Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über die Konfiguration von Gehäuse-Clustern der SRX-Serie

Im Folgenden sind die Voraussetzungen für die Konfiguration eines Chassis-Clusters aufgeführt:

  • Bei SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Firewalls sollten alle vorhandenen Konfigurationen entfernt werden, die Schnittstellen zugeordnet sind, die in den FXP0-Management-Port und den Steuer-Port umgewandelt werden. Weitere Informationen hierzu finden Sie unter Grundlegendes zur Nummerierung der Chassis-Cluster der SRX-Serie und zur Benennung physischer Ports und logischer Schnittstellen.

  • Vergewissern Sie sich, dass Hardware und Software auf beiden Geräten identisch sind.

  • Vergewissern Sie sich, dass die Lizenzschlüssel auf beiden Geräten identisch sind.

  • Bei SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Firewalls müssen Platzierung und Typ der GPIMs, XGPIMs, XPIMs und Mini-PIMs (falls zutreffend) in den beiden Geräten übereinstimmen.

  • Bei Firewalls der SRX5000-Reihe müssen Platzierung und Typ der SPCs in den beiden Geräten übereinstimmen.

Abbildung 1 zeigt ein Gehäuse-Cluster-Flussdiagramm für SRX300-, SRX320-, SRX340-, SRX345-, SRX380-, SRX1500-, SRX1600-, SRX2300-, SRX4300-, SRX4100-, SRX4200- und SRX4600-Geräte.

Abbildung 1: Gehäuse-Cluster-Flussdiagramm (SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300 und SRX4600 Geräte) Chassis Cluster Flow Diagram (SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300 and SRX4600 Devices)
Abbildung 2: Flussdiagramm des Gehäuse-Clusters (SRX5800, SRX5600, SRX5400 Geräte) Chassis Cluster Flow Diagram (SRX5800, SRX5600, SRX5400 Devices)

Dieser Abschnitt bietet einen Überblick über die grundlegenden Schritte zum Erstellen eines Chassis-Clusters der SRX-Serie. So erstellen Sie ein Chassis-Cluster der SRX-Serie:

  1. Bereiten Sie die Firewalls der SRX-Serie für die Verwendung im Chassis-Cluster vor. Weitere Informationen finden Sie unter Vorbereiten der Ausrüstung für die Chassis-Cluster-Bildung.
  2. Verbinden Sie ein Paar der gleichen Art von unterstützten Firewalls der SRX-Serie physisch miteinander. Weitere Informationen finden Sie unter Verbinden von Geräten der SRX-Serie zum Erstellen eines Gehäuse-Clusters.

    1. Erstellen Sie die Fabric-Verbindung zwischen zwei Knoten in einem Cluster, indem Sie ein beliebiges Paar von Ethernet-Schnittstellen verbinden. Für die meisten Firewalls der SRX-Serie besteht die einzige Voraussetzung, dass beide Schnittstellen Gigabit-Ethernet-Schnittstellen (oder 10-Gigabit-Ethernet-Schnittstellen) sind.

      Wenn Sie die Dual-Fabric-Link-Funktionalität verwenden, verbinden Sie die beiden Paare von Ethernet-Schnittstellen, die Sie auf jedem Gerät verwenden möchten. Weitere Informationen finden Sie unter Grundlegendes zu Chassis-Cluster-Dual-Fabric-Verbindungen.

    2. Konfigurieren Sie die Steuerports (nur SRX5000-Reihe). Siehe Beispiel: Konfigurieren von Chassis-Cluster-Steuerports.

  3. Verbinden Sie das erste Gerät, das im Cluster initialisiert werden soll, mit dem Konsolenport. Dies ist der Knoten (Knoten 0), der den Cluster bildet, und verwenden Sie CLI-Befehle für den Betriebsmodus, um das Clustering zu aktivieren:

    1. Identifizieren Sie den Cluster, indem Sie ihm die Cluster-ID zuweisen.

    2. Identifizieren Sie den Knoten, indem Sie ihm eine eigene Knoten-ID zuweisen, und starten Sie dann das System neu.

    Siehe Beispiel: Festlegen der Knoten-ID und der Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster . Verbindungsanweisungen finden Sie im Handbuch "Erste Schritte" für Ihr Gerät

  4. Stellen Sie eine Verbindung zum Konsolenport auf dem anderen Gerät (Knoten 1) her, und verwenden Sie CLI-Befehle für den Betriebsmodus, um das Clustering zu aktivieren:

    1. Identifizieren Sie den Cluster, dem das Gerät beitritt, indem Sie dieselbe Cluster-ID festlegen, die Sie auf dem ersten Knoten festgelegt haben.

