Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation de la configuration du cluster de châssis SRX Series

Voici les conditions préalables à la configuration d’un cluster de châssis :

  • Sur les pare-feu SRX300, SRX320, SRX340, SRX345 et SRX380, toutes les configurations existantes associées aux interfaces qui se transforment en port de gestion FXP0 et en port de contrôle doivent être supprimées. Pour plus d’informations, reportez-vous à la section Présentation de la numérotation des emplacements de cluster du châssis SRX Series et de la dénomination des ports physiques et des interfaces logiques.

  • Vérifiez que le matériel et les logiciels sont identiques sur les deux appareils.

  • Vérifiez que les clés de licence sont les mêmes sur les deux appareils.

  • Pour les pare-feu SRX300, SRX320, SRX340, SRX345 et SRX380, l’emplacement et le type des GPIM, XGPIM, XPIM et Mini-PIM (selon le cas) doivent correspondre dans les deux équipements.

  • Pour la gamme SRX5000 de pare-feu, l’emplacement et le type de SPC doivent correspondre dans les deux appareils.

La figure 1 montre un diagramme de flux de clusters de châssis pour les équipements SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX1600, SRX2300, SRX4300, SRX4100, SRX4200 et SRX4600.

Figure 1 : diagramme de flux du cluster de châssis (équipements SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300 et SRX4600) Chassis Cluster Flow Diagram (SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300 and SRX4600 Devices)
Figure 2 : diagramme de flux du cluster de châssis (appareils SRX5800, SRX5600 SRX5400) Chassis Cluster Flow Diagram (SRX5800, SRX5600, SRX5400 Devices)

Cette section donne un aperçu des étapes de base pour créer un cluster de châssis SRX Series. Pour créer un cluster de châssis SRX Series :

  1. Préparez les pare-feu SRX Series à utiliser dans le cluster de châssis. Pour plus d’informations, reportez-vous à la section Préparation de votre équipement pour la formation de clusters de châssis.
  2. Connectez physiquement deux pare-feu du même type de pare-feu SRX Series pris en charge. Pour plus d’informations, reportez-vous à la section Connexion de périphériques SRX Series pour créer un cluster de châssis.

    1. Créez la liaison de structure entre deux nœuds d’un cluster en connectant n’importe quelle paire d’interfaces Ethernet. Pour la plupart des pare-feu SRX Series, les deux interfaces doivent être des interfaces Gigabit Ethernet (ou 10 Gigabit Ethernet).

      Lorsque vous utilisez la fonctionnalité de liaison double fabric, connectez les deux paires d’interfaces Ethernet que vous utiliserez sur chaque équipement. Reportez-vous à la section Présentation des liaisons de fabric doubles du cluster de châssis.

    2. Configurez les ports de contrôle (gamme SRX5000 uniquement). Reportez-vous à la section Exemple : Configuration des ports de contrôle du cluster de châssis.

  3. Connectez le premier périphérique à initialiser dans le cluster au port console. Il s’agit du nœud (nœud 0) qui forme le cluster et utilise les commandes du mode opérationnel CLI pour activer la mise en cluster :

    1. Identifiez le cluster en lui attribuant l’ID du cluster.

    2. Identifiez le noeud en lui attribuant son propre ID de noeud, puis redémarrez le système.

    Reportez-vous à la section Exemple : Définition de l’ID de nœud et de l’ID de cluster pour les équipements de sécurité d’un cluster de châssis . Pour obtenir des instructions de connexion, reportez-vous au Guide de démarrage de votre appareil

  4. Connectez-vous au port console de l’autre périphérique (nœud 1) et utilisez les commandes du mode opérationnel CLI pour activer la mise en cluster :

    1. Identifiez le cluster auquel l’appareil se joint en définissant le même ID de cluster que celui que vous avez défini sur le premier nœud.

