Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Chassis-Cluster-Fabric-Schnittstellen

Geräte der SRX-Serie in einem Chassis-Cluster verwenden die Fabric-Schnittstelle (Fab-Schnittstelle) für die Sitzungssynchronisierung und Weiterleitung des Datenverkehrs zwischen den beiden Chassis. Der Fabric Link ist eine physische Verbindung zwischen zwei Ethernet-Schnittstellen im selben LAN. Beide Schnittstellen müssen vom gleichen Medientyp sein. Weitere Informationen finden Sie in den folgenden Themen:

Grundlegendes zu Chassis-Cluster-Fabric-Schnittstellen

Die Fabric ist eine physische Verbindung zwischen zwei Knoten eines Clusters und wird durch die Verbindung eines Paares von Ethernet-Schnittstellen (eine von jedem Knoten) gebildet.

Anders als bei der Steuerverbindung, deren Schnittstellen vom System bestimmt werden, geben Sie in der Konfiguration die physikalischen Schnittstellen an, die für die Fabric-Datenverknüpfung verwendet werden sollen.

Die Fabric ist die Datenverbindung zwischen den Knoten und dient zur Weiterleitung des Datenverkehrs zwischen den Chassis. Datenverkehr, der auf einem Knoten eintrifft, der auf dem anderen Knoten verarbeitet werden muss, wird über die Fabric-Datenverbindung weitergeleitet. Ebenso wird der auf einem Knoten verarbeitete Datenverkehr, der über eine Schnittstelle auf dem anderen Knoten verlassen werden muss, über die Fabric weitergeleitet.

Die Datenverknüpfung wird als Fabric-Schnittstelle bezeichnet. Es wird von den Packet Forwarding Engines des Clusters verwendet, um Transitverkehr zu übertragen und den dynamischen Laufzeitstatus der Data Plane-Software zu synchronisieren. Die Fabric ermöglicht die Synchronisierung von Sitzungszustandsobjekten, die durch Vorgänge wie Authentifizierung, Network Address Translation (NAT), Application Layer Gateways (ALGs) und IP Security (IPsec)-Sitzungen erstellt werden.

Wenn das System die Fabric-Schnittstelle erstellt, weist die Software ihr eine intern abgeleitete IP-Adresse zu, die für die Paketübertragung verwendet wird.

VORSICHT:

Nachdem Fabric-Schnittstellen auf einem Chassis-Cluster konfiguriert wurden, führt das Entfernen der Fabric-Konfiguration auf einem der beiden Knoten dazu, dass der sekundäre Knoten der Redundanzgruppe 0 (RG0) in einen deaktivierten Zustand versetzt wird. (Durch das Zurücksetzen eines Geräts auf die werkseitige Standardkonfiguration wird die Fabric-Konfiguration entfernt, wodurch der sekundäre RG0-Knoten in einen deaktivierten Zustand versetzt wird.) Nachdem die Fabric-Konfiguration festgeschrieben wurde, setzen Sie keines der Geräte auf die werkseitige Standardkonfiguration zurück.

Unterstützte Fabric-Schnittstellentypen für Firewalls der SRX-Serie (SRX300-Serie, SRX1500, SRX1600, SRX4100/SRX4200, SRX4600 und SRX5000-Reihe)

Bei Chassis-Clustern der SRX-Serie kann der Fabric-Link ein beliebiges Paar Ethernet-Schnittstellen sein, die sich über den Cluster erstrecken. Bei der Fabric-Verbindung kann es sich um ein beliebiges Paar Gigabit-Ethernet-Schnittstellen handeln. Beispiele:

  • Bei SRX300-, SRX320-, SRX340- und SRX345-Geräten kann der Fabric-Link ein beliebiges Paar Gigabit-Ethernet-Schnittstellen sein. Bei SRX380-Geräten kann der Fabric-Link ein beliebiges Paar Gigabit-Ethernet-Schnittstellen oder ein beliebiges Paar 10-Gigabit-Ethernet-Schnittstellen sein.

