Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

连接 SRX 系列防火墙以创建机箱群集

通过使用一对相同类型的以太网连接将两个相同的群集支持的 SRX 系列防火墙物理连接在一起,即可创建 SRX 系列机箱群集。该连接适用于两台设备之间的控制链路和交换矩阵(数据)链路。

机箱群集中的控制链路是使用特定端口建立的。

接口值随群集偏移量值而变化。根据群集索引,接口命名为 type-fpc/pic/port。例如,ge-1/0/1 ,其中 1 是集群索引和 FPC 编号。您必须使用以下端口在以下 SRX 系列防火墙上形成控制链路:

  • 对于 SRX300 设备,将节点 0 上的 ge-0/0/1 连接到节点 1 上的 ge-1/0/1。

  • 对于 SRX320 设备,将节点 0 上的 ge-0/0/1 连接到节点 1 上的 ge-3/0/1。

  • 对于 SRX340、SRX345 和 SRX380 设备,将节点 0 上的 ge-0/0/1 连接到节点 1 上的 ge-5/0/1。

  • 对于SRX1500设备,将节点 0 上的 HA 控制端口连接到节点 1 上的 HA 控制端口。

  • 对于 SRX1600、SRX2300、SRX4120 和 SRX4300 设备双控制链路配置,将节点 0 上的高可用性控制端口 0 连接到节点 1 上的高可用性控制端口 0,并将节点 0 上的高可用性控制端口 1 连接到节点 1 上的控制端口 1。

要建立结构链路,请执行以下作:

  • 对于 SRX300 和 SRX320 设备,连接除 ge-0/0/0 和 ge-0/0/1 之外的任何接口。

  • 对于 SRX340、SRX345 和 SRX380 设备,连接除 fxp0 和 ge-0/0/1 以外的任何接口。

图 2图 3图 4图 6 显示了连接了交换矩阵链路和控制链路的 SRX 系列防火墙对。

图 1:连接机箱群集中 High-availability setup for Juniper SRX300 series with Node 0 and Node 1 connected via control ports and fabric link for data synchronization and failover.的 SRX300 设备
图 2:连接机箱群集中 Diagram showing two Juniper SRX320 devices labeled Node 0 and Node 1 with control ports connected by cables and a fabric link between nodes.的 SRX320 设备
图 3:连接机箱群集中 Juniper SRX340 chassis cluster setup showing connections between Node 0 and Node 1 for control and data synchronization.的 SRX340 设备
图 4:连接机箱群集中 Juniper SRX345 firewall cluster setup showing Node 0 and Node 1 connected for high availability. Control ports connected by blue cable; fabric link by orange cable.的 SRX345 设备
图 5:连接机箱群集中 Network diagram with two Juniper SRX380 devices labeled Node 0 and Node 1. Blue control port cables connect nodes for management, while orange fabric links enable high-speed data transfer for redundancy.的 SRX380 设备
图 6:连接机箱群集中 Juniper SRX1500 chassis cluster setup with Node 0 and Node 1 linked via blue control ports and orange fabric links for high availability.的 SRX1500 设备
图 7:连接机箱群集中 Network setup with Node 0 and Node 1 connected via orange fabric links for data transfer and blue control ports for management.的 SRX1600 设备

对于 SRX1500、SRX1600、SRX2300、SRX4120 和 SRX4300 设备,用作控制链路的连接必须位于每个设备上的内置控制端口之间。

您可以在集群中的两台设备之间连接两个控制链路(SRX4600、SRX5600 和 SRX5800)和两个结构链路,以减少控制链路和结构链路发生故障的几率。请参阅 了解机箱群集双控制链路了解机箱群集双交换矩阵链路

图 12图 9图 10 显示了连接了交换矩阵链路和控制链路的 SRX 系列防火墙对。

图 8:连接机箱群集中 Two nodes labeled Node 0 and Node 1 connected by orange fabric links for data transfer and blue control ports for management, illustrating a high-availability system configuration.的 SRX2300 和 SRX4120 设备
图 9:连接机箱群集中 High availability cluster setup with two Juniper SRX4100 devices: Node 0 and Node 1. Blue cable for control traffic; orange cable for data synchronization.的 SRX4100 设备
图 10:连接机箱群集中 Diagram of two Juniper Networks SRX4200 nodes labeled Node 0 and Node 1 with blue control port and orange fabric link connections.的 SRX4200 设备
图 11:连接机箱群集中 Two nodes labeled Node 0 and Node 1 connected by orange fabric links for data transfer and blue control ports for management.的 SRX4300 设备
图 12:连接机箱群集中 Juniper Networks SRX4600 chassis cluster setup showing Node 0 and Node 1 connected via blue control links and orange fabric links for high availability.的 SRX4600 设备

图 13图 14图 15 显示了连接了交换矩阵链路和控制链路的 SRX 系列防火墙对。

服务处理卡 (SPC) 有两个专用端口(HA0 和 HA1),用于连接机箱群集中的控制链路。

交换矩阵端口是任何 IOC 卡提供的收入端口。交换矩阵链路连接到两个 SRX5000 系列设备上的同一插槽和端口。

SRX5000 系列设备没有内置端口,因此这些网关的控制链路必须是其 SPC 上的控制端口,插槽编号偏移量(SRX5400)、SRX5600 设备的偏移量为 6,SRX5800 设备的插槽编号偏移量为 12。

图 13 显示了一对具有单个 SPC 卡的 SRX5800 设备,每个卡都通过控制链路连接。使用 IOC 卡连接交换矩阵链路。在每个节点上使用一个 SPC 卡设置双控制链路。建议将每个节点上两个不同 SPC 卡上的主控制端口和辅助控制端口分开,以实现冗余。

图 13:连接机箱群集中 Diagram of network nodes Node 0 and Node 1 with control port connection via fiber-optic cable and separate fabric link for data transfer.的 SRX5800 设备

图 14 显示了使用两个 SPC3 卡连接的双控制链路和使用 IOC 卡连接的双结构链路。

图 14:连接机箱群集中 Juniper SRX5600 devices connected with control links in blue for synchronization and fabric links in orange for high-speed data transfer.的 SRX5600 设备

在 SRX5000 系列设备上连接单个控制链路时,控制链路端口将与路由引擎插槽进行一对一映射。如果路由引擎位于插槽 0 中,则必须使用控制端口 0 链接路由引擎。

当 SPC 是中心点并托管控制端口时,这会产生单点故障。如果主节点上的 SPC 宕机,节点将自动重新启动,以避免脑裂。

图 15:连接机箱群集中 Two Juniper Networks routers connected with control ports for management communication and fabric links for high-speed data transfer.的 SRX5400 设备

由于插槽数量有限,SRX5400 设备不支持双控制链路。

相关主题