Interfaces du plan de contrôle du cluster de châssis
Vous pouvez utiliser des interfaces de plan de contrôle pour synchroniser l’état du noyau entre les moteurs de routage sur les pare-feu SRX Series d’un cluster de châssis. Les interfaces du plan de contrôle assurent le lien entre les deux nœuds du cluster.
Les interfaces de plan de contrôle utilisent ce lien pour :
-
Communiquer la découverte de nœuds.
-
Maintient l’état de session d’un cluster.
-
Accédez au fichier de configuration.
-
Détectez les signaux de vivacité sur les nœuds.
Plan de contrôle et liens de contrôle du cluster de châssis
Le logiciel du plan de contrôle, qui fonctionne en mode actif ou de secours, fait partie intégrante de Junos OS et est actif sur le nœud principal d’un cluster. Il assure la redondance en communiquant l’état, la configuration et d’autres informations au moteur de routage inactif sur le nœud secondaire. En cas de défaillance du moteur de routage principal, le moteur de routage secondaire est prêt à prendre le contrôle.
Le logiciel du plan de contrôle :
-
S’exécute sur le moteur de routage.
-
Supervise l’ensemble du système de clusters de châssis , y compris les interfaces sur les deux nœuds.
-
Gère les ressources du système et du plan de données, y compris le moteur de transfert de paquets (PFE) sur chaque nœud.
-
Synchronise la configuration sur le lien de contrôle.
-
Établit et maintient les sessions, y compris les fonctions d’authentification, d’autorisation et de comptabilité (AAA).
-
Gère les protocoles de signalisation spécifiques aux applications.
-
Établit et gère des sessions de gestion, telles que des connexions Telnet.
-
Gère le routage asymétrique sur les nœuds du cluster de châssis.
-
Gestion de l’état de routage, du traitement ARP (Address Resolution Protocol) et du traitement DHCP (Dynamic Host Configuration Protocol).
Les informations provenant du logiciel du plan de contrôle suivent deux chemins :
-
Sur le nœud principal (où le moteur de routage est actif), les informations de contrôle transitent du moteur de routage au moteur de transfert de paquets local.
-
Les informations de contrôle transitent par la liaison de contrôle vers le moteur de routage et le moteur de transfert de paquets du nœud secondaire.
Le logiciel du plan de contrôle s’exécutant sur le moteur de routage principal maintient l’état pour l’ensemble du cluster. Seuls les processus s’exécutant sur le même nœud que le logiciel du plan de contrôle peuvent mettre à jour les informations d’état. Le moteur de routage principal synchronise l’état du nœud secondaire et traite également l’ensemble du trafic hôte.
Liens de contrôle du cluster de châssis
Les interfaces de contrôle assurent le lien de contrôle entre les deux nœuds du cluster et sont utilisées pour les mises à jour de routage et pour le trafic des signaux du plan de contrôle, tels que les informations sur les pulsations et les seuils qui déclenchent le basculement du nœud. La liaison de contrôle synchronise également la configuration entre les nœuds. Lorsque vous soumettez des instructions de configuration au cluster, le lien de contrôle synchronise automatiquement la configuration.
La liaison de contrôle s’appuie sur un protocole propriétaire pour transmettre l’état de session, la configuration et l’état de vivacité entre les nœuds.
À partir de Junos OS version 19.3R1, le dispositif SRX5K-RE3-128G est pris en charge avec le dispositif SRX5K-SPC3 sur les pare-feu SRX5000 Series. Les interfaces de contrôle ixlv0 et igb0 sont utilisées pour configurer l’appareil SRX5K-RE3-128G. Les liens de contrôle contrôlent la communication entre le plan de contrôle, le plan de données et les messages de pulsation.
- Lien de contrôle unique dans un cluster de châssis
- Liaison de contrôle double dans un cluster de châssis
- Chiffrement sur la liaison de contrôle du cluster de châssis
Lien de contrôle unique dans un cluster de châssis
Pour une seule liaison de contrôle dans un cluster de châssis, vous devez utiliser le même port de contrôle pour la connexion de la liaison de contrôle et pour la configuration sur les deux nœuds.
