Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gehäuse-Cluster-Fabric-Schnittstellen

Geräte der SRX-Serie in einem Gehäuse-Cluster nutzen die Fabric-Schnittstelle (fab) für die Sitzungssynchronisierung und die Weitergeleitet des Datenverkehrs zwischen den beiden Gehäusen. Bei dem Fabric-Link handelt es sich um eine physische Verbindung zwischen zwei Ethernet-Schnittstellen in demselben LAN. Beide Schnittstellen müssen denselben Medientyp haben. Weitere Informationen finden Sie in den folgenden Themen:

Grundlegende Informationen zu Gehäuse-Cluster-Fabric-Schnittstellen

Die Fabric ist eine physische Verbindung zwischen zwei Knoten eines Clusters und entsteht durch die Verbindung eines Paars von Ethernet-Schnittstellen Back-to-Back (einer von jedem Knoten).

Im Gegensatz zur Steuerverbindung, deren Schnittstellen vom System bestimmt werden, geben Sie die physischen Schnittstellen an, die für die Fabric-Datenverbindung in der Konfiguration verwendet werden sollen.

Die Fabric ist die Datenverbindung zwischen den Knoten und wird zur Weiterverarbeitung des Datenverkehrs zwischen dem Gehäuse verwendet. Datenverkehr, der an einem Knoten kommt, der auf dem anderen verarbeitet werden muss, wird über die Fabric-Datenverbindung weitergeleitet. Ebenso wird Datenverkehr, der von einem Knoten verarbeitet wird, der durch eine Schnittstelle auf dem anderen Knoten verlassen muss, über die Fabric weitergeleitet.

Die Datenverbindung wird als Fabric-Schnittstelle bezeichnet. Sie wird von den Packet Forwarding Engines des Clusters zur Übertragung des Transitdatenverkehrs und zur Synchronisation des dynamischen Laufzeitzustands der Datenebene-Software verwendet. Die Fabric ermöglicht die Synchronisierung von Sitzungsstatusobjekten, die durch Operationen wie Authentifizierung, Network Address Translation (NAT), Anwendungsebene Gateways (ALGs) und IP-Sicherheit (IPsec)-Sitzungen erstellt werden.

Wenn das System die Fabric-Schnittstelle erstellt, weist die Software dieser eine intern abgeleitete IP-Adresse zu, die zur Paketübertragung verwendet wird.

VORSICHT:

Nachdem die Fabric-Schnittstellen auf einem Gehäusecluster konfiguriert wurden, wird durch das Entfernen der Fabric-Konfiguration auf den beiden Knoten die sekundäre Redundanzgruppe 0 (RG0) in einen deaktivierten Status verschoben. (Ein Gerät wird wieder so konfiguriert, dass die Werkseinstellungen des Geräts entfernt werden. Dadurch wird der sekundäre Knoten RG0 in einen deaktivierten Status verschoben.) Setzen Sie die Fabric-Konfiguration nicht auf die Werkseinstellungen zurück, nachdem die Fabric-Konfiguration festgelegt wurde.

Unterstützte Fabric-Schnittstellentypen für Geräte der SRX-Serie (SRX300-Serie, SRX550M, SRX1500, SRX4100/SRX4200, SRX4600 und SRX5000-Serie)

Bei Chassis-Clustern der SRX-Serie kann es sich um beliebige Ethernet-Schnittstellen im Cluster, kann ein beliebiges Gigabit Ethernet-Schnittstellenpaar sein. Beispiele:

  • Für SRX300-, SRX320-, SRX340-, SRX550M- und SRX345-Geräte kann die Fabric-Verbindung ein beliebiges Paar Gigabit Ethernet-Schnittstellen sein. Bei SRX380-Geräten kann die Fabric-Verbindung ein beliebiges Paar Gigabit Ethernet-Schnittstellen oder ein beliebiges Paar 10-Gigabit Ethernet-Schnittstellen sein.

