AUF DIESER SEITE

Gehäuse-Cluster Dual Control Links – Übersicht
Dual-Control-Link-Anschlüsse für Firewalls der SRX-Serie in einem Gehäuse-Cluster
Rüsten Sie die zweite Routing-Engine auf, wenn Sie Chassis-Cluster-Dual-Steuerverbindungen auf SRX5600- und SRX5800-Geräten verwenden
Beispiel: Konfigurieren von Gehäuse-Cluster-Steuerports für duale Steuerverbindungen
Plattformspezifisches Verhalten von dualen Steuerverbindungen

Gehäuse-Cluster Duale Steuerverbindungen

Duale Steuerverbindungen bieten eine redundante Verbindung zur Steuerung des Netzwerkdatenverkehrs.

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Lesen Sie den Abschnitt Plattformspezifisches Verhalten von Dual-Control-Links, um Hinweise zu Ihrer Plattform zu erhalten.

Gehäuse-Cluster Dual Control Links – Übersicht

Eine Steuerverbindung verbindet zwei Firewalls der SRX-Serie und sendet zwischen ihnen Steuerungsdaten des Chassis-Clusters, einschließlich Heartbeats und Konfigurationssynchronisierung. Die Verbindung ist ein Single Point of Failure: Wenn die Steuerverbindung ausfällt, wird die sekundäre SRX-Serie für den Cluster deaktiviert.

Duale Steuerverbindungen verhindern Ausfallzeiten aufgrund eines einzigen Fehlerpunkts. Zwei Control-Link-Schnittstellen verbinden jedes Gerät in einem Cluster. Duale Steuerverbindungen bieten eine redundante Verbindung zur Steuerung des Datenverkehrs. Im Gegensatz zu dualen Fabric-Verbindungen wird immer nur eine Steuerverbindung verwendet.

Wenn Sie bisher die Steuerverbindung und die Fabric-Verbindung deaktivieren wollten, mussten Sie die Kabel manuell abziehen.

Die CLI-Befehle funktionieren wie folgt:

Im Konfigurationsmodus
- Um die Steuerverbindung zu deaktivieren, führen Sie den Befehl set chassis cluster control-interface <node0/node1> disable auf Knoten 0 oder Knoten 1 aus.
  
  Wenn Sie die Verknüpfungen mit dem Konfigurationsbefehl deaktivieren, bleiben die Verknüpfungen auch nach einem Neustart des Systems deaktiviert.
- Um die Steuerverbindung zu aktivieren, führen Sie den Befehl delete chassis cluster control-interface <node0/node1> disable auf beiden Knoten aus.
Im Betriebsmodus
- Um die Steuerverbindung über den lokalen Knoten zu deaktivieren, führen Sie den request chassis cluster control-interface <node0/node1> disable Befehl aus.
  
  Wenn Sie die Steuerverknüpfung mit dem CLI-Befehl für den Betriebsmodus deaktivieren, wird die Verbindung nach einem Neustart des Systems aktiviert.
- Um die Steuerverbindung auf einem lokalen Knoten zu aktivieren, führen Sie den request chassis cluster control-interface <node0/node1> enable Befehl aus.

Vorteil von dualen Steuerverbindungen
Anforderungen an die Funktionalität der Dual-Control-Verbindung

Vorteil von dualen Steuerverbindungen

Duale Steuerverbindungen verhindern die Möglichkeit eines Single Point of Failure, indem sie eine redundante Verbindung für den Steuerverkehr bereitstellen.

Anforderungen an die Funktionalität der Dual-Control-Verbindung

Für die Services Gateways SRX5600 und SRX5800 erfordert die Funktionalität der dualen Steuerverbindung, dass auf jedem Gerät im Cluster ein zweites Routing-Engine und ein zweiter Switch Control Board (SCB) installiert sind. Die zweite Routing-Engine dient dazu, den Switch auf dem primären SCB zu initialisieren. Die zweite SCB beherbergt die zweite Routing-Engine.

Diese zweite Routing-Engine bietet keine Sicherungsfunktionen. Sie muss nicht aktualisiert werden, auch wenn Sie die Software auf der primären Routing-Engine auf demselben Knoten aktualisieren. Beachten Sie die folgenden Bedingungen:

Sie können CLI-Befehle ausführen und in den Konfigurationsmodus nur auf der primären Routing-Engine wechseln.
Sie legen die Gehäuse-ID und die Cluster-ID nur auf der primären Routing-Engine fest.
Wenn Sie überprüfen möchten, ob die zweite Routing-Engine hochgefahren wird, oder wenn Sie ein Softwareabbild aktualisieren möchten, benötigen Sie eine Konsolenverbindung zur zweiten Routing-Engine.

