机箱群集控制平面接口
您可以使用控制平面接口在机箱群集中 SRX 系列防火墙上的路由引擎之间同步内核状态。控制平面接口提供群集中两个节点之间的链路。
控制平面使用此链接可以:
-
通信节点发现。
-
维护群集的会话状态。
-
访问配置文件。
-
检测节点间的实时信号。
机箱群集控制平面和控制链路
控制平面软件在主动或备份模式下运行,是群集主节点上处于活动状态的 Junos OS 不可或缺的一部分。它通过将状态、配置和其他信息传送给辅助节点上的非活动路由引擎来实现冗余。如果主路由引擎发生故障,辅助路由引擎已准备好接管控制权。
控制平面软件:
-
在路由引擎上运行。
-
监督整个 机箱群集 系统,包括两个节点上的接口。
-
管理系统和数据平面资源,包括每个节点上的数据包转发引擎 (PFE)。
-
通过控制链路同步配置。
-
建立和维护会话,包括身份验证、授权和记帐 (AAA) 功能。
-
管理特定于应用程序的信令协议。
-
建立和维护管理会话,例如 Telnet 连接。
-
处理非对称路由。
-
管理路由状态、地址解析协议 (ARP) 处理和动态主机配置协议 (DHCP) 处理。
来自控制平面软件的信息遵循两条路径:
-
在主节点(路由引擎处于活动状态)上,控制信息从路由引擎流向本地数据包转发引擎。
-
控制信息通过控制链路流向辅助节点的路由引擎和数据包转发引擎。
在主路由引擎上运行的控制平面软件可维护整个集群的状态。只有与控制平面软件在同一节点上运行的进程才能更新状态信息。主路由引擎同步辅助节点的状态,并处理所有主机流量。
机箱群集控制链路
控制接口在群集中的两个节点之间提供控制链路,并用于路由更新和控制平面信号流量,例如触发节点故障转移的心跳和阈值信息。控制链路还会同步节点之间的配置。向集群提交配置语句时,控制链路会自动同步配置。
控制链路依靠专有协议在节点之间传输会话状态、配置和活动状态。
从 Junos OS 19.3R1 版开始,SRX5000系列设备上支持 SRX5K-RE3-128G 设备以及 SRX5K-SPC3 设备。控制接口 ixlv0 和 igb0 用于配置 SRX5K-RE3-128G 设备。控制链路控制控制平面、数据平面和检测信号消息之间的通信。
机箱群集中的单个控制链路
对于机箱群集中的单个控制链路,您必须使用相同的控制端口进行控制链路连接以及两个节点上的配置。
例如,如果将端口 0 配置为节点 0 上的控制端口,则必须将端口 0 配置为节点 1 上的控制端口。您必须使用电缆连接端口。
机箱群集中的双控制链路
您必须直接连接机箱群集中的双控制链路。交叉连接(即,将一个节点上的端口 0 连接到另一个节点上的端口 1,反之亦然)不起作用。
对于双控制链路,必须建立以下连接:
-
将节点 0 上的控制端口 0 连接到节点 1 上的控制端口 0。
-
将节点 0 上的控制端口 1 连接到节点 1 上的控制端口 1。
机箱群集控制链路上的加密
机箱群集控制链路支持可选的加密安全功能,您可以配置和激活该功能。
请注意,瞻博网络安全文档在提及高可用性 (HA) 控制链路时使用机箱群集。您仍将在命令中看到用于代替机箱群集的缩写 ha。
在禁用 Telnet 访问的情况下,控制链路访问可防止黑客在未经身份验证的情况下通过控制链路登录系统。使用内部 IPsec 密钥在设备之间进行内部通信,对通过机箱群集链路从主节点传递到辅助节点的配置信息进行加密。如果没有 IPsec 密钥,攻击者将无法获得权限访问或观察流量。
要启用此功能,请运行 set security ipsec internal security-association manual encryption ike-ha-link-encryption enable 配置命令。
必须重新启动两个节点才能激活此配置。
SRX4600系列设备、SRX5000系列设备和 vSRX 虚拟防火墙平台都支持 IPsec 对机箱群集控制链路进行加密。
当机箱群集在已配置 IPsec 密钥的情况下运行时,您可以对密钥进行任何更改,而无需重新启动设备。在这种情况下,您只需要在一个节点上更改密钥。
配置 IPsec 密钥加密后,对于内部安全关联 (SA) 层次结构下的任何配置更改,必须重新启动这两个节点。要验证配置的互联网密钥交换 (IKE) 机箱群集链路加密算法,请查看 的 show security internal-security-association输出。
| SRX 系列防火墙 | 说明 |
|---|---|
| SRX5400、SRX5600和SRX5800 |
默认情况下,禁用所有控制端口。设备中的每个服务处理卡 (SPC) 都有两个控制端口,每个设备可以插入多个 SPC。要在 机箱群集中设置控制链路,请连接并配置每台设备上使用的控制端口( |
