SRX 系列机箱群集配置概述

以下是配置机箱群集的先决条件：

在 SRX300、SRX320、SRX340、SRX345 和 SRX380 防火墙上，应移除与转换为 fxp0 管理端口和控制端口的接口相关联的任何现有配置。有关更多信息，请参阅了解 SRX 系列机箱群集插槽编号以及物理端口和逻辑接口命名。
确认两台设备上的硬件和软件相同。
确认两台设备上的许可证密钥相同。
对于 SRX300、SRX320、SRX340、SRX345 和 SRX380 防火墙，GPIM、XGPIM、XPIM 和小型 PIM（如适用）在两台设备中的位置和类型必须匹配。
对于 SRX5000 系列防火墙，两台设备中 SPC 的位置和类型必须匹配。

图 1 显示了 SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、SRX4120、SRX4300、SRX4100、SRX4200 SRX4600防火墙的机箱群集流程图。

图 1：机箱群集工作流程 Flowchart showing steps to configure Device A and B as a single cluster: 1. Start. 2. Connect fabric and control links. 3. Connect console ports. 4. Configure cluster and node IDs. 5. Reboot devices. 6. Nodes operate as one. 7. Configure fabric interfaces. 8. Set hostnames and management IPs. 9. Configure redundancy groups. 10. Configure reth interfaces. 11. Verify and commit. 12. End.

Flowchart showing steps to configure Device A and B as a single cluster: 1. Start. 2. Connect fabric and control links. 3. Connect console ports. 4. Configure cluster and node IDs. 5. Reboot devices. 6. Nodes operate as one. 7. Configure fabric interfaces. 8. Set hostnames and management IPs. 9. Configure redundancy groups. 10. Configure reth interfaces. 11. Verify and commit. 12. End.

图 2：机箱群集工作流程（SRX5800、SRX5600 SRX5400 设备） Flowchart of configuring Device A and Device B as a single device: connect fabric and control links, configure ports and IDs, reboot, configure interfaces, set hostnames and IPs, configure redundancy and reth interfaces, verify and commit.

Flowchart of configuring Device A and Device B as a single device: connect fabric and control links, configure ports and IDs, reboot, configure interfaces, set hostnames and IPs, configure redundancy and reth interfaces, verify and commit.

本节概述创建 SRX 系列机箱群集的基本步骤。要创建 SRX 系列机箱群集：

准备要在机箱群集中使用的 SRX 系列防火墙。有关更多信息，请参阅准备组成机箱群集的设备。
将一对相同类型受支持的 SRX 系列防火墙物理连接在一起。有关更多信息，请参阅连接 SRX 系列设备以创建机箱群集。
1. 通过连接任意一对以太网接口，在群集中的两个节点之间创建交换矩阵链路。对于大多数 SRX 系列防火墙，唯一的要求是两个接口都必须是千兆以太网接口（或 10 千兆以太网接口）。
  
  使用双结构链路功能时，连接将在每台设备上使用的两对以太网接口。请参阅了解机箱群集双交换矩阵链路。
2. 配置控制端口（仅限 SRX5000 系列）。请参阅示例：配置机箱群集控制端口。
将群集中要初始化的第一个设备连接到控制台端口。这是形成群集并使用 CLI作模式命令启用群集的节点（节点 0）：
1. 通过为群集 ID 指定群集来标识群集。
2. 通过为节点提供自己的节点 ID 来识别节点，然后重新启动系统。
请参阅示例：设置机箱群集中安全设备的节点 ID 和群集 ID 。有关连接说明，请参阅适用于您设备的入门指南
连接到另一台设备（节点 1）上的控制台端口，并使用 CLI作模式命令启用群集：
1. 通过设置在第一个节点上设置的相同群集 ID，标识设备要加入的群集。
2. 通过为节点提供自己的节点 ID 来识别节点，然后重新启动系统。
在集群上配置管理接口。请参阅示例：配置机箱群集管理接口。
使用 CLI 配置群集。请参阅以下主题：
（可选）启动手动故障切换。请参阅启动机箱群集手动冗余组故障切换。
（可选）通过冗余以太网接口配置条件路由通告。请参阅了解机箱群集中的条件路由播发。
验证配置。请参阅查看机箱群集配置。

如果群集中连接了两个节点，则一个节点被选为主模式，其路由引擎作为主模式运行。作为客户端运行的辅助节点中的路由引擎。群集中的所有 FPC（无论是在主节点还是辅助节点中）都连接到主路由引擎。辅助节点上的 FPC 通过 HA 控制链路连接到主路由引擎。如果群集有两个主节点，则 IOC 会收到来自不同主节点的消息，然后重新启动自身以从此错误状态恢复。

为了防止 IOC 卡重新启动，在连接到群集之前，必须关闭辅助节点的电源。

为了在将辅助节点连接到集群的同时保留主节点上的流量，建议在节点 1 上配置集群模式并在将其连接到集群之前关闭电源，以避免对主节点造成任何影响。此处的原因是，对于高可用性群集或单节点系统，控制网络是不同的。连接控制端口后，这两个端口将加入同一网络并交换消息。

本节概述了在存在正在运行的主节点时，在发生故障后还原备份节点的基本步骤：

连接到另一台设备（节点 1）上的控制台端口，并使用 CLI作模式命令启用群集：
1. 通过设置在第一个节点上设置的相同群集 ID，标识设备要加入的群集。
2. 通过为节点提供自己的节点 ID 来识别节点，然后重新启动系统。
请参阅示例：设置机箱群集中安全设备的节点 ID 和群集 ID 。有关连接说明，请参阅适用于您设备的入门指南
关闭辅助节点电源。
连接两个节点之间的高可用性控制端口。
打开辅助节点的电源。
群集将重新形成，会话将同步到辅助节点。

使用双结构链路功能时，连接将在每台设备上使用的两对以太网接口。请参阅了解机箱群集双交换矩阵链路。

使用双控制链路功能时（仅限SRX5600和SRX5800设备），请连接将在每台设备上使用的两对控制端口。

请参阅机箱群集中 SRX 系列防火墙的双控制链路连接。

对于 SRX5600 和 SRX5800 设备，控制端口必须位于两台设备的相应插槽中。表 1 显示了插槽编号偏移量：

表 1：插槽编号偏移
装置	抵消
SRX5800	12（例如， FPC3 和 FPC15）
SRX5600	6（例如， FPC3 和 FPC9）
SRX5400	3（例如， FPC3 和 FPC6）
SRX4600	7（例如， FPC1 和 FPC8）

SRX 系列机箱群集配置概述

相关主题