  • Für SRX1500 und SRX1600 kann die Fabric-Verbindung ein beliebiges Paar von Ethernet-Schnittstellen sein, die sich über den Cluster erstrecken. Bei der Fabric-Verbindung kann es sich um ein beliebiges Paar Gigabit-Ethernet-Schnittstellen oder ein beliebiges Paar von 10-Gigabit-Ethernet-Schnittstellen handeln. Zum SRX1600 kann die Fabric-Verbindung auch ein beliebiges Paar 25-Gigabit-Ethernet-Schnittstellen sein.

  • Unterstützte Fabric-Schnittstellentypen für SRX4100- und SRX4200-Geräte sind 10-Gigabit Ethernet (xe) (10-Gigabit-Ethernet-Schnittstelle SFP+-Steckplätze).

  • Unterstützte Fabric-Schnittstellentypen für SRX4600 Geräte sind 40-Gigabit-Ethernet (et) (40-Gigabit-Ethernet-Schnittstellen-QSFP-Steckplätze) und 10-Gigabit-Ethernet (xe).

  • Folgende Fabric-Schnittstellentypen werden für Geräte der SRX5000-Reihe unterstützt:

    • Fast Ethernet

    • Gigabit-Ethernet

    • 10-Gigabit-Ethernet

    • 40-Gigabit-Ethernet

    • 100-Gigabit-Ethernet

      Ab Junos OS Version 12.1X46-D10 und Junos OS Version 17.3R1 wird die 100-Gigabit-Ethernet-Schnittstelle auf Geräten der SRX5000 Reihe unterstützt.

      Ab Junos OS Version 19.3R1 werden SRX5K-IOC4-10G und SRX5K-IOC4-MRAT zusammen mit SRX5K-SPC3 auf den Geräten der SRX5000 Reihe unterstützt. SRX5K-IOC4-10G MPIC unterstützt MACsec.

Ausführliche Informationen zur Port- und Schnittstellennutzung für Management-, Steuerungs- und Fabric-Links finden Sie unter Grundlegendes zur Nummerierung der Chassis-Cluster der SRX-Serie und zur Benennung physischer Ports und logischer Schnittstellen.

Jumbo-Frame-Unterstützung

Die Fabric-Datenverknüpfung unterstützt keine Fragmentierung. Um diesem Zustand Rechnung zu tragen, ist die Jumbo-Frame-Unterstützung standardmäßig auf der Verbindung mit einer maximalen MTU-Größe (Transmission Unit) von 9014 Byte (9000 Byte Nutzlast + 14 Byte für den Ethernet-Header) auf Firewalls der SRX-Serie aktiviert. Um sicherzustellen, dass der Datenverkehr, der die Datenverbindung überträgt, diese Größe nicht überschreitet, wird empfohlen, dass keine anderen Schnittstellen die MTU-Größe der Fabric-Datenverbindung überschreiten.

Grundlegendes zu Fabric-Schnittstellen auf Geräten der SRX5000-Reihe für IOC2 und IOC3

Beginnend mit Junos OS Version 15.1X49-D10 werden die SRX5K-MPC3-100G10G (IOC3) und die SRX5K-MPC3-40G10G (IOC3) eingeführt.

Der SRX5K-MPC (IOC2) ist ein modularer Portkonzentrator (MPC), der auf den SRX5400, SRX5600 und SRX5800 unterstützt wird. Diese Schnittstellenkarte akzeptiert modulare Schnittstellenkarten (MICs), die Ihrem Services Gateway Ethernet-Ports hinzufügen, um die physischen Verbindungen zu verschiedenen Netzwerkmedientypen bereitzustellen. Die MPCs und MICs unterstützen Fabric-Links für Chassis-Cluster. Der SRX5K-MPC bietet 10-Gigabit-Ethernet (mit 10 x 10 GE MIC), 40-Gigabit-Ethernet, 100-Gigabit-Ethernet und 20 x 1 GE Ethernet-Ports als Fabric-Ports. Auf SRX5400 Geräten werden nur SRX5K-MPCs (IOC2) unterstützt.

