Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Gehäuse-Cluster – Übersicht

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Lesen Sie den Abschnitt Plattformspezifisches Chassis-Cluster-Verhalten , um Hinweise zu Ihrer Plattform zu erhalten.

Ein Chassis-Cluster bietet hohe Verfügbarkeit auf Firewalls der SRX-Serie, bei denen zwei Geräte als ein einziges Gerät arbeiten. Chassis-Cluster umfasst die Synchronisierung von Konfigurationsdateien und den dynamischen Laufzeitsitzungszuständen zwischen den Firewalls der SRX-Serie, die Teil der Chassis-Cluster-Einrichtung sind.

Gehäuse-Cluster – Übersicht

Das Junos OS bietet hohe Verfügbarkeit auf der Firewall der SRX-Serie durch die Verwendung von Chassis-Clustering. Firewalls der SRX-Serie können für den Betrieb im Cluster-Modus konfiguriert werden, in dem ein Gerätepaar miteinander verbunden und so konfiguriert werden kann, dass es wie ein einzelner Knoten arbeitet und Geräte-, Schnittstellen- und Servicelevel-Redundanz bietet.

Für Firewalls der SRX-Serie, die als Stateful-Firewalls fungieren, ist es wichtig, den Status des Datenverkehrs zwischen zwei Geräten zu erhalten. In einer Chassis-Cluster-Konfiguration ist im Falle eines Ausfalls Sitzungsbeständigkeit erforderlich, damit die eingerichteten Sitzungen auch dann nicht unterbrochen werden, wenn das ausgefallene Gerät Datenverkehr weitergeleitet hat.

Bei der Konfiguration als Chassis-Cluster sichern sich die beiden Knoten gegenseitig, wobei ein Knoten als primäres und der andere als sekundäres Gerät fungiert, wodurch ein zustandsbehaftetes Failover von Prozessen und Diensten im Falle eines System- oder Hardwareausfalls gewährleistet wird. Wenn das primäre Gerät ausfällt, übernimmt das sekundäre Gerät die Verarbeitung des Datenverkehrs. Die Clusterknoten sind über zwei Verbindungen verbunden, die als Control Link und Fabric Link bezeichnet werden. Die Geräte in einem Chassis-Cluster synchronisieren die Konfigurations-, Kernel- und PFE-Sitzungszustände im gesamten Cluster, um Hochverfügbarkeit, Failover zustandsbehafteter Dienste und Load Balancing zu ermöglichen.

Es ist keine separate Lizenz erforderlich, um den Chassis-Cluster zu aktivieren. Für einige Funktionen der Junos OS-Software ist jedoch eine Lizenz erforderlich, um die Funktion zu aktivieren. Weitere Informationen finden Sie unter Grundlegendes zu den Lizenzanforderungen für Chassis-Cluster, Installieren von Lizenzen auf Geräten der SRX-Serie in einem Chassis-Cluster und Überprüfen von Lizenzen auf Geräten der SRX-Serie in einem Chassis-Cluster. Allgemeine Informationen zur Lizenzverwaltung finden Sie im Lizenzierungshandbuch von Juniper. Weitere Informationen erhalten Sie in den Produktdatenblättern unter Services Gateways der SRX-Serie oder wenden Sie sich an Ihr Juniper Kundenteam oder Ihren Juniper Partner.

Vorteile von Chassis-Cluster

  • Verhindert den Ausfall einzelner Geräte, der zu einem Verlust der Konnektivität führt.

  • Bietet hohe Verfügbarkeit zwischen Geräten bei der Verbindung von Zweigstellen- und Remote-Standortverbindungen zu größeren Unternehmensniederlassungen. Durch die Nutzung der Chassis-Cluster-Funktion können Unternehmen die Konnektivität im Falle eines Geräte- oder Verbindungsausfalls sicherstellen.