  • Für Chassis-Cluster der SRX-Serie, die aus SRX550M-Geräten besteht, können SFP-Schnittstellen auf Mini-PIMs nicht als Fabric-Link verwendet werden.

  • Für SRX1500 kann es sich bei der Fabric-Verbindung um beliebige Ethernet-Schnittstellen im Cluster, Fabric-Verbindungen können aus beliebigen Gigabit Ethernet-Schnittstellen oder paaren 10-Gigabit Ethernet-Schnittstellen hergestellt werden.

  • Die unterstützten Fabric-Schnittstellentypen für SRX4100- und SRX4200-Geräte sind 10-Gigabit Ethernet-Schnittstellen (xe) (10-Gigabit Ethernet-Schnittstellen-SFP+-Steckplätze).

  • Zu den unterstützten Fabric-Schnittstellentypen für SRX4600-Geräte gehören 40-Gigabit Ethernet (et) (40-Gigabit Ethernet-Schnittstellen-QSFP-Steckplätze) und 10-Gigabit Ethernet (xe).

  • Zu den unterstützten Fabric-Schnittstellentypen, die von Geräten der SRX5000-Reihe unterstützt werden, gehören:

    • Fast Ethernet

    • Gigabit Ethernet

    • 10-Gigabit Ethernet

    • 40-Gigabit Ethernet

    • 100-Gigabit Ethernet

      Die 100 Junos OS Ethernet-Schnittstelle 12.1X46-D10 und Junos OS Release 17.3R1 wird ab dem Release Junos OS auf Geräten der SRX5000-Reihe unterstützt.

      Beginnend ab Junos OS Version 19.3R1 werden SRX5K-IOC4-10G und SRX5K-IOC4-MRAT zusammen mit SRX5K-SPC3 auf Geräten der SRX5000-Serie unterstützt. SRX5K-IOC4-10G MPIC unterstützt MACsec.

Details zur Port- und Schnittstellennutzung für Management-, Steuerungs- und Fabric-Links finden Sie unter Informationen zur Gehäuse-Cluster-Slot-Nummerierungder SRX-Serie sowie zu Name physischer und logischer Schnittstellen.

Jumbo Frame-Unterstützung

Die Fabric-Datenverknüpfung unterstützt keine Fragmentierung. Um diesen Status zu unterstützen, ist die Jumbo Frame-Unterstützung standardmäßig auf der Verbindung mit einer MTU (MTU)-Größe von 9014 Bytes (9.000 Bytes Payload + 14 Bytes für den Ethernet-Header) auf Geräten der SRX-Serie aktiviert. Um sicherzustellen, dass der Datenverkehr, der die Datenverbindung durchträgt, diese Größe nicht überschreitet, empfehlen wir, dass keine anderen Schnittstellen die Größe der Fabric-Datenlinks übersteigen MTU überschreiten.

Grundlegende Fabric-Schnittstellen auf Geräten der SRX5000-Reihe für IOC2 und IOC3

Beginnend mit Junos OS Release 15.1X49-D10, werden SRX5K-MPC3-100G10G (IOC3) und SRX5K-MPC3-40G10G (IOC3) eingeführt.

Das SRX5K-MPC (IOC2) ist ein Modular Port Concentrator (MPC), der auf den Komponenten SRX5400, SRX5600 und SRX5800. Diese Schnittstellenkarte akzeptiert MODULARE SCHNITTSTELLENkarten (MICs), die Ihrem Services Gateway Ethernet-Ports hinzufügen, um die physischen Verbindungen zu verschiedenen Netzwerkmedientypen zu ermöglichen. Die MPCs und MICs unterstützen Fabric-Verbindungen für Chassis-Cluster. Das SRX5K-MPC bietet 10-Gigabit Ethernet-Ports (mit 10 x 10 GE MIC), 40-Gigabit Ethernet, 100-Gigabit Ethernet und 20 x 1GE-Ethernet-Ports als Fabric-Ports. Auf SRX5400 werden nur SRX5K-MPCs (IOC2) unterstützt.

