机箱群集结构接口
机箱群集中的 SRX 系列设备使用结构 (fab) 接口在两个机箱之间实现会话同步和转发流量。结构链路是同一 LAN 上两个以太网接口之间的物理连接。两个接口必须是相同的媒体类型。有关详细信息,请参阅以下主题:
了解机箱群集结构接口
交换矩阵是群集的两个节点之间的物理连接,通过背对背连接一对以太网接口(每个节点一个)而形成。
与接口由系统确定的控制链路不同,您可以在配置中指定要用于结构数据链路的物理接口。
交换矩阵是节点之间的数据链路,用于在机箱之间转发流量。到达节点上的流量需要在另一节点上进行处理,将通过结构数据链路进行转发。同样,在需要通过另一个节点上的接口退出的节点上处理的流量将通过交换矩阵转发。
数据链路称为结构接口。集群的数据包转发引擎使用它来传输传输流量并同步数据平面软件的动态运行时状态。该结构提供由身份验证、网络地址转换 (NAT)、应用层网关 (ALG) 和 IP 安全 (IPsec) 会话等操作创建的会话状态对象的同步。
当系统创建结构接口时,软件会为其分配一个内部派生的 IP 地址,用于数据包传输。
在机箱群集上配置结构接口后,移除任一节点上的结构配置都将导致冗余组 0 (RG0) 辅助节点变为禁用状态。(将设备重置为出厂默认配置会移除结构配置,从而导致 RG0 辅助节点进入禁用状态。提交结构配置后,请勿将任一设备重置为出厂默认配置。
- SRX 系列防火墙(SRX300 系列、SRX1500、SRX1600、SRX2300、SRX4100/SRX4200、SRX4300、SRX4600 和 SRX5000 系列)支持的交换矩阵接口类型
- 巨型帧支持
- 了解 IOC2 和 IOC3 SRX5000系列设备上的结构接口
- 了解会话 RTO
- 了解数据转发
- 了解交换矩阵数据链路故障和恢复
SRX 系列防火墙(SRX300 系列、SRX1500、SRX1600、SRX2300、SRX4100/SRX4200、SRX4300、SRX4600 和 SRX5000 系列)支持的交换矩阵接口类型
对于 SRX 系列机箱群集,结构链路可以是跨群集的任何一对以太网接口;结构链路可以是任意对千兆以太网接口。例子:
-
对于 SRX300、SRX320、SRX340 和 SRX345 设备,结构链路可以是任意对千兆以太网接口。对于 SRX380 设备,结构链路可以是任意一对千兆以太网接口或任意一对 10 千兆以太网接口。
-
对于SRX1500和SRX1600,结构链路可以是跨越群集的任意一对以太网接口;结构链路可以是任意一对千兆以太网接口,也可以是任意一对 10 千兆以太网接口。对于SRX1600,结构链路也可以是任意对 25 千兆以太网接口。
-
SRX4100 和SRX4200设备支持的交换矩阵接口类型为 10 千兆以太网 (xe)(10 千兆以太网接口 SFP+ 插槽)。
-
SRX4300支持的交换矩阵接口类型包括:
-
10 千兆位以太网 (mge)
-
10 千兆以太网 (xe)(10 千兆以太网接口 SFP+ 插槽)
-
40 千兆以太网 (et)(25 千兆以太网接口 SFP28 和 100 千兆以太网接口 QSFP28 插槽)
-
-
SRX4600设备支持的交换矩阵接口类型为 40 千兆以太网 (et)(40 千兆以太网接口 QSFP 插槽)和 10 千兆以太网 (xe)。
-
SRX5000系列设备支持的交换矩阵接口类型包括:
-
快速以太网
-
千兆以太网
-
10 千兆以太网
-
40 千兆以太网
-
100 千兆以太网
从 Junos OS 12.1X46-D10 版和 Junos OS 17.3R1 版开始,SRX5000系列设备都支持 100 千兆以太网接口。
从 Junos OS 19.3R1 版开始,SRX5000 系列设备上支持 SRX5K-IOC4-10G 和 SRX5K-IOC4-MRAT,以及 SRX5K-SPC3。SRX5K-IOC4-10G MPIC 支持 MACsec。
-
有关管理、控制和结构链路的端口和接口用法的详细信息,请参阅 了解 SRX 系列机箱群集插槽编号和物理端口和逻辑接口命名。
巨型帧支持
结构数据链路不支持分段。为了适应此状态,SRX 系列防火墙上最大传输单元 (MTU) 大小为 9014 字节(有效负载为 9000 字节 + 以太网报头为 14 字节)的链路上默认启用巨型帧支持。为确保通过数据链路的流量不超过此大小,建议其他接口不要超过结构数据链路的 MTU 大小。
了解 IOC2 和 IOC3 SRX5000系列设备上的结构接口
从 Junos OS 版本 15.1X49-D10 开始,引入了 SRX5K-MPC3-100G10G (IOC3) 和 SRX5K-MPC3-40G10G (IOC3)。
SRX5K-MPC (IOC2) 是一款模块化端口集中器 (MPC),在SRX5400、SRX5600和SRX5800上受支持。此接口卡接受模块化接口卡 (MIC),后者将以太网端口添加到服务网关,以提供与各种网络介质类型的物理连接。MPC 和 MIC 支持机箱群集的结构链路。SRX5K-MPC 提供 10 千兆以太网(带 10x10GE MIC)、40 千兆以太网、100 千兆以太网和 20x1GE 以太网端口作为结构端口。在SRX5400设备上,仅支持 SRX5K-MPC (IOC2)。