Gehäuse-Cluster-Funktionalität

Die Funktionalität des Gehäuse-Clusters umfasst:

  • Ausfallsichere Systemarchitektur mit einer einzigen aktiven Steuerungsebene für den gesamten Cluster und mehreren Packet Forwarding Engines. Diese Architektur stellt eine einzelne Geräteansicht des Clusters dar.

  • Synchronisierung von Konfigurations- und dynamischen Laufzeitzuständen zwischen Knoten innerhalb eines Clusters.

  • Überwachung von physischen Schnittstellen und Failover, wenn die Fehlerparameter einen konfigurierten Schwellenwert überschreiten.

Chassis-Cluster-Modi

Ein Chassis-Cluster kann in einem aktiv/aktiven oder aktiv/passiven Modus konfiguriert werden.

  • Active/passive mode: Im aktiven/passiven Modus wird der Transitverkehr über den primären Knoten geleitet, während der Backup-Knoten nur im Falle eines Ausfalls verwendet wird. Wenn ein Fehler auftritt, wird das Backup-Medium primär und übernimmt alle Weiterleitungsaufgaben.

  • Active/active mode: Im aktiv/aktiven Modus wird ständig Transitdatenverkehr durch beide Knoten des Clusters geleitet.

Wie funktioniert Chassis-Clustering?

Die Control-Ports der jeweiligen Knoten sind miteinander verbunden, um eine Control Plane zu bilden, die Konfiguration und Kernel-Status synchronisiert, um die hohe Verfügbarkeit von Schnittstellen und Services zu ermöglichen.

Die Data Plane auf den jeweiligen Knoten ist über die Fabric-Ports verbunden, um eine einheitliche Data Plane zu bilden.

Beim Erstellen eines Chassis-Clusters werden die Steuerports der jeweiligen Knoten zu einer Steuerungsebene verbunden, die die Konfiguration und den Kernel-Status synchronisiert, um die Hochverfügbarkeit von Schnittstellen und Diensten zu ermöglichen.

Ebenso wird die Data Plane auf den jeweiligen Knoten über die Fabric-Ports verbunden, um eine einheitliche Data Plane zu bilden.

Der Fabric-Link ermöglicht die Verwaltung der knotenübergreifenden Datenstromverarbeitung und die Verwaltung der Sitzungsredundanz.

Die Software der Steuerungsebene arbeitet im aktiven Modus oder im Backup-Modus. Bei der Konfiguration als Chassis-Cluster sichern sich die beiden Knoten gegenseitig, wobei ein Knoten als primäres und der andere als sekundäres Gerät fungiert, wodurch ein zustandsbehaftetes Failover von Prozessen und Diensten im Falle eines System- oder Hardwareausfalls gewährleistet wird. Wenn das primäre Gerät ausfällt, übernimmt das sekundäre Gerät die Verarbeitung des Datenverkehrs.

Die Data Plane-Software arbeitet im Aktiv/Aktiv-Modus. In einem Chassis-Cluster werden die Sitzungsinformationen aktualisiert, wenn der Datenverkehr eines der beiden Geräte durchläuft, und diese Informationen werden zwischen den Knoten über die Fabric-Verbindung übertragen, um sicherzustellen, dass etablierte Sitzungen bei einem Failover nicht unterbrochen werden. Im Aktiv/Aktiv-Modus ist es möglich, dass Datenverkehr auf einem Knoten in den Cluster eindringt und vom anderen Knoten ausgeht. Wenn ein Gerät einem Cluster beitritt, wird es zu einem Knoten dieses Clusters. Mit Ausnahme von eindeutigen Knoteneinstellungen und Verwaltungs-IP-Adressen haben Knoten in einem Cluster dieselbe Konfiguration.

Zu jedem Zeitpunkt kann sich ein Cluster in einem der folgenden Zustände befinden: "Halten", "Primär", "Sekundär halten", "Nicht zulässig" und "Deaktiviert". Ein Zustandsübergang kann aufgrund jedes Ereignisses ausgelöst werden, z. B. aufgrund von Schnittstellenüberwachung, SPU-Überwachung, Fehlern und manuellen Failovers.

