连接 SRX 系列防火墙以创建机箱群集
SRX 系列机箱群集是通过使用一对相同类型的以太网连接将两个相同的群集支持的 SRX 系列防火墙物理连接在一起来创建的。连接用于两个设备之间的控制链路和结构(数据)链路。
机箱群集中的控制链路是使用特定端口建立的。
接口值随集群偏移量值而变化。根据集群索引,接口被命名为 type-fpc/pic/port。例如,ge-1/0/1 ,其中 1 是集群索引和 FPC 编号。您必须使用以下端口在以下 SRX 系列防火墙上形成控制链路:
-
对于 SRX300 设备,将节点 0 上的 ge-0/0/1 连接到节点 1 上的 ge-1/0/1。
-
对于 SRX320 设备,将节点 0 上的 ge-0/0/1 连接到节点 1 上的 ge-3/0/1。
-
对于 SRX340、SRX345 和 SRX380 设备,将节点 0 上的 ge-0/0/1 连接到节点 1 上的 ge-5/0/1。
-
对于SRX1500设备,请将节点 0 上的 HA 控制端口连接到节点 1 上的 HA 控制端口。
-
对于 SRX1600、SRX2300 和SRX4300设备双控制链路配置,请将节点 0 上的 HA 控制端口 0 连接到节点 1 上的 HA 控制端口 0,并将节点 0 上的 HA 控制端口 1 连接到节点 1 上的控制端口 1。
要建立结构链路:
-
对于 SRX300 和 SRX320 设备,请连接除 ge-0/0/0 和 ge-0/0/1 以外的任何接口。
-
对于 SRX340、SRX345 和 SRX380 设备,请连接除 fxp0 和 ge-0/0/1 以外的任何接口。
图 2、 图 3、 图 4 和 图 6 显示了连接了交换矩阵链路和控制链路的 SRX 系列防火墙对。
对于 SRX1500、SRX1600、SRX2300 和 SRX4300 设备,用作控制链路的连接必须位于每台设备上的内置控制端口之间。
您可以在群集中的两台设备之间连接两条控制链路(仅限 SRX4600、SRX5600、SRX5800 和 SRX3000 线)和两条结构链路,以减少控制链路和交换矩阵链路发生故障的可能性。请参阅 了解机箱群集双控制链路 和 了解机箱群集双结构链路。
图 8、 图 10 和 图 11 显示了连接了交换矩阵链路和控制链路的 SRX 系列防火墙对。
图 13、 图 14 和 图 15 显示了连接了交换矩阵链路和控制链路的 SRX 系列防火墙对。
服务处理卡 (SPC) 有两个专用端口(HA0 和 HA1),用于连接机箱群集中的控制链路。
交换矩阵端口是可从任何 IOC 卡获得的收入端口。交换矩阵链路连接到两个设备系列SRX5000相同的插槽和端口。
SRX5000 系列设备没有内置端口,因此这些网关的控制链路必须是其 SPC 上的控制端口,其中 SRX5400 的插槽编号偏移量为 3,SRX5600 设备的偏移量为 6,SRX5800设备的偏移量为 12。
图 13 显示了一对具有单个 SPC 卡的 SRX5800 设备,每个设备都通过控制链路连接。交换矩阵链路使用 IOC 卡连接。对于双控制链路,需要两个 SPC3 卡进行连接。
图 14 显示了使用两个 SPC3 卡连接的双控制链路和使用 IOC 卡连接的双交换矩阵链路。
在SRX5000线路设备上连接单个控制链路时,控制链路端口与路由引擎插槽进行一对一映射。如果路由引擎位于插槽 0 中,则必须使用控制端口 0 链接路由引擎。
当 SPC 既是控制平面又是控制端口的托管时,就会产生单点故障。如果主节点上的 SPC 出现故障,节点将自动重新启动以避免脑裂。
由于插槽数量有限,SRX5400 设备不支持双控制链路。