Schnittstellen der Steuerungsebene von Chassis-Clustern
Sie können Schnittstellen der Steuerungsebene verwenden, um den Kernelstatus zwischen Routing-Engines auf Firewalls der SRX-Serie in einem Chassis-Cluster zu synchronisieren. Schnittstellen der Steuerungsebene stellen die Verbindung zwischen den beiden Knoten im Cluster her.
Steuerungsebenen verwenden diesen Link für Folgendes:
-
Kommunizieren Sie die Knotenerkennung.
-
Behält den Sitzungsstatus für einen Cluster bei.
-
Greifen Sie auf die Konfigurationsdatei zu.
-
Erkennen Sie Lebendigkeitssignale über die Knoten hinweg.
Chassis-Cluster-Steuerungsebene und Steuerverbindungen
Die Software der Steuerungsebene, die im aktiven Modus oder im Backup-Modus ausgeführt wird, ist ein integraler Bestandteil von Junos OS, der auf dem primären Knoten eines Clusters aktiv ist. Es erreicht Redundanz, indem es Status, Konfiguration und andere Informationen an die inaktive Routing-Engine auf dem sekundären Knoten übermittelt. Wenn die primäre Routing-Engine ausfällt, ist die sekundäre Routing-Engine bereit, die Kontrolle zu übernehmen.
Die Software der Steuerungsebene:
-
Wird auf der Routing-Engine ausgeführt.
-
Überwacht das gesamte Chassis-Cluster-System , einschließlich der Schnittstellen auf beiden Knoten.
-
Verwaltet Ressourcen auf System- und Datenebene, einschließlich der Packet Forwarding Engine (PFE) auf jedem Knoten.
-
Synchronisiert die Konfiguration über die Steuerverbindung.
-
Richtet Sitzungen ein und verwaltet sie, einschließlich Authentifizierungs-, Autorisierungs- und Abrechnungsfunktionen (AAA).
-
Verwaltet anwendungsspezifische Signalisierungsprotokolle.
-
Richtet Verwaltungssitzungen ein und verwaltet sie, z. B. Telnet-Verbindungen.
-
Verarbeitet asymmetrisches Routing.
-
Verwaltet den Routing-Status, die ARP-Verarbeitung (Address Resolution Protocol) und die DHCP-Verarbeitung (Dynamic Host Configuration Protocol).
Die Informationen aus der Steuerungsebenensoftware folgen zwei Pfaden:
-
Auf dem primären Knoten (auf dem die Routing-Engine aktiv ist) fließen Steuerungsinformationen von der Routing-Engine zur lokalen Paketweiterleitungs-Engine.
-
Steuerungsinformationen fließen über die Steuerungsverbindung zur Routing-Engine und Paketweiterleitungs-Engine des sekundären Knotens.
Die Software der Steuerungsebene, die auf der primären Routing-Engine ausgeführt wird, behält den Status für den gesamten Cluster bei. Nur die Prozesse, die auf demselben Knoten wie die Software der Steuerungsebene ausgeführt werden, können Statusinformationen aktualisieren. Die primäre Routing-Engine synchronisiert den Status für den sekundären Knoten und verarbeitet außerdem den gesamten Hostdatenverkehr.
Chassis-Cluster-Steuerverbindungen
Die Steuerungsschnittstellen stellen die Steuerungsverbindung zwischen den beiden Knoten im Cluster dar und werden für Routing-Updates und für den Signalverkehr der Steuerungsebene verwendet, z. B. Takt- und Schwellenwertinformationen, die ein Knotenfailover auslösen. Die Steuerverbindung synchronisiert auch die Konfiguration zwischen den Knoten. Wenn Sie Konfigurationsanweisungen an den Cluster senden, synchronisiert die Steuerungsverknüpfung die Konfiguration automatisch.
Die Steuerungsverbindung basiert auf einem proprietären Protokoll, um den Sitzungsstatus, die Konfiguration und den Lebendigkeitsstatus über die Knoten zu übertragen.
Ab Junos OS Version 19.3R1 wird das Gerät SRX5K-RE3-128G zusammen mit dem Gerät SRX5K-SPC3 auf den Geräten der SRX5000 Reihe unterstützt. Die Steuerschnittstellen ixlv0 und igb0 werden zur Konfiguration des Geräts SRX5K-RE3-128G verwendet. Steuerungsverknüpfungen steuern die Kommunikation zwischen der Steuerungsebene, der Datenebene und den Taktmeldungen.
Einzelne Steuerverbindung in einem Chassis-Cluster
Für eine einzelne Steuerverbindung in einem Chassis-Cluster müssen Sie denselben Steueranschluss für die Steuerverbindungsverbindung und für die Konfiguration auf beiden Knoten verwenden.
