Interfaces de plano de controle de cluster de chassi
Você pode usar interfaces de plano de controle para sincronizar o estado do kernel entre mecanismos de roteamento em firewalls da Série SRX em um cluster de chassi. As interfaces de plano de controle fornecem a ligação entre os dois nós no cluster.
Os planos de controle usam este link para:
-
Comunicar a descoberta de nós.
-
Mantém o estado de sessão para um cluster.
-
Acesse o arquivo de configuração.
-
Detecte sinais de transmissão em todos os nós.
Plano de controle de cluster de chassi e links de controle
O software de plano de controle, que opera no modo ativo ou de backup, é uma parte integral do Junos OS que está ativo no nó primário de um cluster. Ele alcança redundância comunicando estado, configuração e outras informações ao mecanismo de roteamento inativo no nó secundário. Se o mecanismo de roteamento primário falhar, o mecanismo de roteamento secundário está pronto para assumir o controle.
O software do plano de controle:
-
Funciona no mecanismo de roteamento.
-
Supervisiona todo o sistema de cluster do chassi , incluindo interfaces em ambos os nós.
-
Gerencia recursos de sistema e plano de dados, incluindo o Mecanismo de encaminhamento de pacotes (PFE) em cada nó.
-
Sincroniza a configuração no link de controle.
-
Estabelece e mantém sessões, incluindo funções de autenticação, autorização e contabilidade (AAA).
-
Gerencia protocolos de sinalização específicos de aplicativos.
-
Estabelece e mantém sessões de gerenciamento, como conexões Telnet.
-
Lida com o roteamento assimétrico.
-
Gerencia o estado de roteamento, o processamento do Protocolo de Resolução de Endereços (ARP) e o processamento do Protocolo dinâmico de configuração de host (DHCP).
As informações do software do plano de controle seguem dois caminhos:
-
No nó primário (onde o mecanismo de roteamento está ativo), controle os fluxos de informações do mecanismo de roteamento para o mecanismo local de encaminhamento de pacotes.
-
Controle os fluxos de informações através do link de controle para o mecanismo de roteamento e mecanismo de encaminhamento de pacotes do nó secundário.
O software do plano de controle em execução no mecanismo de roteamento primário mantém o estado de todo o cluster. Somente esses processos em execução no mesmo nó que o software do plano de controle podem atualizar as informações de estado. O mecanismo de roteamento primário sincroniza o estado do nó secundário e também processa todo o tráfego de host.
Links de controle de cluster de chassi
As interfaces de controle fornecem o link de controle entre os dois nós no cluster e são usadas para atualizações de roteamento e para tráfego de sinal de plano de controle, como informações de pulsação e limiar que desencadeiam failover de nós. O link de controle também sincroniza a configuração entre os nós. Quando você envia declarações de configuração ao cluster, o link de controle sincroniza automaticamente a configuração.
O link de controle conta com um protocolo proprietário para transmitir o estado de sessão, configuração e estado de livelines em todos os nós.
A partir do Junos OS Release 19.3R1, o dispositivo SRX5K-RE3-128G é compatível com o dispositivo SRX5K-SPC3 nos dispositivos de linha SRX5000. As interfaces de controle ixlv0 e igb0 são usadas para configurar o dispositivo SRX5K-RE3-128G. As ligações de controle controlam a comunicação entre o plano de controle, o plano de dados e as mensagens de pulsação.
Link de controle único em um cluster de chassi
Para um único link de controle em um cluster de chassi, você deve usar a mesma porta de controle para a conexão do link de controle e para configuração em ambos os nós.
Por exemplo, se você configurar a porta 0 como uma porta de controle no nó 0, você deve configurar a porta 0 como uma porta de controle no nó 1. Você deve conectar as portas com um cabo.
Link de controle duplo em um cluster de chassi
Você deve conectar links de controle duplo em um cluster de chassi diretamente. As conexões cruzadas — isto é, conectar a porta 0 em um nó para porta 1 no outro nó e vice-versa — não funcionam.
Para links de controle duplo, você deve fazer essas conexões:
-
Conecte a porta de controle 0 no nó 0 para controlar a porta 0 no nó 1.
-
Conecte a porta de controle 1 em nó 0 para controlar a porta 1 no nó 1.
Criptografia no link de controle de cluster de chassi
Os links de controle de cluster do chassi oferecem suporte a um recurso de segurança criptografado opcional que você pode configurar e ativar.
Observe que a documentação de segurança da Juniper Networks usa o cluster do chassi quando se refere a links de controle de alta disponibilidade (HA ). Você ainda verá o ha de abreviação usado no lugar do cluster de chassi em comandos.
O acesso ao link de controle impede que hackers façam login no sistema sem autenticação através do link de controle, com o acesso Telnet desativado. Usando a chave IPsec interna para comunicação interna entre dispositivos, as informações de configuração que passam pelo link de cluster do chassi do nó primário ao nó secundário são criptografadas. Sem a chave IPsec, um invasor não pode obter acesso privilegiado ou observar o tráfego.
Para habilitar esse recurso, execute o comando de set security ipsec internal security-association manual encryption ike-ha-link-encryption enable
configuração.
Você deve reiniciar os dois nós para ativar essa configuração.
A criptografia no link de controle de cluster do chassi usando IPsec é suportada em dispositivos de linha SRX4600, dispositivos de linha SRX5000 e plataformas de firewall virtual vSRX.
Quando o cluster do chassi já está sendo executado com a chave IPsec configurada, então você pode fazer qualquer alteração na chave sem reiniciar o dispositivo. Neste caso, você terá que mudar a chave apenas em um nó.