Solange die erste Routing-Engine installiert ist (auch wenn sie neu gestartet wird oder ausfällt), kann die zweite Routing-Engine die primäre Rolle des Chassis nicht übernehmen. Das heißt, es kann keine Hardware im Gehäuse steuern.

Ein Redundanzgruppen-0-Failover impliziert ein Routing-Engine-Failover. Im Falle eines Routing-Engine-Failovers werden alle Prozesse, die auf dem primären Knoten ausgeführt werden, beendet und dann auf der neuen primären Routing-Engine erzeugt. Dieses Failover kann zu Fehlern führen, z. B. des Routing-Status, und die Leistung durch Systemänderung beeinträchtigen.

Dual-Control-Link-Anschlüsse für Firewalls der SRX-Serie in einem Gehäuse-Cluster

Sie können zwei Steuerverbindungen zwischen SRX5600 Geräten und SRX5800 Geräten verbinden, wodurch die Wahrscheinlichkeit eines Ausfalls der Steuerverbindung effektiv verringert wird.

Anmerkung:

Junos OS unterstützt aufgrund der begrenzten Anzahl von Steckplätzen keine dualen Steuerverbindungen auf SRX5400 Geräten.

Schließen Sie für SRX5600 Geräte und SRX5800 Geräte zwei Paare desselben Typs von Ethernet-Ports an. Sie können für jedes Gerät Ports auf derselben SPC (Services Processing Card) verwenden, es wird jedoch empfohlen, die Steuerports mit zwei verschiedenen SPCs zu verbinden, um hohe Verfügbarkeit zu gewährleisten. Abbildung 1 zeigt ein Paar SRX5800 Geräte mit angeschlossenen dualen Steuerverbindungen. In diesem Beispiel sind Steuerport 0 und Steuerport 1 an unterschiedlichen SPCs angeschlossen.

Abbildung 1: Dual-Control-Link-Verbindungen (SRX5800 Geräte) Dual Control Link Connections (SRX5800 Devices)

Für SRX5600- und SRX5800 Geräte müssen Sie den Steuerport 0 auf einem Knoten anschließen, um den Port 0 auf dem anderen Knoten zu steuern. Sie müssen außerdem den Steuerport 1 auf einem Knoten mit der Steuerung von Port 1 auf dem anderen Knoten verbinden. Wenn Sie den Steuerport 0 mit dem Steuerungsport 1 verbinden, können die Knoten keine Taktpakete über die Steuerverbindungen empfangen.

Rüsten Sie die zweite Routing-Engine auf, wenn Sie Chassis-Cluster-Dual-Steuerverbindungen auf SRX5600- und SRX5800-Geräten verwenden

Verwenden Sie stattdessen die primäre Routing-Engine, um ein startfähiges USB-Speichergerät zu erstellen, mit dem Sie dann ein Softwareabbild auf der zweiten Routing-Engine installieren können.

So aktualisieren Sie das Software-Image auf der zweiten Routing-Engine:

Verwenden Sie FTP, um das Installationsmedium in das Verzeichnis /var/tmp der primären Routing-Engine zu kopieren.
Schließen Sie ein USB-Speichergerät an den USB-Anschluss der primären Routing-Engine an.
Navigieren Sie in der UNIX-Shell zum Verzeichnis /var/tmp:
Melden Sie sich als root oder Superuser an:
Geben Sie den folgenden Befehl ein:
wo
- externalDrive– Bezieht sich auf den Namen des Wechselmediums. Beispiel: Der Name des Wechseldatenträgers auf einem Gerät der SRX5000-Reihe lautet für beide Routing-Engines da0.
- installMedia– Bezieht sich auf das Installationsmedium, das in das Verzeichnis /var/tmp heruntergeladen wurde. Beispiel: junos-install-media-usb-srx5000-x86-64-21.4R1.7.img.gz.
Kopieren Sie das Installationsmedien-Image in Schritt 1 auf die primäre Routing-Engine auf das USB-Speichergerät:
Melden Sie sich als root oder Superuser ab:
Nachdem das Software-Image auf das USB-Speichergerät geschrieben wurde, entfernen Sie das Gerät, und stecken Sie es in den USB-Anschluss der zweiten Routing-Engine.
Verschieben Sie die Konsolenverbindung von der primären Routing-Engine zur zweiten Routing-Engine, falls Sie noch keine Verbindung haben.
Starten Sie die zweite Routing-Engine neu. Geben Sie den folgenden Befehl ein (für Junos OS Version 15.1X49-D65 und früher):
Geben Sie ab Junos OS Version 15.1X49-D70 den folgenden Befehl ein:
- Wenn die folgende Systemausgabe angezeigt wird, drücken Sie y:
- Wenn die folgende Systemausgabe angezeigt wird, entfernen Sie das USB-Speichergerät und drücken Sie die Eingabetaste:

Beispiel: Konfigurieren von Gehäuse-Cluster-Steuerports für duale Steuerverbindungen

In diesem Beispiel wird gezeigt, wie Steuerports für Gehäusecluster für die Verwendung als duale Steuerverbindungen auf SRX5600- und SRX5800 Geräten konfiguriert werden. Sie müssen die Steuerports konfigurieren, die Sie auf jedem Gerät verwenden, um die Steuerverbindungen einzurichten.

