Connexion de pare-feu SRX Series pour créer un cluster de châssis

Un cluster de châssis SRX Series est créé en connectant physiquement deux pare-feu SRX Series identiques pris en charge par cluster à l’aide d’une paire de connexions Ethernet du même type. La connexion est établie à la fois pour une liaison de contrôle et une liaison de structure (données) entre les deux appareils.

Les liens de contrôle dans un cluster de châssis sont établis à l’aide de ports spécifiques.

La valeur de l’interface change en fonction de la valeur de décalage du cluster. En fonction de l’index du cluster, l’interface est nommée type-fpc/pic/port. Par exemple, ge-1/0/1 , où 1 est l’index du cluster et le numéro FPC. Vous devez utiliser les ports suivants pour former la liaison de contrôle sur les pare-feu SRX Series suivants :

• Pour les équipements SRX300, connectez le ge-0/0/1 sur le noeud 0 au ge-1/0/1 sur le noeud 1.

• Pour les appareils SRX320, connectez le ge-0/0/1 sur le noeud 0 au ge-3/0/1 sur le noeud 1.

• Pour les appareils SRX340, SRX345 et SRX380, connectez le GE-0/0/1 sur le nœud 0 au GE-5/0/1 sur le nœud 1.

• Pour les équipements SRX1500, connectez le port de contrôle HA du nœud 0 au port de contrôle HA du nœud 1.

• Pour la configuration de liaison de contrôle double des équipements SRX1600, SRX2300 et SRX4300, connectez le port de contrôle HA 0 du nœud 0 au port de contrôle HA 0 du nœud 1 et connectez le port de contrôle HA 1 du nœud 0 au port de contrôle 1 du nœud 1.

Pour établir un lien de structure :

• Pour les équipements SRX300 et SRX320, connectez n’importe quelle interface sauf ge-0/0/0 et ge-0/0/1.

• Pour les équipements SRX340, SRX345 et SRX380, connectez n’importe quelle interface sauf fxp0 et ge-0/0/1.

Les Figure 2, Figure 3, Figure 4 et Figure 6 montrent des paires de pare-feu SRX Series avec les liaisons de structure et les liaisons de contrôle connectées.

Pour les périphériques SRX1500, SRX1600, SRX2300 et SRX4300, la connexion qui sert de liaison de contrôle doit se trouver entre les ports de contrôle intégrés de chaque périphérique.

Vous pouvez connecter deux liaisons de contrôle (lignes SRX4600, SRX5600, SRX5800 et SRX3000 uniquement) et deux liaisons de structure entre les deux équipements du cluster afin de réduire le risque de défaillance de la liaison de contrôle et de la liaison de structure. Reportez-vous aux sections Présentation des liens de contrôle double du cluster de châssis et Présentation des liens de double fabric du cluster de châssis.

Les Figure 8, Figure 10 et Figure 11 montrent des paires de pare-feu SRX Series avec les liaisons de structure et les liaisons de contrôle connectées.

Les Figure 13, Figure 14 et Figure 15 montrent des paires de pare-feu SRX Series avec les liaisons de structure et de contrôle connectées.

Les cartes SPC (Service Processing Cards) disposent de deux ports dédiés (HA0 et HA1) pour connecter les liens de contrôle dans le cluster de châssis.

Les ports de fabric sont des ports payants disponibles à partir de n’importe quelle carte IOC. Les liaisons de fabric sont connectées au même emplacement et au même port sur les deux gamme SRX5000 d’équipements.

Gamme SRX5000 périphériques n’ont pas de ports intégrés, de sorte que la liaison de contrôle de ces passerelles doit être constituée des ports de contrôle de leurs SPC avec un décalage de numérotation des emplacements de 3 pour SRX5400, de 6 pour les périphériques SRX5600 et de 12 pour les périphériques SRX5800.

La Figure 13 montre une paire de périphériques SRX5800 dotés d’une seule carte SPC, chacun connecté par une liaison de contrôle. La liaison de structure est connectée à l’aide de la carte IOC. Les liaisons à double contrôle sont configurées à l’aide d’une carte SPC sur chaque nœud. Il est recommandé de séparer les ports de contrôle primaire et secondaire sur deux cartes SPC différentes sur chaque nœud pour la redondance.

La Figure 14 montre des liaisons de contrôle doubles connectées à l’aide de deux cartes SPC3 et des liaisons de fabric doubles à l’aide de cartes IOC.

Lorsque vous connectez un seul lien de contrôle sur des équipements de la gamme SRX5000, les ports de lien de contrôle sont mappés un à un avec l’emplacement du moteur de routage. Si votre moteur de routage se trouve dans l’emplacement 0, vous devez utiliser le port de contrôle 0 pour lier les moteurs de routage.

Lorsqu’un SPC est le point central et qu’il héberge le port de contrôle, cela crée un point de défaillance unique. Si le SPC tombe en panne sur le noeud principal, le noeud est automatiquement redémarré pour éviter le split brain.

Les liaisons à double contrôle ne sont pas prises en charge sur un périphérique SRX5400 en raison du nombre limité d’emplacements.