Das SRX5K-MPC3-100G10G (IOC3) und das SRX5K-MPC3-40G10G (IOC3) sind Modular Port Concentrators (MPCs), die von SRX5400, SRX5600 und SRX5800. Diese Schnittstellenkarten akzeptieren MODULARE SCHNITTSTELLENkarten (MICs), die Ihrem Service-Gateway Ethernet-Ports hinzufügen, um die physischen Verbindungen zu verschiedenen Netzwerkmedientypen zu ermöglichen. Die MPCs und MICs unterstützen Fabric-Verbindungen für Chassis-Cluster.

Die beiden Arten von IOC3 Modular Port Concentrators (MPCs), die verschiedene integrierte MICs haben, sind 24x10GE + 6x40GE MPC und 2x100GE + 4x10GE MPC.

Aufgrund von Energie- und Wärmeeinschränkungen können alle vier PICs im 24x10GE + 6x40GE nicht eingeschaltet werden. Maximal zwei PICs können gleichzeitig eingeschaltet werden.

Wählen Sie set chassis fpc <slot> pic <pic> power off mit dem Befehl die PICs aus, die Sie einschalten möchten.

Auf SRX5400-, SRX5600- und SRX5800-Geräten in einem Gehäuse-Cluster, wenn die PICs mit Fabric-Verbindungen auf der SRX5K-MPC3-40G10G (IOC3) ausgeschaltet werden, um alternative PICs zu aktivieren, stellen Sie sicher, dass:

  • Die neuen Fabric-Links werden auf den neuen PICs konfiguriert, die eingeschaltet sind. Mindestens eine Fabric-Verbindung muss vorhanden und online sein, um einen minimalen RTO-Verlust zu gewährleisten.

  • Der Gehäusecluster ist im aktiv-passiven Modus aktiv-passiv, um einen minimalen RTO-Verlust sicherzustellen, sobald alternative Verbindungen online gebracht werden.

  • Wenn keine alternativen Fabric-Verbindungen auf den eingeschalteten PICs konfiguriert sind, wird die RTO-synchrone Kommunikation zwischen den beiden Knoten beendet, und der Chassis-Clustersitzungsstatus wird nicht wie oben angezeigt, da die Fabric-Verbindung fehlt. Sie können die Ausgabe CLI für dieses Szenario anzeigen, die einen Bad Chassis Cluster-Status angibt. Hierzu wird der Befehl show chassis cluster interfaces verwendet.

Understanding Session RTOs

Die Data Plane-Software, die im Aktiv/Aktiv-Modus arbeitet, verwaltet die Datenstromverarbeitung und Die Redundanz des Sitzungsstatus und verarbeitet den Transitdatenverkehr. Alle zu einer bestimmten Sitzung gehörenden Pakete werden auf demselben Knoten verarbeitet, um sicherzustellen, dass sie dieselbe Sicherheitsbehandlung angewendet werden. Das System identifiziert den Knoten, auf dem eine Sitzung aktiv ist, und übermittelt seine Pakete zur Verarbeitung an diesen Knoten. (Nach der Verarbeitung des Pakets überträgt der Packet Forwarding Engine das Paket an den Knoten, auf dem seine Ausgangsschnittstelle vorhanden ist, wenn dieser Knoten nicht der lokale ist.)

Zur Bereitstellung von Sitzungs- (oder Fluss)-Redundanz synchronisiert die Datenebenensoftware ihren Status, indem sie spezielle Payload-Pakete, die als Laufzeitobjekte (RTOs) bezeichnet werden, von einem Knoten an den anderen über die Fabric-Datenverbindung sendet. Durch die Übermittlung von Informationen über eine Sitzung zwischen den Knoten stellen RTOs die Konsistenz und Stabilität von Sitzungen sicher, wenn ein Failover stattfinden sollte, und ermöglichen es dem System, den Datenverkehr, der zu vorhandenen Sitzungen gehört, weiter zu verarbeiten. Die Datenebenensoftware gibt RTOs die Übertragungspriorität vor dem Transitdatenverkehr an, um sicherzustellen, dass Sitzungsinformationen immer zwischen den beiden Knoten synchronisiert werden.

