Verbinden von Firewalls der SRX-Serie zum Erstellen eines Chassis-Clusters

Ein Chassis-Cluster der SRX-Serie wird erstellt, indem zwei identische, vom Cluster unterstützte Firewalls der SRX-Serie über ein Paar Ethernet-Verbindungen desselben Typs physisch miteinander verbunden werden. Die Verbindung wird sowohl für eine Steuerverbindung als auch für eine Fabric-(Daten-)Verbindung zwischen den beiden Geräten hergestellt.

Steuerverbindungen in einem Gehäuse-Cluster werden über spezifische Ports hergestellt.

Der Schnittstellenwert ändert sich mit dem Cluster-Offset-Wert. Basierend auf dem Cluster-Index wird die Schnittstelle als type-fpc/pic/port benannt. Beispiel: ge-1/0/1 , wobei 1 der Clusterindex und die FPC-Nummer ist. Sie müssen die folgenden Ports verwenden, um die Steuerverbindung für die folgenden Firewalls der SRX-Serie herzustellen:

Verbinden Sie bei SRX300-Geräten den ge-0/0/1 auf Knoten 0 mit dem ge-1/0/1 auf Knoten 1.
Verbinden Sie bei SRX320-Geräten den ge-0/0/1 auf Knoten 0 mit dem ge-3/0/1 auf Knoten 1.
Verbinden Sie bei SRX340-, SRX345- und SRX380-Geräten den ge-0/0/1 auf Knoten 0 mit dem ge-5/0/1 auf Knoten 1.
Verbinden Sie für SRX1500 Geräte den HA-Steuerport auf Knoten 0 mit dem HA-Steuerport auf Knoten 1.
Verbinden Sie für SRX1600-, SRX2300-, SRX4120- und SRX4300-Geräte mit dualer Steuerverbindung den Hochverfügbarkeitssteuerport 0 auf Knoten 0 mit dem Hochverfügbarkeitssteuerport 0 auf Knoten 1 und den Hochverfügbarkeitssteuerport 1 auf Knoten 0 mit dem Steuerport 1 auf Knoten 1.

So richten Sie eine Fabric-Verbindung ein:

Schließen Sie bei SRX300- und SRX320-Geräten eine beliebige Schnittstelle außer ge-0/0/0 und ge-0/0/1 an.
Schließen Sie für SRX340-, SRX345- und SRX380-Geräte eine beliebige Schnittstelle außer fxp0 und ge-0/0/1 an.

Abbildung 2, Abbildung 3, Abbildung 4 und Abbildung 6 zeigen Paare von Firewalls der SRX-Serie, wobei die Fabric-Verbindungen und Steuerverbindungen verbunden sind.

Abbildung 1: Verbinden von SRX300-Geräten in einem Gehäuse-Cluster High-availability setup for Juniper SRX300 series with Node 0 and Node 1 connected via control ports and fabric link for data synchronization and failover.

High-availability setup for Juniper SRX300 series with Node 0 and Node 1 connected via control ports and fabric link for data synchronization and failover.

Abbildung 2: Verbinden von SRX320-Geräten in einem Gehäuse-Cluster Diagram showing two Juniper SRX320 devices labeled Node 0 and Node 1 with control ports connected by cables and a fabric link between nodes.

Diagram showing two Juniper SRX320 devices labeled Node 0 and Node 1 with control ports connected by cables and a fabric link between nodes.

Abbildung 3: Verbinden von SRX340-Geräten in einem Gehäuse-Cluster Juniper SRX340 chassis cluster setup showing connections between Node 0 and Node 1 for control and data synchronization.

Juniper SRX340 chassis cluster setup showing connections between Node 0 and Node 1 for control and data synchronization.

Abbildung 4: Verbinden von SRX345-Geräten in einem Gehäuse-Cluster Juniper SRX345 firewall cluster setup showing Node 0 and Node 1 connected for high availability. Control ports connected by blue cable; fabric link by orange cable.

Juniper SRX345 firewall cluster setup showing Node 0 and Node 1 connected for high availability. Control ports connected by blue cable; fabric link by orange cable.

Abbildung 5: Verbinden von SRX380-Geräten in einem Gehäuse-Cluster Network diagram with two Juniper SRX380 devices labeled Node 0 and Node 1. Blue control port cables connect nodes for management, while orange fabric links enable high-speed data transfer for redundancy.

Network diagram with two Juniper SRX380 devices labeled Node 0 and Node 1. Blue control port cables connect nodes for management, while orange fabric links enable high-speed data transfer for redundancy.

Abbildung 6: Anschließen SRX1500 Geräte in einem Gehäuse-Cluster Juniper SRX1500 chassis cluster setup with Node 0 and Node 1 linked via blue control ports and orange fabric links for high availability.

Juniper SRX1500 chassis cluster setup with Node 0 and Node 1 linked via blue control ports and orange fabric links for high availability.

Abbildung 7: Anschließen SRX1600 Geräte in einem Gehäuse-Cluster Network setup with Node 0 and Node 1 connected via orange fabric links for data transfer and blue control ports for management.

Network setup with Node 0 and Node 1 connected via orange fabric links for data transfer and blue control ports for management.

Bei SRX1500-, SRX1600-, SRX2300-, SRX4120- und SRX4300-Geräten muss die Verbindung, die als Steuerverbindung dient, zwischen den integrierten Steuerports der einzelnen Geräte bestehen.

Sie können zwei Steuerverbindungen (SRX4600, SRX5600 und SRX5800) und zwei Fabric-Verbindungen zwischen den beiden Geräten im Cluster verbinden, um die Wahrscheinlichkeit eines Ausfalls von Steuerverbindungen und Fabric-Verbindungen zu verringern. Weitere Informationen finden Sie unter Grundlegendes zu Chassis-Cluster-Dual-Control-Links und Grundlegendes zu Chassis-Cluster-Dual-Fabric-Links.