| SRX4600 |
提供专用机箱群集控制端口和结构端口。 SRX4600设备无需配置控制链路;但是,您需要为机箱群集部署显式配置结构链路。如果要为控制端口配置 1 千兆以太网接口,则必须使用操作 CLI 命令语句 |
| SRX4100和SRX4200 |
提供专用机箱群集控制端口。不需要控制链路配置。有关所有 SRX4100 端口和SRX4200端口(包括专用控制链路端口和结构链路端口)的详细信息,请参阅 了解 SRX 系列机箱群集插槽编号以及物理端口和逻辑接口命名。 当设备未处于群集模式时,专用机箱群集端口不能用作收入端口或流量端口。 |
| SRX2300和SRX4300 |
设备使用支持 MACsec 的双专用控制端口。 |
| SRX1600 |
设备使用支持 MACsec 的双专用控制端口。 |
| SRX1500 |
设备使用专用控制端口。 |
| SRX300、SRX320、SRX340、SRX345 和 SRX380。 |
控制链路使用 ge-0/0/1 接口。 |
有关管理链路、控制链路和结构链路的端口使用情况和接口使用情况的详细信息,请参阅 了解 SRX 系列机箱群集插槽编号和物理端口和逻辑接口命名。
示例:为控制链路配置机箱群集控制端口
此示例说明如何在以下设备上配置机箱群集控制端口:SRX5400、SRX5600 和 SRX5800。您需要配置将在每台设备上用于设置控制链路的控制端口。
要求
准备工作:
了解机箱群集控制链路。请参阅 了解机箱群集控制平面和控制链路。
物理连接设备上的控制端口。请参阅 连接 SRX 系列设备以创建机箱群集。
概述
控制链路流量通过服务处理卡 (SPC) 中的交换机并到达另一个节点。在 SRX 系列防火墙上,机箱群集端口位于机箱群集中的 SPC 上。默认情况下,SRX5400 设备、SRX5600 设备和 SRX5800 设备上的所有控制端口均处于禁用状态。要设置控制链路,请连接控制端口、配置控制端口并设置机箱群集。
此示例使用以下灵活 PIC 集中器 (FPC) 和端口配置控制端口作为控制链路:
- FPC 4,端口 0
- FPC 10,端口 0
配置
程序
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后进入 commit 配置模式。
{primary:node0}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
分步过程
要将控制端口配置为机箱群集的控制链路:
指定控制端口。
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
结果
在配置模式下,输入 show chassis cluster 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
user@host# show chassis cluster
...
control-ports {
fpc 4 port 0;
fpc 10 port 0;
}
...
配置设备后,进入 commit 配置模式。
验证机箱群集状态
目的
验证机箱群集状态。
行动
在操作模式下,输入 show chassis cluster status 命令。
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 0 primary no no
node1 0 secondary no no
意义
使用 show chassis cluster status 命令确认机箱群集中的设备是否相互通信。上述输出显示机箱群集运行正常,因为一台设备是主节点,另一台设备是辅助节点。
验证机箱群集控制平面统计信息
目的
显示机箱群集控制平面统计信息。
行动
在 CLI 中,输入 show chassis cluster control-plane statistics 命令:
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
参见
清除机箱群集控制平面统计信息
要清除显示的机箱群集控制平面统计信息,请在 CLI 中输入 clear chassis cluster control-plane statistics 命令:
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
从机箱群集更改为独立模式
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。