机箱群集结构接口
机箱群集中的 SRX 系列设备使用交换矩阵 (FAB) 接口在两个机箱之间进行会话同步和转发流量。结构链路是同一 LAN 上两个以太网接口之间的物理连接。两个接口必须为相同的介质类型。有关更多信息,请参阅以下主题:
了解机箱群集交换矩阵接口
交换矩阵是群集中两个节点之间的物理连接,由一对背靠背的以太网接口(每个节点一个)连接而形成。
与控制链路不同的是,控制链路的接口由系统决定,您可以在配置中指定要用于结构数据链路的物理接口。
交换矩阵是节点之间的数据链路,用于在机箱之间转发流量。到达需要在另一个节点上进行处理的流量将通过交换矩阵数据链路进行转发。同样,需要通过其他节点上的接口退出的节点上处理的流量将通过交换矩阵进行转发。
数据链路称为结构接口。群集的数据包转发引擎使用它来传输传输流量,并同步数据平面软件的动态运行时状态。该交换矩阵用于同步由身份验证、网络地址转换 (NAT)、应用层网关 (ALG) 和 IP 安全 (IPsec) 会话等操作创建的会话状态对象。
当系统创建交换矩阵接口时,软件会为其分配一个内部派生的 IP 地址,用于数据包传输。
在机箱群集上配置交换矩阵接口后,移除任一节点上的交换矩阵配置将导致冗余组 0 (RG0) 辅助节点变为禁用状态。(将设备重置为出厂默认配置会删除交换矩阵配置,从而导致 RG0 辅助节点变为禁用状态。)提交交换矩阵配置后,请勿将任何设备重置为出厂默认配置。
- SRX 系列防火墙支持的交换矩阵接口类型(SRX300 系列、SRX1500、SRX1600、SRX2300、SRX4100/SRX4200、SRX4300、SRX4600 和 SRX5000 系列)
- 巨型帧支持
- 了解 IOC2 和 IOC3 SRX5000线设备上的结构接口
- 了解会话 RTO
- 了解数据转发
- 了解交换矩阵数据链路故障和恢复
SRX 系列防火墙支持的交换矩阵接口类型(SRX300 系列、SRX1500、SRX1600、SRX2300、SRX4100/SRX4200、SRX4300、SRX4600 和 SRX5000 系列)
对于 SRX 系列机箱群集,交换矩阵链路可以是跨越群集的任意一对以太网接口;结构链路可以是任意一对千兆以太网接口。例子:
-
对于 SRX300、SRX320、SRX340 和 SRX345 设备,结构链路可以是任意一对千兆以太网接口。对于 SRX380 设备,结构链路可以是任意一对千兆以太网接口或任意一对 10 千兆以太网接口。
-
对于SRX1500和SRX1600,交换矩阵链路可以是跨越群集的任意一对以太网接口;交换矩阵链路可以是任意一对千兆以太网接口或任意一对 10 千兆以太网接口。SRX1600支持的接口类型包括:
-
1 千兆以太网 (GE)
-
10 千兆以太网 (xe)(10 千兆以太网接口 SFP+ 插槽)
-
25 千兆以太网 (et)(25 千兆以太网接口 SFP28)
-
-
SRX4100 和 SRX4200 设备支持的交换矩阵接口类型包括 10 千兆以太网 (xe)(10 千兆以太网接口 SFP+ 插槽)。
-
对于SRX2300和SRX4300,交换矩阵链路可以是任意一对千兆以太网接口。支持的交换矩阵接口类型包括:
-
10 千兆以太网 (MGE)
-
10 千兆以太网 (xe)(10 千兆以太网接口 SFP+ 插槽)
-
25 千兆以太网 (et)(25 千兆以太网接口 SFP28)
-
100 千兆以太网 (et)(100 千兆以太网接口 QSFP28 插槽)
-
-
SRX4600设备支持的交换矩阵接口类型包括 40 千兆以太网 (et)(40 千兆以太网接口 QSFP 插槽)和 10 千兆以太网 (xe)。
-
SRX5000 系列设备支持的交换矩阵接口类型包括:
-
快速以太网
-
千兆以太网
-
10 千兆以太网
-
40 千兆以太网
-
100 千兆位以太网
从 Junos OS 12.1X46-D10 版和 Junos OS 17.3R1 版开始,SRX5000 系列设备支持 100 千兆以太网接口。
从 Junos OS 19.3R1 版本开始,SRX5000 系列设备支持 SRX5K-IOC4-10G 和 SRX5K-IOC4-MRAT 以及 SRX5K-SPC3。SRX5K-IOC4-10G MPIC 支持 MACsec。
-
有关用于管理、控制和结构链路的端口和接口的详细信息,请参阅 了解 SRX 系列机箱群集插槽编号以及物理端口和逻辑接口命名。
巨型帧支持
交换矩阵数据链路不支持分段。为了适应这种状态,默认情况下,会在 SRX 系列防火墙上最大传输单元 (MTU) 大小为 9014 字节(9000 字节的有效负载 + 14 字节的以太网标头)的链路上启用巨型帧支持。为确保通过数据链路的流量不超过此大小,建议其他接口不要超过交换矩阵数据链路的 MTU 大小。
了解 IOC2 和 IOC3 SRX5000线设备上的结构接口
从 Junos OS 15.1X49-D10 版开始,引入了 SRX5K-MPC3-100G10G (IOC3) 和 SRX5K-MPC3-40G10G (IOC3)。
