Gehäuse-Cluster Control Plane-Schnittstellen
Sie können Schnittstellen der Steuerungsebene verwenden, um den Kernel-Status zwischen Routing-Engines auf Firewalls der SRX-Serie in einem Chassis-Cluster zu synchronisieren. Schnittstellen der Steuerungsebene stellen die Verbindung zwischen den beiden Knoten im Cluster her.
Schnittstellen der Steuerungsebene verwenden diesen Link für Folgendes:
-
Kommunizieren Sie die Knotenerkennung.
-
Behält den Sitzungsstatus für einen Cluster bei.
-
Greifen Sie auf die Konfigurationsdatei zu.
-
Erkennen Sie Lebendigkeitssignale über die Knoten hinweg.
Gehäuse-Cluster Steuerungsebene und Steuerverbindungen
Die Software der Steuerungsebene, die im aktiven oder Backup-Modus arbeitet, ist ein integraler Bestandteil von Junos OS, das auf dem primären Knoten eines Clusters aktiv ist. Redundanz wird erreicht, indem Status, Konfiguration und andere Informationen an die inaktive Routing-Engine auf dem sekundären Knoten übermittelt werden. Wenn die primäre Routing-Engine ausfällt, kann die sekundäre Routing-Engine die Kontrolle übernehmen.
Die Control Plane-Software:
-
Läuft auf der Routing-Engine.
-
Überwacht das gesamte Chassis-Cluster-System , einschließlich der Schnittstellen auf beiden Knoten.
-
Verwaltet System- und Data Plane-Ressourcen, einschließlich der Packet Forwarding Engine (PFE) auf jedem Knoten.
-
Synchronisiert die Konfiguration über die Steuerverbindung.
-
Richtet Sitzungen ein und verwaltet Sitzungen, einschließlich Authentifizierungs-, Autorisierungs- und Abrechnungsfunktionen (AAA).
-
Verwaltet anwendungsspezifische Signalisierungsprotokolle.
-
Richtet Verwaltungssitzungen wie Telnet-Verbindungen ein und verwaltet diese.
-
Behandelt asymmetrisches Routing auf den Chassis-Cluster-Knoten.
-
Verwaltet den Routing-Status, die ARP-Verarbeitung (Address Resolution Protocol) und die DHCP-Verarbeitung (Dynamic Host Configuration Protocol).
Informationen aus der Software der Steuerungsebene folgen zwei Pfaden:
-
Steuern Sie auf dem primären Knoten (auf dem die Routing-Engine aktiv ist) die Informationsflüsse von der Routing-Engine zur lokalen Packet Forwarding Engine.
-
Steuern Sie den Informationsfluss über die Steuerverbindung zur Routing-Engine und Packet Forwarding Engine des sekundären Knotens.
Die Software der Steuerungsebene, die auf der primären Routing-Engine ausgeführt wird, behält den Status für den gesamten Cluster bei. Zustandsinformationen können nur von Prozessen aktualisiert werden, die auf demselben Knoten wie die Software der Steuerungsebene ausgeführt werden. Die primäre Routing-Engine synchronisiert den Status für den sekundären Knoten und verarbeitet außerdem den gesamten Hostdatenverkehr.
Steuerverbindungen für Gehäuse-Cluster
Die Steuerschnittstellen stellen die Steuerverbindung zwischen den beiden Knoten im Cluster dar und werden für Routing-Updates und für den Signaldatenverkehr der Steuerungsebene verwendet, z. B. Takt- und Schwellenwertinformationen, die das Knotenfailover auslösen. Die Steuerverbindung synchronisiert auch die Konfiguration zwischen den Knoten. Wenn Sie Konfigurationsanweisungen an den Cluster senden, synchronisiert die Steuerverbindung die Konfiguration automatisch.
Die Steuerverbindung basiert auf einem proprietären Protokoll, um den Sitzungsstatus, die Konfiguration und den Lebendigkeitsstatus über die Knoten zu übertragen.
Ab Junos OS Version 19.3R1 wird das SRX5K-RE3-128G-Gerät zusammen mit dem SRX5K-SPC3-Gerät auf den Firewalls der SRX5000-Serie unterstützt. Die Steuerschnittstellen ixlv0 und igb0 werden zur Konfiguration des SRX5K-RE3-128G-Geräts verwendet. Steuerverbindungen steuern die Kommunikation zwischen der Steuerungsebene, der Datenebene und den Heartbeatmeldungen.
- Einzelne Steuerverbindung in einem Gehäuseverbund
- Duale Steuerverbindung in einem Gehäuseverbund
- Verschlüsselung auf Gehäuse-Cluster-Steuerungslink
Einzelne Steuerverbindung in einem Gehäuseverbund
Für eine einzelne Steuerverbindung in einem Gehäuseverbund müssen Sie denselben Steuerport für die Steuerverbindungsverbindung und für die Konfiguration auf beiden Knoten verwenden.
