dteq_rie id vblog

ng-LAB : SRX Series Services Gateways in Chassis Cluster w/ Mikrotik CCR (Part 1)

Saat ini lagi ada kesempatan punya waktu untuk ngulik lagi, kebetulan gak pake cobek murahan, tapi cobekannya yang agak berkelas, yaitu Juniper Router SRX 220 dengan Mikrotik CCR 1036-12G, Cari-cari dan blajar2 tentang implementasi Chassis Cluster, dan dapat panduan yang disediakan oleh pihak Junipernya, tapi gimana dengan pihak mikrotiknya ?? nyari2 sm mbah google, selama 2 jam 10 menit 3 detik, akhirnya nyerah. langsung aja lah implementasi namanya juga ngulik.

Pertama : Persiapkan bahan2, seperti : 2 Buah Router Juniper SRX, Satu Mikrotik, Kabel UTP RG45 sekitar 10 buah. Kabel Consule, Komputer/ laptop buat konfig.

Skenario yang telah di tetapkan adalah seperti topologi dibawah :

1446008333557

Nah kita persiapkan perangkat Juniper SRXnya terlebih dahulu, disini saya menggunakan SRX 220 H. Menurut primbon yang saya dapatkan kita harus Disabling Switching terlebih dahulu, sebelum melakukan ke langkah berikutnya. Caranya bagaimana delete vlans , delete interfaces delete security zones security-zone trust interfaces trus commit.

Next

Kita persiapkan 2 buah kabel UTP buat Control link dan Fabric (Data) link. Nah ada untuk kedua link tersebut ada aturan yang harus dilakukan, krn pihak juniper telah mempersiapkan port-port mana yang bs digunakan oleh link tersebut.

 

Referensinya : disni

HA_Port_Mapping

nah krn saya menggunakan SRX220 berarti Link HA Control di ge-0/0/7 dan Management bisa pada ge-0/0/6, namun untuk Management Link saya cb ganti-ganti di interface yang lain, tidak ada masalah, namun untuk HA Control kudu wajib di ge-0/0/7…hehe

lalu pilih SRX mana yang akan menjadi Primary dan mana yang jadi Secondary, dalam penamaan hostnya nanti SRX Primary saya berikan nama SRX-00 dan SRX Secondary dengan SRX-01. Pasang Link HA Control pada port ge-0/0/7 di kedua perangkat. dan pasang Fabric pada port ge-0/0/5 dan disini saya menggunakan dua Fabric satu lagi di ge-0/0/3.

  • Selanjutnya lakukan perintah :

set chassis cluster cluster-id <0-15> node <0-1> reboot

Contoh :
    On device SRX-00:    >set chassis cluster cluster-id 1 node 0 reboot
    On device SRX-01:    >set chassis cluster cluster-id 1 node 1 reboot

  • Setelah reboot masuk ke konfigurasi mode
    maka akan muncul {primary:node0} yang menandakan bawah perangkat telah berjalan pada mode cluster.
  • selanjutnya lakukan perintah :

di perangkat SRX-00 :

set groups node1 system host-name SRX-00
set groups node1 interfaces fxp0 unit 0 family inet address 192.168.1.254/24
set apply-groups “${node}”

 

di perangkat SRX-01 :
set groups node1 system host-name SRX-01
set groups node1 interfaces fxp0 unit 0 family inet address 192.168.1.253/24
set apply-groups “${node}”

  • ip pada fxp0 berguna untuk Ip management di local perangkat tersebut.
  • selanjutnya lakukan perintah :

di perangkat SRX-00 :

set interfaces fab0 fabric-options member-interfaces ge-0/0/3

set interfaces fab0 fabric-options member-interfaces ge-0/0/5

di perangkat SRX-01 :
set interfaces fab1 fabric-options member-interfaces ge-3/0/3

set interfaces fab1 fabric-options member-interfaces ge-3/0/5

  • nah kenapa pada SRX-01 interface jadi ge-3/0/3 dan ge-3/0/5 ? coba view interface terse nanti akan ketahuan hehe….
  • Selanjutnya lakukan perintah :

set chassis cluster control-link-recovery
set chassis cluster reth-count 2
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster redundancy-group 0 node 0 priority 100
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1

 

  • nah disini kita menentukan mode cluster yang akan di gunakan, disini saya menggunakan mode aktive backup, SRX-00 Active dan SRX-01 sebagai Backup. Maka node 0 sebagai SRX-00 di set priority 100 dan node 1 sebagai SRX-01 priority 1. Sedangkan untuk Redudancy-Group 0 tidak direkomendasikan untuk digunakan nantinya sebagai interface monitoring, jadi gunakan group 1 dan seterusnya. Silahakan reboot ke dua perangkat SRXnya, agar Link HA Control dan Fabric aktif. Jangan lupa di commit terlebih dulu sebelum di reboot…hehehe

Setelah UP lakukan

show chassis cluster status

  • nanti akan keliatan node0 dan node1 mana statusnya yang jadi Primary dan Secondary, apabila tidak muncul node0 atau node1 cba cek kembali konfigurasi sebelumnya apakah sudah sesuai.

 

setelah ini kita cukup config pada salah satu node atau perangkat saja, krn mode cluster sudah aktif, jadi semua konfig yang ada di SRX-00 dan SRX01 akan sama.

Selanjutnya lakukan setting interface monitor yang akan digunakan sebagai link Data ke perangkat Mikrotik Dan ISP.
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-3/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-3/0/4 weight 255

set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-3/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-3/0/4 weight 255
set interfaces ge-0/0/3 gigether-options redundant-parent reth0
set interfaces ge-0/0/4 gigether-options redundant-parent reth1
set interfaces ge-3/0/3 gigether-options redundant-parent reth0
set interfaces ge-3/0/4 gigether-options redundant-parent reth1

 

  • ge-0/0/3 dan ge-3/0/3 di set untuk ke Mikrotik dan ge-0/0/4, ge-3/0/4 ke ISP. kedua interface ini dimasukin ke dalam satu group disini saya kasih nama reth0 ge-0/0/3 dan ge-3/0/3 dan reth1 ge-0/0/4 dan ge-3/0/4, nantinya group dengan reth ini yang akan dikasih IP.

set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 10.100.0.50/24
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 192.168.1.1/24

  • Sehingga interface ge-0/0/3 pada SRX-00 dan ge-3/0/3 pada SRX-01 memiliki IP yang sama….cimiiww…, nah udah kebayangkan gmn nanti failovernya ?
  • Selanjutnya lakukan setting nat routing-option 0/0, security zone dan policies sesuai dengan anjuran dan kaidah SRX…hehehe….

set security nat source rule-set trust-to-untrust from zone trust
set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule trust-source-nat-rule match source-address 0.0.0.0/0
set security nat source rule-set trust-to-untrust rule trust-source-nat-rule then source-nat interface
set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit
set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces reth0.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces reth1.0

set interface reth yang tadi dibikin kedalam interface zone, lalu commit.

 

selanjutkan silahkan cek status dari cluster yang telah di bikin dengan
show chassis cluster status

1446174032348

chassis cluster telah aktif dengan status node0 sebagai primary dan node1 sebagai backup.

sampai disini dulu tulusan kali ini, selanjutkan aja dibahas konfigurasi pada perangkat mikrotik.

 

 

Terima Kasih

 

 

 

support by :

 

arjunaldi

,

Leave a Reply