Junos OS unterstützt aufgrund der begrenzten Anzahl von Steckplätzen keine dualen Steuerverbindungen auf SRX5400 Geräten.

Anforderungen
Überblick
Konfiguration
Verifizierung

Anforderungen

Bevor Sie beginnen:

Grundlegendes zu den Steuerverbindungen von Gehäuse-Clustern. Weitere Informationen finden Sie unter Grundlegendes zu Chassis-Clustern, Steuerungsebene und Steuerlinks.
Schließen Sie die Steuerports physisch an den Geräten an. Weitere Informationen finden Sie unter Verbinden von Geräten der SRX-Serie zum Erstellen eines Chassis-Clusters.

Überblick

Standardmäßig sind alle Steuerports an SRX5600 Geräten und SRX5800 Geräten deaktiviert. Nach dem Anschließen der Steuerports, der Konfiguration der Steuerports und dem Einrichten des Gehäuse-Clusters werden die Steuerverbindungen eingerichtet.

In diesem Beispiel werden Steuerports mit den folgenden FPCs und Ports als duale Steuerverbindungen konfiguriert:

FPC 4, Anschluss 0
FPC 10, Anschluss 0
FPC 6, Anschluss 1
FPC 12, Anschluss 1

Konfiguration

CLI Schnellkonfiguration

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um Ihrer Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und wechseln Sie commit dann aus dem [edit] Konfigurationsmodus.

Schritt-für-Schritt-Anleitung

So konfigurieren Sie Steuerports für die Verwendung als duale Steuerverbindungen für das Gehäuse-Cluster:

Geben Sie die Steuerports an.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show chassis cluster Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Überprüfen des Status des Chassis-Clusters

Zweck
Aktion
Bedeutung

Zweck

Überprüfen Sie den Status des Gehäuse-Clusters.

Aktion

Geben Sie im Betriebsmodus den show chassis cluster status Befehl ein.

Bedeutung

Verwenden Sie den show chassis cluster status Befehl, um zu bestätigen, dass die Geräte im Gehäusecluster miteinander kommunizieren. Die Ausgabe zeigt, dass der Chassis-Cluster ordnungsgemäß funktioniert, da ein Gerät der primäre und das andere der sekundäre Knoten ist.

Plattformspezifisches Verhalten von dualen Steuerverbindungen

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen.

Bahnsteig	Unterschied
SRX-Serie	SRX5600- und SRX5800-Firewalls, die duale Steuerverbindungen unterstützen, verwenden Sie den `show chassis hardware` Befehl, um die Seriennummer und die Details zur Hardwareversion der zweiten Routing-Engine anzuzeigen. Sie müssen eine zweite Routing-Engine für jedes Gerät in einem Cluster verwenden, wenn Sie duale Steuerverbindungen verwenden. Die zweite Routing-Engine initialisiert den Switch auf dem Switch Control Board (SCB), stellt jedoch keine Sicherungsfunktionen bereit. Auf der zweiten Routing-Engine muss Junos OS ausgeführt werden. Weitere Informationen finden Sie im Knowledgebase-Artikel KB30371.

Bahnsteig

Unterschied

SRX-Serie

SRX5600- und SRX5800-Firewalls, die duale Steuerverbindungen unterstützen, verwenden Sie den show chassis hardware Befehl, um die Seriennummer und die Details zur Hardwareversion der zweiten Routing-Engine anzuzeigen.
Sie müssen eine zweite Routing-Engine für jedes Gerät in einem Cluster verwenden, wenn Sie duale Steuerverbindungen verwenden. Die zweite Routing-Engine initialisiert den Switch auf dem Switch Control Board (SCB), stellt jedoch keine Sicherungsfunktionen bereit. Auf der zweiten Routing-Engine muss Junos OS ausgeführt werden. Weitere Informationen finden Sie im Knowledgebase-Artikel KB30371.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen

Beschreibung

20.4

Ab Junos OS Version 20.4R1 können Sie die Steuerungslinks auf SRX1500 Services Gateways mithilfe von CLI-Befehlen im Betriebsmodus und CLI-Befehlen im Konfigurationsmodus, die in einem nachfolgenden Absatz beschrieben werden, aktivieren oder deaktivieren. Mit dieser CLI-Funktion können Sie den Status von Clusterknoten während eines Cluster-Upgrades steuern.