Die Datenebenensoftware erstellt RTOs für UDP- und TCP-Sitzungen und verfolgt Statusänderungen. Zudem synchronisiert er Datenverkehr für IPv4-Pass-Through-Protokolle wie Generic Routing Encapsulation (GRE) und IPsec.

RTOs zur Synchronisierung einer Sitzung umfassen:

  • RTOs zur Sitzungserstellung auf dem ersten Paket

  • Sitzungslöschung und Age-out-RTOs

  • Änderungsbezogene RTOs, einschließlich:

    • TCP-Statusänderungen

    • Timeout-Synchronisierungsanfrage- und Antwortmeldungen

    • RTOs für das Erstellen und Löschen temporärer Öffnungen in der Firewall (Pinholes) und untergeordnete Sitzungslücken

Grundlegendes zur Datenweiterleitung

Für Junos OS datenstromverarbeitung auf einem einzelnen Knoten, auf dem die Sitzung für diesen Datenfluss eingerichtet wurde und aktiv ist. Mit diesem Ansatz wird sichergestellt, dass dieselben Sicherheitsmaßnahmen auf alle Pakete angewendet werden, die zu einer Sitzung gehören.

Ein Gehäuse-Cluster kann Datenverkehr auf einer Schnittstelle auf einem Knoten empfangen und an eine Schnittstelle auf dem anderen Knoten senden. (Im Aktiv/Aktiv-Modus kann die Ingress-Schnittstelle für Datenverkehr auf einem Knoten und seiner Ausgangsschnittstelle auf dem anderen vorhanden sein.)

Dieses Traversal ist in den folgenden Situationen erforderlich:

  • Wenn Pakete auf einem Knoten verarbeitet werden, aber eine Ausgangsschnittstelle auf dem anderen Knoten weitergeleitet werden müssen

  • Wenn Pakete auf einem Knoten an einer Schnittstelle eintreffen, muss diese aber auf dem anderen Knoten verarbeitet werden

    Wenn sich die Ein- und Ausgangsschnittstellen für ein Paket auf einem Knoten befinden, das Paket jedoch auf dem anderen Knoten verarbeitet werden muss, da seine Sitzung dort eingerichtet wurde, muss es die Datenverbindung zweimal durchqueren. Dies kann bei einigen komplexen Mediensitzungen der Fall sein, z. B. VoIP-Sitzungen (Voice-over-IP).

Verstehen von Fabric-Datenverbindungsfehlern und -wiederherstellung

Intrusion Detection and Prevention (IDP)-Services unterstützen kein Failover. Aus diesem Grund werden IDP nicht auf Sitzungen angewendet, die vor dem Failover vorhanden waren. IDP werden für neue Sitzungen auf dem neuen Hauptknoten verwendet.

Die Fabric-Datenverbindung ist für den Chassis-Cluster unerlässlich. Wenn die Verbindung nicht verfügbar ist, sind die Weiterleitung des Datenverkehrs und die RTO-Synchronisierung betroffen. Dies kann zu Datenverkehrsverlusten und unvorhersehbarem Systemverhalten führen.

Um diese Möglichkeit zu vermeiden, nutzt Junos OS Fabric-Überwachung, um zu prüfen, ob die Fabric-Verbindung oder die beiden Fabric-Verbindungen im Fall einer Dual-Fabric-Link-Konfiguration durch periodisch übertragene Probes über die Fabric-Verbindungen übertragen werden. Wenn Junos OS Fabric-Fehler erkennt, wird der RG1+-Status des sekundären Knotens in uneligierbar geändert. Es ermittelt, ob ein Fabric-Fehler aufgetreten ist, wenn eine Fabric-Probe nicht empfangen wird und die Fabric-Schnittstelle aktiv ist. Um von diesem Zustand wiederhergestellt zu werden, müssen sowohl die Fabric-Verbindungen als auch der Online-Status wieder verfügbar sein und mit dem Austausch von Probes beginnen. In diesem Fall werden alle FPCs auf dem zuvor nicht verfügbaren Knoten zurückgesetzt. Dann werden sie zum Online-Status und wieder zum Cluster.