Der SRX5K-MPC3-100G10G (IOC3) und der SRX5K-MPC3-40G10G (IOC3) sind modulare Portkonzentratoren (MPCs), die auf den SRX5400, SRX5600 und SRX5800 unterstützt werden. Diese Schnittstellenkarten akzeptieren modulare Schnittstellenkarten (MICs), die Ihrem Services Gateway Ethernet-Ports hinzufügen, um die physischen Verbindungen zu verschiedenen Netzwerkmedientypen bereitzustellen. Die MPCs und MICs unterstützen Fabric-Links für Chassis-Cluster.

Die beiden Arten von IOC3 Modular Port Concentrators (MPCs), die über unterschiedliche integrierte MICs verfügen, sind der 24x10GE + 6x40GE MPC und der 2x100GE + 4x10GE MPC.

Aufgrund von Strom- und Wärmebeschränkungen können nicht alle vier PICs des 24x10GE + 6x40GE eingeschaltet werden. Es können maximal zwei PICs gleichzeitig eingeschaltet werden.

Verwenden Sie den set chassis fpc <slot> pic <pic> power off Befehl, um die PICs auszuwählen, die Sie einschalten möchten.

Wenn auf SRX5400-, SRX5600- und SRX5800-Geräten in einem Chassis-Cluster die PICs mit Fabric-Links auf dem SRX5K-MPC3-40G10G (IOC3) ausgeschaltet werden, um alternative PICs zu aktivieren, stellen Sie immer Folgendes sicher:

  • Die neuen Fabric-Links werden auf den neuen PICs konfiguriert, die aktiviert sind. Mindestens eine Fabric-Verbindung muss vorhanden und online sein, um einen minimalen RTO-Verlust zu gewährleisten.

  • Der Chassis-Cluster befindet sich im Aktiv-Passiv-Modus, um einen minimalen RTO-Verlust zu gewährleisten, sobald alternative Verbindungen online geschaltet werden.

  • Wenn auf den aktivierten PICs keine alternativen Fabric-Links konfiguriert sind, wird die synchrone RTO-Kommunikation zwischen den beiden Knoten angehalten, und der Sitzungsstatus des Chassis-Clusters wird nicht gesichert, da der Fabric-Link fehlt. Sie können die CLI-Ausgabe für dieses Szenario anzeigen, die einen fehlerhaften Chassis-Cluster-Status anzeigt, indem Sie den show chassis cluster interfaces Befehl verwenden.

Grundlegendes zu Sitzungs-RTOs

Die Data Plane-Software, die im Aktiv/Aktiv-Modus arbeitet, verwaltet die Datenflussverarbeitung und Sitzungsstatusredundanz und verarbeitet den Transitdatenverkehr. Alle Pakete, die zu einer bestimmten Sitzung gehören, werden auf demselben Knoten verarbeitet, um sicherzustellen, dass die gleiche Sicherheitsbehandlung auf sie angewendet wird. Das System identifiziert den Knoten, auf dem eine Sitzung aktiv ist, und leitet seine Pakete zur Verarbeitung an diesen Knoten weiter. (Nachdem ein Paket verarbeitet wurde, überträgt die Paketweiterleitungs-Engine das Paket an den Knoten, auf dem sich die Ausgangsschnittstelle befindet, wenn es sich bei diesem Knoten nicht um den lokalen Knoten handelt.)

Um Sitzungs- (oder Flow-) Redundanz zu gewährleisten, synchronisiert die Data-Plane-Software ihren Status, indem sie spezielle Nutzlastpakete, sogenannte Runtime Objects (RTOs), von einem Knoten zum anderen über die Fabric-Datenverbindung sendet. Durch die Übertragung von Informationen über eine Sitzung zwischen den Knoten stellen RTOs die Konsistenz und Stabilität von Sitzungen sicher, falls ein Failover auftreten sollte, und ermöglichen es dem System somit, den Datenverkehr bestehender Sitzungen weiter zu verarbeiten. Um sicherzustellen, dass Sitzungsinformationen immer zwischen den beiden Knoten synchronisiert werden, räumt die Data Plane-Software RTOs Übertragungspriorität vor dem Transitverkehr ein.