Wenn Sie beispielsweise Port 0 als Steuerungsport auf Knoten 0 konfigurieren, müssen Sie Port 0 als Steuerungsport auf Knoten 1 konfigurieren. Sie müssen die Anschlüsse mit einem Kabel verbinden.
Dual Control Link in einem Chassis-Cluster
Sie müssen duale Steuerverbindungen direkt in einem Chassis-Cluster anschließen. Querverbindungen, d. h. das Verbinden von Port 0 auf einem Knoten mit Port 1 auf dem anderen Knoten und umgekehrt, funktionieren nicht.
Für Dual-Control-Verbindungen müssen Sie die folgenden Verbindungen herstellen:
-
Verbinden Sie den Steuerungsport 0 auf Knoten 0 mit dem Steuerungsport 0 auf Knoten 1.
-
Verbinden Sie Steuerungsport 1 auf Knoten 0 mit Steuerungsport 1 auf Knoten 1.
Verschlüsselung auf der Chassis-Cluster-Steuerverbindung
Chassis-Cluster-Steuerlinks unterstützen eine optionale verschlüsselte Sicherheitsfunktion, die Sie konfigurieren und aktivieren können.
Beachten Sie, dass in der Sicherheitsdokumentation von Juniper Networks von Chassis-Cluster die Rede ist, wenn es sich um Hochverfügbarkeits-Steuerverbindungen (HA) handelt. Sie sehen weiterhin die Abkürzung ha , die in Befehlen anstelle von chassis-cluster verwendet wird.
Der Zugriff auf den Kontrolllink verhindert, dass sich Hacker ohne Authentifizierung über den Kontrolllink beim System anmelden, wobei der Telnet-Zugriff deaktiviert ist. Mit dem internen IPsec-Schlüssel für die interne Kommunikation zwischen Geräten werden die Konfigurationsinformationen, die über die Chassis-Cluster-Verbindung vom primären Knoten zum sekundären Knoten übertragen werden, verschlüsselt. Ohne den IPsec-Schlüssel kann ein Angreifer keine Zugriffsrechte erlangen oder den Datenverkehr beobachten.
Um diese Funktion zu aktivieren, führen Sie den set security ipsec internal security-association manual encryption ike-ha-link-encryption enable Konfigurationsbefehl aus.
Sie müssen beide Knoten neu starten, um diese Konfiguration zu aktivieren.
Die Verschlüsselung der Chassis-Cluster-Control-Verbindung mit IPsec wird auf Geräten der SRX4600-Reihe, SRX5000-Reihe und vSRX Virtual Firewall-Plattformen unterstützt.
Wenn der Chassis-Cluster ausgeführt wird und der IPsec-Schlüssel bereits konfiguriert ist, können Sie beliebige Änderungen am Schlüssel vornehmen, ohne das Gerät neu zu starten. In diesem Fall müssen Sie den Schlüssel nur auf einem Knoten ändern.
Wenn die IPsec-Schlüsselverschlüsselung konfiguriert ist, müssen Sie für alle Konfigurationsänderungen in der internen Sicherheitshierarchie (SA) beide Knoten neu starten. Um den konfigurierten IKE-Chassis-Cluster-Link-Verschlüsselungsalgorithmus (Internet Key Exchange) zu überprüfen, zeigen Sie die Ausgabe von show security internal-security-association.
| Beschreibung | der Firewalls der SRX-Serie |
|---|---|
| SRX5400, SRX5600 und SRX5800 |
Standardmäßig sind alle Steuerports deaktiviert. Jede Services Processing Card (SPC) in einem Gerät verfügt über zwei Steuerports, und an jedes Gerät können mehrere SPCs angeschlossen werden. Um die Steuerverbindung in einem Chassis-Cluster einzurichten, verbinden und konfigurieren Sie die Steuerports, die Sie auf jedem Gerät verwenden ( |
| SRX4600 |
Dedizierte Chassis-Cluster-Control-Ports und Fabric-Ports sind verfügbar. Für SRX4600 Geräte ist keine Konfiguration der Steuerverbindung erforderlich. Sie müssen Fabric Link jedoch explizit für Chassis-Cluster-Bereitstellungen konfigurieren. Wenn Sie 1-Gigabit-Ethernet-Schnittstellen für die Steuerports konfigurieren möchten, müssen Sie die Geschwindigkeit explizit mit der Befehlsanweisung |
| SRX4100 und SRX4200 |
Dedizierte Chassis-Cluster-Steuerports sind verfügbar. Die Konfiguration der Steuerverbindung ist nicht erforderlich. Weitere Informationen zu allen SRX4100 Ports und SRX4200-Ports, einschließlich dedizierter Control-Link-Ports und Fabric-Link-Ports, finden Sie unter Grundlegendes zur Slot-Nummerierung des Chassis-Clusters der SRX-Serie und zur Benennung physischer Ports und logischer Schnittstellen. Wenn sich Geräte nicht im Cluster-Modus befinden, können dedizierte Chassis-Cluster-Ports nicht als Umsatz-Ports oder Datenverkehrs-Ports verwendet werden. |
| SRX2300 und SRX4300 |
Geräte verwenden den dedizierten Dual-Control-Port mit MACsec-Unterstützung. |
| SRX1600 |
Geräte verwenden den dedizierten Dual-Control-Port mit MACsec-Unterstützung. |
| SRX1500 |
Geräte verwenden den dedizierten Steuerport. |
| SRX300, SRX320, SRX340, SRX345 und SRX380. |
Control Link verwendet die ge-0/0/1-Schnittstelle. |
Ausführliche Informationen zur Port- und Schnittstellennutzung für Management-Links, Control-Links und Fabric-Links finden Sie unter Grundlegendes zur Nummerierung der Cluster-Steckplätze der SRX-Serie und zur Benennung physischer Ports und logischer Schnittstellen.
