シャーシ クラスタ コントロール プレーン インターフェイス
コントロール プレーン インターフェイスを使用して、シャーシ クラスタ内の SRXシリーズ ファイアウォール上のルーティング エンジン間でカーネル状態を同期させることができます。コントロール プレーン インターフェイスは、クラスタ内の 2 つのノード間のリンクを提供します。
コントロール プレーン インターフェイスは、このリンクを使用して次のことを行います。
-
ノード検出を通信します。
-
クラスタのセッション状態を維持します。
-
構成ファイルにアクセスします。
-
ノード全体のライブ性シグナルを検出します。
シャーシ クラスタ コントロール プレーンとコントロール リンク
アクティブ モードまたはバックアップ モードで動作するコントロール プレーン ソフトウェアは、クラスタのプライマリ ノードでアクティブになる Junos OS の不可欠な部分です。セカンダリ ノード上の非アクティブなルーティングエンジンに状態、設定、その他の情報を伝達することで、冗長性を実現します。プライマリ ルーティングエンジンに障害が発生した場合、セカンダリ ルーティングエンジンが制御を引き継ぐことができます。
コントロールプレーンソフトウェア:
-
ルーティングエンジン上で稼働します。
-
両ノードのインターフェイスを含む 、シャーシ クラスタ システム全体を監視します。
-
各ノードでパケット転送エンジン(PFE)を含む、システムとデータプレーンのリソースを管理します。
-
制御リンク上で設定を同期させます。
-
認証、許可、アカウンティング(AAA)機能を含むセッションを確立し、維持します。
-
アプリケーション固有のシグナリングプロトコルを管理します。
-
Telnet 接続などの管理セッションを確立し、維持します。
-
シャーシ クラスタ ノードで非対称ルーティングを処理します。
-
ルーティング状態、アドレス解決プロトコル(ARP)処理、動的ホスト構成プロトコル(DHCP)処理を管理します。
コントロールプレーンソフトウェアからの情報は、2つのパスをたどります。
-
プライマリノード(ルーティングエンジンがアクティブになっている)では、制御情報がルーティングエンジンからローカルのパケット転送エンジンに流れます。
-
制御情報は、制御リンクを介してセカンダリ ノードのルーティングエンジンおよびパケット転送エンジンに流れます。
プライマリ ルーティングエンジンで実行されているコントロール プレーン ソフトウェアは、クラスタ全体の状態を維持します。コントロールプレーンソフトウェアと同じノードで実行されているプロセスのみが、状態情報を更新できます。プライマリ ルーティングエンジンは、セカンダリ ノードの状態を同期させ、すべてのホスト トラフィックも処理します。
シャーシ クラスタ制御リンク
制御インターフェイスは、クラスタ内の2つのノード間の制御リンクを提供し、ルーティングアップデートや、ノードのフェイルオーバーをトリガーするハートビートやしきい値情報などのコントロールプレーン信号トラフィックに使用されます。また、制御リンクはノード間の設定を同期させます。設定ステートメントをクラスタに送信すると、制御リンクによって設定が自動的に同期されます。
制御リンクは、独自のプロトコルに依存して、ノード間でセッション状態、設定、およびライブ状態を送信します。
Junos OS リリース 19.3R1以降、SRX5K-RE3-128Gデバイスは、SRX5000シリーズファイアウォール上のSRX5K-SPC3デバイスとともにサポートされます。制御インターフェイスixlv0およびigb0は、SRX5K-RE3-128Gデバイスの設定に使用されます。コントロール リンクは、コントロール プレーン、データ プレーン、およびハートビート メッセージ間の通信を制御します。
シャーシ クラスタ内の単一の制御リンク
シャーシ クラスタ内の単一の制御リンクの場合、制御リンクの接続と両方のノードの設定に同じ制御ポートを使用する必要があります。
例えば、ポート0をノード0の制御ポートとして設定した場合、ポート0をノード1の制御ポートとして設定する必要があります。ポートはケーブルで接続する必要があります。
シャーシ クラスタ内のデュアル コントロール リンク
シャーシクラスタ内のデュアルコントロールリンクを直接接続する必要があります。相互接続、つまり、一方のノードのポート0をもう一方のノードのポート1に接続したり、その逆を行ったりする接続は機能しません。
デュアル コントロール リンクの場合は、次の接続を行う必要があります。
-
ノード0の制御ポート0をノード1の制御ポート0に接続します。
-
ノード0の制御ポート1をノード1の制御ポート1に接続します。
シャーシ クラスタ制御リンクでの暗号化
シャーシ クラスタ制御リンクは、設定およびアクティブ化できるオプションの暗号化セキュリティ機能をサポートしています。
ジュニパーネットワークスのセキュリティドキュメントでは、高可用性(HA)制御リンクに言及する場合、シャーシクラスタを使用していることに注意してください。コマンドのシャーシ クラスタの代わりに略語 ha が使用されています。
Telnet アクセスを無効にすると、制御リンク アクセスによってハッカーがシステムにログインできなくなります。
デバイス間の内部通信に内部IPsecキーを使用して、プライマリノードからセカンダリノードにシャーシクラスタリンクを通過する設定情報が暗号化されます。IPsecキーがないと、攻撃者はトラフィックにアクセスしたり、トラフィックを監視したりできません。
この機能を有効にするには、 set security ipsec internal security-association manual encryption ike-ha-link-encryption enable 設定コマンドを実行します。
この設定を有効にするには、両方のノードを再起動する必要があります。
IPsecを使用したシャーシクラスタ制御リンクでの暗号化は、SRX4600ファイアウォール、SRX5000シリーズファイアウォール、およびvSRX仮想ファイアウォールプラットフォームでサポートされています。
IPsecキーがすでに設定された状態でシャーシ クラスタが実行されている場合は、デバイスを再起動せずにキーに変更を加えることができます。この場合、キーを変更する必要があるのは 1 つのノードだけです。
IPsec キー暗号化が設定されている場合、内部セキュリティ アソシエーション(SA)階層で設定変更があった場合は、両方のノードを再起動する必要があります。設定されたインターネット鍵交換(IKE)シャーシ クラスタ リンク 暗号化アルゴリズムを確認するには、 show security internal-security-associationの出力を表示します。
