Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

机箱群集概述

机箱群集在 SRX 系列防火墙上提供高可用性,其中两台设备作为单个设备运行。机箱群集包括 SRX 系列防火墙之间的配置文件和动态运行时会话状态同步,这是机箱群集设置的一部分。

机箱群集概述

Junos OS 通过使用机箱群集在 SRX 系列防火墙上提供高可用性。SRX 系列防火墙可配置为在群集模式下运行,其中一对设备可以连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。

对于充当有状态防火墙的 SRX 系列防火墙,保留两台设备之间的流量状态非常重要。在机箱群集设置中,如果发生故障,则需要会话持久性,以便即使故障设备正在转发流量,也不会丢弃已建立的会话。

配置为 机箱群集时,两个节点相互备份,一个节点充当主设备,另一个作为辅助设备,确保在发生系统或硬件故障时进程和服务的有状态故障切换。如果主设备发生故障,辅助设备将接管流量处理。群集节点通过称为控制链路和结构链路的两个链路连接在一起,机箱群集中的设备可同步群集中的配置、内核和 PFE 会话状态,以促进高可用性、有状态服务故障切换和负载平衡。

启用机箱群集不需要单独的许可证。但是,某些 Junos OS 软件功能需要许可证才能激活该功能。有关更多信息,请参阅 了解机箱群集许可要求、在机箱群集中的 SRX 系列设备上安装许可证和在机箱群集中的 SRX 系列设备上验证许可证有关许可证管理的一般信息,请参阅瞻博网络许可指南。有关详细信息,请参阅 SRX 系列服务网关的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。

机箱群集的优势

  • 防止导致连接中断的单个设备故障。

  • 将分支机构和远程站点链接连接到大型公司办公室时,在设备之间提供高可用性。通过利用机箱群集功能,企业可以在发生设备或链路故障时确保连接。

机箱群集功能

机箱群集功能包括:

  • 弹性系统架构,具有用于整个集群的单个活动控制平面和多个数据包转发引擎。此体系结构提供群集的单个设备视图。

  • 群集内节点之间的配置和动态运行时状态同步。

  • 监控物理接口,并在故障参数超过配置的阈值时进行故障切换。

机箱群集模式

机箱群集可配置为主动/主动或主动/被动模式。

  • Active/passive mode:在主动/被动模式下,传输流量通过主节点,而备份节点仅在发生故障时使用。发生故障时,备份设备将成为主设备并接管所有转发任务。

  • Active/active mode:在主动/主动模式下,传输流量始终通过群集的两个节点。

机箱群集的工作原理是什么?

各个节点上的控制端口连接在一起,形成一个控制平面,同步配置和内核状态,以促进接口和服务的高可用性。

各个节点上的数据平面通过交换矩阵端口连接,形成一个统一的数据平面。

创建机箱群集时,各个节点上的控制端口连接起来形成一个控制平面,用于同步配置和内核状态,以促进接口和服务的高可用性。

同样,各个节点上的数据平面通过结构端口连接,形成统一的数据平面。

结构链路允许管理跨节点流处理和管理会话冗余。

控制平面软件在主动或备份模式下运行。配置为机箱群集时,两个节点相互备份,一个节点充当主设备,另一个作为辅助设备,确保在发生系统或硬件故障时进程和服务的有状态故障切换。如果主设备发生故障,辅助设备将接管流量处理。

数据平面软件在主动/主动模式下运行。在机箱群集中,会话信息会在流量遍历任一设备时更新,并且此信息通过交换矩阵链路在节点之间传输,以确保在发生故障切换时不会丢弃已建立的会话。在主动/主动模式下,流量可能会在一个节点上进入群集,然后从另一个节点出口。当设备加入群集时,它将成为该群集的节点。除了唯一的节点设置和管理 IP 地址外,群集中的节点共享相同的配置。

在任何给定时刻,群集都可能处于以下状态之一:保留、主要、辅助保留、辅助、不合格和禁用。任何事件都会触发状态转换,例如接口监控、SPU 监控、故障和手动故障切换。

IPv6 群集支持

除了对主动/被动(故障切换)机箱群集配置的现有支持之外,还可以将运行 IP 版本 6 (IPv6) 的 SRX 系列防火墙部署在主动/主动(故障切换)机箱群集配置中。接口可以配置为 IPv4 地址和/或 IPv6 地址。通讯簿条目可以包括 IPv4 地址、IPv6 地址和域名系统 (DNS) 名称的任意组合。

机箱群集支持通用路由封装 (GRE) 隧道,用于通过内部接口 gr-0/0/0 路由封装的 IPv4/IPv6 流量。此接口由 Junos OS 在系统启动时创建,仅用于处理 GRE 隧道。请参阅 安全设备的接口用户指南

机箱群集限制

SRX 系列防火墙具有以下机箱群集限制:

Chassis Cluster

  • 不支持组 VPN。

  • 在机箱群集中的所有 SRX 系列防火墙上,都支持版本 5 和版本 8 的流量监控。但是,不支持版本 9 的流监视。

  • 当 SRX 系列防火墙在机箱群集模式下运行并在 SPC 或 I/O 卡 (IOC) 中遇到任何 IA 芯片访问问题时,将激活次要 FPC 告警以触发冗余组故障切换。

