Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Интерфейсы кластерной фабрики шасси

серия SRX устройства в кластере с шасси используют интерфейс фабрики (fab) для синхронизации сеанса и переадации трафика между двумя шасси. Соединение с фабрикой – это физическое соединение между двумя интерфейсами Ethernet в одной LAN. Оба интерфейса должны быть одного типа носитеного типа. Дополнительные сведения см. в следующих темах:

Понимание интерфейсов кластерной фабрики шасси

Это физическое соединение между двумя узлами кластера, сформированное соединением пары интерфейсов Ethernet (по одному от каждого узла).

В отличие от контрольного соединения, интерфейсы которого определяются системой, необходимо указать физические интерфейсы, которые будут использоваться для физического соединения с фабрикой данных в конфигурации.

Эта фабрика является передачой данных между узлами и используется для передачи трафика между шасси. Трафик, поступающий на узел, который необходимо обработать на другом узле, перенаадваруется по ссылке передачи данных. Аналогичным образом трафик, обрабатываемый на узле, который должен выйти через интерфейс другого узла, перена него перенадвигается через эту фабрику.

Этот интерфейс называется интерфейсом фабрики. Он используется кластерными системами передачи пакетов для передачи транзитного трафика и синхронизации динамического плоскость данных программного обеспечения. Эта фабрика обеспечивает синхронизацию объектов состояния сеанса, созданных такими операциями, как аутентификация, преобразование сетевых адресов (NAT), уровень приложений шлюзы (ALGs) и сеансы БЕЗОПАСНОСТИ IP (IPsec).

Когда система создает интерфейс фабрики, программное обеспечение назначает ему внутренний полученный IP-адрес, который будет использоваться для передачи пакетов.

ОСТОРОЖНОСТЬЮ:

После настройки интерфейсов фабрик на кластере с шасси удаление конфигурации для любого узла приведет к переходу вторичного узла группы избыточности 0 (RG0) в отключенное состояние. (При сбросе устройства в заводские настройки по умолчанию конфигурация сброшена конфигурация комбинирования, что приводит к переходу вторичного узла RG0 в отключенное состояние.) После того, как конфигурация комбината будет зафиксирована, не сбрасывать устройства в заводские настройки по умолчанию.

Поддерживаемые типы интерфейсов компрессии для серия SRX устройств (SRX300, SRX550M, SRX1500, SRX4100/SRX4200, SRX4600 и SRX5000 Series)

Для серия SRX кластеров с шасси соединением фабрики может быть любая пара интерфейсов Ethernet, охватывающая кластер; связью может быть любая пара интерфейсов Gigabit Ethernet. Примеры:

  • Для SRX300 устройства SRX320, SRX340, SRX550M и SRX345, соединительная фабрика может быть любой парой интерфейсов Gigabit Ethernet. Для устройств SRX380 комбинатурой может быть любая пара интерфейсов Gigabit Ethernet или любая пара интерфейсов 10-Gigabit Ethernet.

  • Для серия SRX кластеров шасси, которые состоит из устройств SRX550M, интерфейсы SFP на Mini-PIM не могут использоваться в качестве соединения комбайта.

  • Например SRX1500 в соединении может быть любая пара интерфейсов Ethernet, охватывающая кластер; это может быть любая пара интерфейсов Gigabit Ethernet или любая пара 10-гигабитных интерфейсов Ethernet.

  • Для устройств SRX4100 и SRX4200 поддерживаются 10-гигабитные ethernet (xe) (10-Гигабитный интерфейс Ethernet SFP+).

  • Для устройств SRX4600 поддерживаются интерфейсы 40-Гигабитный Ethernet (и др.) (40-гигабитный интерфейс Ethernet слотов QSFP) и 10-Гигабитный Ethernet (xe).

  • Поддерживаемые типы интерфейсов фабрик, поддерживаемые для устройств линии SRX5000:

    • Fast Ethernet

    • Gigabit Ethernet

    • 10-гигабитный Ethernet

    • 40-гигабитный Ethernet

    • 100-гигабитный Ethernet

      Начиная с Junos OS выпуска 12.1X46-D10 и Junos OS 17.3R1, интерфейс 100 Gigabit Ethernet поддерживается на устройствах линии SRX5000.

      Начиная с Junos OS 19.3R1, SRX5K-IOC4-10G и SRX5K-IOC4-MRAT поддерживаются наряду с SRX5K-SPC3 на устройствах серии SRX500. SRX5K-IOC4-10G MPIC поддерживает MACsec.

