SRXシリーズシャーシクラスタ設定の概要

シャーシクラスタを設定するための前提条件を以下に示します。

SRX300、SRX320、SRX340、SRX345、SRX380ファイアウォールでは、fxp0管理ポートと制御ポートに変換されるインターフェイスに関連付けられている既存の設定をすべて削除する必要があります。詳細については、 SRXシリーズシャーシクラスタスロットの番号付けと物理ポートおよび論理インターフェースの名前付けについてを参照してください。
ハードウェアとソフトウェアが両方のデバイスで同じであることを確認します。
ライセンスキーが両方のデバイスで同じであることを確認します。
SRX300、SRX320、SRX340、SRX345、SRX380ファイアウォールの場合、GPIM、XGPIM、XPIM、Mini-PIM(該当する場合)の配置とタイプが2つのデバイスで一致している必要があります。
SRX5000シリーズファイアウォールの場合、SPCの配置とタイプは2つのデバイスで一致している必要があります。

図 1 に、SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、SRX4120、SRX4300、SRX4100、SRX4200、SRX4600 ファイアウォールのシャーシクラスタフロー図を示します。

図 1:シャーシクラスタワークフロー Flowchart showing steps to configure Device A and B as a single cluster: 1. Start. 2. Connect fabric and control links. 3. Connect console ports. 4. Configure cluster and node IDs. 5. Reboot devices. 6. Nodes operate as one. 7. Configure fabric interfaces. 8. Set hostnames and management IPs. 9. Configure redundancy groups. 10. Configure reth interfaces. 11. Verify and commit. 12. End.

Flowchart showing steps to configure Device A and B as a single cluster: 1. Start. 2. Connect fabric and control links. 3. Connect console ports. 4. Configure cluster and node IDs. 5. Reboot devices. 6. Nodes operate as one. 7. Configure fabric interfaces. 8. Set hostnames and management IPs. 9. Configure redundancy groups. 10. Configure reth interfaces. 11. Verify and commit. 12. End.

図 2:シャーシクラスタワークフロー(SRX5800、SRX5600、SRX5400 デバイス) Flowchart of configuring Device A and Device B as a single device: connect fabric and control links, configure ports and IDs, reboot, configure interfaces, set hostnames and IPs, configure redundancy and reth interfaces, verify and commit.

Flowchart of configuring Device A and Device B as a single device: connect fabric and control links, configure ports and IDs, reboot, configure interfaces, set hostnames and IPs, configure redundancy and reth interfaces, verify and commit.

このセクションでは、SRXシリーズシャーシクラスタを作成する基本的な手順の概要を説明します。SRXシリーズシャーシクラスターを作成するには、次の手順に従います。

シャーシクラスターで使用するSRXシリーズファイアウォールを準備します。詳細については、シャーシクラスタを形成するための機器の準備を参照してください。
同じ種類のSRXシリーズファイアウォールのペアを物理的に接続します。詳細については、シャーシクラスタを作成するためのSRXシリーズデバイスを接続するを参照してください。
1. イーサネットインターフェイスの任意のペアを接続することで、クラスタ内の 2 つのノード間にファブリックリンクを作成します。ほとんどのSRXシリーズファイアウォールでは、両方のインターフェイスがギガビットイーサネットインターフェイス(または10ギガビットイーサネットインターフェイス)であることのみが要件です。
  
