AUF DIESER SEITE
Gehäuse-Cluster-Fabric-Schnittstellen
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Lesen Sie den Abschnitt Plattformspezifisches Verhalten von Fabric-Schnittstellen , um Hinweise zu Ihrer Plattform zu erhalten.
Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen .
Geräte der SRX-Serie in einem Gehäuse-Cluster verwenden die Fabric-Schnittstelle (Fab) für die Sitzungssynchronisierung und das Weiterleiten des Datenverkehrs zwischen den beiden Chassis. Der Fabric Link ist eine physische Verbindung zwischen zwei Ethernet-Schnittstellen im selben LAN. Beide Schnittstellen müssen vom gleichen Medientyp sein. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu Chassis-Cluster-Fabric-Schnittstellen
Die Fabric ist eine physische Verbindung zwischen zwei Knoten eines Clusters und wird durch die Verbindung eines Paares von Ethernet-Schnittstellen hintereinander (eine von jedem Knoten) gebildet.
Anders als bei der Steuerverbindung, deren Schnittstellen vom System bestimmt werden, geben Sie in der Konfiguration die physikalischen Schnittstellen an, die für die Fabric-Datenverbindung verwendet werden sollen.
Die Fabric ist das Datenbindeglied zwischen den Knoten und wird für die Weiterleitung des Datenverkehrs zwischen den Chassis verwendet. Datenverkehr, der auf einem Knoten ankommt und auf dem anderen verarbeitet werden muss, wird über die Fabric-Datenverbindung weitergeleitet. Ebenso wird der Datenverkehr, der auf einem Knoten verarbeitet wird und über eine Schnittstelle auf dem anderen Knoten verlassen werden muss, über die Fabric weitergeleitet.
Die Datenverbindung wird als Fabric-Schnittstelle bezeichnet. Er wird von den Packet Forwarding Engines des Clusters verwendet, um Transitdatenverkehr zu übertragen und den dynamischen Laufzeitstatus der Data Plane-Software zu synchronisieren. Die Fabric ermöglicht die Synchronisierung von Sitzungszustandsobjekten, die durch Vorgänge wie Authentifizierung, Network Address Translation (NAT), Gateways auf Anwendungsebene Ebene (ALGs) und IP-Sicherheitssitzungen (IPsec) erstellt werden.
Wenn das System die Fabric-Schnittstelle erstellt, weist die Software ihr eine intern abgeleitete IP-Adresse zu, die für die Paketübertragung verwendet werden soll.
Nachdem Fabric-Schnittstellen auf einem Chassis-Cluster konfiguriert wurden, führt das Entfernen der Fabric-Konfiguration auf einem der Knoten dazu, dass der sekundäre Knoten der Redundanzgruppe 0 (RG0) in einen deaktivierten Zustand versetzt wird. (Durch das Zurücksetzen eines Geräts auf die werkseitige Standardkonfiguration wird die Fabric-Konfiguration entfernt, wodurch der sekundäre RG0-Knoten in einen deaktivierten Zustand versetzt wird.) Nachdem die Fabric-Konfiguration festgelegt wurde, setzen Sie keines der Geräte auf die Werkseinstellungen zurück.
- Unterstützte Fabric-Schnittstellentypen für Firewalls der SRX-Serie
- Jumbo-Frame-Unterstützung
- Grundlegendes zu Fabric-Schnittstellen SRX5000 Firewalls für IOC2 und IOC3
- Grundlegendes zu Session-RTOs
- Grundlegendes zur Datenweiterleitung
- Verstehen von Fabric-Datenverbindungsfehlern und -wiederherstellungen
Unterstützte Fabric-Schnittstellentypen für Firewalls der SRX-Serie
Bei Chassis-Clustern der SRX-Serie kann die Fabric-Verbindung ein beliebiges Paar von Ethernet-Schnittstellen sein, die sich über den gesamten Cluster erstrecken. Bei der Fabric-Verbindung kann es sich um ein beliebiges Paar Gigabit-Ethernet-Schnittstellen handeln.
Weitere Informationen zur Port- und Schnittstellennutzung für Management, Steuerung und Fabric-Links finden Sie unter Grundlegendes zur Nummerierung der Chassis-Cluster-Steckplätze der SRX-Serie und zur Benennung physischer Ports und logischer Schnittstellen.