IPv6-Clustering-Unterstützung

Firewalls der SRX-Serie mit IP-Version 6 (IPv6) können in aktiven/aktiven (Failover-) Chassis-Cluster-Konfigurationen bereitgestellt werden, zusätzlich zur bereits bestehenden Unterstützung von aktiv/passiven (Failover-) Chassis-Cluster-Konfigurationen. Eine Schnittstelle kann mit einer IPv4-Adresse, einer IPv6-Adresse oder beidem konfiguriert werden. Adressbucheinträge können eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen und DNS-Namen (Domain Name System) enthalten.

Das Gehäuse-Cluster unterstützt GRE-Tunnel (Generic Routing Encapsulation), die zum Weiterleiten von gekapseltem IPv4/IPv6-Datenverkehr über die interne Schnittstelle gr-0/0/0 verwendet werden. Diese Schnittstelle wird von Junos OS beim Systemstart erstellt und nur für die Verarbeitung von GRE-Tunneln verwendet. Weitere Informationen finden Sie im Benutzerhandbuch für Sicherheitsgeräte der Schnittstelle.

Anwendungsfall für SRX-Chassis-Cluster

Unternehmens- und Service Provider-Netzwerke setzen verschiedene Redundanz- und Ausfallsicherheitsmethoden auf der Netzwerkebene des Kunden-Edge-Netzwerks ein. Da diese Ebene den Eingang oder Peering-Punkt zum Internet darstellt, sind ihre Stabilität und Betriebszeit von großer Bedeutung. Kundentransaktionsinformationen, E-Mail, Voice over IP (VoIP) und Datenverkehr von Standort zu Standort können alle diesen einzigen Einstiegspunkt in das öffentliche Netzwerk nutzen. In Umgebungen, in denen ein Site-to-Site-VPN die einzige Verbindung zwischen Kundenstandorten und dem Standort der Zentrale ist, wird diese Verbindung noch wichtiger.

Traditionell wurden mehrere Geräte mit diskreten Konfigurationen verwendet, um Redundanz auf dieser Netzwerkschicht zu gewährleisten – mit gemischten Ergebnissen. In diesen Konfigurationen verlässt sich das Unternehmen auf Routing- und Redundanzprotokolle, um einen hochverfügbaren und redundanten Kunden-Edge zu ermöglichen. Diese Protokolle erkennen Fehler oft nur langsam und ermöglichen in der Regel nicht die Synchronisierung, die für die ordnungsgemäße Verarbeitung von zustandsbehaftetem Datenverkehr erforderlich ist. Angesichts der Tatsache, dass ein beträchtlicher Teil des Unternehmensdatenverkehrs, der über die Edge (zum/vom Internet oder zwischen Kundenstandorten) übertragen wird, zustandsbehaftet ist, bestand eine ständige Herausforderung bei der Konfiguration dieser Netzwerkebene darin, sicherzustellen, dass der Sitzungszustand nicht verloren geht, wenn ein Failover oder eine Umkehrung auftritt.

Eine weitere Herausforderung bei der Konfiguration redundanter Geräte ist die Notwendigkeit, separate physische Geräte mit unterschiedlichen Konfigurationen zu konfigurieren, zu verwalten und zu warten. Die Synchronisierung dieser Konfigurationen kann auch eine Herausforderung darstellen, da mit zunehmendem Bedarf und zunehmender Komplexität der Sicherheitsmaßnahmen auch die Wahrscheinlichkeit steigt, dass die Konfigurationen nicht übereinstimmen. In einer sicheren Umgebung kann eine nicht übereinstimmende Konfiguration so etwas Einfaches wie einen Verlust der Konnektivität oder so komplex und kostspielig wie einen totalen Sicherheitsfehler verursachen. Jedes anomale Ereignis am Kunden-Edge kann sich auf die Betriebszeit auswirken, was sich wiederum auf die Fähigkeit auswirkt, Kunden zu bedienen oder möglicherweise die Sicherheit der Kundendaten zu gewährleisten.