Abbildung 12, Abbildung 9 und Abbildung 10 zeigen Paare von Firewalls der SRX-Serie, wobei die Fabric-Verbindungen und Steuerverbindungen verbunden sind.

Abbildung 8: Anschließen von SRX2300- und SRX4120 Geräten in einem Gehäuse-Cluster Two nodes labeled Node 0 and Node 1 connected by orange fabric links for data transfer and blue control ports for management, illustrating a high-availability system configuration.

Two nodes labeled Node 0 and Node 1 connected by orange fabric links for data transfer and blue control ports for management, illustrating a high-availability system configuration.

Abbildung 9: Anschließen SRX4100 Geräte in einem Gehäuse-Cluster High availability cluster setup with two Juniper SRX4100 devices: Node 0 and Node 1. Blue cable for control traffic; orange cable for data synchronization.

High availability cluster setup with two Juniper SRX4100 devices: Node 0 and Node 1. Blue cable for control traffic; orange cable for data synchronization.

Abbildung 10: Anschließen SRX4200 Geräte in einem Gehäuse-Cluster Diagram of two Juniper Networks SRX4200 nodes labeled Node 0 and Node 1 with blue control port and orange fabric link connections.

Diagram of two Juniper Networks SRX4200 nodes labeled Node 0 and Node 1 with blue control port and orange fabric link connections.

Abbildung 11: Verbinden SRX4300 Geräten in einem Gehäusecluster Two nodes labeled Node 0 and Node 1 connected by orange fabric links for data transfer and blue control ports for management.

Two nodes labeled Node 0 and Node 1 connected by orange fabric links for data transfer and blue control ports for management.

Abbildung 12: Verbinden SRX4600 Geräten in einem Gehäuse-Cluster Juniper Networks SRX4600 chassis cluster setup showing Node 0 and Node 1 connected via blue control links and orange fabric links for high availability.

Juniper Networks SRX4600 chassis cluster setup showing Node 0 and Node 1 connected via blue control links and orange fabric links for high availability.

Abbildung 13, Abbildung 14 und Abbildung 15 zeigen Paare von Firewalls der SRX-Serie, wobei die Fabric-Verbindungen und Steuerverbindungen verbunden sind.

Service Processing Cards (SPC) verfügen über zwei dedizierte Ports (HA0 und HA1) für den Anschluss der Steuerverbindungen im Gehäuse-Cluster.

Fabric-Ports sind Revenue-Ports, die von jeder IOC-Karte aus verfügbar sind. Fabric-Verbindungen sind bei beiden Geräten der SRX5000-Reihe mit demselben Steckplatz und Port verbunden.

SRX5000-Reihe Geräte haben keine integrierten Ports, daher muss die Steuerverbindung für diese Gateways die Steuerports ihrer SPCs mit einem Steckplatznummerierungsoffset von 3 für SRX5400, Offset von 6 für SRX5600 Geräte und 12 für SRX5800 Geräte sein.

Abbildung 13 zeigt ein Paar SRX5800 Geräte mit einer einzelnen SPC-Karte, die jeweils mit einer Steuerverbindung verbunden ist. Die Verbindung zum Fabric Link erfolgt über die IOC-Karte. Duale Steuerverbindungen werden mit einer SPC-Karte auf jedem Knoten eingerichtet. Es wird empfohlen, die primären und sekundären Steuerports auf zwei verschiedenen SPC-Karten auf jedem Knoten zu trennen, um Redundanz zu gewährleisten.

Abbildung 13: Verbinden SRX5800 Geräten in einem Gehäuse-Cluster Diagram of network nodes Node 0 and Node 1 with control port connection via fiber-optic cable and separate fabric link for data transfer.

Diagram of network nodes Node 0 and Node 1 with control port connection via fiber-optic cable and separate fabric link for data transfer.

Abbildung 14 zeigt duale Steuerverbindungen, die mit zwei SPC3-Karten verbunden sind, und duale Fabric-Verbindungen mit IOC-Karten.

Abbildung 14: Anschließen SRX5600 Geräte in einem Gehäusecluster Juniper SRX5600 devices connected with control links in blue for synchronization and fabric links in orange for high-speed data transfer.

Juniper SRX5600 devices connected with control links in blue for synchronization and fabric links in orange for high-speed data transfer.

Wenn Sie eine einzelne Steuerverbindung an Geräte der SRX5000-Reihe anschließen, sind die Steuerlink-Ports eine Eins-zu-Eins-Zuordnung zum Routing-Engine-Steckplatz. Wenn sich Ihre Routing-Engine in Steckplatz 0 befindet, müssen Sie den Steuerport 0 verwenden, um die Routing-Engines zu verbinden.

Wenn eine SPC der zentrale Punkt ist und auch den Steuerport hostet, entsteht ein Single Point of Failure. Wenn die SPC auf dem primären Knoten ausfällt, wird der Knoten automatisch neu gestartet, um ein Split Brain zu vermeiden.

Abbildung 15: Anschließen SRX5400 Geräte in einem Gehäuse-Cluster Two Juniper Networks routers connected with control ports for management communication and fabric links for high-speed data transfer.

Two Juniper Networks routers connected with control ports for management communication and fabric links for high-speed data transfer.

Duale Steuerverbindungen werden auf einem SRX5400 Gerät aufgrund der begrenzten Anzahl von Steckplätzen nicht unterstützt.

Verbinden von Firewalls der SRX-Serie zum Erstellen eines Chassis-Clusters

Zugehörige Dokumentation