Wenn Sie änderungen an der Konfiguration vornehmen, während der sekundäre Knoten deaktiviert ist, führen Sie den Befehl aus, um die Konfiguration zu synchronisieren, nachdem Sie den commit Knoten neu gestartet haben. Wenn Sie keine Konfigurationsänderungen vornehmen, bleibt die Konfigurationsdatei mit der des primären Knotens synchronisiert.

Die Fabric-Überwachungsfunktion beginnt mit Junos OS Release 12.1X47-D10 und Junos OS Release 17.3R1 und ist standardmäßig auf SRX5800-, SRX5600- und SRX5400-Geräten aktiviert.

Beginnend mit Junos OS Release 12.1X47-D10 und Junos OS Release 17.3R1 werden Fabric-Verbindungen und die Synchronisierung automatisch wiegefertigt.

Wenn sowohl die primären als auch die sekundären Knoten in Gutem sind (d. h. es gibt keine Ausfälle), und die Fabric-Verbindung ausfällen, kann RG1+ Redundanzgruppe(en) auf dem sekundären Knoten nicht mehr unterstützt werden. Wenn einer der Knoten unsicher ist (d. h. ein Fehler), kann eine RG1+-Redundanzgruppe (entweder der primäre oder sekundäre Knoten) nicht mehr unterstützt werden. Wenn beide Knoten nicht in der Lage sind und die Fabric-Verbindung ausblasst, kann die RG1+-Redundanzgruppe(en) auf dem sekundären Knoten nicht mehr unterstützt werden. Wenn die Fabric-Verbindung hochkommt, führt der Knoten, auf dem RG1+ nicht mehr in kann, eine Cold-Synchronisierung auf allen Services Processing Units durch und führt einen Übergang zu einem aktiven Standby durch.

  • Wenn RG0 auf einem fehlerhaften Knoten primär ist, wird RG0 von einem fehlerhaften Knoten zu einem gesunden Knoten umfällt. Wenn beispielsweise Knoten 0 primär für RG0+ ist und Knoten 0 ungesund wird, dann geht RG1+ auf Knoten 0 nach 66 Sekunden nach einem Fabric-Linkausfall auf Uneligible um, und RG0+ schlägt an Knoten 1 (dem gesunden Knoten) fehl.

  • Nur RG1+ überträgt auf einen nicht-ligiblen Status. RG0 ist nach wie vor sowohl in einem primären als auch in einem sekundären Zustand.

Verwenden Sie den show chassis cluster interfaces CLI, um den Status der Fabric-Verbindung zu überprüfen.

Beispiel: Konfigurieren der Chassis Cluster Fabric-Schnittstellen

In diesem Beispiel wird die Konfiguration der Gehäuse-Cluster-Fabric veranschaulicht. Die Fabric ist die Back-to-Back-Datenverbindung zwischen den Knoten in einem Cluster. Datenverkehr auf einem Knoten, der auf dem anderen Knoten verarbeitet werden muss oder um durch eine Schnittstelle auf dem anderen Knoten zu beenden, passiert die Fabric. Auch Informationen zum Sitzungsstatus werden über die Fabric

Anforderungen

Legen Sie zunächst die ID des Gehäuseclusters und die Cluster-Node-ID des Gehäuses fest. Siehe Beispiel: Festlegen der Node-ID und Cluster-ID für Sicherheitsgeräte in einem Chassis Cluster.

Übersicht

In den meisten Geräten der SRX-Serie in einem Gehäuse-Cluster können Sie beliebige Paar Gigabit Ethernet-Schnittstellen oder beliebige 10-Gigabit-Schnittstellen konfigurieren, um als Fabric zwischen Knoten zu dienen.