Die Data Plane-Software erstellt RTOs für UDP- und TCP-Sitzungen und verfolgt Zustandsänderungen. Außerdem wird der Datenverkehr für IPv4-Pass-Through-Protokolle wie Generic Routing Encapsulation (GRE) und IPsec synchronisiert.

Zu den RTOs für die Synchronisierung einer Sitzung gehören:

  • RTOs für die Sitzungserstellung für das erste Paket

  • RTOs zum Löschen von Sitzungen und zum Altern

  • Change-bezogene RTOs, einschließlich:

    • Änderungen des TCP-Status

    • Timeout-Synchronisierungsanforderungs- und Antwortnachrichten

    • RTOs zum Erstellen und Löschen von temporären Öffnungen in der Firewall (Pinholes) und Pinholes für untergeordnete Sitzungen

Grundlegendes zur Datenweiterleitung

Bei Junos OS erfolgt die Datenstromverarbeitung auf einem einzelnen Knoten, auf dem die Sitzung für diesen Datenfluss eingerichtet wurde und aktiv ist. Dieser Ansatz stellt sicher, dass die gleichen Sicherheitsmaßnahmen auf alle Pakete angewendet werden, die zu einer Sitzung gehören.

Ein Chassis-Cluster kann Datenverkehr auf einer Schnittstelle auf einem Knoten empfangen und an eine Schnittstelle auf dem anderen Knoten senden. (Im Aktiv/Aktiv-Modus kann die Eingangsschnittstelle für Datenverkehr auf einem Knoten und die Ausgangsschnittstelle auf dem anderen Knoten vorhanden sein.)

Dieser Durchlauf ist in den folgenden Situationen erforderlich:

  • Wenn Pakete auf einem Knoten verarbeitet werden, aber über eine Ausgangsschnittstelle auf dem anderen Knoten weitergeleitet werden müssen

  • Wenn Pakete auf einer Schnittstelle auf einem Knoten ankommen, aber auf dem anderen Knoten verarbeitet werden müssen

    Wenn sich die Eingangs- und Ausgangsschnittstellen für ein Paket auf einem Knoten befinden, das Paket jedoch auf dem anderen Knoten verarbeitet werden muss, weil seine Sitzung dort aufgebaut wurde, muss es die Datenverbindung zweimal durchlaufen. Dies kann bei einigen komplexen Mediensitzungen der Fall sein, z. B. bei VoIP-Sitzungen (Voice-over-IP).

Grundlegendes zum Ausfall und zur Wiederherstellung von Fabric-Datenverbindungen

Intrusion Detection and Prevention (IDP)-Services unterstützen kein Failover. Aus diesem Grund werden IDP-Dienste nicht für Sitzungen angewendet, die vor dem Failover vorhanden waren. IDP-Services werden auf neue Sitzungen angewendet, die auf dem neuen primären Knoten erstellt werden.

Die Fabric-Datenverbindung ist für das Chassis-Cluster von entscheidender Bedeutung. Wenn die Verbindung nicht verfügbar ist, sind die Weiterleitung des Datenverkehrs und die RTO-Synchronisierung beeinträchtigt, was zu Datenverkehrsverlusten und unvorhersehbarem Systemverhalten führen kann.

Um diese Möglichkeit auszuschließen, verwendet Junos OS die Fabric-Überwachung, um zu überprüfen, ob der Fabric-Link oder die beiden Fabric-Links im Falle einer Dual-Fabric-Link-Konfiguration aktiv sind, indem in regelmäßigen Abständen Sondierungen über die Fabric-Links übertragen werden. Wenn Junos OS Fabric-Fehler erkennt, ändert sich der RG1+-Status des sekundären Knotens in "Nicht zulässig". Es wird festgestellt, dass ein Fabric-Fehler aufgetreten ist, wenn kein Fabric-Test empfangen wird, die Fabric-Schnittstelle jedoch aktiv ist. Um diesen Zustand wiederherzustellen, müssen beide Fabric-Links wieder in den Onlinezustand zurückkehren und sollten mit dem Austausch von Tests beginnen. Sobald dies geschieht, werden alle FPCs auf dem zuvor nicht berechtigten Knoten zurückgesetzt. Sie wechseln dann in den Online-Status und treten dem Cluster wieder bei.

