Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX 系列机箱群集配置概述

以下是配置机箱群集的先决条件:

  • 在 SRX300、SRX320、SRX340、SRX345 和 SRX380 上,应删除与转换为 fxp0 管理端口和控制端口的接口关联的任何现有配置。有关更多信息,请参阅 了解 SRX 系列机箱群集插槽编号以及物理端口和逻辑接口命名

  • 确认两台设备上的硬件和软件相同。

  • 确认两台设备上的许可证密钥相同。

  • 对于 SRX300、SRX320、SRX340、SRX345 和 SRX380 机箱群集,两台设备中 GPIM、XGPIM、XPIM 和小型 PIM(如果适用)的放置位置和类型必须匹配。

  • 对于SRX5000系列机箱群集,SPC 的位置和类型在两台设备中必须匹配。

图 1 显示了 SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、SRX4300、SRX4100、SRX4200 和 SRX4600 设备的机箱群集流程图。

图 1:机箱群集流程图(SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300 和 SRX4600 设备) Chassis Cluster Flow Diagram (SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300 and SRX4600 Devices)
图 2:机箱群集流程图(SRX5800、SRX5600 SRX5400设备) Chassis Cluster Flow Diagram (SRX5800, SRX5600, SRX5400 Devices)

本节概述了创建 SRX 系列机箱群集的基本步骤。要创建 SRX 系列机箱群集:

  1. 准备要在机箱群集中使用的 SRX 系列防火墙。有关更多信息,请参阅 准备设备以形成机箱群集
  2. 将一对相同类型的受支持的 SRX 系列防火墙物理连接在一起。有关更多信息,请参阅 连接 SRX 系列设备以创建机箱群集

    1. 通过连接任意对以太网接口,在群集中的两个节点之间创建交换矩阵链路。对于大多数 SRX 系列防火墙,唯一的要求是两个接口都是千兆以太网接口(或 10 千兆以太网接口)。

      使用双交换矩阵链路功能时,请连接将在每台设备上使用的两对以太网接口。请参阅 了解机箱群集双结构链路

    2. 配置控制端口(仅限 SRX5000 行)。请参阅 示例:配置机箱群集控制端口

  3. 将集群中第一个要初始化的设备连接到控制台端口。这是形成群集并使用 CLI 操作模式命令启用群集的节点(节点 0):

    1. 通过为群集提供群集 ID 来标识群集。

    2. 通过为其提供自己的节点 ID 来识别节点,然后重新启动系统。

    请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID 。有关连接说明,请参阅设备的入门指南

  4. 连接到其他设备(节点 1)上的控制台端口,并使用 CLI 操作模式命令启用群集:

    1. 通过设置您在第一个节点上设置的相同群集 ID,确定设备要加入的群集。

    2. 通过为其提供自己的节点 ID 来识别节点,然后重新启动系统。

  5. 在群集上配置管理接口。请参阅 示例:配置机箱群集管理接口
  6. 使用 CLI 配置群集。请参阅以下主题:

    1. 示例:配置机箱群集中的冗余以太网接口数量

    2. 示例:配置机箱群集结构接口

    3. 示例:配置机箱群集冗余组

    4. 示例:配置机箱群集接口监控

    5. 示例:在 SRX 系列设备上配置机箱群集

  7. (可选)启动手动故障转移。请参阅 启动机箱群集手动冗余组故障切换
  8. (可选)通过冗余以太网接口配置条件路由通告。请参阅 了解机箱群集中的条件路由通告
  9. 验证配置。请参阅 查看机箱群集配置

如果群集中连接了两个节点,则其中一个节点被选为主模式,其路由引擎将作为主模式运行。辅助节点中的路由引擎作为客户端运行。群集中的所有 FPC,无论是主节点还是辅助节点,都连接到主路由引擎。辅助节点上的 FPC 通过 HA 控制链路连接到主路由引擎。如果群集有两个主节点,IOC 将收到来自其他主数据库的消息,并自行重新启动以从此错误状态中恢复。

为防止 IOC 卡重新启动,必须先关闭辅助节点的电源,然后才能连接到群集。

要在将辅助节点连接到群集时保留主节点上的流量,建议在节点 1 上配置群集模式并在将其连接到群集之前关闭电源,以避免对主节点产生任何影响。此处的原因是 HA 群集或单节点系统的控制网络不同。连接控制端口后,这两者加入同一网络并交换消息。

本节概述了在发生故障后有正在运行的主节点时还原备份节点的基本步骤:

  1. 连接到其他设备(节点 1)上的控制台端口,并使用 CLI 操作模式命令启用群集:

    1. 通过设置您在第一个节点上设置的相同群集 ID,确定设备要加入的群集。

    2. 通过为其提供自己的节点 ID 来识别节点,然后重新启动系统。

    请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID 。有关连接说明,请参阅设备的入门指南

  2. 关闭辅助节点的电源。

  3. 连接两个节点之间的 HA 控制端口。

  4. 打开辅助节点的电源。

  5. 群集将重新形成,会话将同步到辅助节点。

  • 使用双交换矩阵链路功能时,请连接将在每台设备上使用的两对以太网接口。请参阅 了解机箱群集双结构链路

  • 使用双控制链路功能(仅限 SRX5600 和 SRX5800 设备)时,请连接将在每台设备上使用的两对控制端口。

    请参阅 机箱群集中 SRX 系列防火墙的双控制链路连接

    对于 SRX5600 和 SRX5800 设备,控制端口必须位于两台设备的相应插槽上。 表 1 显示了插槽编号偏移:

    表1:插槽编号偏移

    装置

    抵消

    SRX5800

    12(例如, FPC3FPC15

    SRX5600

    6(例如, FPC3FPC9

    SRX5400

    3(例如, FPC3FPC6

    SRX4600

    7(例如, FPC1FPC8

  • 在 SRX3400 和 SRX3600 设备上,控制端口是专用的千兆以太网端口。

  • 在 SRX4600 设备上,控制端口和结构端口是专用的 10 千兆以太网端口。

相关文档