SRX5K-MPC (IOC2) 是在 SRX5400、SRX5600 和 SRX5800 上受支持的模块化端口集中器 (MPC)。此接口卡接受模块化接口卡 (MIC),这些接口卡将以太网端口添加到您的服务网关,以提供与各种网络介质类型的物理连接。MPC 和 MIC 支持机箱群集的交换矩阵链路。SRX5K-MPC 提供 10 千兆以太网(带 10 个 10GE MIC)、40 千兆以太网、100 千兆以太网和 20 个 1GE 以太网端口作为交换矩阵端口。SRX5400设备上,仅支持 SRX5K-MPC (IOC2)。
SRX5K-MPC3-100G10G (IOC3) 和 SRX5K-MPC3-40G10G (IOC3) 是模块化端口集中器 (MPC),在 SRX5400、SRX5600 和 SRX5800 上受支持。这些接口卡接受模块化接口卡 (MIC),这些接口卡将以太网端口添加到您的服务网关,以提供与各种网络介质类型的物理连接。MPC 和 MIC 支持机箱群集的交换矩阵链路。
两种类型的 IOC3 模块化端口集中器 (MPC) 具有不同的内置 MIC,即 24x10GE + 6x40GE MPC 和 2x100GE + 4x10GE MPC。
由于功率和热量限制,24x10GE + 6x40GE 上的所有四个 PIC 都无法通电。最多可同时打开两个 PIC。
set chassis fpc <slot> pic <pic> power off使用命令选择要开机的 PIC。
在机箱群集中的 SRX5400、SRX5600 和 SRX5800 设备上,当包含 SRX5K-MPC3-40G10G (IOC3) 上结构链路的 PIC 断电以打开备用 PIC 时,请始终确保:
-
新的结构链路在打开的新 PIC 上配置。必须至少有一个交换矩阵链路存在且联机,以确保将 RTO 损失降至最低。
-
机箱群集处于主动-被动模式,以确保备用链路联机后将 RTO 损失降至最低。
-
如果打开的 PIC 上未配置备用交换矩阵链路,则两个节点之间的 RTO 同步通信将停止,并且机箱群集会话状态将不会备份,因为交换矩阵链路丢失。您可以使用
show chassis cluster interfaces命令查看此方案的 CLI 输出,指示机箱群集状态不佳。
了解会话 RTO
数据平面软件在主动/主动模式下运行,可管理流处理和会话状态冗余并处理传输流量。属于特定会话的所有数据包都在同一节点上进行处理,以确保对其应用相同的安全处理。系统识别会话处于活动状态的节点,并将其数据包转发到该节点进行处理。(处理数据包后,如果该节点不是本地节点,则数据包转发引擎会将数据包传输到其出口接口所在的节点。)
为了提供会话(或流量)冗余,数据平面软件通过交换矩阵数据链路从一个节点向另一个节点发送称为运行时对象 (RTO) 的特殊有效负载数据包,从而同步其状态。通过在节点之间传输有关会话的信息,RTO 可确保在发生故障切换时会话的一致性和稳定性,从而使系统能够继续处理属于现有会话的流量。为确保会话信息始终在两个节点之间保持同步,数据平面软件赋予 RTO 传输优先于传输流量的优先级。
数据平面软件可为 UDP 和 TCP 会话创建 RTO,并跟踪状态更改。它还可以同步 IPv4 直通协议的流量,例如通用路由封装 (GRE) 和 IPsec。
用于同步会话的 RTO 包括:
-
在第一个数据包上创建会话 RTO
-
会话删除和老化 RTO
-
与变更相关的 RTO,包括:
-
TCP 状态更改
-
超时同步请求和响应消息
-
用于在防火墙和子会话针孔中创建和删除临时开孔(针孔)的 RTO
-
了解数据转发
对于 Junos OS,流处理发生在已建立该流会话且处于活动状态的单个节点上。此方法可确保对属于会话的所有数据包应用相同的安全措施。
机箱群集可以在一个节点上的接口上接收流量,并将其发送到另一个节点上的接口。(在主动/主动模式量的入口接口可能存在于一个节点上,其出口接口存在于另一个节点上。
在以下情况下,需要此遍历:
-
当在一个节点上处理数据包,但需要转发出另一个节点上的出口接口时
-
当数据包到达一个节点上的接口,但必须在另一个节点上处理时
如果数据包的入口和出口接口位于一个节点上,但由于在另一个节点上建立了会话,因此必须在另一个节点上处理数据包,则必须遍历数据链路两次。某些复杂的媒体会话(如 IP 语音 (VoIP) 会话)可能就是这种情况。
了解交换矩阵数据链路故障和恢复
入侵检测和防御 (IDP) 服务不支持故障转移。因此,IDP 服务不会应用于故障转移之前存在的会话。IDP 服务将应用于在新主节点上创建的新会话。
交换矩阵数据链路对于机箱群集至关重要。如果链路不可用,流量转发和 RTO 同步将受到影响,这可能会导致流量丢失和不可预测的系统行为。
为了消除这种可能性,Junos OS 使用结构监控来检查结构链路(如果采用双结构链路配置)的两个结构链路是否处于活动状态,方法是定期通过结构链路传输探测。如果 Junos OS 检测到结构故障,辅助节点的 RG1+ 状态将变为不合格。如果未收到结构探测,但结构接口处于活动状态,则确定发生了结构故障。要从此状态恢复,两个交换矩阵链路都需要恢复到联机状态,并应开始交换探测。发生这种情况后,先前不符合条件的节点上的所有 FPC 都将被重置。然后,它们进入联机状态并重新加入集群。
如果在禁用辅助节点时对配置进行任何更改, commit 请执行命令以在重新启动节点后同步配置。如果未进行配置更改,配置文件将与主节点的配置文件保持同步。
从 Junos OS 版本 12.1X47-D10 和 Junos OS 版本 17.3R1 开始,交换矩阵监控功能默认在 SRX5800、SRX5600 和 SRX5400 设备上启用。