Подробные сведения об использовании портов и интерфейсов для линий управления, управления и инфраструктуры см. в "Общее серия SRX кластерного номера шасси и имя физического порта и логического интерфейса".

Поддержка кадров jumbo

Для передачи данных в структуре данных фрагментация не поддерживается. Чтобы это сделать, поддержка кадров jumbo включена на соединении с размером максимальный размер пакета (MTU) 9014 (9000 bytes полезной нагрузки + 14 bytes для загона Ethernet) на серия SRX устройствах. Чтобы убедиться, что объем трафика, транзитного по ссылке передачи данных, не превышает этот размер, рекомендуется, чтобы никакие другие интерфейсы не превышали размер MTU для MTU.

Понимание интерфейсов фабрик на устройствах линии SRX5000 для IOC2 и IOC3

Начиная с Junos OS 15.1X49-D10, вводятся SRX5K-MPC3-100G10G (IOC3) и SRX5K-MPC3-40G10G (IOC3).

SRX5K-MPC (IOC2) является модульным концентратором портов (MPC), который поддерживается на SRX5400, SRX5600 и SRX5800. Эта интерфейсная карта принимает модульные интерфейсные карты (MCS), которые добавляют порты Ethernet к шлюзу сервисов для обеспечения физических подключений к различным типам сетевых носителю. MCS и MCS поддерживают связи с фабриками для кластеров с шасси. SRX5K-MPC предоставляет 10-Гигабитный Ethernet (с 10x10GE MIC), 40-Гигабитный Ethernet, 100-Гигабитный Ethernet и 20x1GE Порты Ethernet в качестве портов коммутной сети. На SRX5400 поддерживаются только SRX5K-MPC (IOC2).

SRX5K-MPC3-100G10G (IOC3) и SRX5K-MPC3-40G10G (IOC3) – это модульные концентраторы портов (MPC), которые поддерживаются на SRX5400, SRX5600 и SRX5800. Эти интерфейсные карты принимают модульные интерфейсные карты (MCS), которые добавляют порты Ethernet к шлюзу сервисов для обеспечения физических подключений к различным типам сетевых носителю. MCS и MCS поддерживают связи с фабриками для кластеров с шасси.

Два типа модульных концентраторов IOC3 (MPC), которые имеют различные встроенные MCS, - это 24x10GE + 6x40GE MPC и 2x100GE + 4x10GE MPC.

Из-за ограничения мощности и тепловых энергий все четыре РС на 24x10GE + 6x40GE не могут быть в состоянии быть в состоянии питания. Не более двух РС могут быть одновременно в нее в питание.

Используйте эту set chassis fpc <slot> pic <pic> power off команду, чтобы выбрать CS, которые необходимо в питания.

На SRX5400, SRX5600 и SRX5800 в кластере шасси, когда РС, содержащие коммутровые соединения sRX5K-MPC3-40G10G (IOC3) отключается для включения альтернативных PC, всегда убедитесь, что:

  • Новые соединения с фабриками настраиваются на новых РС, которые будут включаемы. Для обеспечения минимальной потери RTO необходимо иметь хотя бы один сетевой соединение.

  • Кластер шасси находится в активно-пассивном режиме для обеспечения минимальной потери RTO после того, как альтернативные линии связи будут перенастроены в сеть.

  • Если на установленных CS не настроены альтернативные каналы, то RTO прерывает синхронное соединение между двумя узлами, а состояние кластера шасси не будет сконфигурировано, так как связь с фабрикой отсутствует. Можно просмотреть выходные данные интерфейс командной строки для этого сценария, указывающие на плохое состояние кластера шасси с помощью show chassis cluster interfaces команды.

Понимание сеанса RTOs

Программное плоскость данных, которое работает в активном/активном режиме, управляет обработкой потока и избыточность сеансов и обрабатывает транзитный трафик. Все пакеты, принадлежащие конкретному сеансу, обрабатываются на одном узле, чтобы обеспечить к ним одинаковый режим безопасности. Система определяет узел, на котором активен сеанс, и передает пакеты этому узлу для обработки. (После обработки пакета модуль передачи пакетов узел, на котором находится его интерфейс для передачи, если этот узел не является локальным.

Чтобы обеспечить избыточность сеанса (или потока), ПРОГРАММНОЕ плоскость данных синхронизирует свое состояние, посылая специальные пакеты полезной нагрузки, называемые объектами времени запуска (RTOs) от одного узла к другому по соединению данных фабрики. Передав информацию о сеансе между узлами, RTOs обеспечивает согласованность и стабильность сеансов в случае возникновения перебоя, что позволяет системе продолжать обработку трафика, принадлежащего существующим сеансам. Чтобы гарантировать, что данные сеанса всегда синхронизированы между двумя узлами, программное обеспечение плоскость данных передачи RTOs приоритет перед транзитным трафиком.

