Problem with routing - Cluster SRX240H 10.3R211



  • Hello,

    I have a problem with routing on a cluster of two SRX240H with 10.3R211 OS.
    Config:

    set group node0 system host-name NODE0
    set group node0 interfaces fxp0 unit 0 family inet address 10.2.13.12/24
    set group node1 system host-name NODE1
    set group node1 interfaces fxp0 unit 0 family inet address 10.2.13.13/24

    set apply-groups “${node}”

    set interfaces fab0 fabric-options member-interfaces ge-0/0/2
    set interfaces fab1 fabric-options member-interfaces ge-5/0/2

    set chassis cluster redundancy-group 0 node 0 priority 100
    set chassis cluster redundancy-group 0 node 1 priority 1
    set chassis cluster redundancy-group 1 node 0 priority 100
    set chassis cluster redundancy-group 1 node 1 priority 1

    set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
    set chassis cluster redundancy-group 1 interface-monitor ge-5/0/4 weight 255
    set chassis cluster redundancy-group 1 interface-monitor ge-0/0/8 weight 255
    set chassis cluster redundancy-group 1 interface-monitor ge-5/0/8 weight 255
    set chassis cluster redundancy-group 1 interface-monitor ge-0/0/10 weight 255
    set chassis cluster redundancy-group 1 interface-monitor ge-5/0/10 weight 255
    set chassis cluster redundancy-group 1 interface-monitor ge-0/0/13 weight 255
    set chassis cluster redundancy-group 1 interface-monitor ge-5/0/13 weight 255

    set chassis cluster reth-count 4
    set interfaces ge-0/0/4 gigether-options redundant-parent reth0
    set interfaces ge-5/0/4 gigether-options redundant-parent reth0
    set interfaces reth0 redundant-ether-options redundancy-group 1
    set interfaces reth0 unit 0 family inet address 10.2.12.15/24

    set interfaces ge-0/0/8 gigether-options redundant-parent reth1
    set interfaces ge-5/0/8 gigether-options redundant-parent reth1
    set interfaces reth1 redundant-ether-options redundancy-group 1
    set interfaces reth1 unit 0 family inet address 10.82.10.101/24

    set interfaces ge-0/0/10 gigether-options redundant-parent reth2
    set interfaces ge-5/0/10 gigether-options redundant-parent reth2
    set interfaces reth2 redundant-ether-options redundancy-group 1
    set interfaces reth2 unit 0 family inet address 172.2.16.101/24

    set interfaces ge-0/0/13 gigether-options redundant-parent reth3
    set interfaces ge-5/0/13 gigether-options redundant-parent reth3
    set interfaces reth3 redundant-ether-options redundancy-group 1
    set interfaces reth3 unit 0 family inet address 189.21.3.7/24

    set security zones security-zone internal interfaces reth0.0
    set security zones security-zone k2 interfaces reth1.0
    set security zones security-zone vpnsp interfaces reth2.0
    set security zones security-zone internet interfaces reth3.0

    After the cluster configuration, I created policies allowing any hosts and any protocols between internal and k2 zones in both directions, but the communication doesn’t work.
    I don’t have any alarms and the cluster works. From SRX I can ping computers in both zones.
    Is there another thing that I have to do?

    Best regards.



  • John,
    I erased all configuration and applied the configuration again  and all features works properly.
    Thanks.
    Gustavo



  • Dear John,

    Cluster Status:

    root@NODE0> show chassis cluster status
    Cluster ID: 1
    Node                  Priority          Status    Preempt  Manual failover

    Redundancy group: 0 , Failover count: 1
        node0                  100        primary        no      no
        node1                  1          secondary      no      no

    Redundancy group: 1 , Failover count: 1
        node0                  0          primary        yes      no
        node1                  0          secondary      yes      no