Par exemple, si vous configurez le port 0 en tant que port de contrôle sur le nœud 0, vous devez configurer le port 0 en tant que port de contrôle sur le nœud 1. Vous devez connecter les ports à l’aide d’un câble.
Liaison de contrôle double dans un cluster de châssis
Vous devez connecter directement des liens de double contrôle dans un cluster de châssis. Les connexions croisées, c’est-à-dire la connexion du port 0 d’un nœud au port 1 de l’autre nœud et vice versa, ne fonctionnent pas.
Pour les liaisons à double contrôle, vous devez effectuer les connexions suivantes :
-
Connectez le port de contrôle 0 sur le nœud 0 au port de contrôle 0 sur le nœud 1.
-
Connectez le port de contrôle 1 sur le nœud 0 au port de contrôle 1 sur le nœud 1.
Chiffrement sur la liaison de contrôle du cluster de châssis
Les liens de contrôle du cluster de châssis prennent en charge une fonctionnalité de sécurité chiffrée facultative que vous pouvez configurer et activer.
Notez que la documentation de sécurité de Juniper Networks utilise un cluster de châssis lorsqu’il s’agit de liaisons de contrôle à haute disponibilité (HA). Vous verrez toujours l’abréviation ha utilisée à la place de chassis cluster dans les commandes.
Lorsque l’accès Telnet est désactivé, l’accès par lien de contrôle empêche les pirates de se connecter au système.
À l’aide de la clé IPsec interne utilisée pour la communication interne entre les appareils, les informations de configuration transmises par le lien du cluster de châssis entre le nœud principal et le nœud secondaire sont chiffrées. Sans la clé IPsec, un attaquant ne peut pas accéder au trafic ni l’observer.
Pour activer cette fonctionnalité, exécutez la commande de set security ipsec internal security-association manual encryption ike-ha-link-encryption enable configuration.
Vous devez redémarrer les deux nœuds pour activer cette configuration.
Le chiffrement sur la liaison de contrôle du cluster de châssis à l’aide d’IPsec est pris en charge sur les pare-feu SRX4600, les pare-feu SRX5000 Series et les plates-formes Pare-feu virtuel vSRX.
Lorsque la clé IPsec est déjà configurée dans le cluster du châssis, vous pouvez la modifier sans redémarrer l’équipement. Dans ce cas, vous n’aurez à changer la clé que sur un seul nœud.
Lorsque le chiffrement de clé IPsec est configuré, pour toute modification de configuration dans la hiérarchie interne des associations de sécurité (SA), vous devez redémarrer les deux nœuds. Pour vérifier l’algorithme de chiffrement de liens de cluster de châssis IKE (Internet Key Exchange) configuré, affichez la sortie de show security internal-security-association.
| Description des pare-feu SRX Series | |
|---|---|
| SRX5400, SRX5600 et SRX5800 |
Par défaut, tous les ports de contrôle sont désactivés. Chaque carte de traitement des services (SPC) d’un périphérique possède deux ports de contrôle, et plusieurs SPC peuvent être connectés à chaque périphérique. Pour configurer la liaison de contrôle dans un cluster de châssis, connectez et configurez les ports de contrôle que vous utilisez sur chaque périphérique ( |
| SRX4600 |
Des ports de contrôle et des ports de structure 10 Gigabit Ethernet dédiés sont disponibles dans le cluster de châssis. Aucune configuration de liaison de contrôle n’est nécessaire pour SRX4600 pare-feu ; Toutefois, vous devez configurer Fabric Link explicitement pour les déploiements de clusters de châssis. Si vous souhaitez configurer des interfaces Ethernet 1 Gigabit pour les ports de contrôle, vous devez définir explicitement la vitesse à l’aide de l’instruction |
| SRX4100 et SRX4200 |
Des ports de contrôle de cluster de châssis dédiés sont disponibles. Aucune configuration de liaison de contrôle n’est requise. Pour plus d’informations sur l’ensemble des ports SRX4100 et SRX4200, y compris les ports de liens de contrôle dédiés et les ports de liaison de structure, reportez-vous à Présentation de la numérotation des emplacements de cluster de châssis SRX Series et de la dénomination des ports physiques et des interfaces logiques. Lorsque les équipements ne sont pas en mode cluster, les ports de cluster dédiés du châssis ne peuvent pas être utilisés comme ports commerciaux ou ports de trafic. |
| SRX2300, SRX4120 et SRX4300 |
Les appareils utilisent le double port de contrôle dédié avec prise en charge de MACsec. |
| SRX1600 |
Les appareils utilisent le double port de contrôle dédié avec prise en charge de MACsec. |
| SRX1500 |
Les appareils utilisent le port de contrôle dédié. |
| SRX300, SRX320, SRX340, SRX345 et SRX380. |
La liaison de contrôle utilise l’interface ge-0/0/1. |
Pour plus d’informations sur l’utilisation des ports et des interfaces pour les liens de gestion, les liens de contrôle et les liens de structure, reportez-vous à la section Présentation de la numérotation des emplacements de cluster du châssis SRX Series et de la dénomination des ports physiques et des interfaces logiques.