Программное плоскость данных создает RTOs для сеансов UDP и TCP и отслеживает изменения состояния. Он также синхронизирует трафик для сквозных протоколов IPv4, таких как общая инкапсуляция маршрутизации (GRE) и IPsec.

RTOs для синхронизации сеанса:

  • Создание RTOs сеанса на первом пакете

  • Удаление сеанса и удаление RTOs из-за ее возраста

  • RTOs, связанные с изменениями, включая:

    • Изменения состояния TCP

    • Запрос синхронизации и сообщения ответа о времени затмеения

    • RTOs для создания и удаления временных проемов в межсетевом экране (штырьковом окну) и выемке контактов для детей

Понимание передачи данных

Для Junos OS обработка потока происходит на одном узле, на котором сеанс для этого потока был установлен и активен. Этот подход обеспечивает одинаковые меры безопасности для всех пакетов, принадлежащих сеансу.

Кластер с шасси может принимать трафик на интерфейсе на одном узле и посылать его на интерфейс другого узла. (В активном/активном режиме на одном узле может существовать вокальный интерфейс для трафика, а на другом – его интерфейс для выпада.)

Этот обход необходим в следующих ситуациях:

  • Когда пакеты обрабатываются на одном узле, но требуют переадресовывания из выходного интерфейса на другой узел

  • Когда пакеты поступают на интерфейс одного узла, но должны быть обработаны на другом узле

    Если веский и выпадающим интерфейсы для пакета находятся на одном узле, но пакет необходимо обработать на другом узле, так как его сеанс там установлен, он должен проходить по ссылке данных дважды. Это может быть случай для некоторых сложных сеансов связи с медиа-службами, таких как сеансы voice-over-IP (VoIP).

Сведения о сбое и восстановлении соединений данных для фабрики

обнаружение и предотвращение вторжений (IDP) службы не поддерживают перенаправка при сбойе. По этой причине IDP службы не применяются к сеансам, которые присутствовали до перенаправки при сбойе. IDP службы применяются для новых сеансов, созданных на новом основном узле.

Для кластера шасси крайне важна связь данных с фабрикой. Если связь недоступна, то затронуты переад часть трафика и синхронизация RTO, что может привести к потере трафика и непредсказуемому поведению системы.

Чтобы исключить эту возможность, Junos OS с помощью мониторинга Junos OS, чтобы проверить, есть ли в соединении фабрики или два соединения данной фабрики при конфигурации сдвоего соединения, которые периодически передают зонды по соединениям с фабрикой. Если Junos OS обнаруживает сбои в структуре, статус RG1+ вторичного узла меняется на неостановимое. Он определяет, что произошел сбой в структуре, если не получен зонд для фабрики, но интерфейс фабрики активен. Чтобы восстановиться после этого состояния, оба соединения должны вернуться в интерактивный режим и начать обмен пробными запросами. Как только это произойдет, будут перезагрушены все FFPC на ранее неустановленном узле. Затем они перезахо блокируются и вновь соединяют кластер.

При внесении изменений в конфигурацию при отключенном вторичном узле выполните команду синхронизации конфигурации после commit перезагрузки узла. Если изменения конфигурации не внесены, файл конфигурации будет синхронизирован с файлом основного узла.

Начиная Junos OS выпусков 12.1X47-D10 и Junos OS 17.3R1, функция мониторинга SRX5800, SRX5600 и SRX5400 устройств.

Начиная Junos OS и 12.1X47-D10 Junos OS релизе 17.3R1, восстановление соединения и синхронизация фабрики происходит автоматически.

Если первичный и вторичный узлы в нормальном состоянии (т. е. нет сбоев) и соединение фабрики выходит из строя, группа избыточности RG1+ на вторичном узле становится неуязимой. Если один из узлов неработоспособен (т.е. имеется сбой), группа резервирования RG1+ на данном узле (первичном или вторичном узле) становится не допустимой. Когда оба узла не являются неработоспособными и соединение фабрики выходит из сети, группа резервирования RG1+ на вторичном узле становится неуявимой. После установки связи с фабрикой узел, на котором RG1+ стал невозможным, выполняет холодная синхронизация на всех процессорных устройствах служб и переходит в активный режим ожидания.