从 Junos OS 12.1X47-D10 版和 Junos OS 17.3R1 版开始,结构链路的恢复和同步将自动进行。
当主节点和辅助节点都运行正常(即没有故障)且结构链路出现故障时,辅助节点上的 RG1+ 冗余组将不符合条件。当其中一个节点运行不正常(即出现故障)时,此节点(主节点或辅助节点)上的 RG1+ 冗余组将不符合条件。当两个节点都运行不正常且结构链路中断时,辅助节点上的 RG1+ 冗余组将不符合条件。当结构链路启动时,RG1+ 不符合资格的节点将在所有服务处理单元上执行冷同步并转换为活动备用。
-
如果 RG0 在不正常节点上为主节点,则 RG0 将从不正常节点故障转移到正常节点。例如,如果节点 0 是 RG0+ 的主节点,而节点 0 变得运行不佳,则在结构链路故障 66 秒后,节点 0 上的 RG1+ 将转换为不合格,并且 RG0+ 将故障转移到节点 1,即正常运行的节点。
-
只有 RG1+ 会转换为不合格状态。RG0 继续处于主要或辅助状态。
show chassis cluster interfaces使用 CLI 命令验证交换矩阵链路的状态。
另见
示例:配置机箱群集交换矩阵接口
此示例说明如何配置机箱群集交换矩阵。交换矩阵是群集中节点之间的背靠背数据连接。一个节点上的流量需要在另一个节点上进行处理,或者需要通过另一个节点上的接口退出,则这些流量会通过交换矩阵。会话状态信息也会通过交换矩阵传递。
要求
开始之前,请设置机箱群集 ID 和机箱群集节点 ID。请参阅 示例:设置机箱群集中安全设备的节点 ID 和群集 ID 。
概述
在机箱群集的大多数 SRX 系列防火墙中,您可以配置任意一对千兆以太网接口或任意一对 10 千兆接口用作节点之间的交换矩阵。
您无法在交换矩阵接口上配置过滤器、策略或服务。交换矩阵链路不支持分段。结构接口的最大 MTU 大小为 9014 字节,其他接口的最大 MTU 大小为 8900 字节。默认情况下,成员链路上的巨型帧支持处于启用状态。
此示例说明如何配置结构链路。
只能将相同类型的接口配置为交换矩阵子接口,并且必须为 fab0 和 fab1配置相同数量的子链路。
如果通过交换机连接每个交换矩阵链路,则必须在相应的交换机端口上启用巨型帧功能。如果两个交换矩阵链路都通过同一交换机连接,则 RTO 和探测对必须位于一个虚拟 LAN (VLAN) 中,而数据对必须位于另一个 VLAN 中。同样,必须在相应的交换机端口上启用巨型帧功能。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
{primary:node0}[edit]
set interfaces fab0 fabric-options member-interfaces ge-0/0/1
set interfaces fab1 fabric-options member-interfaces ge-7/0/1
分步过程
要配置机箱群集交换矩阵,请执行以下操作:
指定交换矩阵接口。
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 {primary:node0}[edit] user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1
结果
在配置模式下,输入 show interfaces 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
{primary:node0}[edit]
user@host# show interfaces
...
fab0 {
fabric-options {
member-interfaces {
ge-0/0/1;
}
}
}
fab1 {
fabric-options {
member-interfaces {
ge-7/0/1;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
验证机箱群集数据平面接口
查看机箱群集数据平面统计信息
目的
显示机箱群集数据平面统计信息。
行动
从 CLI 中输入 show chassis cluster data-plane statistics 命令:
{primary:node1}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
Session create 0 0
Session close 0 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RTSP ALG 0 0
清除机箱群集数据平面统计信息
要清除显示的机箱群集数据平面统计信息,请从 CLI 中输入 clear chassis cluster data-plane statistics 命令:
{primary:node1}
user@host> clear chassis cluster data-plane statistics
Cleared data-plane statistics
另见
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。