Exemple : Configurer les ports de contrôle du cluster de châssis pour Control Link
Cet exemple montre comment configurer les ports de contrôle du cluster de châssis sur les périphériques suivants : SRX5400, SRX5600 et SRX5800. Vous devez configurer les ports de contrôle que vous utiliserez sur chaque périphérique pour configurer la liaison de contrôle.
Exigences
Avant de commencer :
Comprendre les liens de contrôle des clusters de châssis. Reportez-vous à la section Présentation du plan de contrôle et des liens de contrôle du cluster de châssis.
Connectez physiquement les ports de contrôle sur les périphériques. Reportez-vous à la section Connexion d’équipements SRX Series pour créer un cluster de châssis.
Aperçu
Le trafic de la liaison de contrôle passe par les commutateurs des cartes de traitement des services (SPC) et atteint l’autre nœud. Sur les pare-feu SRX Series, les ports de cluster de châssis sont situés au niveau des SPC du cluster de châssis. Par défaut, tous les ports de contrôle des périphériques SRX5400, SRX5600 et SRX5800 sont désactivés. Pour configurer les liens de contrôle, connectez les ports de contrôle, configurez les ports de contrôle et configurez le cluster de châssis.
Cet exemple configure les ports de contrôle avec les concentrateurs PIC flexibles (FPC) et les ports suivants comme lien de contrôle :
- FPC 4, port 0
- FPC 10, port 0
Configuration
- Procédure
- Vérifier l’état du cluster de châssis
- Vérifier les statistiques du plan de contrôle du cluster de châssis
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode configuration.
{primary:node0}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
Procédure étape par étape
Pour configurer les ports de contrôle en tant que lien de contrôle pour le cluster de châssis, procédez comme suit :
Spécifiez les ports de contrôle.
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
Résultats
En mode configuration, confirmez votre configuration en entrant la show chassis cluster commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
user@host# show chassis cluster
...
control-ports {
fpc 4 port 0;
fpc 10 port 0;
}
...
Après avoir configuré l’appareil, passez commit en mode de configuration.
Vérifier l’état du cluster de châssis
But
Vérifiez l’état du cluster de châssis.
Action
En mode opérationnel, entrez la show chassis cluster status commande.
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 0 primary no no
node1 0 secondary no no
Signification
Utilisez la show chassis cluster status commande pour vérifier que les périphériques du cluster de châssis communiquent entre eux. La sortie précédente montre que le cluster de châssis fonctionne correctement, car un périphérique est le nœud principal et l’autre est le nœud secondaire.
Vérifier les statistiques du plan de contrôle du cluster de châssis
But
Affichez les statistiques du plan de contrôle du cluster de châssis.
Action
Dans l’interface de ligne de commande, entrez la show chassis cluster control-plane statistics commande :
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
Voir aussi
Effacer les statistiques du plan de contrôle du cluster de châssis
Pour effacer les statistiques affichées du plan de contrôle du cluster de châssis, entrez la clear chassis cluster control-plane statistics commande dans l’interface de ligne de commande :
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
Passer du mode cluster de châssis au mode autonome
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.