SRX5K-MPC3-100G10G (IOC3) 和 SRX5K-MPC3-40G10G (IOC3) 是模块化端口集中器 (MPC),在SRX5400、SRX5600和SRX5800上受支持。这些接口卡接受模块化接口卡 (MIC),后者将以太网端口添加到服务网关,以提供与各种网络介质类型的物理连接。MPC 和 MIC 支持机箱群集的结构链路。
两种类型的 IOC3 模块化端口集中器 (MPC) 具有不同的内置 MIC,它们是 24x10GE + 6x40GE MPC 和 2x100GE + 4x10GE MPC。
由于电源和散热限制,24x10GE + 6x40GE 上的所有四个 PIC 都无法开机。最多可以同时打开两个 PIC 的电源。
使用命令选择要 set chassis fpc <slot> pic <pic> power off 打开电源的 PIC。
在机箱群集中的SRX5400、SRX5600和SRX5800设备上,当 SRX5K-MPC3-40G10G (IOC3) 上包含结构链路的 PIC 关闭电源以打开备用 PIC 时,请始终确保:
-
新的交换矩阵链路是在打开的新 PIC 上配置的。必须至少有一个结构链路存在且联机,以确保将 RTO 损失降至最低。
-
机箱群集处于主动-被动模式,以确保备用链路联机后将 RTO 损失降至最低。
-
如果未在打开的 PIC 上配置备用交换矩阵链路,则两个节点之间的 RTO 同步通信将停止,并且机箱群集会话状态将不会备份,因为交换矩阵链路丢失。您可以使用命令查看
show chassis cluster interfaces此方案的 CLI 输出,指示机箱群集状态错误。
了解会话 RTO
数据平面软件在主动/主动模式下运行,管理流处理和会话状态冗余,并处理传输流量。属于特定会话的所有数据包都在同一节点上处理,以确保对其应用相同的安全处理。系统识别会话处于活动状态的节点,并将其数据包转发到该节点进行处理。(处理完数据包后,数据包转发引擎会将数据包传输到其出口接口所在的节点(如果该节点不是本地节点)。
为了提供会话(或流)冗余,数据平面软件通过交换矩阵数据链路将称为运行时对象 (RTO) 的特殊有效负载数据包从一个节点发送到另一个节点来同步其状态。通过在节点之间传输有关会话的信息,RTO 可确保在发生故障转移时会话的一致性和稳定性,从而使系统能够继续处理属于现有会话的流量。为了确保会话信息始终在两个节点之间同步,数据平面软件使 RTO 传输优先于传输流量。
数据平面软件为 UDP 和 TCP 会话创建 RTO,并跟踪状态更改。它还同步 IPv4 直通协议(如通用路由封装 (GRE) 和 IPsec)的流量。
用于同步会话的 RTO 包括:
-
第一个数据包上的会话创建 RTO
-
会话删除和超龄 RTO
-
与变更相关的 RTO,包括:
-
TCP 状态更改
-
超时同步请求和响应消息
-
用于创建和删除防火墙中的临时开口(针孔)和子会话针孔的 RTO
-
了解数据转发
对于 Junos OS,流处理发生在该流的会话已建立且处于活动状态的单个节点上。此方法可确保对属于会话的所有数据包应用相同的安全措施。
机箱群集可以在一个节点上的接口上接收流量,然后将其发送到另一个节点上的接口。(在主动/主动模式量的入口接口可能存在于一个节点上,而其出口接口可能存在于另一个节点上。
在以下情况下需要此遍历:
-
当数据包在一个节点上处理,但需要转发出另一个节点上的出口接口时
-
当数据包到达一个节点上的接口,但必须在另一个节点上处理时
如果数据包的入口和出口接口位于一个节点上,但由于数据包的会话已在那里建立,因此必须在另一个节点上处理数据包,则必须遍历数据链路两次。某些复杂的媒体会话可能就是这种情况,例如 IP 语音 (VoIP) 会话。
了解交换矩阵数据链路故障和恢复
入侵检测和防御 (IDP) 服务不支持故障转移。因此,IDP 服务不适用于故障转移之前存在的会话。IDP 服务适用于在新主节点上创建的新会话。
交换矩阵数据链路对机箱群集至关重要。如果链路不可用,流量转发和 RTO 同步将受到影响,这可能会导致流量丢失和不可预测的系统行为。
为了消除这种可能性,Junos OS 使用结构监控,通过定期在结构链路上传输探测,来检查结构链路或双结构链路配置中的两个结构链路是否处于活动状态。如果 Junos OS 检测到结构故障,辅助节点的 RG1+ 状态将变为不合格。如果未收到交换矩阵探测,但交换矩阵接口处于活动状态,则它确定是否发生了交换矩阵故障。要从此状态恢复,两个结构链路都需要返回到联机状态,并且应开始交换探测。一旦发生这种情况,先前不符合条件的节点上的所有 FPC 都将重置。然后,它们进入联机状态并重新加入群集。
如果在禁用辅助节点时对配置进行了任何更改,请在重新启动节点后执行 commit 命令以同步配置。如果未进行配置更改,配置文件将与主节点的配置文件保持同步。
从 Junos OS 12.1X47-D10 版和 Junos OS 17.3R1 版开始,默认情况下会在 SRX5800、SRX5600 和 SRX5400 设备上启用结构监控功能。