Beispiel: Konfigurieren der Steueranschlüsse des Chassis-Clusters für die Steuerverbindung
In diesem Beispiel wird gezeigt, wie die Steuerports des Chassis-Clusters auf den folgenden Geräten konfiguriert werden: SRX5400, SRX5600 und SRX5800. Sie müssen die Steuerports konfigurieren, die Sie auf jedem Gerät verwenden werden, um die Steuerungsverbindung einzurichten.
Anforderungen
Bevor Sie beginnen:
Verstehen der Steuerverbindungen von Chassis-Clustern. Weitere Informationen finden Sie unter Grundlegendes zur Chassis-Cluster-Steuerungsebene und zu Steuerverbindungen.
Verbinden Sie die Steueranschlüsse physisch mit den Geräten. Weitere Informationen finden Sie unter Verbinden von Geräten der SRX-Serie zum Erstellen eines Chassis-Clusters.
Überblick
Der Datenverkehr der Steuerungsverbindung durchläuft die Switches in den Services Processing Cards (SPCs) und erreicht den anderen Knoten. Bei Firewalls der SRX-Serie befinden sich die Chassis-Cluster-Ports an den SPCs im Chassis-Cluster. Standardmäßig sind alle Steuerports auf SRX5400 Geräten, SRX5600 Geräten und SRX5800 Geräten deaktiviert. Zum Einrichten der Steuerverbindungen verbinden Sie die Steueranschlüsse, konfigurieren die Steueranschlüsse und richten den Chassis-Cluster ein.
In diesem Beispiel werden Steuerports mit den folgenden flexiblen PIC-Konzentratoren (FPCs) und Ports als Steuerverbindung konfiguriert:
- FPC 4, Port 0
- FPC 10, Port 0
Konfiguration
- Verfahren
- Überprüfen des Chassis-Cluster-Status
- Überprüfen der Statistik der Chassis-Cluster-Steuerungsebene
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein, und wechseln commit Sie dann in den Konfigurationsmodus.
{primary:node0}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Steueranschlüsse als Steuerverbindung für das Chassis-Cluster:
Geben Sie die Steuerports an.
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show chassis cluster Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
user@host# show chassis cluster
...
control-ports {
fpc 4 port 0;
fpc 10 port 0;
}
...
Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.
Überprüfen des Chassis-Cluster-Status
Zweck
Überprüfen Sie den Status des Chassis-Clusters.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 0 primary no no
node1 0 secondary no no
Bedeutung
Verwenden Sie den show chassis cluster status Befehl, um zu bestätigen, dass die Geräte im Chassis-Cluster miteinander kommunizieren. Die obige Ausgabe zeigt, dass der Chassis-Cluster ordnungsgemäß funktioniert, da ein Gerät der primäre und das andere der sekundäre Knoten ist.
Überprüfen der Statistik der Chassis-Cluster-Steuerungsebene
Zweck
Zeigen Sie die Statistiken der Steuerungsebene des Chassis-Clusters an.
Aktion
Geben Sie in der CLI den show chassis cluster control-plane statistics folgenden Befehl ein:
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
Siehe auch
Löschen Sie die Statistik der Chassis-Cluster-Steuerungsebene
Um die angezeigten Statistiken der Chassis-Cluster-Steuerungsebene zu löschen, geben Sie den clear chassis cluster control-plane statistics folgenden Befehl in der CLI ein:
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
Wechsel vom Chassis-Cluster- in den Standalone-Modus
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.