机箱群集双控制链路
机箱群集双控制链路概述
控制链路连接两个 SRX 系列防火墙,并在它们之间发送机箱群集控制数据,包括检测信号和配置同步。链路是单点故障:如果控制链路断开,将从群集中禁用辅助 SRX 系列。
双控制链路可防止单点故障导致的停机。两个控制链路接口连接群集中的每个设备。双控制链路为控制流量提供冗余链路。与双结构链路不同,任何时候都只使用一个控制链路。
以前,如果要禁用控制链路和结构链路,则必须手动拔下电缆。
CLI 命令的工作方式如下:
-
在配置模式下
-
要禁用控制链路,请在节点 0 或节点 1 上运行
set chassis cluster control-interface <node0/node1> disable。如果使用配置命令禁用链路,则即使在系统重新启动后,链路仍将处于禁用状态。
-
要启用控制链路,请在两个节点上运行。
delete chassis cluster control-interface <node0/node1> disable
-
-
在作模式下
-
要从本地节点禁用控制链路,请运行命令
request chassis cluster control-interface <node0/node1> disable。如果使用作模式 CLI 命令禁用控制链路,则系统重新启动后将启用该链路。
-
要在本地节点上启用控制链路,请运行命令
request chassis cluster control-interface <node0/node1> enable。
-
双控制链路的优势
双控制链路通过为控制流量提供冗余链路来防止单点故障的可能性。
双控制链路功能要求
对于 SRX5600 和 SRX5800 服务网关,双控制链路功能要求在群集中的每台设备上安装第二个路由引擎和第二个交换机控制板 (SCB)。第二个路由引擎的目的是初始化主 SCB 上的交换机。第二个 SCB 容纳第二个路由引擎。
第二个路由引擎不提供备份功能。即使在同一节点上的主路由引擎上升级软件,也无需升级。请注意以下条件:
-
只能在主路由引擎上运行 CLI 命令并进入配置模式。
-
只能在主路由引擎上设置机箱 ID 和群集 ID。
-
如果希望能够检查第二个路由引擎是否启动,或者想要升级软件映像,则需要与第二个路由引擎建立控制台连接。
只要安装了第一个路由引擎(即使重新启动或失败),第二个路由引擎就无法接管机箱的主要角色;也就是说,它无法控制机箱上的任何硬件。
冗余组 0 故障切换意味着路由引擎故障切换。在路由引擎故障切换的情况下,主节点上运行的所有进程都将被终止,然后在新的主路由引擎上生成。此故障切换可能导致状态丢失(如路由状态),并通过引入系统改动而降低性能。
另见
用于机箱群集中 SRX 系列防火墙的双控制链路连接
可在SRX5600设备与SRX5800设备之间连接两个控制链路,有效降低控制链路故障的几率。
由于插槽数量有限,Junos OS 在 SRX5400 设备上不支持双控制链路。
对于 SRX5600 设备和 SRX5800 设备,连接两对相同类型的以太网端口。对于每个设备,您可以使用同一服务处理卡 (SPC) 上的端口,但我们建议您将控制端口连接到两个不同的 SPC 以提供高可用性。 图 1 显示了一对连接了双控制链路的 SRX5800 设备。在此示例中,控制端口 0 和控制端口 1 连接在不同的 SPC 上。
对于 SRX5600 设备和 SRX5800 设备,您必须在一个节点上连接控制端口 0,才能控制另一个节点上的端口 0。还必须连接一个节点上的控制端口 1,才能控制另一个节点上的端口 1。如果将控制端口 0 连接到控制端口 1,则节点无法通过控制链路接收检测信号数据包。
另见
在SRX5600和SRX5800设备上使用机箱群集双控制链路时,升级第二个路由引擎
相反,请使用主路由引擎创建可启动的 USB 存储设备,然后可用于在第二个路由引擎上安装软件映像。
要在第二个路由引擎上升级软件映像,请执行以下作:
示例:为双控制链路配置机箱群集控制端口
此示例说明如何将机箱群集控制端口配置为用作SRX5600设备和 SRX5800 设备上的双控制链路。您需要配置将在每台设备上用于设置控制链路的控制端口。
由于插槽数量有限,Junos OS 在 SRX5400 设备上不支持双控制链路。
要求
开始之前:
了解机箱群集控制链路。请参阅 了解机箱群集控制平面和控制链路。
物理连接设备上的控制端口。请参阅 连接 SRX 系列设备以创建机箱群集。
概述
默认情况下,SRX5600 设备和 SRX5800 设备上的所有控制端口均处于禁用状态。连接控制端口、配置控制端口并建立机箱群集后,即可建立控制链路。
此示例使用以下 FPC 和端口作为双控制链路配置控制端口:
FPC 4,端口 0
FPC 10,端口 0
FPC 6,端口 1
FPC 12,端口 1
配置
程序
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
{primary:node0}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
set chassis cluster control-ports fpc 6 port 1
set chassis cluster control-ports fpc 12 port 1
分步过程
要配置控制端口用作机箱群集的双控制链路:
指定控制端口。
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 6 port 1
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 12 port 1
结果
在配置模式下,输入 show chassis cluster 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
{primary:node0}[edit]
user@host# show chassis cluster
...
control-ports {
fpc 4 port 0;
fpc 6 port 1;
fpc 10 port 0;
fpc 12 port 1;
}
...
如果完成设备配置,请从配置模式输入 commit 。
验证
验证机箱群集状态
目的
验证机箱群集状态。
行动
在作模式下,输入 show chassis cluster status 命令。
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 0 primary no no
node1 0 secondary no no
意义
show chassis cluster status使用命令确认机箱群集中的设备是否正在相互通信。输出显示机箱群集运行正常,因为一台设备是主节点,另一台设备是辅助节点。
特定于平台的 双控制链 路行为
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。