Interfaces de plan de contrôle du cluster de châssis
Vous pouvez utiliser des interfaces de plan de contrôle pour synchroniser l’état du noyau entre les moteurs de routage sur les pare-feu SRX Series d’un cluster de châssis. Les interfaces de plan de contrôle assurent le lien entre les deux nœuds du cluster.
Les plans de contrôle utilisent ce lien pour :
-
Communiquer la découverte de nœuds.
-
Maintient l’état de session d’un cluster.
-
Accédez au fichier de configuration.
-
Détectez les signaux de vivacité à travers les nœuds.
Plan de contrôle et liens de contrôle du cluster de châssis
Le logiciel du plan de contrôle, qui fonctionne en mode actif ou de secours, fait partie intégrante de Junos OS et est actif sur le nud principal d’un cluster. Il assure la redondance en communiquant l’état, la configuration et d’autres informations au moteur de routage inactif sur le nud secondaire. Si le moteur de routage principal tombe en panne, le moteur de routage secondaire est prêt à prendre le contrôle.
Le logiciel du plan de contrôle :
-
Fonctionne sur le moteur de routage.
-
Supervise l’ensemble du système de clusters de châssis , y compris les interfaces sur les deux nuds.
-
Gère les ressources du système et du plan de données, y compris le moteur de transfert de paquets (PFE) sur chaque nud.
-
Synchronise la configuration sur le lien de contrôle.
-
Établir et maintenir des sessions, y compris des fonctions d’authentification, d’autorisation et de comptabilité (AAA).
-
Gère les protocoles de signalisation spécifiques aux applications.
-
Établit et maintient des sessions de gestion, telles que des connexions Telnet.
-
Gère le routage asymétrique.
-
Gestion de l’état du routage, du traitement ARP (Address Resolution Protocol) et du traitement DHCP (Dynamic Host Configuration Protocol).
Les informations provenant du logiciel du plan de contrôle suivent deux chemins :
-
Sur le nud principal (où le moteur de routage est actif), les informations de contrôle circulent du moteur de routage au moteur de transfert de paquets local.
-
Les informations de contrôle transitent par la liaison de contrôle vers le moteur de routage et le moteur de transfert de paquets du nœud secondaire.
Le logiciel du plan de contrôle exécuté sur le moteur de routage principal conserve l’état de l’ensemble du cluster. Seuls les processus s’exécutant sur le même nœud que le logiciel du plan de contrôle peuvent mettre à jour les informations d’état. Le moteur de routage principal synchronise l’état du nœud secondaire et traite également tout le trafic hôte.
Liens de contrôle du cluster de châssis
Les interfaces de contrôle assurent le lien de contrôle entre les deux nœuds du cluster et sont utilisées pour les mises à jour de routage et pour le trafic de signaux du plan de contrôle, tels que les informations de pulsation et de seuil qui déclenchent le basculement du nud. La liaison de contrôle synchronise également la configuration entre les nœuds. Lorsque vous soumettez des instructions de configuration au cluster, le lien de contrôle synchronise automatiquement la configuration.
La liaison de contrôle s’appuie sur un protocole propriétaire pour transmettre l’état de session, la configuration et l’état de vivacité à travers les nuds.
À partir de Junos OS version 19.3R1, le périphérique SRX5K-RE3-128G est pris en charge avec le périphérique SRX5K-SPC3 sur les équipements de la gamme SRX5000. Les interfaces de contrôle ixlv0 et igb0 sont utilisées pour configurer l’appareil SRX5K-RE3-128G. Les liens de contrôle contrôlent la communication entre le plan de contrôle, le plan de données et les messages de pulsation.
Lien de contrôle unique dans un cluster de châssis
Pour une seule liaison de contrôle dans un cluster de châssis, vous devez utiliser le même port de contrôle pour la connexion de la liaison de contrôle et pour la configuration sur les deux nœuds.
Par exemple, si vous configurez le port 0 en tant que port de contrôle sur le nœud 0, vous devez configurer le port 0 en tant que port de contrôle sur le nœud 1. Vous devez connecter les ports à l’aide d’un câble.