从 Junos OS 12.1X47-D10 版和 Junos OS 17.3R1 版开始,将自动恢复结构链路并进行同步。
当主节点和辅助节点都运行正常(即没有故障)并且结构链路断开时,辅助节点上的 RG1+ 冗余组将变得不合格。当其中一个节点运行不正常(即出现故障)时,此节点(主节点或辅助节点)上的 RG1+ 冗余组将不符合条件。当两个节点都不正常且交换矩阵链路断开时,辅助节点上的 RG1+ 冗余组将变得不合格。当结构链路启动时,RG1+ 变得不合格的节点将对所有服务处理单元执行冷同步,并转换为活动备用。
-
如果 RG0 是不正常节点上的主节点,则 RG0 将从不正常的节点故障转移到正常运行的节点。例如,如果节点 0 是 RG0+ 的主节点,并且节点 0 变得不正常,则节点 0 上的 RG1+ 将在交换矩阵链路故障 66 秒后转换为不合格,并且 RG0+ 故障转移到节点 1,即正常运行的节点。
-
只有 RG1+ 会转换为不符合条件的状态。RG0 继续处于主要或次要状态。
show chassis cluster interfaces使用 CLI 命令验证交换矩阵链路的状态。
参见
示例:配置机箱群集结构接口
此示例说明如何配置机箱群集结构。结构是群集中节点之间的背对背数据连接。一个节点上需要在另一个节点上处理或通过另一个节点上的接口退出的流量会通过交换矩阵传递。会话状态信息也会通过交换矩阵传递。
要求
开始之前,请设置机箱群集 ID 和机箱群集节点 ID。请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID 。
概述
在机箱群集中的大多数 SRX 系列防火墙中,您可以将任意一对千兆以太网接口或任何一对 10 千兆接口配置为节点之间的交换矩阵。
您无法在交换矩阵接口上配置过滤器、策略或服务。结构链路不支持分段。结构接口的最大 MTU 大小为 9014 字节,其他接口的最大 MTU 大小为 8900 字节。默认情况下,成员链路上的巨型帧支持处于启用状态。
此示例说明如何配置结构链路。
只能将相同类型的接口配置为结构子接口,并且您必须为 fab0 和 fab1配置相同数量的子链路。
如果通过交换机连接每个结构链路,则必须在相应的交换机端口上启用巨型帧功能。如果两个结构链路通过同一交换机连接,则 RTO 和探测对必须位于一个虚拟 LAN (VLAN) 中,数据对必须位于另一个 VLAN 中。此处也必须在相应的交换机端口上启用巨型帧功能。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
{primary:node0}[edit]
set interfaces fab0 fabric-options member-interfaces ge-0/0/1
set interfaces fab1 fabric-options member-interfaces ge-7/0/1
分步过程
要配置机箱群集结构:
指定结构接口。
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 {primary:node0}[edit] user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1
结果
在配置模式下,输入 show interfaces 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
{primary:node0}[edit]
user@host# show interfaces
...
fab0 {
fabric-options {
member-interfaces {
ge-0/0/1;
}
}
}
fab1 {
fabric-options {
member-interfaces {
ge-7/0/1;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证机箱群集数据平面接口
查看机箱群集数据平面统计信息
目的
显示机箱群集数据平面统计信息。
行动
从 CLI 中,输入 show chassis cluster data-plane statistics 命令:
{primary:node1}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
Session create 0 0
Session close 0 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RTSP ALG 0 0
清除机箱群集数据平面统计信息
要清除显示的机箱群集数据平面统计信息,请从 CLI 输入 clear chassis cluster data-plane statistics 命令:
{primary:node1}
user@host> clear chassis cluster data-plane statistics
Cleared data-plane statistics
参见
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。