Interfaces de plano de control del clúster de chasis
Puede utilizar interfaces de plano de control para sincronizar el estado del kernel entre los motores de enrutamiento de los firewalls de la serie SRX en un clúster de chasis. Las interfaces del plano de control proporcionan el vínculo entre los dos nodos del clúster.
Los planos de control utilizan este vínculo para:
-
Comunicar el descubrimiento de nodos.
-
Mantiene el estado de sesión de un clúster.
-
Acceda al archivo de configuración.
-
Detecte señales de vivacidad en los nodos.
Plano de control del clúster de chasis y vínculos de control
El software del plano de control, que funciona en modo activo o de copia de seguridad, es una parte integral de Junos OS que está activa en el nodo principal de un clúster. Logra la redundancia comunicando el estado, la configuración y otra información al motor de enrutamiento inactivo en el nodo secundario. Si se produce un error en el motor de enrutamiento principal, el motor de enrutamiento secundario está listo para asumir el control.
El software del plano de control:
-
Se ejecuta en el motor de enrutamiento.
-
Supervisa todo el sistema de clúster de chasis , incluidas las interfaces en ambos nodos.
-
Administra los recursos del sistema y del plano de datos, incluido el motor de reenvío de paquetes (PFE) en cada nodo.
-
Sincroniza la configuración a través del vínculo de control.
-
Establece y mantiene sesiones, incluidas las funciones de autenticación, autorización y contabilidad (AAA).
-
Administra protocolos de señalización específicos de la aplicación.
-
Establece y mantiene sesiones de administración, como conexiones Telnet.
-
Maneja el enrutamiento asimétrico.
-
Administra el estado de enrutamiento, el procesamiento del Protocolo de resolución de direcciones (ARP) y el procesamiento del Protocolo de configuración dinámica de host (DHCP).
La información del software del plano de control sigue dos rutas:
-
En el nodo principal (donde el motor de enrutamiento está activo), la información de control fluye desde el motor de enrutamiento al motor de reenvío de paquetes local.
-
La información de control fluye a través del vínculo de control hacia el motor de enrutamiento y el motor de reenvío de paquetes del nodo secundario.
El software del plano de control que se ejecuta en el motor de enrutamiento principal mantiene el estado de todo el clúster. Solo los procesos que se ejecutan en el mismo nodo que el software del plano de control pueden actualizar la información de estado. El motor de enrutamiento principal sincroniza el estado del nodo secundario y también procesa todo el tráfico del host.
Vínculos de control de clúster de chasis
Las interfaces de control proporcionan el vínculo de control entre los dos nodos del clúster y se utilizan para actualizaciones de enrutamiento y para el tráfico de señal del plano de control, como la información de latidos y umbrales que desencadena la conmutación por error del nodo. El vínculo de control también sincroniza la configuración entre los nodos. Cuando se envían instrucciones de configuración al clúster, el vínculo de control sincroniza la configuración automáticamente.
El vínculo de control se basa en un protocolo propietario para transmitir el estado de sesión, la configuración y el estado de vivacidad a través de los nodos.
A partir de Junos OS versión 19.3R1, el dispositivo SRX5K-RE3-128G es compatible junto con el dispositivo SRX5K-SPC3 en los dispositivos de línea SRX5000. Las interfaces de control ixlv0 e igb0 se utilizan para configurar el dispositivo SRX5K-RE3-128G. Los vínculos de control controlan la comunicación entre el plano de control, el plano de datos y los mensajes de latido.
Vínculo de control único en un clúster de chasis
Para un único vínculo de control en un clúster de chasis, debe utilizar el mismo puerto de control para la conexión del vínculo de control y para la configuración en ambos nodos.
Por ejemplo, si configura el puerto 0 como puerto de control en el nodo 0, debe configurar el puerto 0 como puerto de control en el nodo 1. Debe conectar los puertos con un cable.
Vínculo de control dual en un clúster de chasis
Debe conectar vínculos de control dual directamente en un clúster de chasis. Las conexiones cruzadas, es decir, conectar el puerto 0 de un nodo con el puerto 1 del otro nodo y viceversa, no funcionan.