Jumbo-Frame-Unterstützung
Die Fabric-Datenverbindung unterstützt keine Fragmentierung. Um diesem Status Rechnung zu tragen, ist die Jumbo-Frame-Unterstützung auf der Verbindung mit einer maximalen MTU-Größe (Transmission Unit) von 9014 Byte (9000 Byte Nutzlast + 14 Byte für den Ethernet-Header) auf Firewalls der SRX-Serie standardmäßig aktiviert. Um sicherzustellen, dass der Datenverkehr, der die Datenverbindung passiert, diese Größe nicht überschreitet, empfehlen wir, dass keine anderen Schnittstellen die MTU-Größe der Fabric-Datenverbindung überschreiten.
Grundlegendes zu Fabric-Schnittstellen SRX5000 Firewalls für IOC2 und IOC3
Die SRX5K-MPC (IOC2) ist eine MPC (Modular Port Concentrators), die auf SRX5400, SRX5600 und SRX5800 unterstützt wird. Diese Schnittstellenkarte akzeptiert modulare Schnittstellenkarten (MICs), die Ihrem Services Gateway Ethernet-Ports hinzufügen, um die physischen Verbindungen zu verschiedenen Netzwerkmedientypen bereitzustellen. Die MPCs und MICs unterstützen Fabric-Verbindungen für Gehäuse-Cluster. Die SRX5K-MPC bietet 10-Gigabit-Ethernet (mit 10x10GE MIC), 40-Gigabit Ethernet, 100-Gigabit Ethernet und 20x1GE Ethernet-Ports als Fabric-Ports. Auf SRX5400 Geräten werden nur SRX5K-MPCs (IOC2) unterstützt.
SRX5K-MPC3-100G10G (IOC3) und SRX5K-MPC3-40G10G (IOC3) sind MPCs (Modular Port Concentrators), die auf SRX5400, SRX5600 und SRX5800 unterstützt werden. Diese Schnittstellenkarten akzeptieren modulare Schnittstellenkarten (MICs), die Ihrem Services Gateway Ethernet-Ports hinzufügen, um die physischen Verbindungen zu verschiedenen Netzwerkmedientypen bereitzustellen. Die MPCs und MICs unterstützen Fabric-Verbindungen für Gehäuse-Cluster.
Die beiden Arten von IOC3 Modular Port Concentrators (MPCs), die über unterschiedliche integrierte MICs verfügen, sind die 24x10GE + 6x40GE MPC und die 2x100GE + 4x10GE MPC.
Aufgrund von Leistungs- und Temperaturbeschränkungen können nicht alle vier PICs des 24x10GE + 6x40GE eingeschaltet werden. Es können maximal zwei PICs gleichzeitig eingeschaltet werden.
Verwenden Sie den set chassis fpc <slot> pic <pic> power off
Befehl, um die PICs auszuwählen, die Sie einschalten möchten.
Grundlegendes zu Session-RTOs
Die Data Plane-Software, die im Aktiv/Aktiv-Modus arbeitet, verwaltet die Datenstromverarbeitung und Sitzungsstatusredundanz und verarbeitet den Transitverkehr. Alle Pakete, die zu einer bestimmten Sitzung gehören, werden auf demselben Knoten verarbeitet, um sicherzustellen, dass sie die gleiche Sicherheitsbehandlung anwenden. Das System identifiziert den Knoten, auf dem eine Sitzung aktiv ist, und leitet seine Pakete zur Verarbeitung an diesen Knoten weiter. (Nachdem ein Paket verarbeitet wurde, überträgt die Packet Forwarding Engine das Paket an den Knoten, auf dem die Ausgangsschnittstelle vorhanden ist, falls es sich bei diesem Knoten nicht um den lokalen Knoten handelt.)
