Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

用于长期生存的 NAT 和有状态防火墙流的机箱间有状态同步(MS-MPC、MS-MIC)(版本 16.1 及更高版本)

为 NAT 和有状态防火墙配置机箱间 MS-MPC 和 MS-MIC 冗余概述(版本 16.1 及更高版本)

注意:

本主题适用于 Junos OS 16.1 及更高版本。(有关 Junos OS 15.1 及更低版本,请参阅 MS-MIC 和 MS-MPC 的机箱间高可用性(版本 15.1 及更早版本))。

运营商级 NAT (CGN) 和有状态防火墙部署可以使用双机箱实施,为路由器中的关键组件提供冗余数据路径和冗余。尽管可以通过使用 AMS 接口在 MX 系列设备中使用机箱内高可用性,但此方法只能在本地处理服务 PIC 和完整的 MS-MPC 或 MS-MIC 卡故障。如果由于路由器中的某些其他故障而导致流量切换到备份路由器,则来自服务 PIC 的会话状态将丢失。机箱间高可用性通过保留服务 PIC 的 NAT 和有状态防火墙的会话状态,提供了更可靠的解决方案。此技术是主备模型,而不是主动-主动群集。要由配置为机箱间高可用性的服务 PIC 提供服务的流量仅流经当前为机箱间主要设备的 MX 系列设备。

要为 NAT 和有状态防火墙配置机箱间冗余,请配置:

  1. 有状态同步,将会话状态从主机箱上的服务 PIC 复制到备份机箱。有关详细信息,请参阅长生存 NAT 和有状态防火墙流的机箱间有状态同步(MS-MPC、MS-MIC)概述(版本 16.1 及更高版本)。

  2. 服务冗余守护程序,允许基于受监视的事件进行主要角色切换。大多数操作员不希望在不同时实现服务冗余守护程序的情况下采用有状态同步。有关更多信息,请参阅 服务冗余守护程序概述

针对长期生存的 NAT 和有状态防火墙流的机箱间有状态同步(MS-MPC、MS-MIC) 概述(版本 16.1 及更高版本)

注意:

本主题适用于 Junos OS 16.1 及更高版本。(有关 Junos OS 15.1 及更低版本,请参阅 MS-MIC 和 MS-MPC 的机箱间高可用性(版本 15.1 及更早版本))。

有状态同步可在高可用性对中的主机箱和备份 MX 系列机箱之间同步长期会话。默认情况下,长期会话是有状态的防火墙、NAT 和 IDS 会话,它们已在服务 PIC 上处于活动状态 180 秒,但您可以将此值配置为更高或更低的值。有状态防火墙会话、NAT 会话和 IDS 会话是可以同步的会话类型。

机箱间高可用性适用于在 MS-MIC 或 MS-MPC 接口卡上配置的 MS 服务接口。必须使用选项 ip-address-owner service-plane 配置单元 0 以外的 ms- 接口单元。

以下 NAT 转换类型和会话支持有状态同步:

  • BASIC-NAT44

  • 动态-NAT44

  • NAPT-44

  • 具有端点无关映射 (EIM) 或端点无关过滤器 (EIF) 的 napt-44

  • DNAT-44

  • 两次自然

  • 状态-NAT64

以下限制适用:

  • 不支持复制端口块分配 (PBA)、端点无关映射 (EIM) 或端点无关过滤器 (EIF) 功能的状态信息。

  • 为属于有状态同步设置的 NAT 或有状态防火墙配置服务集时,- 两个 MX 系列设备上服务集的 NAT 和有状态防火墙配置必须相同。

  • 应用层网关 (ALG) 会话不支持有状态同步。

图 1 显示了机箱间高可用性拓扑。

图 1:有状态同步拓扑 Stateful Sync Topology

为长期生存的 NAT 和有状态防火墙流配置机箱间有状态同步(MS-MPC、MS-MIC)(版本 16.1 及更高版本)

注意:

本主题适用于 Junos OS 16.1 及更高版本。(有关 Junos OS 15.1 及更低版本,请参阅 MS-MIC 和 MS-MPC 的机箱间高可用性(版本 15.1 及更早版本))。

要在 MS-MIC 或 MS-MPC 服务 PIC 上为有状态防火墙和 NAPT44 配置有状态同步机箱间高可用性,请在高可用性对的每个机箱上执行以下配置步骤。

  1. 配置服务 ms- 接口。
    1. 指定本地服务卡的 IPv4 地址。此地址由 HA 对之间的 TCP 通道使用。

      配置其他机箱时,这是您用于 的 redundancy-peer ipaddress地址。

    2. 指定远程服务卡的 IPv4 地址。此地址由 HA 对之间的 TCP 通道使用。

      配置其他机箱时,这是您用于 的 redundancy-local data-address地址。

    3. 配置流保持活动状态以进行复制的时间长度(以秒为单位)。

    4. 使用该选项配置 ip-address-owner service-plane 0 以外的单元。

    5. 对于配置了 ip-address-owner service-plane 该选项的设备,请分配使用该选项配置 redundancy-local data-address 的本地服务卡的 IPv4 地址。