Eine Lösung für das Problem der redundanten Kunden-Edge-Konfiguration ist die Einführung einer zustandsbewussten Clustering-Architektur, die es ermöglicht, dass zwei oder mehr Geräte als ein einziges Gerät betrieben werden. Geräte in dieser Art von Architektur sind in der Lage, Sitzungsinformationen zwischen allen Geräten auszutauschen, um ein nahezu sofortiges Failover und eine Umkehrung des zustandsbehafteten Datenverkehrs zu ermöglichen. Ein wichtiger Maßstab für den Erfolg in diesem Bereich ist die Fähigkeit des Clusters, ein Failover durchzuführen und den Datenverkehr wiederherzustellen, während der Status aktiver Sitzungen beibehalten wird.

Die Verwendung der SRX-Chassis-Cluster-Konfiguration, die unter Beispiel: Konfigurieren eines Services Gateways der SRX-Serie als Full-Mesh-Chassis-Cluster beschrieben wird, verringert die Ausfallzeit des Systems.

Geräte in einer effektiven Clustering-Architektur können auch als ein einzelnes Gerät verwaltet werden. die gemeinsame Nutzung einer einzigen Steuerungsebene. Diese Funktion ist von entscheidender Bedeutung, da sie die Betriebskosten reduziert, die mit der Verwaltung mehrerer Geräte verbunden sind. Anstatt separate Geräte mit unterschiedlichen Konfigurationen und Verwaltungsportalen zu verwalten und zu betreiben, können Sie mehrere Geräte, die dieselbe Funktion erfüllen, über einen einzigen Verwaltungspunkt verwalten.

Schließlich haben Geräte in einer Cluster-Konfiguration die Möglichkeit, aktive Schnittstellen zu überwachen, um ihren Servicestatus zu bestimmen. Ein effektiver Cluster überwacht proaktiv alle Umsatzschnittstellen und sollte ein Failover auf Backup-Schnittstellen durchführen, wenn ein Fehler erkannt wird. Dies sollte in nahezu sofortigen Intervallen erfolgen, um die Auswirkungen eines Serviceausfalls (unterbrochene Kundenanrufe usw.) zu minimieren.

Einschränkungen bei Gehäuse-Clustern

Für die Firewalls der SRX-Serie gelten die folgenden Einschränkungen für Gehäuse-Cluster:

Chassis Cluster

  • Gruppen-VPN wird nicht unterstützt.

  • Auf Firewalls der SRX-Serie in einem Gehäuse-Cluster wird die Datenstromüberwachung für Version 5 und Version 8 unterstützt. Die Datenstromüberwachung für Version 9 wird jedoch nicht unterstützt.

  • Wenn eine Firewall der SRX-Serie im Gehäuse-Cluster-Modus betrieben wird und ein IA-Chip-Zugriffsproblem in einer SPC oder einer E/A-Karte (IOC) auftritt, wird ein kleiner FPC-Alarm aktiviert, um ein Redundanzgruppen-Failover auszulösen.

Flow and Processing

  • Wenn Sie die Paketerfassung für Reth-Schnittstellen verwenden, werden zwei Dateien erstellt, eine für eingehende Pakete und die andere für ausgehende Pakete basierend auf dem Namen der Reth-Schnittstelle. Diese Dateien können außerhalb des Geräts mit Tools wie Wireshark oder Mergecap zusammengeführt werden.