Um Sitzungs- (oder Datenstrom-)Redundanz zu gewährleisten, synchronisiert die Data Plane-Software ihren Status, indem sie spezielle Nutzlastpakete, sogenannte Runtime Objects (RTOs), von einem Knoten zum anderen über die Fabric-Datenverbindung sendet. Durch die Übertragung von Informationen über eine Sitzung zwischen den Knoten stellen RTOs die Konsistenz und Stabilität der Sitzungen sicher, falls ein Failover auftreten sollte, und ermöglichen es dem System somit, den Datenverkehr, der zu bestehenden Sitzungen gehört, weiter zu verarbeiten. Um sicherzustellen, dass die Sitzungsinformationen zwischen den beiden Knoten stets synchronisiert werden, räumt die Data Plane-Software RTOs bei der Übertragung Vorrang vor dem Transitdatenverkehr ein.
Die Data Plane-Software erstellt RTOs für UDP- und TCP-Sitzungen und verfolgt Statusänderungen. Außerdem synchronisiert es den Datenverkehr für IPv4-Pass-Through-Protokolle wie Generic Routing Encapsulation (GRE) und IPsec.
Zu den RTOs für die Synchronisierung einer Sitzung gehören:
-
RTOs bei der Sitzungserstellung für das erste Paket
-
Session-Löschung und Age-out-RTOs
-
Änderungsbezogene RTOs, einschließlich:
-
TCP-Statusänderungen
-
Zeitüberschreitungssynchronisierung, Anforderungs- und Antwortnachrichten
-
RTOs zum Erstellen und Löschen von temporären Öffnungen in der Firewall (Pinholes) und untergeordneten Session-Pinholes
-
Grundlegendes zur Datenweiterleitung
Bei Junos OS erfolgt die Datenstromverarbeitung auf einem einzelnen Knoten, auf dem die Sitzung für diesen Datenfluss eingerichtet wurde und aktiv ist. Dieser Ansatz stellt sicher, dass auf alle Pakete, die zu einer Sitzung gehören, die gleichen Sicherheitsmaßnahmen angewendet werden.
Ein Chassis-Cluster kann Datenverkehr über eine Schnittstelle auf einem Knoten empfangen und an eine Schnittstelle auf dem anderen Knoten senden. (Im Aktiv/Aktiv-Modus kann die Eingangsschnittstelle für Datenverkehr auf einem Knoten und die Ausgangsschnittstelle auf dem anderen Knoten vorhanden sein.)
Dieser Durchlauf ist in den folgenden Situationen erforderlich:
-
Wenn Pakete auf einem Knoten verarbeitet werden, aber an eine Ausgangsschnittstelle auf dem anderen Knoten weitergeleitet werden müssen
-
Wenn Pakete an einer Schnittstelle auf einem Knoten ankommen, aber auf dem anderen Knoten verarbeitet werden müssen
Wenn sich die Eingangs- und Ausgangsschnittstellen für ein Paket auf einem Knoten befinden, das Paket aber auf dem anderen Knoten verarbeitet werden muss, weil seine Sitzung dort eingerichtet wurde, muss es die Datenverbindung zweimal durchlaufen. Dies kann bei einigen komplexen Mediensitzungen der Fall sein, z. B. bei Voice-over-IP-Sitzungen (VoIP).
Verstehen von Fabric-Datenverbindungsfehlern und -wiederherstellungen
Intrusion Detection and Prevention (IDP)-Services unterstützen kein Failover. Aus diesem Grund werden IDP-Dienste nicht für Sitzungen angewendet, die vor dem Failover vorhanden waren. IDP-Services werden für neue Sitzungen angewendet, die auf dem neuen primären Knoten erstellt werden.
Die Fabric-Datenverbindung ist für das Chassis-Cluster von entscheidender Bedeutung. Wenn die Verbindung nicht verfügbar ist, werden die Weiterleitung des Datenverkehrs und die RTO-Synchronisierung beeinträchtigt, was zu Datenverkehrsverlusten und unvorhersehbarem Systemverhalten führen kann.