Sie können keine Filter, Richtlinien oder Services auf der Fabric-Schnittstelle konfigurieren. Eine Fragmentierung wird auf der Fabric-Verbindung nicht unterstützt. Die maximale MTU Größe der Fabric-Schnittstellen beträgt 9.014 Bytes und die maximale MTU bei anderen Schnittstellen beträgt 8900 Byte. Jumbo Frame-Unterstützung für die Member-Links ist standardmäßig aktiviert.

In diesem Beispiel wird veranschaulicht, wie Sie die Fabric-Verbindung konfigurieren.

Es kann nur die gleiche Art von Schnittstellen wie Fabric-Kinder konfiguriert werden, und Sie müssen eine gleiche Anzahl von untergeordneten Verbindungen für und fab0 fab1 konfigurieren.

Wenn Sie jede der Fabric-Verbindungen über einen Switch verbinden, müssen Sie die Jumbo Frame-Funktion auf den entsprechenden Switch-Ports aktivieren. Wenn beide Fabric-Verbindungen über denselben Switch verbunden sind, muss sich das RTO-and-Probe-Paar in einem virtuellen LAN (VLAN) und das Datenpaar in einem anderen VLAN befinden. Auch hier muss die Jumbo Frame-Funktion an den entsprechenden Switch-Ports aktiviert sein.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit] commit ein.

Schritt-für-Schritt-Verfahren

Zur Konfiguration der Gehäuse-Cluster-Fabric:

  • Geben Sie die Fabric-Schnittstellen an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show interfaces eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Diese Befehlsausgabe enthält in Kürze nur show die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Ellipse ersetzt (...).

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Überprüfung der Gehäuse-Cluster-Fabric

Zweck

Überprüfen Sie die Gehäuse-Cluster-Fabric.

Aktion

Geben Sie im Betriebsmodus den Befehl show interfaces terse | match fab ein.

Überprüfung von Chassis Cluster Datenebenenschnittstellen

Zweck

Anzeige des Gehäuse-Cluster und Datenebenen-Schnittstellenstatus.

Aktion

Geben Sie CLI folgenden Befehl show chassis cluster data-plane interfaces ein:

Anzeigen von Chassis Cluster Datenebenenstatistiken

Zweck

Anzeige der Gehäuse-Clusterdatenebenenstatistiken.

Aktion

Geben Sie CLI folgenden Befehl show chassis cluster data-plane statistics ein:

Clearing Chassis Cluster Datenebenenstatistiken

Um die angezeigten Chassis Cluster Data Plane-Statistiken zu löschen, geben Sie den clear chassis cluster data-plane statistics Befehl aus der CLI:

Tabelle zum Versionsverlauf
Release
Beschreibung
19.3R1
Beginnend ab Junos OS Version 19.3R1 werden SRX5K-IOC4-10G und SRX5K-IOC4-MRAT zusammen mit SRX5K-SPC3 auf Geräten der SRX5000-Serie unterstützt. SRX5K-IOC4-10G MPIC unterstützt MACsec.
15.1X49-D10
Beginnend mit Junos OS Release 15.1X49-D10 werden SRX5K-MPC3-100G10G (IOC3) und SRX5K-MPC3-40G10G (IOC3) eingeführt.
12,1 X 47
Die Fabric-Überwachungsfunktion beginnt mit Junos OS Release 12.1X47-D10 und Junos OS Release 17.3R1 und ist standardmäßig auf SRX5800-, SRX5600- und SRX5400-Geräten aktiviert.
12,1 X 47
Beginnend mit Junos OS Release 12.1X47-D10 und Junos OS Release 17.3R1 werden Fabric-Verbindungen und die Synchronisierung automatisch wiegefertigt.
12,1 X 46
Die 100 Junos OS Ethernet-Schnittstelle 12.1X46-D10 und Junos OS Release 17.3R1 wird ab dem Release Junos OS auf Geräten der SRX5000-Reihe unterstützt.