redundancy グループの設定

ルーティングエンジンの冗長用の redundancy-group 0 と、インタフェース（データプレーン）の冗長用の redundancy-group 1 および、それぞれの冗長グループにおける各機器 node （node 0、node 1）のプライオリティを設定します。 （※プライオリティは大きい数字が優先されます。）

{primary:node0}
# set chassis cluster redundancy-group 0 node 0 priority 100
# set chassis cluster redundancy-group 0 node 1 priority 1
# set chassis cluster redundancy-group 1 node 0 priority 100
# set chassis cluster redundancy-group 1 node 1 priority 1

interface モニタリングの設定

個々のインタフェースのリンクダウン障害の発生時に、データプレーン（redundancy-group 1）の切り替えを自動的に動作させる ためのインタフェースモニタリング機能（interface-monitor）を個々のインタフェースに設定します

{primary:node0}
# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255
# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
# set chassis cluster redundancy-group 1 interface-monitor ge-1/0/3 weight 255
# set chassis cluster redundancy-group 1 interface-monitor ge-1/0/4 weight 255

冗長インタフェースの設定

冗長インタフェース数の上限（reth-count）を指定し、冗長インタフェース（reth0、reth1）を設定してデータプレーン（redundancygroup 1）に割当て、それぞれの IP アドレスを設定します。 （※それぞれの冗長インタフェース reth0.0 を 10.10.10.100/24、reth1.0 を 192.168.1.2/24 に設定しています。）

{primary:node0}
# set chassis cluster reth-count 2
# set interfaces reth0 redundant-ether-options redundancy-group 1
# set interfaces reth0 unit 0 family inet address 10.10.10.100/24
# set interfaces reth1 redundant-ether-options redundancy-group 1
# set interfaces reth1 unit 0 family inet address 192.168.1.2/24

インタフェースの割り当て設定

冗長インタフェース（reth0、reth1）に、機器 A と機器 B のインタフェース（機器 A ： ge-0/0/3、ge-0/0/4、機器 B ： ge-1/0/3、ge1/0/4）を割り当てます。

{primary:node0}
# set interfaces ge-0/0/3 gigether-options redundant-parent reth0
# set interfaces ge-1/0/3 gigether-options redundant-parent reth0
# set interfaces ge-0/0/4 gigether-options redundant-parent reth1
# set interfaces ge-1/0/4 gigether-options redundant-parent reth1

セキュリティゾーンの設定

セキュリティゾーン（Trust、Untrust）を作成し、それぞれのセキュリティゾーンに冗長インタフェース（reth0、reth1）を割当てます。

{primary:node0}
# set security zones security-zone Untrust interfaces reth0.0
# set security zones security-zone Trust interfaces reth1.0

設定の適用

commit コマンドを実行し、設定した内容をクラスタ構成に適用します。 primary にて commit した内容は、自動的にsecondary に適用され、Chassis Cluster の設定は完了となります。

{primary:node0}
# commit
node0:
configuration check succeeds
node1:
commit complete
node0:
commit complete

動作の確認

次のコマンドを使用し、構成が完了した Chassis Cluster の動作状況を確認すること ができます。 （※インタフェースのモニタリング設定を適用しているため、正常な動作状態を確認するには、 reth0.0 および reth0.1 のインターフェイスがリンクアップしている必要があります)

> show chassis cluster status ※クラスタ全体のステータス確認
> show chassis cluster interfaces ※クラスタインターフェースの確認
> show chassis cluster statistics ※クラスタ関連の動作数値の確認
> show chassis cluster control-plane statistics ※コントロールプレーンの統計データの確認
> show chassis cluster data-plane statistics ※データプレーンの統計データの確認
> show chassis cluster status redundancy-group 1 ※冗長グループ redundancy-group 1 のステータス確認