Um diese Möglichkeit auszuschließen, verwendet Junos OS die Fabric-Überwachung, um zu überprüfen, ob der Fabric-Link oder die beiden Fabric-Links im Falle einer Dual-Fabric-Link-Konfiguration aktiv sind, indem regelmäßig Sondierungen über die Fabric-Verbindungen übertragen werden. Wenn Junos OS Fabric-Fehler erkennt, ändert sich der RG1+-Status des sekundären Knotens in "Nicht geeignet". Sie stellt fest, dass ein Fabric-Fehler aufgetreten ist, wenn keine Fabric-Probe empfangen wird, die Fabric-Schnittstelle jedoch aktiv ist. Um sich von diesem Zustand zu erholen, müssen beide Fabric-Verbindungen wieder in den Online-Zustand zurückkehren und mit dem Austausch von Sonden beginnen. Sobald dies geschieht, werden alle FPCs auf dem zuvor nicht berechtigten Knoten zurückgesetzt. Anschließend wechseln sie in den Online-Status und treten dem Cluster wieder bei.
Wenn Sie Änderungen an der Konfiguration vornehmen, während der sekundäre Knoten deaktiviert ist, führen Sie den commit
Befehl aus, um die Konfiguration zu synchronisieren, nachdem Sie den Knoten neu gestartet haben. Wenn Sie keine Konfigurationsänderungen vorgenommen haben, bleibt die Konfigurationsdatei mit der des primären Knotens synchronisiert.
Wenn sowohl der primäre als auch der sekundäre Knoten fehlerfrei sind (d. h. keine Ausfälle auftreten) und die Fabric-Verbindung ausfällt, können RG1+-Redundanzgruppen auf dem sekundären Knoten nicht mehr verwendet werden. Wenn einer der Knoten fehlerhaft ist (d. h., es liegt ein Fehler vor), werden RG1+-Redundanzgruppen auf diesem Knoten (entweder der primäre oder sekundäre Knoten) nicht mehr geeignet. Wenn beide Knoten fehlerhaft sind und die Fabric-Verbindung ausfällt, können RG1+-Redundanzgruppen auf dem sekundären Knoten nicht mehr verwendet werden. Wenn die Fabric-Verbindung aktiviert wird, führt der Knoten, auf dem RG1+ nicht mehr zugelassen ist, eine kalte Synchronisierung auf allen Serviceverarbeitungseinheiten durch und wechselt in den aktiven Standby-Modus.
-
Wenn RG0 auf einem fehlerhaften Knoten primär ist, führt RG0 ein Failover von einem fehlerhaften zu einem fehlerfreien Knoten durch. Wenn z. B. Knoten 0 primär für RG0+ ist und Knoten 0 fehlerhaft wird, wird RG1+ auf Knoten 0 nach 66 Sekunden nach einem Ausfall der Fabric-Verbindung in nicht mehr geeignet, und RG0+ führt ein Failover auf Knoten 1 durch, dem fehlerfreien Knoten.
-
Nur RG1+ geht in einen nicht förderfähigen Zustand über. RG0 befindet sich weiterhin entweder in einem primären oder sekundären Zustand.
Verwenden Sie den show chassis cluster interfaces
CLI-Befehl, um den Status des Fabric-Links zu überprüfen.
Siehe auch
Beispiel: Konfigurieren der Chassis-Cluster-Fabric-Schnittstellen
In diesem Beispiel wird gezeigt, wie die Chassis-Clusterfabric konfiguriert wird. Die Fabric ist die Back-to-Back-Datenverbindung zwischen den Knoten in einem Cluster. Datenverkehr auf einem Knoten, der auf dem anderen Knoten verarbeitet oder über eine Schnittstelle auf dem anderen Knoten verlassen werden muss, wird über die Fabric geleitet. Sitzungsstatusinformationen werden ebenfalls über die Fabric übertragen.
Anforderungen
Bevor Sie beginnen, legen Sie die Chassis-Cluster-ID und die Chassis-Cluster-Knoten-ID fest. Siehe Beispiel: Festlegen der Knoten-ID und der Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster .
Überblick
In den meisten Firewalls der SRX-Serie in einem Gehäuse-Cluster können Sie jedes Paar von Gigabit-Ethernet-Schnittstellen oder jedes Paar von 10-Gigabit-Schnittstellen so konfigurieren, dass es als Fabric zwischen Knoten dient.