Wenn Sie z. B. Port 0 als Steuerport auf Knoten 0 konfigurieren, müssen Sie Port 0 als Steuerport auf Knoten 1 konfigurieren. Sie müssen die Ports mit einem Kabel verbinden.
Duale Steuerverbindung in einem Gehäuseverbund
Sie müssen duale Steuerverbindungen in einem Gehäuse-Cluster direkt anschließen. Querverbindungen, d. h. das Verbinden von Port 0 auf einem Knoten mit Port 1 auf dem anderen Knoten und umgekehrt, funktionieren nicht.
Für duale Steuerverbindungen müssen Sie die folgenden Verbindungen herstellen:
-
Verbinden Sie den Steuerport 0 auf Knoten 0 mit der Steuerung von Port 0 auf Knoten 1.
-
Verbinden Sie den Steuerport 1 auf Knoten 0 mit der Steuerung von Port 1 auf Knoten 1.
Verschlüsselung auf Gehäuse-Cluster-Steuerungslink
Die Steuerverbindungen für Gehäusecluster unterstützen ein optionales verschlüsseltes Sicherheitsfeature, das Sie konfigurieren und aktivieren können.
Beachten Sie, dass in der Sicherheitsdokumentation von Juniper Networks Gehäuse-Cluster verwendet wird, wenn von Steuerverbindungen mit hoher Verfügbarkeit (HA) die Rede ist. In den Befehlen wird weiterhin die Abkürzung ha anstelle von chassis cluster verwendet.
Wenn der Telnet-Zugriff deaktiviert ist, verhindert der Zugriff auf die Steuerverbindung, dass sich Hacker beim System anmelden können.
Mit dem internen IPsec-Schlüssel für die interne Kommunikation zwischen Geräten werden die Konfigurationsinformationen verschlüsselt, die über die Chassis-Cluster-Verbindung vom primären Knoten zum sekundären Knoten übertragen werden. Ohne den IPsec-Schlüssel kann ein Angreifer nicht auf den Datenverkehr zugreifen oder diesen beobachten.
Um diese Funktion zu aktivieren, führen Sie den set security ipsec internal security-association manual encryption ike-ha-link-encryption enable Konfigurationsbefehl aus.
Sie müssen beide Knoten neu starten, um diese Konfiguration zu aktivieren.
Die Verschlüsselung der Gehäuse-Cluster-Steuerverbindung mittels IPsec wird auf SRX4600-Firewalls, Firewalls der SRX5000-Serie und Virtuelle Firewall vSRX-Plattformen unterstützt.
Wenn der Chassis-Cluster mit bereits konfiguriertem IPsec-Schlüssel ausgeführt wird, können Sie Änderungen am Schlüssel vornehmen, ohne das Gerät neu zu starten. In diesem Fall müssen Sie den Schlüssel nur auf einem Knoten ändern.
Wenn die IPsec-Schlüsselverschlüsselung konfiguriert ist, müssen Sie für Konfigurationsänderungen in der SA-Hierarchie (Internal Security Association) beide Knoten neu starten. Um den konfigurierten IKE-Chassis-Link-Verschlüsselungsalgorithmus (Internet Key Exchange) zu überprüfen, zeigen Sie die Ausgabe von show security internal-security-associationan.
| Firewalls der SRX-Serie | – Beschreibung |
|---|---|
| SRX5400, SRX5600 und SRX5800 |
Standardmäßig sind alle Steuerports deaktiviert. Jede Services Processing Card (SPC) in einem Gerät verfügt über zwei Steuerports, an die mehrere SPCs angeschlossen sein können. Um die Steuerverbindung in einem Gehäusecluster einzurichten, verbinden und konfigurieren Sie die Steuerports, die Sie auf jedem Gerät verwenden ( |
| SRX4600 |
Dedizierte 10-Gigabit-Ethernet-Steuerports und Fabric-Ports sind in Gehäuse-Clustern verfügbar. Für SRX4600-Firewalls ist keine Konfiguration der Steuerverbindung erforderlich. Sie müssen Fabric Link jedoch explizit für Chassis-Cluster-Bereitstellungen konfigurieren. Wenn Sie 1-Gigabit-Ethernet-Schnittstellen für die Steuerports konfigurieren möchten, müssen Sie die Geschwindigkeit explizit mit der operationellen CLI-Befehlsanweisung |
| SRX4100 und SRX4200 |
Dedizierte Steuerports für Gehäuse-Cluster sind verfügbar. Die Konfiguration der Steuerverbindung ist nicht erforderlich. Weitere Informationen zu allen SRX4100 und SRX4200 Ports, einschließlich dedizierter Control Links-Ports und Fabric-Link-Ports, finden Sie unter Grundlegendes zur Nummerierung SRX-Serie Gehäuse-Cluster-Steckplätzen und zur Benennung physischer Ports und logischer Schnittstellen. Wenn sich die Geräte nicht im Cluster-Modus befinden, können dedizierte Chassis-Cluster-Ports nicht als Umsatz- oder Datenverkehrsports verwendet werden. |
| SRX2300, SRX4120 und SRX4300 |
Die Geräte verwenden den dedizierten dualen Steuerport mit MACsec-Unterstützung. |
| SRX1600 |
Die Geräte verwenden den dedizierten dualen Steuerport mit MACsec-Unterstützung. |
| SRX1500 |
Geräte verwenden den dedizierten Steuerport. |
| SRX300, SRX320, SRX340, SRX345 und SRX380. |
Control Link verwendet die ge-0/0/1-Schnittstelle. |
Weitere Informationen zur Port- und Schnittstellennutzung für Management-, Steuer- und Fabric-Links finden Sie unter Grundlegendes zur Nummerierung der Chassis-Cluster-Steckplätze der SRX-Serie und zur Benennung physischer Ports und logischer Schnittstellen.