  デュアルファブリックリンク機能を使用する場合は、各デバイスで使用する 2 組のイーサネットインターフェイスを接続します。シャーシクラスタデュアルファブリックリンクについてを参照してください。
2. 制御ポートを設定します(SRX5000シリーズのみ)。例:シャーシクラスタ制御ポートの設定を参照してください。
クラスタで初期化する最初のデバイスをコンソールポートに接続します。これは、クラスタを形成し、CLI動作モードコマンドを使用してクラスタリングを有効にするノード(ノード0)です。
1. クラスター ID を指定してクラスターを識別します。
2. 独自のノード ID を指定してノードを識別し、システムを再起動します。
例:シャーシクラスタ内のセキュリティデバイスのノード ID とクラスタ ID の設定を参照してください。接続手順については、お使いのデバイスの『スタートアップガイド』を参照してください
他のデバイス(ノード1)のコンソールポートに接続し、CLI動作モードコマンドを使用してクラスタリングを有効にします。
1. 最初のノードで設定したのと同じクラスター ID を設定して、デバイスが参加しているクラスターを識別します。
2. 独自のノード ID を指定してノードを識別し、システムを再起動します。
クラスタの管理インターフェイスを設定します。例:シャーシクラスタ管理インターフェイスの設定を参照してください。
CLIでクラスタを設定します。次のトピックを参照してください。
(オプション)手動フェールオーバーを開始します。シャーシクラスタの手動冗長グループフェイルオーバーの開始を参照してください。
(オプション)冗長イーサネットインターフェイス上で条件付きルートアドバタイズメントを設定します。シャーシクラスタにおける条件付きルート広告についてを参照してください。
設定を確認します。シャーシクラスタ設定の表示を参照してください。

2 つのノードがクラスタで接続されている場合、1 つのノードがプライマリモードとして選択され、そのルーティングエンジンがプライマリとして動作します。クライアントとして実行しているセカンダリノード内のルーティングエンジン。プライマリノード、セカンダリノードに関係なく、クラスタ内のすべての FPC がプライマリルーティングエンジンに接続されます。セカンダリノード上のFPCは、HA制御リンクを介してプライマリルーティングエンジンに接続します。クラスタにプライマリが 2 つある場合、IOC は別のプライマリからメッセージを受信し、このエラー状態から回復するために自身を再起動します。

IOCカードが再起動しないようにするには、クラスタに接続する前にセカンダリノードの電源をオフにする必要があります。

セカンダリノードをクラスタに接続している間、プライマリのトラフィックを保持するには、ノード 1 でクラスタモードを設定し、プライマリへの影響を避けるために、クラスタに接続する前に電源を切ることを推奨します。その理由は、HAクラスタと単一ノードシステムでは制御ネットワークが異なるからです。制御ポートが接続されると、これら 2 つが同じネットワークに参加し、メッセージを交換します。

このセクションでは、プライマリノードが稼働している場合に、障害発生後にバックアップノードを復元するための基本的な手順の概要を説明します。

他のデバイス(ノード1)のコンソールポートに接続し、CLI動作モードコマンドを使用してクラスタリングを有効にします。
1. 最初のノードで設定したのと同じクラスター ID を設定して、デバイスが参加しているクラスターを識別します。
2. 独自のノード ID を指定してノードを識別し、システムを再起動します。
例:シャーシクラスタ内のセキュリティデバイスのノード ID とクラスタ ID の設定を参照してください。接続手順については、お使いのデバイスの『スタートアップガイド』を参照してください
セカンダリノードの電源をオフにします。
2 つのノード間で HA 制御ポートを接続します。
セカンダリノードの電源をオンにします。
クラスタが再形成され、セッションがセカンダリノードに同期されます。

デュアルファブリックリンク機能を使用する場合は、各デバイスで使用する 2 組のイーサネットインターフェイスを接続します。シャーシクラスタデュアルファブリックリンクについてを参照してください。

デュアルコントロールリンク機能(SRX5600およびSRX5800デバイスのみ)を使用する場合は、各デバイスで使用する2組のコントロールポートを接続します。

シャーシクラスタ内のSRXシリーズファイアウォール向けのデュアルコントロールリンク接続を参照してください。

SRX5600およびSRX5800デバイスの場合、制御ポートは2つのデバイス内の対応するスロットにある必要があります。表 1 は、スロット番号のオフセットを示しています。

表1:スロット番号のオフセット
デバイス	相殺
SRX5800	12( FPC3 や FPC15 など)
SRX5600	6( FPC3 や FPC9 など)
SRX5400	3( FPC3 や FPC6 など)
SRX4600	7( FPC1 や FPC8 など)

SRXシリーズシャーシクラスタ設定の概要

関連資料