Para los vínculos de control dual, debe realizar estas conexiones:
-
Conecte el puerto de control 0 en el nodo 0 para controlar el puerto 0 en el nodo 1.
-
Conecte el puerto de control 1 en el nodo 0 para controlar el puerto 1 en el nodo 1.
Cifrado en el vínculo de control de clúster de chasis
Los vínculos de control de clúster de chasis admiten una característica de seguridad cifrada opcional que puede configurar y activar.
Tenga en cuenta que la documentación de seguridad de Juniper Networks utiliza el clúster de chasis cuando se hace referencia a vínculos de control de alta disponibilidad (HA). Seguirá viendo la abreviatura ha utilizada en lugar de clúster de chasis en los comandos.
El acceso al vínculo de control evita que los piratas informáticos inicien sesión en el sistema sin autenticación a través del vínculo de control, con el acceso Telnet deshabilitado. Mediante el uso de la clave IPsec interna para la comunicación interna entre dispositivos, se cifra la información de configuración que pasa a través del vínculo del clúster de chasis desde el nodo principal al nodo secundario. Sin la clave IPsec, un atacante no puede obtener acceso con privilegios ni observar el tráfico.
Para habilitar esta característica, ejecute el set security ipsec internal security-association manual encryption ike-ha-link-encryption enable
comando de configuración.
Debe reiniciar ambos nodos para activar esta configuración.
El cifrado en el vínculo de control de clúster de chasis mediante IPsec se admite en dispositivos de línea SRX4600, dispositivos de línea SRX5000 y plataformas de firewall virtual vSRX.
Cuando el clúster de chasis se ejecuta con la clave IPsec ya configurada, puede realizar los cambios necesarios en la clave sin reiniciar el dispositivo. En este caso, tendrá que cambiar la clave solo en un nodo.
Cuando se configura el cifrado de clave IPsec, para cualquier cambio de configuración en la jerarquía de asociación de seguridad interna (SA), debe reiniciar ambos nodos. Para comprobar el algoritmo de cifrado de vínculos de clúster de chasis de Intercambio de claves por Internet (IKE) configurado, vea el resultado de show security internal-security-association
.
Descripción | de los firewalls de la serie SRX |
---|---|
SRX5400, SRX5600 y SRX5800 |
De forma predeterminada, todos los puertos de control están deshabilitados. Cada tarjeta de procesamiento de servicios (SPC) de un dispositivo tiene dos puertos de control, y cada dispositivo puede tener varias SPC conectadas. Para configurar el vínculo de control en un clúster de chasis, conecte y configure los puertos de control que utiliza en cada dispositivo ( |
SRX4600 |
Hay disponibles puertos de control de clúster de chasis y puertos de estructura dedicados. No se necesita ninguna configuración de vínculo de control para SRX4600 dispositivos; Sin embargo, debe configurar explícitamente el vínculo de estructura para las implementaciones de clúster de chasis. Si desea configurar interfaces de 1 Gigabit Ethernet para los puertos de control, debe establecer explícitamente la velocidad mediante la instrucción |
SRX4100 y SRX4200 |
Hay disponibles puertos de control de clúster de chasis dedicados. No es necesaria la configuración del vínculo de control. Para obtener más información acerca de todos los puertos SRX4100 y puertos SRX4200, incluidos los puertos de vínculos de control dedicados y los puertos de vínculo de estructura, consulte Descripción de la numeración de ranuras de clúster de chasis serie SRX y Nomenclatura de puertos físicos e interfaces lógicas. Cuando los dispositivos no están en modo de clúster, los puertos de clúster de chasis dedicados no se pueden usar como puertos de ingresos o puertos de tráfico. |
SRX2300 y SRX4300 |
Los dispositivos utilizan el puerto de control dedicado dual compatible con MACsec. |
SRX1600 |
Los dispositivos utilizan el puerto de control dedicado dual compatible con MACsec. |
SRX1500 |
Los dispositivos utilizan el puerto de control dedicado. |
SRX300, SRX320, SRX340, SRX345 y SRX380. |
El vínculo de control utiliza la interfaz ge-0/0/1. |
Para obtener más información sobre el uso de puertos y de interfaz para vínculos de administración, vínculos de control y vínculos de estructura, consulte Descripción de la numeración de ranuras de clúster de chasis serie SRX y la nomenclatura de puertos físicos e interfaces lógicas.