Wenn Sie Änderungen an der Konfiguration vornehmen, während der sekundäre Knoten deaktiviert ist, führen Sie den Befehl zum Synchronisieren der Konfiguration aus, nachdem Sie den commit Knoten neu gestartet haben. Wenn Sie keine Konfigurationsänderungen vorgenommen haben, bleibt die Konfigurationsdatei mit der des primären Knotens synchronisiert.

Ab Junos OS Version 12.1X47-D10 und Junos OS Version 17.3R1 ist die Fabric-Überwachungsfunktion standardmäßig auf SRX5800-, SRX5600- und SRX5400 Geräten aktiviert.

Ab Junos OS Version 12.1X47-D10 und Junos OS Version 17.3R1 erfolgen die Wiederherstellung der Fabric Link und die Synchronisierung automatisch.

Wenn sowohl der primäre als auch der sekundäre Knoten fehlerfrei sind (d. h., keine Fehler auftreten) und die Fabric-Verbindung ausfällt, sind RG1+-Redundanzgruppen auf dem sekundären Knoten nicht mehr zulässig. Wenn einer der Knoten fehlerhaft ist (d. h., ein Fehler auftritt), sind RG1+-Redundanzgruppen auf diesem Knoten (entweder der primäre oder der sekundäre Knoten) nicht mehr zulässig. Wenn beide Knoten fehlerhaft sind und die Fabric-Verbindung ausfällt, sind die RG1+-Redundanzgruppen auf dem sekundären Knoten nicht mehr zulässig. Wenn der Fabric-Link hochgefahren wird, führt der Knoten, auf dem RG1+ nicht mehr berechtigt war, eine kalte Synchronisierung auf allen Services Processing Units durch und wechselt in den aktiven Standby-Modus.

  • Wenn RG0 primär auf einem fehlerhaften Knoten ist, führt RG0 ein Failover von einem fehlerhaften zu einem fehlerfreien Knoten durch. Wenn z. B. Knoten 0 primär für RG0+ ist und Knoten 0 fehlerhaft wird, wird RG1+ auf Knoten 0 nach 66 Sekunden nach einem Ausfall der Fabric-Verbindung in "Nicht zulässig" überführt, und RG0+ führt ein Failover auf Knoten 1 durch, bei dem es sich um den fehlerfreien Knoten handelt.

  • Nur RG1+ wechselt in einen nicht berechtigten Zustand. RG0 befindet sich weiterhin entweder in einem primären oder sekundären Zustand.

Verwenden Sie den CLI-Befehl, um den Status des Fabric-Links show chassis cluster interfaces zu überprüfen.

Siehe auch

Beispiel: Konfigurieren der Chassis-Cluster-Fabric-Schnittstellen

In diesem Beispiel wird gezeigt, wie die Chassis-Cluster-Fabric konfiguriert wird. Die Fabric ist die Back-to-Back-Datenverbindung zwischen den Knoten in einem Cluster. Datenverkehr auf einem Knoten, der auf dem anderen Knoten verarbeitet oder über eine Schnittstelle auf dem anderen Knoten verlassen werden muss, läuft über die Fabric. Sitzungszustandsinformationen werden ebenfalls über die Fabric übertragen.

Anforderungen

Bevor Sie beginnen, legen Sie die Chassis-Cluster-ID und die Chassis-Cluster-Knoten-ID fest. Siehe Beispiel: Festlegen der Knoten-ID und Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster .

Übersicht

In den meisten Firewalls der SRX-Serie in einem Chassis-Cluster können Sie ein beliebiges Paar Gigabit-Ethernet-Schnittstellen oder ein beliebiges Paar von 10-Gigabit-Schnittstellen so konfigurieren, dass es als Fabric zwischen den Knoten dient.

