Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX 系列机箱群集配置概述

以下是配置机箱群集的先决条件:

  • 在 SRX300、SRX320、SRX340、SRX345 和 SRX380 防火墙上,应移除与转换为 fxp0 管理端口和控制端口的接口相关联的任何现有配置。有关更多信息,请参阅 了解 SRX 系列机箱群集插槽编号以及物理端口和逻辑接口命名

  • 确认两台设备上的硬件和软件相同。

  • 确认两台设备上的许可证密钥相同。

  • 对于 SRX300、SRX320、SRX340、SRX345 和 SRX380 防火墙,GPIM、XGPIM、XPIM 和小型 PIM(如适用)在两台设备中的位置和类型必须匹配。

  • 对于 SRX5000 系列防火墙,两台设备中 SPC 的位置和类型必须匹配。

图 1 显示了 SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、SRX4300、SRX4100、SRX4200 和 SRX4600 设备的机箱群集流程图。

图 1:机箱群集流程图(SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300 和 SRX4600 设备) Chassis Cluster Flow Diagram (SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300 and SRX4600 Devices)
图 2:机箱群集流程图(SRX5800、SRX5600、SRX5400 设备) Chassis Cluster Flow Diagram (SRX5800, SRX5600, SRX5400 Devices)

本节概述创建 SRX 系列机箱群集的基本步骤。要创建 SRX 系列机箱群集:

  1. 准备要在机箱群集中使用的 SRX 系列防火墙。有关更多信息,请参阅 准备组成机箱群集的设备
  2. 将一对相同类型受支持的 SRX 系列防火墙物理连接在一起。有关更多信息,请参阅 连接 SRX 系列设备以创建机箱群集

    1. 通过连接任意一对以太网接口,在群集中的两个节点之间创建交换矩阵链路。对于大多数 SRX 系列防火墙,唯一的要求是两个接口都必须是千兆以太网接口(或 10 千兆以太网接口)。

      使用双结构链路功能时,连接将在每台设备上使用的两对以太网接口。请参阅 了解机箱群集双交换矩阵链路。

    2. 配置控制端口(仅限 SRX5000 系列)。请参阅 示例:配置机箱群集控制端口

  3. 群集中要初始化的第一个设备连接到控制台端口。这是形成群集并使用 CLI作模式命令启用群集的节点(节点 0):

    1. 通过为群集 ID 指定群集来标识群集。

    2. 通过为节点提供自己的节点 ID 来识别节点,然后重新启动系统。

    请参阅 示例:设置机箱群集中安全设备的节点 ID 和群集 ID 。有关连接说明,请参阅适用于您设备的入门指南

  4. 连接到另一台设备(节点 1)上的控制台端口,并使用 CLI作模式命令启用群集:

    1. 通过设置在第一个节点上设置的相同群集 ID,标识设备要加入的群集。

    2. 通过为节点提供自己的节点 ID 来识别节点,然后重新启动系统。

  5. 在集群上配置管理接口。请参阅 示例:配置机箱群集管理接口
  6. 使用 CLI 配置群集。请参阅以下主题:

    1. 示例:配置机箱群集中的冗余以太网接口数量

    2. 示例:配置机箱群集交换矩阵接口

    3. 示例:配置机箱群集冗余组

    4. 示例:配置机箱群集接口监控

    5. 示例:在 SRX 系列设备上配置机箱群集

  7. (选答)启动手动故障切换。请参阅 启动机箱群集手动冗余组故障切换
  8. (选答)通过冗余以太网接口配置条件路由通告。请参阅 了解机箱群集中的条件路由播发
  9. 验证配置。请参阅 查看机箱群集配置

如果群集中连接了两个节点,则一个节点被选为主模式,其路由引擎作为主模式运行。作为客户端运行的辅助节点中的路由引擎。群集中的所有 FPC(无论是在主节点还是辅助节点中)都连接到主路由引擎。辅助节点上的 FPC 通过 HA 控制链路连接到主路由引擎。如果群集有两个主节点,则 IOC 会收到来自不同主节点的消息,然后重新启动自身以从此错误状态恢复。

为了防止 IOC 卡重新启动,在连接到群集之前,必须关闭辅助节点的电源。

为了在将辅助节点连接到集群的同时保留主节点上的流量,建议在节点 1 上配置集群模式并在将其连接到集群之前关闭电源,以避免对主节点造成任何影响。此处的原因是,对于高可用性群集或单节点系统,控制网络是不同的。连接控制端口后,这两个端口将加入同一网络并交换消息。

本节概述了在存在正在运行的主节点时,在发生故障后还原备份节点的基本步骤:

  1. 连接到另一台设备(节点 1)上的控制台端口,并使用 CLI作模式命令启用群集:

    1. 通过设置在第一个节点上设置的相同群集 ID,标识设备要加入的群集。

    2. 通过为节点提供自己的节点 ID 来识别节点,然后重新启动系统。

    请参阅 示例:设置机箱群集中安全设备的节点 ID 和群集 ID 。有关连接说明,请参阅适用于您设备的入门指南

  2. 关闭辅助节点电源。

  3. 连接两个节点之间的高可用性控制端口。

  4. 打开辅助节点的电源。

  5. 群集将重新形成,会话将同步到辅助节点。

  • 使用双结构链路功能时,连接将在每台设备上使用的两对以太网接口。请参阅 了解机箱群集双交换矩阵链路。

  • 使用双控制链路功能时(仅限SRX5600和SRX5800设备),请连接将在每台设备上使用的两对控制端口。

    请参阅机 箱群集中 SRX 系列防火墙的双控制链路连接

    对于 SRX5600 和 SRX5800 设备,控制端口必须位于两台设备的相应插槽中。 表 1 显示了插槽编号偏移量:

    表 1:插槽编号偏移

    装置

    抵消

    SRX5800

    12(例如, FPC3FPC15

    SRX5600

    6(例如, FPC3FPC9

    SRX5400

    3(例如, FPC3FPC6

    SRX4600

    7(例如, FPC1FPC8

  • 在 SRX3400 和 SRX3600 设备上,控制端口是专用千兆以太网端口。

  • 在SRX4600设备上,控制端口和交换矩阵端口是专用的 10 千兆以太网端口。

相关主题