Quando a criptografia de chave IPsec é configurada, para qualquer alteração de configuração na hierarquia da associação de segurança interna (SA), você deve reiniciar ambos os nós. Para verificar o algoritmo configurado de criptografia de enlace de cluster de cluster de chassis do Internet Key Exchange (IKE), visualize a saída de show security internal-security-association
.
Descrição | dos firewalls da Série SRX |
---|---|
SRX5400, SRX5600 e SRX5800 |
Por padrão, todas as portas de controle são desativadas. Cada placa de processamento de serviços (SPC) em um dispositivo tem duas portas de controle, e cada dispositivo pode ter vários SPCs conectados a ele. Para configurar o link de controle em um cluster de chassi, você conecta e configura as portas de controle que você usa em cada dispositivo e |
SRX4600 |
Portas de controle de cluster de chassi dedicadas e portas de malha estão disponíveis. Nenhuma configuração de link de controle é necessária para SRX4600 dispositivos; no entanto, você precisa configurar o link de malha explicitamente para implantações de cluster de chassi. Se você quiser configurar interfaces Ethernet de 1 Gigabit para as portas de controle, você deve definir explicitamente a velocidade usando a declaração |
SRX4100 e SRX4200 |
Portas de controle de cluster de chassi dedicadas estão disponíveis. A configuração do link de controle não é necessária. Para obter mais informações sobre todas as portas SRX4100 e portas SRX4200, incluindo portas dedicadas de links de controle e portas de enlace de malha, consulte Entendendo a numeração de slots de cluster de chassi da Série SRX e a nomeação de portas físicas e interface lógica. Quando os dispositivos não estão no modo cluster, as portas dedicadas de cluster de chassi não podem ser usadas como portas de receita ou portas de tráfego. |
SRX2300 e SRX4300 |
Os dispositivos usam a porta de controle dedicada dupla com suporte MACsec. |
SRX1600 |
Os dispositivos usam a porta de controle dedicada dupla com suporte MACsec. |
SRX1500 |
Os dispositivos usam a porta de controle dedicada. |
SRX300, SRX320, SRX340, SRX345 e SRX380. |
O link de controle usa a interface ge-0/0/1. |
Para obter detalhes sobre o uso de portas e interfaces para links de gerenciamento, links de controle e links de malha, veja Entenda a numeração de slots de cluster de chassi da Série SRX e a nomeação de portas físicas e interface lógica.
Exemplo: configure portas de controle de cluster de chassi para o link de controle
Este exemplo mostra como configurar as portas de controle de cluster do chassi nesses dispositivos: SRX5400, SRX5600 e SRX5800. Você precisa configurar as portas de controle que usará em cada dispositivo para configurar o link de controle.
Requisitos
Antes de começar:
Entenda os links de controle de cluster do chassi. Veja a compreensão dos links de controle e plano de controle de clusters do chassi.
Conecte fisicamente as portas de controle nos dispositivos. Veja a conexão de dispositivos da Série SRX para criar um cluster de chassi.
Visão geral
O tráfego de enlaces de controle passa pelos switches nas placas de processamento de serviços (SPCs) e chega ao outro nó. Nos firewalls da Série SRX, as portas de cluster de chassi estão localizadas nos SPCs no cluster do chassi. Por padrão, todas as portas de controle em dispositivos SRX5400, dispositivos SRX5600 e dispositivos de SRX5800 são desativadas. Para configurar os links de controle, você conecta as portas de controle, configura as portas de controle e configura o cluster do chassi.
Este exemplo configura portas de controle com os seguintes Concentradores PIC Flexíveis (FPCs) e portas como o link de controle:
- FPC 4, porta 0
- FPC 10, porta 0
Configuração
- Procedimento
- Verifique o status do cluster do chassi
- Verificar estatísticas do plano de controle de cluster do chassi
Procedimento
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no [edit]
nível de hierarquia e, em seguida, entrar commit
no modo de configuração.
{primary:node0}[edit] set chassis cluster control-ports fpc 4 port 0 set chassis cluster control-ports fpc 10 port 0 {primary:node1}[edit] set chassis cluster control-ports fpc 4 port 0 set chassis cluster control-ports fpc 10 port 0
Procedimento passo a passo
Para configurar as portas de controle como o link de controle para o cluster do chassi:
Especifique as portas de controle.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 4 port 0 {primary:node0}[edit] user@host# set chassis cluster control-ports fpc 10 port 0 {primary:node1}[edit] user@host# set chassis cluster control-ports fpc 4 port 0 {primary:node1}[edit] user@host# set chassis cluster control-ports fpc 10 port 0
Resultados
No modo de configuração, confirme sua configuração inserindo o show chassis cluster
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Para a brevidade, essa show
saída de comando inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
user@host# show chassis cluster ... control-ports { fpc 4 port 0; fpc 10 port 0; } ...
Depois de configurar o dispositivo, entre commit
no modo de configuração.
Verifique o status do cluster do chassi
Propósito
Verifique o status do cluster do chassi.
Ação
No modo operacional, entre no show chassis cluster status
comando.
{primary:node0} user@host> show chassis cluster status Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 100 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 0 primary no no node1 0 secondary no no
Significado
Use o show chassis cluster status comando para confirmar que os dispositivos no cluster do chassi estão se comunicando entre si. A saída anterior mostra que o cluster do chassi está funcionando corretamente, pois um dispositivo é o nó principal e o outro é o nó secundário.
Verificar estatísticas do plano de controle de cluster do chassi
Propósito
Exibir estatísticas do plano de controle de cluster do chassi.
Ação
Na CLI, entre no show chassis cluster control-plane statistics
comando:
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
Veja também
Estatísticas do plano de controle de cluster clear chassis
Para limpar as estatísticas do plano de controle de cluster de chassi exibido, insira o clear chassis cluster control-plane statistics
comando na CLI:
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
Mudar do cluster do chassi para o modo autônomo
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.