Sie können keine Filter, Richtlinien oder Dienste auf der Fabric-Schnittstelle konfigurieren. Die Fragmentierung wird auf der Fabric-Verbindung nicht unterstützt. Die maximale MTU-Größe für Fabric-Schnittstellen beträgt 9014 Byte und die maximale MTU-Größe für andere Schnittstellen 8900 Byte. Die Jumbo-Frame-Unterstützung für die Profilverknüpfungen ist standardmäßig aktiviert.

In diesem Beispiel wird veranschaulicht, wie der Fabric-Link konfiguriert wird.

Nur derselbe Schnittstellentyp kann als untergeordnete Fabric-Elemente konfiguriert werden, und Sie müssen die gleiche Anzahl von untergeordneten Verknüpfungen für fab0 und fab1konfigurieren.

Wenn Sie die einzelnen Fabric-Links über einen Switch verbinden, müssen Sie die Jumbo-Frame-Funktion auf den entsprechenden Switch-Ports aktivieren. Wenn beide Fabric-Links über denselben Switch verbunden sind, muss sich das RTO-und-Probe-Paar in einem virtuellen LAN (VLAN) und das Datenpaar in einem anderen VLAN befinden. Auch hier muss die Jumbo-Frame-Funktion an den entsprechenden Switch-Ports aktiviert sein.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die Chassis-Cluster-Fabric:

  • Geben Sie die Fabric-Schnittstellen an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show interfaces Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfung

Überprüfen der Chassis-Cluster-Fabric

Zweck

Überprüfen Sie die Chassis-Cluster-Fabric.

Aktion

Geben Sie im Betriebsmodus den show interfaces terse | match fab Befehl ein.

Überprüfen von Chassis-Cluster-Data-Plane-Schnittstellen

Zweck

Zeigt den Status der Schnittstelle der Data Plane-Schnittstelle des Chassis-Clusters an.

Aktion

Geben Sie in der CLI den show chassis cluster data-plane interfaces folgenden Befehl ein:

Anzeigen von Chassis-Cluster-Data-Plane-Statistiken

Zweck

Zeigen Sie die Datenebenenstatistiken des Chassis-Clusters an.

Aktion

Geben Sie in der CLI den show chassis cluster data-plane statistics folgenden Befehl ein:

Löschen der Data Plane-Statistik des Chassis-Clusters

Um die angezeigten Statistiken zur Data Plane-Ebene des Chassis-Clusters zu löschen, geben Sie den clear chassis cluster data-plane statistics folgenden Befehl in der CLI ein:

Siehe auch

Zugehörige Dokumentation

Tabelle der Versionshistorie
Release
Beschreibung
19.3R1
Ab Junos OS Version 19.3R1 werden SRX5K-IOC4-10G und SRX5K-IOC4-MRAT zusammen mit SRX5K-SPC3 auf den Geräten der SRX5000 Reihe unterstützt. SRX5K-IOC4-10G MPIC unterstützt MACsec.
15.1X49-D10
Beginnend mit Junos OS Version 15.1X49-D10 werden die SRX5K-MPC3-100G10G (IOC3) und die SRX5K-MPC3-40G10G (IOC3) eingeführt.
12,1 x 47 cm
Ab Junos OS Version 12.1X47-D10 und Junos OS Version 17.3R1 ist die Fabric-Überwachungsfunktion standardmäßig auf SRX5800-, SRX5600- und SRX5400 Geräten aktiviert.
12,1 x 47 cm
Ab Junos OS Version 12.1X47-D10 und Junos OS Version 17.3R1 erfolgen die Wiederherstellung der Fabric Link und die Synchronisierung automatisch.
12,1 x 46 cm
Ab Junos OS Version 12.1X46-D10 und Junos OS Version 17.3R1 wird die 100-Gigabit-Ethernet-Schnittstelle auf Geräten der SRX5000 Reihe unterstützt.