Dual Control Link dans un cluster de châssis
Vous devez connecter directement des liens de double contrôle dans un cluster de châssis. Les connexions croisées, c’est-à-dire la connexion du port 0 d’un nœud au port 1 de l’autre nœud et vice versa, ne fonctionnent pas.
Pour les liaisons à double contrôle, vous devez effectuer les connexions suivantes :
-
Connectez le port de contrôle 0 sur le nœud 0 au port de contrôle 0 sur le nœud 1.
-
Connectez le port de contrôle 1 sur le nœud 0 au port de contrôle 1 sur le nœud 1.
Chiffrement sur le lien de contrôle du cluster de châssis
Les liens de contrôle du cluster de châssis prennent en charge une fonctionnalité de sécurité chiffrée facultative que vous pouvez configurer et activer.
Notez que la documentation de sécurité de Juniper Networks utilise un cluster de châssis pour désigner les liens de contrôle haute disponibilité (HA). Vous verrez toujours l’abréviation ha utilisée à la place du cluster de châssis dans les commandes.
L’accès au lien de contrôle empêche les pirates de se connecter au système sans s’authentifier via le lien de contrôle, l’accès Telnet étant désactivé. La clé IPsec interne utilisée pour la communication interne entre les équipements permet de chiffrer les informations de configuration transmises par le lien du cluster de châssis entre le nud principal et le nud secondaire. Sans la clé IPsec, un attaquant ne peut pas obtenir d’accès privilégié ou observer le trafic.
Pour activer cette fonctionnalité, exécutez la commande configuration set security ipsec internal security-association manual encryption ike-ha-link-encryption enable .
Vous devez redémarrer les deux nœuds pour activer cette configuration.
Le chiffrement sur la liaison de contrôle de cluster de châssis via IPsec est pris en charge sur les équipements en ligne SRX4600, les équipements Gamme SRX5000 et les plates-formes Pare-feu virtuel vSRX.
Lorsque le cluster de châssis est en cours d’exécution avec la clé IPsec déjà configurée, vous pouvez apporter des modifications à la clé sans redémarrer l’équipement. Dans ce cas, vous n’aurez à changer la clé que sur un seul nœud.
Lorsque le chiffrement de clé IPsec est configuré, pour toute modification de configuration dans la hiérarchie de l’association de sécurité interne (SA), vous devez redémarrer les deux nuds. Pour vérifier l’algorithme de chiffrement de liaison de cluster de châssis Internet Key Exchange (IKE) configuré, affichez la sortie de show security internal-security-association.
| Description | des pare-feu SRX Series |
|---|---|
| SRX5400, SRX5600 et SRX5800 |
Par défaut, tous les ports de contrôle sont désactivés. Chaque carte SPC (Services Processing Card) d’un périphérique possède deux ports de contrôle, et plusieurs SPC peuvent être branchés sur chaque équipement. Pour configurer la liaison de contrôle dans un cluster de châssis, connectez et configurez les ports de contrôle que vous utilisez sur chaque périphérique ( |
| SRX4600 |
Des ports de contrôle de cluster de châssis et des ports de structure dédiés sont disponibles. Aucune configuration de liaison de contrôle n’est nécessaire pour les appareils SRX4600 ; Toutefois, vous devez configurer Fabric Link explicitement pour les déploiements de clusters de châssis. Si vous souhaitez configurer des interfaces Ethernet 1 Gigabit pour les ports de contrôle, vous devez définir explicitement la vitesse à l’aide de l’instruction |
| SRX4100 et SRX4200 |
Des ports de contrôle dédiés sont disponibles pour les clusters de châssis. La configuration de la liaison de contrôle n’est pas requise. Pour plus d’informations sur tous les ports SRX4100 et SRX4200, y compris les ports de liens de contrôle dédiés et les ports de liaison de structure, reportez-vous à la section Présentation de la numérotation des emplacements de cluster de châssis SRX Series et de la dénomination des ports physiques et des interfaces logiques. Lorsque les équipements ne sont pas en mode cluster, les ports de cluster dédiés du châssis ne peuvent pas être utilisés comme ports commerciaux ou ports de trafic. |
| SRX2300 et SRX4300 |
Les périphériques utilisent le double port de contrôle dédié avec prise en charge de MACsec. |
| SRX1600 |
Les périphériques utilisent le double port de contrôle dédié avec prise en charge de MACsec. |
| SRX1500 |
Les appareils utilisent le port de contrôle dédié. |
| SRX300, SRX320, SRX340, SRX345 et SRX380. |
La liaison de contrôle utilise l’interface ge-0/0/1. |
Pour plus d’informations sur l’utilisation des ports et des interfaces pour les liens de gestion, les liens de contrôle et les liens de structure, reportez-vous à Présentation de la numérotation des emplacements de cluster de châssis SRX Series et de la dénomination des ports physiques et des interfaces logiques.