  • Если RG0 является первичным на неработоспособного узле, то RG0 не сможет перенаправиться от неработоспособного к нормальному узлу. Например, если узел 0 является основным для RG0+ и узел 0 становится неработоспособным, то RG1+ на узле 0 переходит в нее через 66 секунд после сбоя связи с фабрикой, а RG0 + переходит в узел 1, который является допустимым узлом.

  • Только RG1+ переходит в недопустимое состояние. RG0 по-прежнему остается в первичном или вторичном состоянии.

Используйте show chassis cluster interfaces команду интерфейс командной строки, чтобы проверить состояние соединения комской части.

Пример: Настройка интерфейсов кластерной фабрики шасси

В данном примере показано, как настроить кластерную структуру шасси. Фабрика является соединением передачи данных между узлами кластера. Трафик на одном узле, который нужно обработать на другом узле или выйти через интерфейс на другом узле, проходит через эту фабрику. Информация о состоянии сеанса также передается по всей структуре.

Требования

Перед началом работы необходимо установить ID кластера шасси и ИД кластера шасси. См. пример. Установка ID узла и кластера IDдля устройств обеспечения безопасности в кластере с шасси.

Обзор

В большинстве серия SRX устройств в кластере с шасси можно настроить любую пару интерфейсов Gigabit Ethernet или любую пару 10-Гигабитных интерфейсов для обслуживания в качестве комбинирования между узлами.

Невозможно настроить фильтры, политики или службы на интерфейсе фабрики. Фрагментация на соединении с фабрикой не поддерживается. Максимальный размер MTU интерфейсов фабрик составляет 9014 bytes, а максимальный размер MTU для других интерфейсов составляет 8900 bytes. Поддержка кадров jumbo на соединениях-участниках включена по умолчанию.

В данном примере показано, как настроить соединение с фабрикой.

Можно настроить только тот же тип интерфейсов, что и для детей в фабрике, и необходимо настроить равное количество дополнительных линий для fab0 детей fab1 и.

При подключении каждого соединения коммутатора к каждому из коммутаторов коммутатора необходимо включить функцию кадра jumbo на соответствующих портах коммутатора. Если оба коммутатора подключены к одному коммутатору, пара RTO и зондов должна быть в одной виртуальной ЛОКАЛЬНОй сети (VLAN), а пара данных – в другой VLAN. В этом документе также должна быть включена функция кадра jumbo на соответствующих портах коммутатора.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все обрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit] commit конфигурации.

Пошаговая процедура

Чтобы настроить кластерную структуру шасси:

  • Укажите интерфейсы фабрики.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show interfaces команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Для экономии выходные данные этой команды включают в себя show только конфигурацию, относя информацию к данному примеру. Любая другая конфигурация системы была заменена на эллипсы (...).

После настройки устройства войдите в commit режим конфигурации.

Проверки

Проверка кластерной фабрики шасси

Цель

Проверьте кластерную структуру шасси.

Действий

В рабочем режиме введите show interfaces terse | match fab команду.

Проверка интерфейсов плоскости данных кластера шасси

Цель

Отображение кластера шасси и плоскость данных интерфейса.

Действий

В интерфейс командной строки введите show chassis cluster data-plane interfaces команду:

Просмотр статистики плоскости данных кластера шасси

Цель

Отображение статистики кластера плоскость данных шасси.

Действий

В интерфейс командной строки введите show chassis cluster data-plane statistics команду:

Очистка статистики плоскости данных кластера шасси

Чтобы очистить отображаемую статистику кластера плоскость данных, clear chassis cluster data-plane statistics введите команду из интерфейс командной строки:

Таблица истории релизов
Выпуска
Описание
19.3R1
Начиная с Junos OS 19.3R1, SRX5K-IOC4-10G и SRX5K-IOC4-MRAT поддерживаются наряду с SRX5K-SPC3 на устройствах серии SRX500. SRX5K-IOC4-10G MPIC поддерживает MACsec.
15.1X49-D10
Начиная с Junos OS 15.1X49-D10, вводятся SRX5K-MPC3-100G10G (IOC3) и SRX5K-MPC3-40G10G (IOC3).
12.1X47
Начиная Junos OS выпусков 12.1X47-D10 и Junos OS 17.3R1, функция мониторинга SRX5800, SRX5600 и SRX5400 устройств включена по умолчанию.
12.1X47
Начиная Junos OS и 12.1X47-D10 Junos OS релизе 17.3R1, восстановление соединения и синхронизация фабрики происходит автоматически.
12.1X46
Начиная с Junos OS выпуска 12.1X46-D10 и Junos OS 17.3R1, интерфейс 100 Gigabit Ethernet поддерживается на устройствах линии SRX5000.