  • 在 SRX5400、SRX5600 和 SRX5800 设备上,只能在主设备上收集屏幕统计数据。

  • 在 SRX4600、SRX5400、SRX5600 和 SRX5800 设备上,在大型机箱群集配置中,如果使用的逻辑接口超过 1000 个,建议将群集检测信号计时器从触发故障切换前的默认等待时间增加。在全容量实现中,我们建议通过在层次结构中[edit chassis cluster]修改 heartbeat-thresholdheartbeat-interval 值将等待时间增加到 8 秒。

    heartbeat-interval值的heartbeat-threshold乘积定义故障转移之前的时间。默认值(heartbeat-threshold3 拍和 heartbeat-interval 1000 毫秒)产生 3 秒的等待时间。

    要更改等待时间,请修改选项值,使产品等于所需的设置。例如,将 设置为 heartbeat-threshold 8 并保持默认值 heartbeat-interval (1000 毫秒)将产生 8 秒的等待时间。同样,将 设置为 heartbeat-threshold 4 和 heartbeat-interval 2000 毫秒也会产生 8 秒的等待时间。

  • 在 SRX5400、SRX5600 和 SRX5800 设备上,机箱群集接口上不会反映八队列配置。

Flow and Processing

  • 如果在 reth 接口上使用数据包捕获,则会创建两个文件,一个用于入口数据包,另一个用于基于 reth 接口名称的出口数据包。这些文件可以使用Wireshark或Mergecap等工具在设备外部合并。

  • 如果在 reth 接口上使用端口镜像,则无法将 reth 接口配置为输出接口。必须使用物理接口作为输出接口。如果使用命令 set forwarding-options port-mirroring family inet output 将 reth 接口配置为输出接口,则会显示以下错误消息。

    Port-mirroring configuration error. Interface type in reth1.0 is not valid for port-mirroring or next-hop-group config

  • 当 SRX 系列防火墙在机箱群集模式下运行并遇到任何 IA 芯片(IA 芯片是瞻博网络 SPC1 和 IOC1 的一部分。它直接影响 SPC 或 I/O 卡 (IOC) 中的 SPC1/IOC1 控制平面)访问问题,激活次要 FPC 告警以触发冗余组故障切换。

  • 在机箱群集中的 SRX 系列防火墙上,配置两个逻辑系统时,扩展限制会超过 13,000,这非常接近标准扩展限制 15,000,结果收敛时间为 5 分钟。出现此问题的原因是组播路由学习需要更多时间,路由数增加。

  • 在机箱群集中的SRX4600、SRX5400、SRX5600和SRX5800设备上,如果运行 LACP 进程 (lacpd) 的主节点正常或不正常重新启动,则新主节点上的 lacpd 可能需要几秒钟才能启动或重置接口和状态机,以恢复意外的同步结果。此外,在故障转移期间,当系统处理流量数据包或内部高优先级数据包(删除会话或重新建立任务)时,来自对等方(交换机)的中等优先级 LACP 数据包会在等待队列中被推掉,从而导致进一步的延迟。

SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600 和 SRX2300 设备支持流监控。

Installation and Upgrade

  • 对于 SRX300、SRX320、SRX340、SRX345 和 SRX380 设备,该 reboot 参数不可用,因为群集中的设备会在带内群集升级 (ICU) 后自动重新启动。

Interfaces

  • 在 lsq-0/0/0 接口上,不支持链路服务 MLPPP、MLFR 和 CRTP。

  • 在 lt-0/0/0 接口上,不支持用于 RPM 的 CoS。

  • 不支持 3G 拨号器接口。

  • 不支持在 ae 接口上排队。

Layer 2 Switching

  • 在 SRX 系列防火墙故障切换中,第 2 层交换机上的接入点将重新启动,所有无线客户端将断开连接 4 到 6 分钟。

MIBs

  • 不支持机箱群集 MIB。

Monitoring

  • 对于 SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600和SRX2300设备,每个群集可配置的最大监控 IP 数为 64。

  • 在 SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600 和 SRX2300 设备上,如果在流模式下配置日志记录,则无法将日志发送到 NSM。无法发送日志,因为安全日志不支持为 fxp0 接口配置源 IP 地址,并且流模式下的安全日志目标无法通过 fxp0 接口路由。这意味着您不能在与 fxp0 接口相同的子网中配置安全日志服务器,也不能通过 fxp0 接口路由日志服务器。

IPv6

  • IPv6 目标不支持冗余组 IP 地址监控。

GPRS

  • 在 SRX5400、SRX5600 和 SRX5800 设备上,每个 GTP 配置文件的 APN 或 IMSI 筛选器必须限制为 600。过滤器的数量与 IMSI 前缀条目的数量成正比。例如,如果一个 APN 配置了两个 IMSI 前缀条目,则过滤器的数量为 2。

MIBs

  • 不支持机箱群集 MIB。

Nonstop Active Routing (NSR)

  • NSR 可以保留接口和内核信息,并通过在备份路由引擎上运行路由协议进程 (RPD) 来保存路由协议信息。但是,大多数 SRX 平台尚不支持 NSR。因此,在辅助节点上,没有现有的 RPD 守护程序。发生 RG0 故障转移后,新的 RG0 主服务器将具有新的 RPD,需要与对等设备重新协商。只有版本 17.4R2 或更高版本的SRX5000平台才能支持 NSR。

从 Junos OS 12.1X45-D10 及更高版本开始,reth 接口支持流监控、数据包捕获和端口镜像等采样功能。

版本历史记录表
释放
描述
12.1×45
从 Junos OS 12.1X45-D10 及更高版本开始,reth 接口支持流监控、数据包捕获和端口镜像等采样功能。