  • Wenn Sie die Portspiegelung auf reth-Schnittstellen verwenden, kann die reth-Schnittstelle nicht als Ausgabeschnittstelle konfiguriert werden. Sie müssen eine physische Schnittstelle als Ausgabeschnittstelle verwenden. Wenn Sie die reth-Schnittstelle mit dem set forwarding-options port-mirroring family inet output Befehl als Ausgabeschnittstelle konfigurieren, wird die folgende Fehlermeldung angezeigt.

    Port-mirroring configuration error. Interface type in reth1.0 is not valid for port-mirroring or next-hop-group config

  • Wenn eine Firewall der SRX-Serie im Gehäuse-Cluster-Modus arbeitet und auf einen IA-Chip (IA-Chip ist Teil von Juniper SPC1 und IOC1. Dies hat direkte Auswirkungen auf SPC1/IOC1 Control Plane), Zugriffsproblem in einer SPC oder einer E/A-Karte (IOC) wird ein kleiner FPC-Alarm aktiviert, um ein Redundanzgruppen-Failover auszulösen.

  • Wenn auf Firewalls der SRX-Serie in einem Chassis-Cluster zwei logische Systeme konfiguriert sind, überschreitet die Skalierungsgrenze 13.000, was der Standardskalierungsgrenze von 15.000 sehr nahe kommt, und es ergibt sich eine Konvergenzzeit von 5 Minuten. Dieses Problem tritt auf, weil das Erlernen von Multicastrouten mehr Zeit in Anspruch nimmt, wenn die Anzahl der Routen erhöht wird.

Interfaces

  • Auf der lsq-0/0/0-Schnittstelle werden die Link-Services-MLPPP, MLFR und CRTP nicht unterstützt.

  • Auf der lt-0/0/0-Schnittstelle wird CoS für RPM nicht unterstützt.

  • Die 3G-Dialer-Schnittstelle wird nicht unterstützt.

  • Warteschlangen auf der AE-Schnittstelle werden nicht unterstützt.

Layer 2 Switching

Bei einem Failover der Firewall der SRX-Serie werden die Access Points auf dem Layer 2-Switch neu gestartet und alle Wireless-Clients verlieren die Verbindung für 4 bis 6 Minuten.

MIBs

  • Die Chassis-Cluster-MIB wird nicht unterstützt.

IPv6

  • Die Überwachung der IP-Adressen von Redundanzgruppen wird für IPv6-Ziele nicht unterstützt.

MIBs

  • Die Chassis-Cluster-MIB wird nicht unterstützt.

Nonstop Active Routing (NSR)

  • NSR kann Schnittstellen- und Kernelinformationen aufbewahren und speichert Routingprotokollinformationen, indem der Routing-Protokollprozess (RPD) auf der Backup-Routing-Engine ausgeführt wird. Die meisten SRX-Plattformen unterstützen NSR jedoch noch nicht. Auf dem sekundären Knoten ist also kein RPD-Daemon vorhanden. Nach dem RG0-Failover verfügt der neue RG0-Master über einen neuen RPD und muss mit dem Peer-Gerät neu verhandeln.

Sampling-Funktionen wie Datenstromüberwachung, Paketerfassung und Portspiegelung werden auf Reth-Schnittstellen unterstützt.

Siehe auch

Plattformspezifisches Gehäuse-Cluster-Verhalten

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen.

Bahnsteig

Unterschied

SRX-Serie

  • Für Firewalls der SRX5000-Serie, die Gehäuse-Cluster unterstützen, gelten die folgenden Einschränkungen:

    • Sie können Bildschirmstatistikdaten nur auf dem primären Gerät erfassen.

    • Konfigurationen mit acht Warteschlangen werden nicht auf der Chassis-Cluster-Schnittstelle angezeigt.

    • Ein APN oder ein IMSI-Filter muss für jedes GTP-Profil auf 600 begrenzt werden. Die Anzahl der Filter ist direkt proportional zur Anzahl der IMSI-Präfixeinträge. Wenn ein APN beispielsweise mit zwei IMSI-Präfixeinträgen konfiguriert ist, beträgt die Anzahl der Filter zwei.