| SRXシリーズファイアウォールの説明 | |
|---|---|
| SRX5400、SRX5600、SRX5800 |
デフォルトでは、すべての制御ポートは無効になっています。デバイスの各サービス処理カード(SPC)には2つの制御ポートがあり、各デバイスには複数のSPCを接続できます。 シャーシクラスタで制御リンクを設定するには、各デバイス( |
| SRX4600 |
シャーシクラスターでは、専用の10ギガビットイーサネット制御ポートとファブリックポートを使用できます。 SRX4600ファイアウォールに制御リンクの設定は必要ありません。ただし、シャーシ クラスタの導入にはファブリック リンクを明示的に設定する必要があります。制御ポートに1ギガビットイーサネットインターフェイスを設定する場合は、 |
| SRX4100とSRX4200 |
専用のシャーシ クラスタ制御ポートを使用できます。制御リンクの設定は不要です。専用コントロール リンク ポートやファブリック リンク ポートなど、すべてのSRX4100 ポートと SRX4200 ポートの詳細については、 シャーシ クラスタ スロットSRXシリーズ番号付けと物理ポートおよび論理インターフェースの名前付けについてを参照してください。 デバイスがクラスタ モードでない場合、専用シャーシ クラスタ ポートを収益ポートまたはトラフィック ポートとして使用することはできません。 |
| SRX2300、SRX4120、SRX4300 |
デバイスは、MACsecをサポートするデュアル専用コントロールポートを使用します。 |
| SRX1600 |
デバイスは、MACsecをサポートするデュアル専用コントロールポートを使用します。 |
| SRX1500 |
デバイスは専用の制御ポートを使用します。 |
| SRX300、SRX320、SRX340、SRX345、SRX380。 |
制御リンクは ge-0/0/1 インターフェイスを使用します。 |
管理リンク、制御リンク、ファブリックリンクのポート使用とインターフェイス使用の詳細については、 SRXシリーズシャーシ クラスタ スロットの番号付けと物理ポートと論理インターフェースの名前付けについてを参照してください。
例:制御リンク用のシャーシ クラスタ制御ポートの設定
この例では、SRX5400、SRX5600、および SRX5800 のデバイスでシャーシ クラスタ制御ポートを設定する方法を示しています。制御リンクを設定するために、各デバイスで使用する制御ポートを設定する必要があります。
必要条件
開始する前に、以下を実行します。
シャーシ クラスタ制御リンクを理解します。 シャーシ クラスタ コントロール プレーンとコントロール リンクについてを参照してください。
デバイスの制御ポートを物理的に接続します。シャーシ クラスタを作成するためのSRXシリーズ デバイス接続を参照してください。
概要
制御リンク トラフィックは、サービス処理カード(SPC)内のスイッチを通過し、他のノードに到達します。SRXシリーズファイアウォールでは、シャーシクラスターポートはシャーシクラスター内のSPCに配置されています。デフォルトでは、SRX5400デバイス、SRX5600デバイス、およびSRX5800デバイスのすべての制御ポートは無効になっています。制御リンクを設定するには、制御ポートを接続し、制御ポートを設定し、シャーシクラスタを設定します。
この例では、以下のFPC(フレキシブルPICコンセントレータ)とポートを備えた制御ポートを制御リンクとして設定しています。
- FPC 4、ポート0
- FPC 10、ポート0
構成
プロシージャ
CLIクイック構成
この例のセクションをすばやく設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードで commit を入力します。
{primary:node0}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
手順
シャーシ クラスタの制御リンクとして制御ポートを設定するには、次の手順に従います。
制御ポートを指定します。
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
業績
設定モードで、 show chassis cluster コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
user@host# show chassis cluster
...
control-ports {
fpc 4 port 0;
fpc 10 port 0;
}
...
デバイスの設定後、コンフィギュレーションモードで commit を入力します。
シャーシ クラスタ ステータスの確認
目的
シャーシ クラスタのステータスを検証します。
アクション
運用モードで、 show chassis cluster status コマンドを入力します。
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 0 primary no no
node1 0 secondary no no
意味
show chassis cluster statusコマンドを使用して、シャーシ クラスタ内のデバイスが相互に通信していることを確認します。上記の出力は、1つのデバイスがプライマリノードで、もう1つのデバイスがセカンダリノードであるため、シャーシクラスタが正常に機能していることを示しています。
シャーシ クラスタ コントロール プレーン統計情報の確認
目的
シャーシ クラスタ コントロール プレーンの統計情報を表示します。
アクション
CLI で、 show chassis cluster control-plane statistics コマンドを入力します。
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
参照
シャーシ クラスタ コントロール プレーン統計情報のクリア
表示されているシャーシ クラスタ コントロール プレーンの統計情報を消去するには、CLI で clear chassis cluster control-plane statistics コマンドを入力します。
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
シャーシクラスタからスタンドアロンモードへの変更
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。