    6. 配置下一跃点服务集使用的内部和外部接口单元。对内部和外部单元使用不同的单元号,不要使用 0 或与选项一起使用 ip-address-owner service-plane 的单元号。

  2. 配置包含 NAT 规则或有状态防火墙规则的下一跃点服务集。必须在高可用性对的每个机箱上以相同的方式配置服务集。还必须在每个机箱上以相同的方式配置 NAT 规则和有状态防火墙规则。
  3. 为了便于管理,我们建议您创建一个特殊的路由实例, instance-type vrf 用于托管 MX 系列高可用性对之间的 HA 同步流量。然后指定要应用于高可用性对之间的 HA 同步流量的特殊路由实例的名称。
  4. 对高可用性对的另一个机箱重复这些步骤。

示例:针对长期生存的 NAT 和有状态防火墙流的机箱间有状态同步(MS-MIC、MS-MPC)(版本 16.1 及更高版本)

此示例说明如何为 NAT 服务配置机箱间高可用性。

要求

此示例使用以下硬件和软件组件:

  • 两台带有 MS-MPC 线卡的 MX480 路由器

  • Junos OS 16.1 或更高版本

概述

两台 MX 系列路由器的配置相同,可在机箱发生故障时促进 NAT 服务的有状态故障切换。

配置

要为此示例配置机箱间高可用性,请执行以下操作:

CLI 快速配置

要在路由器上快速配置此示例,请复制以下命令,并在删除换行符并替换特定于站点的接口信息后将其粘贴到路由器终端窗口中。

注意:

以下配置适用于机箱 1。

注意:

以下配置适用于机箱 2。机箱 1 和 2 的 NAT 和服务集信息必须相同。

配置机箱 1 的接口

分步过程

每个 HA 路由器对的接口配置相同,但以下服务 PIC 选项除外:

  • 每个 redundancy-options redundancy-peer ipaddress address 机箱上的 必须不同 ,并且 必须指向 redundancy-options redundancy-local data-address data-address 对等机箱上的 。

  • unit unit-number family inet address address包含ip-address-owner service-plane选件的单元(除 0 外)在每个机箱上必须不同。

要配置接口:

  1. 在机箱 1 上配置冗余服务 PIC。

  2. 配置机箱 1 的接口,用作同步流量的机箱间链路。

  3. 根据需要配置其余接口。

结果

为机箱 1 的 MX 系列路由器之间的 HA 同步流量配置路由信息

分步过程

此示例不包括详细的路由配置。机箱之间的 HA 同步流量需要一个路由实例,如下所示:

要为机箱 1 配置路由实例:

  1. 指定虚拟策略语句。路由实例配置中引用此语句。

  2. 指定路由实例的选项。

  3. 指定应用服务集的下一跃点流量。

结果

为机箱 1 配置 NAT

分步过程

在两个路由器上以相同的方式配置 NAT。

要配置 NAT:

  1. 指定 NAT 池和规则信息。

结果

配置服务集

分步过程

在两个路由器上以相同的方式配置服务集。要配置服务集:

  1. (可选)默认情况下会复制服务集。使用以下选项从复制中排除服务集。

  2. 为服务集配置对 NAT 规则的引用。

  3. 在 MS-PIC 上配置下一跃点服务接口。

  4. 配置所需的日志记录选项。

结果

配置机箱 2 的接口

分步过程

每个 HA 路由器对的接口配置相同,但以下服务 PIC 选项除外:

  • redundancy-options redundancy-peer ipaddress address

  • unit unit-number family inet address address包含选项的单位(除 0 外)ip-address-owner service-plane

  1. 在机箱 2 上配置冗余服务 PIC。

    指向 redundancy-peer ipaddress 包含语句的机箱 ip-address-owner service-plane 1 上 ms-4/0/0 上的单元(单元 10)地址。

  2. 配置机箱 2 的接口,用作同步流量的机箱间链路

  3. 根据需要配置机箱 2 的其余接口。

结果

为机箱 2 的 MX 系列路由器之间的 HA 同步流量配置路由信息

分步过程

此示例不包括详细的路由配置。路由实例是两个机箱之间的 HA 同步流量所必需的,此处已包含该实例。

  • 为机箱 2 配置路由实例。

    注意:

    以下配置步骤与机箱 1 所示步骤 相同

    • 配置 NAT

    • 配置服务集

结果