  • Für Firewalls der SRX4600- und SRX5000-Serie, die Gehäuse-Cluster unterstützen, gelten die folgenden Einschränkungen:

    • Wenn in großen Gehäuseclusterkonfigurationen mehr als 1000 logische Schnittstellen verwendet werden, wird empfohlen, die Taktgeber des Clusters gegenüber der Standardwartezeit zu erhöhen, bevor ein Failover ausgelöst wird. In einer Implementierung mit voller Kapazität wird empfohlen, die Wartezeit auf 8 Sekunden zu erhöhen, indem und Werte in der [edit chassis cluster] Hierarchie geändert werden heartbeat-threshold heartbeat-interval.

    • Das Produkt aus den und Werten definiert die Zeit vor dem heartbeat-threshold heartbeat-interval Failover. Die Standardwerte (heartbeat-threshold von 3 Beats und heartbeat-interval von 1000 Millisekunden) erzeugen eine Wartezeit von 3 Sekunden.

    • Um die Wartezeit zu ändern, ändern Sie die Optionswerte so, dass das Produkt der gewünschten Einstellung entspricht. Wenn Sie z. B. den heartbeat-threshold Wert auf 8 festlegen und den Standardwert für ( heartbeat-interval 1000 Millisekunden) beibehalten, ergibt sich eine Wartezeit von 8 Sekunden. Wenn Sie den heartbeat-threshold Wert auf 4 und den heartbeat-interval Wert auf 2000 Millisekunden festlegen, ergibt sich ebenfalls eine Wartezeit von 8 Sekunden.

    • Wenn der primäre Knoten, auf dem der LACP-Prozess (lacpd) ausgeführt wird, einen ordnungsgemäßen oder nicht ordnungsgemäßen Neustart durchläuft, kann es einige Sekunden dauern, bis der LACPD auf dem neuen primären Knoten Schnittstellen und Zustandsautomaten startet oder zurücksetzt, um unerwartete synchrone Ergebnisse wiederherzustellen. Wenn das System während des Failovers Datenverkehrspakete oder interne Pakete mit hoher Priorität verarbeitet (Löschen von Sitzungen oder Wiederherstellen von Aufgaben), werden LACP-Pakete mittlerer Priorität vom Peer (Switch) in den Warteschlangen verschoben, was zu weiteren Verzögerungen führt.

  • Für Firewalls der SRX300-Serie, SRX1500, SRX1600, SRX2300 und SRX4300, die Gehäuse-Cluster unterstützen, gelten die folgenden Einschränkungen:

    • Die maximale Anzahl von Überwachungs-IPs, die pro Cluster konfiguriert werden können, beträgt 64.

    • Protokolle können nicht an den Netzwerk- und Sicherheitsmanager (NSM) gesendet werden, wenn die Protokollierung im Stream-Modus konfiguriert ist. Protokolle können nicht gesendet werden, da das Sicherheitsprotokoll die Konfiguration der Quell-IP-Adresse für die fxp0-Schnittstelle nicht unterstützt und das Sicherheitsprotokollziel im Stream-Modus nicht über die fxp0-Schnittstelle weitergeleitet werden kann. Dies bedeutet, dass Sie den Sicherheitsprotokollserver nicht im selben Subnetz wie die fxp0-Schnittstelle konfigurieren und den Protokollserver nicht über die fxp0-Schnittstelle routen können.

    • Für Firewalls der SRX300-Serie, die Chassis-Cluster unterstützen, ist der reboot Parameter nicht verfügbar, da die Geräte in einem Cluster nach einem In-Band-Cluster-Upgrade (ICU) automatisch neu gestartet werden.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
12,1 x 45 cm
Ab Junos OS Version 12.1X45-D10 und höher werden Sampling-Funktionen wie Datenstromüberwachung, Paketerfassung und Portspiegelung auf Reth-Schnittstellen unterstützt.