Beispiel: Konfigurieren von Chassis-Cluster-Steuerports für Control Link
In diesem Beispiel wird gezeigt, wie Steuerports für Gehäusecluster auf den folgenden Geräten konfiguriert werden: SRX5400, SRX5600 und SRX5800. Sie müssen die Steuerports konfigurieren, die Sie auf jedem Gerät verwenden, um die Steuerverbindung einzurichten.
Anforderungen
Bevor Sie beginnen:
Grundlegendes zu den Steuerverbindungen von Gehäuse-Clustern. Weitere Informationen finden Sie unter Grundlegendes zu Chassis-Clustern, Steuerungsebene und Steuerlinks.
Schließen Sie die Steuerports physisch an den Geräten an. Weitere Informationen finden Sie unter Verbinden von Geräten der SRX-Serie zum Erstellen eines Chassis-Clusters.
Überblick
Der Steuerverbindungsverkehr durchläuft die Switches in den Services Processing Cards (SPCs) und erreicht den jeweils anderen Knoten. Bei Firewalls der SRX-Serie befinden sich die Gehäuse-Cluster-Ports an den SPCs im Gehäuse-Cluster. Standardmäßig sind alle Steuerports an SRX5400 Geräten, SRX5600 Geräten und SRX5800 Geräten deaktiviert. Um die Steuerverbindungen einzurichten, schließen Sie die Steueranschlüsse an, konfigurieren die Steueranschlüsse und richten das Gehäuse-Cluster ein.
In diesem Beispiel werden Steuerports mit den folgenden flexiblen PIC-Konzentratoren (FPCs) und Ports als Steuerverbindung konfiguriert:
- FPC 4, Anschluss 0
- FPC 10, Anschluss 0
Konfiguration
- Verfahren
- Überprüfen des Gehäuseclusterstatus
- Überprüfen der Statistiken der Chassis-Cluster Control Plane
Verfahren
CLI Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der [edit] Hierarchieebene ein, und geben Sie sie dann im Konfigurationsmodus ein commit .
{primary:node0}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Steuerports als Steuerverbindung für das Gehäuse-Cluster:
Geben Sie die Steuerports an.
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show chassis cluster Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
user@host# show chassis cluster
...
control-ports {
fpc 4 port 0;
fpc 10 port 0;
}
...
Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.
Überprüfen des Gehäuseclusterstatus
Zweck
Überprüfen Sie den Status des Gehäuse-Clusters.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 0 primary no no
node1 0 secondary no no
Bedeutung
Verwenden Sie den show chassis cluster status Befehl, um zu bestätigen, dass die Geräte im Gehäusecluster miteinander kommunizieren. Die obige Ausgabe zeigt, dass der Chassis-Cluster ordnungsgemäß funktioniert, da ein Gerät der primäre und das andere der sekundäre Knoten ist.
Überprüfen der Statistiken der Chassis-Cluster Control Plane
Zweck
Zeigen Sie Statistiken zur Steuerungsebene des Chassis-Clusters an.
Aktion
Geben Sie in der CLI den show chassis cluster control-plane statistics folgenden Befehl ein:
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
Siehe auch
Übersichtliche Chassis-Cluster-Control-Plane-Statistiken
Um die angezeigten Statistiken der Steuerungsebene des Chassis-Clusters zu löschen, geben Sie den clear chassis cluster control-plane statistics folgenden Befehl in der CLI ein:
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
Wechseln Sie vom Gehäuse-Cluster in den Standalone-Modus
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.