Exemple : Configurer les ports de contrôle du cluster de châssis pour Control Link
Cet exemple montre comment configurer les ports de contrôle du cluster de châssis sur les périphériques suivants : SRX5400, SRX5600 et SRX5800. Vous devez configurer les ports de contrôle que vous utiliserez sur chaque périphérique pour configurer la liaison de contrôle.
Exigences
Avant de commencer :
Comprendre les liens de contrôle du cluster de châssis. Reportez-vous à la section Présentation du plan de contrôle et des liens de contrôle du cluster de châssis.
Connectez physiquement les ports de contrôle sur les périphériques. Reportez-vous à la section Connexion de périphériques SRX Series pour créer un cluster de châssis.
Aperçu
Le trafic de la liaison de contrôle passe par les commutateurs des cartes SPC (Services Processing Cards) et atteint l’autre nud. Sur les pare-feu SRX Series, les ports du cluster de châssis sont situés au niveau des SPC du cluster de châssis. Par défaut, tous les ports de contrôle des périphériques SRX5400, des périphériques SRX5600 et des périphériques SRX5800 sont désactivés. Pour configurer les liens de contrôle, connectez les ports de contrôle, configurez les ports de contrôle et configurez le cluster de châssis.
Cet exemple configure les ports de contrôle avec les concentrateurs PIC flexibles (FPC) et les ports suivants comme lien de contrôle :
- FPC 4, port 0
- FPC 10, port 0
Configuration
- Procédure
- Vérifier l’état du cluster de châssis
- Vérifier les statistiques du plan de contrôle du cluster de châssis
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode configuration.
{primary:node0}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
Procédure étape par étape
Pour configurer les ports de contrôle en tant que lien de contrôle pour le cluster de châssis, procédez comme suit :
Spécifiez les ports de contrôle.
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
Résultats
En mode configuration, confirmez votre configuration en entrant la show chassis cluster commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
user@host# show chassis cluster
...
control-ports {
fpc 4 port 0;
fpc 10 port 0;
}
...
Après avoir configuré l’appareil, passez commit en mode de configuration.
Vérifier l’état du cluster de châssis
But
Vérifiez l’état du cluster de châssis.
Action
En mode opérationnel, entrez la show chassis cluster status commande.
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 0 primary no no
node1 0 secondary no no
Signification
Utilisez la show chassis cluster status commande pour vérifier que les périphériques du cluster du châssis communiquent entre eux. La sortie précédente montre que le cluster de châssis fonctionne correctement, car un périphérique est le nœud principal et l’autre est le nœud secondaire.
Vérifier les statistiques du plan de contrôle du cluster de châssis
But
Affichez les statistiques du plan de contrôle du cluster de châssis.
Action
Dans l’interface de ligne de commande, entrez la show chassis cluster control-plane statistics commande :
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
Voir aussi
Effacer les statistiques du plan de contrôle du cluster de châssis
Pour effacer les statistiques affichées du plan de contrôle du cluster de châssis, entrez la clear chassis cluster control-plane statistics commande dans l’interface de ligne de commande :
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
Passer du mode Cluster de châssis au mode autonome
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.