    {primary:node0}

    Config:
    root@NODE0# show

    Last changed: 2011-09-19 15:49:46 UTC

    version 10.3R2.11;
    groups {
        node0 {
            system {
                host-name NODE0;
            }
            interfaces {
                fxp0 {
                    unit 0 {
                        family inet {
                            address 10.2.12.12/24;
                        }
                    }
                }
            }
        }
        node1 {
            system {
                host-name NODE1;
            }
            interfaces {
                fxp0 {
                    unit 0 {
                        family inet {
                            address 10.2.12.13/24;
                        }
                    }
                }
            }
        }
    }
    apply-groups “${node}”;
    system {
        root-authentication {
            encrypted-password “$1$WyPx1Yah$d3SpCCAdNBFme8LnRpl6w0”; ## SECRET-DATA
        }
        services {
            ssh;
            web-management {
                http {
                    interface fxp0.0;
                }
            }
        }
        syslog {
            file policy_session {
                user info;
                match RT_FLOW;
                archive size 1000k world-readable;
                structured-data;
            }
        }
    }
    chassis {
        cluster {
            control-link-recovery;
            reth-count 5;
            redundancy-group 0 {
                node 0 priority 100;
                node 1 priority 1;
            }
            redundancy-group 1 {
                node 0 priority 100;
                node 1 priority 1;
                preempt;
                interface-monitor {
                    ge-0/0/4 weight 255;
                    ge-5/0/4 weight 255;
                    ge-0/0/8 weight 255;
                    ge-5/0/8 weight 255;
                    ge-0/0/10 weight 255;
                    ge-5/0/10 weight 255;
                    ge-0/0/13 weight 255;
                    ge-5/0/13 weight 255;
                    ge-0/0/5 weight 255;
                    ge-5/0/5 weight 255;
                }
            }
        }
    }
    interfaces {
        ge-0/0/4 {
            gigether-options {
                redundant-parent reth0;
            }
        }
        ge-0/0/5 {
          gigether-options {
                redundant-parent reth4;
            }
        }
        ge-0/0/8 {
            gigether-options {
                redundant-parent reth1;
            }
        }
        ge-0/0/10 {
            gigether-options {
                redundant-parent reth2;
            }
        }
        ge-0/0/13 {
            gigether-options {
                redundant-parent reth3;
            }
        }
        ge-5/0/4 {
            gigether-options {
                redundant-parent reth0;
            }
        }
        ge-5/0/5 {
            gigether-options {
                redundant-parent reth4;
            }
        }
        ge-5/0/8 {
            gigether-options {
                redundant-parent reth1;
            }
        }
        ge-5/0/10 {
            gigether-options {
                redundant-parent reth2;
            }
        }
        ge-5/0/13 {
            gigether-options {
                redundant-parent reth3;
            }
        }
        fab0 {
            fabric-options {
                member-interfaces {
                    ge-0/0/2;
                }
            }
        }
        fab1 {
            fabric-options {
                member-interfaces {
                    ge-5/0/2;
                }
            }
        }
        reth0 {
            redundant-ether-options {
                redundancy-group 1;
            }
            unit 0 {
                family inet {
                    address 1.1.1.1/24;
                }
            }
        }
        reth1 {
            redundant-ether-options {
                redundancy-group 1;
            }
            unit 0 {
                family inet {
                    address 10.82.10.151/24;
                }
            }
        }
        reth2 {
            redundant-ether-options {
                redundancy-group 1;
            }
            unit 0 {
                family inet {
                    address 172.2.16.101/24;
                }
            }
        }
        reth3 {
            redundant-ether-options {
                redundancy-group 1;
            }
            unit 0 {
                family inet {
                    address 189.21.3.7/24;
                }
            }
        }
        reth4 {
            redundant-ether-options {
                redundancy-group 1;
            }
            unit 0 {
                family inet {
                    address 10.2.13.15/24;
                    address 10.2.12.18/24;
                }
            }
        }
    }
    routing-options {
        static {
            route 10.2.130.0/24 next-hop 10.2.12.1;
        }
    }
    security {
        zones {
            security-zone interna {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    reth0.0 {
                        host-inbound-traffic {
                            system-services {
                                all;
                            }
                            protocols {
                                all;
                            }
                        }
                    }
                }
            }
            security-zone k2 {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    reth1.0 {
                        host-inbound-traffic {
                            system-services {
                                all;
                            }
                            protocols {
                                all;
                            }
                        }
                    }
                }
            }
            security-zone vpnsp {
                interfaces {
                    reth2.0;
                }
            }
            security-zone internet {
                interfaces {
                    reth3.0;
                }
            }
            security-zone lan {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    reth4.0 {
                        host-inbound-traffic {
                            system-services {
                                all;
                            }
                            protocols {
                                all;
                            }
                        }
                    }
                }
            }
        }
        inactive: policies {
            from-zone interna to-zone k2 {
                policy t1 {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone k2 to-zone interna {
                policy t2 {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone lan to-zone k2 {
                policy TESTE {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                        log {
                            session-init;
                            session-close;
                        }
                    }
                }
            }
            from-zone k2 to-zone lan {
                policy TESTE1 {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                        log {
                            session-init;
                            session-close;
                        }
                    }
                }
            }
            default-policy {
                permit-all;
            }
        }
        utm {
            feature-profile {
                anti-virus {
                    kaspersky-lab-engine {
                        profile junos-av-defaults {
                            scan-options {
                                no-intelligent-prescreening;
                            }
                        }
                    }
                    juniper-express-engine {
                        profile junos-eav-defaults {
                            scan-options {
                                no-intelligent-prescreening;
                            }
                        }
                    }
                }
            }
        }
    }

    {primary:node0}[edit]

    Thanks.

    Gustavo



  • Can you post the results from “show chassis cluster status”?  If possible, please update your entire config.

    Thanks.

    John


 

44
Online

38.4k
Users

12.7k
Topics

44.5k
Posts