Ejemplo: configurar puertos de control de clúster de chasis para vínculo de control
En este ejemplo, se muestra cómo configurar los puertos de control de clúster de chasis en estos dispositivos: SRX5400, SRX5600 y SRX5800. Debe configurar los puertos de control que utilizará en cada dispositivo para configurar el vínculo de control.
Requisitos
Antes de empezar:
Comprender los vínculos de control de clúster de chasis. Consulte Descripción del plano de control del clúster de chasis y vínculos de control.
Conecte físicamente los puertos de control de los dispositivos. Consulte Conexión de dispositivos de la serie SRX para crear un clúster de chasis.
Visión general
El tráfico del vínculo de control pasa a través de los conmutadores de las tarjetas de procesamiento de servicios (SPC) y llega al otro nodo. En los firewalls de la serie SRX, los puertos del clúster del chasis se encuentran en las SPC del clúster del chasis. De forma predeterminada, todos los puertos de control de SRX5400 dispositivos, dispositivos SRX5600 y dispositivos SRX5800 están deshabilitados. Para configurar los vínculos de control, conecte los puertos de control, configure los puertos de control y configure el clúster de chasis.
En este ejemplo se configuran los puertos de control con los siguientes concentradores PIC flexibles (FPC) y puertos como vínculo de control:
- FPC 4, puerto 0
- FPC 10, puerto 0
Configuración
- Procedimiento
- Comprobar el estado del clúster de chasis
- Comprobar las estadísticas del plano de control del clúster de chasis
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit]
jerarquía y, a continuación, ingrese commit
al modo de configuración.
{primary:node0}[edit] set chassis cluster control-ports fpc 4 port 0 set chassis cluster control-ports fpc 10 port 0 {primary:node1}[edit] set chassis cluster control-ports fpc 4 port 0 set chassis cluster control-ports fpc 10 port 0
Procedimiento paso a paso
Para configurar los puertos de control como vínculo de control para el clúster de chasis:
Especifique los puertos de control.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 4 port 0 {primary:node0}[edit] user@host# set chassis cluster control-ports fpc 10 port 0 {primary:node1}[edit] user@host# set chassis cluster control-ports fpc 4 port 0 {primary:node1}[edit] user@host# set chassis cluster control-ports fpc 10 port 0
Resultados
En el modo de configuración, confirme la configuración introduciendo el show chassis cluster
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para abreviar, este show
resultado del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
user@host# show chassis cluster ... control-ports { fpc 4 port 0; fpc 10 port 0; } ...
Después de configurar el dispositivo, ingrese commit
al modo de configuración.
Comprobar el estado del clúster de chasis
Propósito
Compruebe el estado del clúster de chasis.
Acción
En el modo operativo, ingrese el show chassis cluster status
comando.
{primary:node0} user@host> show chassis cluster status Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 100 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 0 primary no no node1 0 secondary no no
Significado
Use el show chassis cluster status comando para confirmar que los dispositivos del clúster de chasis se comunican entre sí. El resultado anterior muestra que el clúster de chasis funciona correctamente, ya que un dispositivo es el nodo principal y el otro es el nodo secundario.
Comprobar las estadísticas del plano de control del clúster de chasis
Propósito
Muestra estadísticas del plano de control del clúster del chasis.
Acción
En la CLI, escriba el show chassis cluster control-plane statistics
comando:
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
Ver también
Borrar estadísticas del plano de control del clúster de chasis
Para borrar las estadísticas del plano de control del clúster de chasis mostradas, escriba el clear chassis cluster control-plane statistics
comando en la CLI:
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
Cambio del clúster de chasis al modo independiente
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.