Verbinden von Firewalls der SRX-Serie zum Erstellen eines Chassis-Clusters

Ein Chassis-Cluster der SRX-Serie wird erstellt, indem zwei identische, vom Cluster unterstützte Firewalls der SRX-Serie über ein Paar Ethernet-Verbindungen desselben Typs physisch miteinander verbunden werden. Die Verbindung wird sowohl für eine Steuerverbindung als auch für eine Fabric-(Daten-)Verbindung zwischen den beiden Geräten hergestellt.

Steuerverbindungen in einem Gehäuse-Cluster werden über spezifische Ports hergestellt.

Der Schnittstellenwert ändert sich mit dem Cluster-Offset-Wert. Basierend auf dem Cluster-Index wird die Schnittstelle als type-fpc/pic/port benannt. Beispiel: ge-1/0/1 , wobei 1 der Clusterindex und die FPC-Nummer ist. Sie müssen die folgenden Ports verwenden, um die Steuerverbindung für die folgenden Firewalls der SRX-Serie herzustellen:

• Verbinden Sie bei SRX300-Geräten den ge-0/0/1 auf Knoten 0 mit dem ge-1/0/1 auf Knoten 1.

• Verbinden Sie bei SRX320-Geräten den ge-0/0/1 auf Knoten 0 mit dem ge-3/0/1 auf Knoten 1.

• Verbinden Sie bei SRX340-, SRX345- und SRX380-Geräten den ge-0/0/1 auf Knoten 0 mit dem ge-5/0/1 auf Knoten 1.

• Verbinden Sie für SRX1500 Geräte den HA-Steuerport auf Knoten 0 mit dem HA-Steuerport auf Knoten 1.

• Verbinden Sie für SRX1600-, SRX2300- und SRX4300-Geräte mit Dual-Control-Link-Konfiguration den HA-Steuerport 0 auf Knoten 0 mit dem HA-Steuerport 0 auf Knoten 1 und den HA-Steuerport 1 auf Knoten 0 mit dem Steuerport 1 auf Knoten 1.

So richten Sie eine Fabric-Verbindung ein:

• Schließen Sie bei SRX300- und SRX320-Geräten eine beliebige Schnittstelle außer ge-0/0/0 und ge-0/0/1 an.

• Schließen Sie für SRX340-, SRX345- und SRX380-Geräte eine beliebige Schnittstelle außer fxp0 und ge-0/0/1 an.

Abbildung 2, Abbildung 3, Abbildung 4 und Abbildung 6 zeigen Paare von Firewalls der SRX-Serie, wobei die Fabric-Verbindungen und Steuerverbindungen verbunden sind.

Bei SRX1500-, SRX1600-, SRX2300- und SRX4300 Geräten muss die Verbindung, die als Steuerverbindung dient, zwischen den integrierten Steuerports der einzelnen Geräte bestehen.

Sie können zwei Steuerverbindungen (nur SRX4600-, SRX5600-, SRX5800- und SRX3000-Leitungen) und zwei Fabric-Verbindungen zwischen den beiden Geräten im Cluster verbinden, um die Wahrscheinlichkeit eines Ausfalls von Steuer- und Fabric-Verbindungen zu verringern. Weitere Informationen finden Sie unter Grundlegendes zu Chassis-Cluster-Dual-Control-Links und Grundlegendes zu Chassis-Cluster-Dual-Fabric-Links.

Abbildung 8, Abbildung 10 und Abbildung 11 zeigen Paare von Firewalls der SRX-Serie, bei denen die Fabric-Verbindungen und Steuerverbindungen angeschlossen sind.

Abbildung 13, Abbildung 14 und Abbildung 15 zeigen Paare von Firewalls der SRX-Serie, wobei die Fabric-Verbindungen und Steuerverbindungen verbunden sind.

Service Processing Cards (SPC) verfügen über zwei dedizierte Ports (HA0 und HA1) für den Anschluss der Steuerverbindungen im Gehäuse-Cluster.

Fabric-Ports sind Revenue-Ports, die von jeder IOC-Karte aus verfügbar sind. Fabric-Verbindungen sind bei beiden Geräten der SRX5000-Reihe mit demselben Steckplatz und Port verbunden.

SRX5000-Reihe Geräte haben keine integrierten Ports, daher muss die Steuerverbindung für diese Gateways die Steuerports ihrer SPCs mit einem Steckplatznummerierungsoffset von 3 für SRX5400, Offset von 6 für SRX5600 Geräte und 12 für SRX5800 Geräte sein.

Abbildung 13 zeigt ein Paar SRX5800 Geräte mit einer einzelnen SPC-Karte, die jeweils mit einer Steuerverbindung verbunden ist. Die Verbindung zum Fabric Link erfolgt über die IOC-Karte. Duale Steuerverbindungen werden mit einer SPC-Karte auf jedem Knoten eingerichtet. Es wird empfohlen, die primären und sekundären Steuerports auf zwei verschiedenen SPC-Karten auf jedem Knoten zu trennen, um Redundanz zu gewährleisten.

Abbildung 14 zeigt duale Steuerverbindungen, die mit zwei SPC3-Karten verbunden sind, und duale Fabric-Verbindungen mit IOC-Karten.

Wenn Sie eine einzelne Steuerverbindung an Geräte der SRX5000-Reihe anschließen, sind die Steuerlink-Ports eine Eins-zu-Eins-Zuordnung zum Routing-Engine-Steckplatz. Wenn sich Ihre Routing-Engine in Steckplatz 0 befindet, müssen Sie den Steuerport 0 verwenden, um die Routing-Engines zu verbinden.

Wenn eine SPC der zentrale Punkt ist und auch den Steuerport hostet, entsteht ein Single Point of Failure. Wenn die SPC auf dem primären Knoten ausfällt, wird der Knoten automatisch neu gestartet, um ein Split Brain zu vermeiden.

Duale Steuerverbindungen werden auf einem SRX5400 Gerät aufgrund der begrenzten Anzahl von Steckplätzen nicht unterstützt.