Sie können keine Filter, Richtlinien oder Services auf der Fabric-Oberfläche konfigurieren. Fragmentierung wird auf der Fabric-Verbindung nicht unterstützt. Die maximale MTU-Größe für Fabric-Schnittstellen beträgt 9014 Byte und die maximale MTU-Größe für andere Schnittstellen beträgt 8900 Byte. Die Jumbo-Frame-Unterstützung für die Mitgliedsverknüpfungen ist standardmäßig aktiviert.
In diesem Beispiel wird veranschaulicht, wie der Fabric-Link konfiguriert wird.
Es kann nur derselbe Typ von Schnittstellen als untergeordnete Fabric-Verknüpfungen konfiguriert werden, und Sie müssen eine gleiche Anzahl von untergeordneten Links für fab0
und fab1
konfigurieren.
Wenn Sie die einzelnen Fabric-Verbindungen über einen Switch verbinden, müssen Sie die Jumbo-Frame-Funktion auf den entsprechenden Switch-Ports aktivieren. Wenn beide Fabric-Verbindungen über denselben Switch verbunden sind, muss sich das RTO-probe-Paar in einem virtuellen LAN (VLAN) und das Datenpaar in einem anderen VLAN befinden. Auch hier muss die Jumbo-Frame-Funktion auf den entsprechenden Switch-Ports aktiviert sein.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit]
Konfigurationsmodus ein commit
.
{primary:node0}[edit] set interfaces fab0 fabric-options member-interfaces ge-0/0/1 set interfaces fab1 fabric-options member-interfaces ge-7/0/1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Chassis-Cluster-Fabric:
Geben Sie die Fabric-Schnittstellen an.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 {primary:node0}[edit] user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show interfaces
Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show
Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
{primary:node0}[edit] user@host# show interfaces ... fab0 { fabric-options { member-interfaces { ge-0/0/1; } } } fab1 { fabric-options { member-interfaces { ge-7/0/1; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit
Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der Chassis-Cluster-Fabric
Zweck
Überprüfen Sie die Chassis-Cluster-Fabric.
Aktion
Geben Sie im Betriebsmodus den show interfaces terse | match fab
Befehl ein.
{primary:node0} user@host> show interfaces terse | match fab ge-0/0/1.0 up up aenet --> fab0.0 ge-7/0/1.0 up up aenet --> fab1.0 fab0 up up fab0.0 up up inet 30.17.0.200/24 fab1 up up fab1.0 up up inet 30.18.0.200/24
Überprüfen von Chassis-Cluster-Data-Plane-Schnittstellen
Zweck
Zeigen Sie den Status der Chassis-Cluster-Data-Plane-Schnittstelle an.
Aktion
Geben Sie in der CLI den show chassis cluster data-plane interfaces
folgenden Befehl ein:
{primary:node1}
user@host> show chassis cluster data-plane interfaces
fab0:
Name Status
ge-2/1/9 up
ge-2/2/5 up
fab1:
Name Status
ge-8/1/9 up
ge-8/2/5 up
Anzeigen von Chassis-Cluster-Data-Plane-Statistiken
Zweck
Zeigen Sie Statistiken zur Datenebene des Chassis-Clusters an.
Aktion
Geben Sie in der CLI den show chassis cluster data-plane statistics
folgenden Befehl ein:
{primary:node1}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
Session create 0 0
Session close 0 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RTSP ALG 0 0
Löschen von Chassis-Cluster-Data-Plane-Statistiken
Um die angezeigten Statistiken der Datenebene des Chassis-Clusters zu löschen, geben Sie den clear chassis cluster data-plane statistics
folgenden Befehl über die CLI ein:
{primary:node1}
user@host> clear chassis cluster data-plane statistics
Cleared data-plane statistics
Siehe auch
Plattformspezifisches Verhalten von Fabric-Schnittstellen
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen.
Bahnsteig |
Unterschied |
---|---|
SRX-Serie |
|
Zusätzliche Plattforminformationen
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Zusätzliche Plattformen können unterstützt werden.
Bahnsteig |
Unterstützte Fabric-Schnittstellen |
---|---|
SRX380-KARTON |
|
SRX1500 |
|
SRX1600 |
|
SRX2300 und SRX4300 |
|
SRX4600 |
|
SRX4100 und SRX4200 |
|
Firewalls der SRX5000-Reihe |
|
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.