    2. Identifizieren Sie den Knoten, indem Sie ihm eine eigene Knoten-ID zuweisen, und starten Sie dann das System neu.

  5. Konfigurieren Sie die Verwaltungsschnittstellen im Cluster. Siehe Beispiel: Konfigurieren der Chassis-Cluster-Verwaltungsschnittstelle.
  6. Konfigurieren Sie den Cluster mit der CLI. Weitere Informationen finden Sie in den folgenden Themen:

    1. Beispiel: Konfigurieren der Anzahl redundanter Ethernet-Schnittstellen in einem Gehäuse-Cluster

    2. Beispiel: Konfigurieren der Chassis-Cluster-Fabric-Schnittstellen

    3. Beispiel: Konfigurieren von Chassis-Cluster-Redundanzgruppen

    4. Beispiel: Konfigurieren der Überwachung der Chassis-Clusterschnittstelle

    5. Beispiel: Konfigurieren von Chassis-Clustering auf Geräten der SRX-Serie

  7. (Optional) Initiieren Sie ein manuelles Failover. Weitere Informationen finden Sie unter Initiieren eines manuellen Failovers für Chassis-Cluster-Redundanzgruppen.
  8. (Optional) Konfigurieren Sie die bedingte Routenankündigung über redundante Ethernet-Schnittstellen. Weitere Informationen finden Sie unter Grundlegendes zu bedingter Routenankündigung in einem Chassis-Cluster.
  9. Überprüfen Sie die Konfiguration. Weitere Informationen finden Sie unter Anzeigen einer Chassis-Cluster-Konfiguration.

Wenn zwei Knoten in einem Cluster verbunden sind, wird ein Knoten als primärer Modus ausgewählt und seine Routing-Engine wird als primärer Knoten ausgeführt. Die Routing-Engine im sekundären Knoten, die als Client ausgeführt wird. Alle FPCs im Cluster, unabhängig davon, ob es sich um einen primären oder sekundären Knoten handelt, stellen eine Verbindung mit der primären Routing-Engine her. Die FPCs auf dem sekundären Knoten werden über die Steuerverbindung der hohen Verfügbarkeit mit der primären Routing-Engine verbunden. Wenn der Cluster über zwei Primärserver verfügt, empfängt IOC eine Meldung von einem anderen primären Server und startet sich neu, um diesen Fehlerzustand wiederherzustellen.

Um zu verhindern, dass die IOC-Karte neu gestartet wird, muss der sekundäre Knoten ausgeschaltet werden, bevor eine Verbindung mit dem Cluster hergestellt wird.

Um den Datenverkehr auf dem primären Knoten beizubehalten, während der sekundäre Knoten mit dem Cluster verbunden wird, wird empfohlen, den Clustermodus auf Knoten 1 zu konfigurieren und auszuschalten, bevor er mit dem Cluster verbunden wird, um Auswirkungen auf den primären Knoten zu vermeiden. Der Grund hierfür ist, dass die Steuerungsnetzwerke für einen HA-Cluster oder ein System mit nur einem Knoten unterschiedlich sind. Wenn die Steuerports verbunden sind, verbinden sich diese beiden mit demselben Netzwerk und tauschen Nachrichten aus.

Dieser Abschnitt bietet einen Überblick über die grundlegenden Schritte zum Wiederherstellen des Sicherungsknotens nach einem Fehler, wenn ein primärer Knoten ausgeführt wird:

  1. Stellen Sie eine Verbindung zum Konsolenport auf dem anderen Gerät (Knoten 1) her, und verwenden Sie CLI-Befehle für den Betriebsmodus, um das Clustering zu aktivieren:

    1. Identifizieren Sie den Cluster, dem das Gerät beitritt, indem Sie dieselbe Cluster-ID festlegen, die Sie auf dem ersten Knoten festgelegt haben.

    2. Identifizieren Sie den Knoten, indem Sie ihm eine eigene Knoten-ID zuweisen, und starten Sie dann das System neu.

    Siehe Beispiel: Festlegen der Knoten-ID und der Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster . Verbindungsanweisungen finden Sie im Handbuch "Erste Schritte" für Ihr Gerät

  2. Schalten Sie den sekundären Knoten aus.

  3. Verbinden Sie die HA-Steuerports zwischen zwei Knoten.

  4. Schalten Sie den sekundären Knoten ein.

  5. Der Cluster wird neu gebildet, und die Sitzung wird mit dem sekundären Knoten synchronisiert.

  • Wenn Sie die Dual-Fabric-Link-Funktionalität verwenden, verbinden Sie die beiden Paare von Ethernet-Schnittstellen, die Sie auf jedem Gerät verwenden möchten. Weitere Informationen finden Sie unter Grundlegendes zu Chassis-Cluster-Dual-Fabric-Verbindungen.

  • Wenn Sie die Dual-Control-Link-Funktion (nur SRX5600 und SRX5800 Geräte) verwenden, schließen Sie die beiden Steuerportpaare an, die Sie auf jedem Gerät verwenden möchten.

    Weitere Informationen finden Sie unter Dual-Control-Link-Verbindungen für Firewalls der SRX-Serie in einem Gehäuse-Cluster.

    Bei SRX5600- und SRX5800-Geräten müssen sich die Steuerports an den entsprechenden Steckplätzen in den beiden Geräten befinden. Tabelle 1 zeigt die Offsets für die Steckplatznummerierung:

    Tabelle 1: Versätze bei der Steckplatznummerierung

    Gerät

    Offset

    SRX5800

    12 (z. B. FPC3 und FPC15)

    SRX5600

    6 (z. B. FPC3 und FPC9)

    SRX5400

    3 (z. B. FPC3 und FPC6)

    SRX4600

    7 (z. B. FPC1 und FPC8)

  • Bei SRX3400- und SRX3600 Geräten handelt es sich bei den Steuerports um dedizierte Gigabit-Ethernet-Ports.

  • Bei SRX4600 Geräten handelt es sich bei den Steuer- und Fabric-Ports um dedizierte 10-Gigabit-Ethernet-Ports.

Zugehörige Dokumentation