    2. Identifiez le noeud en lui attribuant son propre ID de noeud, puis redémarrez le système.

  5. Configurez les interfaces de gestion sur le cluster. Reportez-vous à la section Exemple : Configuration de l’interface de gestion du cluster de châssis.
  6. Configurez le cluster à l’aide de l’interface de ligne de commande. Consultez les rubriques suivantes :

    1. Exemple : Configuration du nombre d’interfaces Ethernet redondantes dans un cluster de châssis

    2. Exemple : configuration des interfaces de la structure du cluster de châssis

    3. Exemple : configuration des groupes de redondance des clusters de châssis

    4. Exemple : Configuration de la surveillance de l’interface du cluster de châssis

    5. Exemple : configuration de la mise en cluster de châssis sur un équipement SRX Series

  7. (Facultatif) Lancez un basculement manuel. Reportez-vous à la section Lancement d’un basculement manuel de groupe de redondance de cluster de châssis.
  8. (Facultatif) Configurez l’annonce de route conditionnelle sur des interfaces Ethernet redondantes. Reportez-vous à la section Présentation de l’annonce de routes conditionnelles dans un cluster de châssis.
  9. Vérifiez la configuration. Reportez-vous à la section Affichage de la configuration d’un cluster de châssis.

Si deux nœuds sont connectés en cluster, l’un d’eux est choisi comme mode principal et son moteur de routage s’exécute en tant que mode principal. Le moteur de routage du nœud secondaire s’exécutant en tant que client. Tous les FPC du cluster, qu’il s’agisse d’un nœud principal ou d’un nœud secondaire, se connectent au moteur de routage principal. Les FPC sur le nœud secondaire se connectent au moteur de routage principal via la liaison de contrôle HA. Si le cluster a deux serveurs principaux, IOC reçoit un message d’un autre serveur principal et redémarre lui-même pour récupérer de cet état d’erreur.

Pour empêcher le redémarrage de la carte IOC, le nœud secondaire doit être mis hors tension avant de se connecter au cluster.

Pour préserver le trafic sur le nœud principal tout en connectant le nœud secondaire au cluster, il est recommandé de configurer le mode cluster sur le nœud 1 et de le mettre hors tension avant de le connecter au cluster afin d’éviter tout impact sur le nœud principal. La raison en est que les réseaux de contrôle sont différents pour un cluster HA ou un système à nœud unique. Lorsque les ports de contrôle sont connectés, ces deux ports rejoignent le même réseau et échangent des messages.

Cette section donne un aperçu des étapes de base pour restaurer le nœud de sauvegarde après une défaillance lorsqu’un nœud principal est en cours d’exécution :

  1. Connectez-vous au port console de l’autre périphérique (nœud 1) et utilisez les commandes du mode opérationnel CLI pour activer la mise en cluster :

    1. Identifiez le cluster auquel l’appareil se joint en définissant le même ID de cluster que celui que vous avez défini sur le premier nœud.

    2. Identifiez le noeud en lui attribuant son propre ID de noeud, puis redémarrez le système.

    Reportez-vous à la section Exemple : Définition de l’ID de nœud et de l’ID de cluster pour les équipements de sécurité d’un cluster de châssis . Pour obtenir des instructions de connexion, reportez-vous au Guide de démarrage de votre appareil

  2. Mettez le noeud secondaire hors tension.

  3. Connectez les ports de contrôle HA entre deux nœuds.

  4. Mettez le noeud secondaire sous tension.

  5. Le cluster est reformé et la session est synchronisée avec le nœud secondaire.

  • Lorsque vous utilisez la fonctionnalité de liaison double fabric, connectez les deux paires d’interfaces Ethernet que vous utiliserez sur chaque équipement. Reportez-vous à la section Présentation des liaisons de fabric doubles du cluster de châssis.

  • Lorsque vous utilisez la fonctionnalité de liaison de contrôle double (périphériques SRX5600 et SRX5800 uniquement), connectez les deux paires de ports de contrôle que vous utiliserez sur chaque périphérique.

    Reportez-vous à la section Connexions de liaison à double contrôle pour les pare-feu SRX Series dans un cluster de châssis.

    Pour les périphériques SRX5600 et SRX5800, les ports de contrôle doivent se trouver sur les emplacements correspondants des deux périphériques. Le tableau 1 présente les décalages de numérotation des créneaux horaires :

    Tableau 1 : décalages de numérotation des créneaux horaires

    Appareil

    Compenser

    SRX5800

    12 (par exemple, FPC3 et FPC15)

    SRX5600

    6 (par exemple, FPC3 et FPC9)

    SRX5400

    3 (par exemple, FPC3 et FPC6)

    SRX4600

    7 (par exemple, FPC1 et FPC8)

  • Sur les appareils SRX3400 et SRX3600, les ports de contrôle sont des ports Gigabit Ethernet dédiés.

  • Sur SRX4600 appareils, les ports de contrôle et les ports de structure sont des ports Ethernet 10 Gigabit dédiés.

Documentation connexe