AUF DIESER SEITE
Stateful-Synchronisierung zwischen Chassis für langlebige NAT- und Stateful Firewall-Flows (MS-MPC, MS-MIC) (Version 16.1 und höher)
Konfiguration der MS-MPC- und MS-MIC-Redundanz zwischen den Gehäusen für NAT und Stateful Firewall – Übersicht (Version 16.1 und höher)
Dieses Thema gilt für Junos OS Version 16.1 und höher.
NAT (CGN) auf Betreiberniveau und Stateful-Firewall-Bereitstellungen können eine Dual-Chassis-Implementierung verwenden, um einen redundanten Datenpfad und Redundanz für Schlüsselkomponenten im Router bereitzustellen. Obwohl in einem Gerät der MX-Serie durch den Einsatz der AMS-Schnittstellen eine hohe Verfügbarkeit innerhalb des Gehäuses genutzt werden kann, behandelt diese Methode lokal nur Service-PIC- und vollständige MS-MPC- oder MS-MIC-Kartenausfälle. Wenn der Datenverkehr aus irgendeinem Grund aufgrund eines anderen Fehlers im Router zu einem Backup-Router umgeschaltet wird, geht der Sitzungsstatus der Service-PICs verloren. Die gehäuseübergreifende Hochverfügbarkeit bietet eine robustere Lösung, da der Sitzungsstatus von NAT und zustandsbehafteten Firewalls aus den Service-PIC erhalten bleibt. Bei dieser Technologie handelt es sich um ein Primär-Sekundär-Modell, nicht um einen Aktiv-Aktiv-Cluster. Der Datenverkehr, der von den Services PICs bedient werden soll, die für hohe Verfügbarkeit zwischen den Gehäusen konfiguriert sind, fließt nur durch das Gerät der MX-Serie, das derzeit das primäre Gerät im Paar ist.
Um die Interchassis-Redundanz für NAT und Stateful Firewalls zu konfigurieren, konfigurieren Sie:
Statusbasierte Synchronisierung, die den Sitzungsstatus von den Service-PICs auf dem primären Chassis auf das Backup-Chassis repliziert. Weitere Informationen finden Sie unter Übersicht über zustandsbehaftete Synchronisierung zwischen Chassis für langlebige NAT- und Stateful Firewall-Flows (MS-MPC, MS-MIC) (Version 16.1 und höher).
Der Service-Redundanz-Daemon, der den Wechsel der primären Rolle basierend auf einem überwachten Ereignis ermöglicht. Die meisten Betreiber würden keine zustandsbehaftete Synchronisierung verwenden wollen, ohne auch den Service-Redundanz-Daemon zu implementieren. Weitere Informationen finden Sie unter Übersicht über den Serviceredundanz-Daemon
Stateful-Synchronisierung zwischen Chassis für langlebige NAT- und Stateful Firewall-Flows (MS-MPC, MS-MIC) – Übersicht (Version 16.1 und höher)
Dieses Thema gilt für Junos OS Version 16.1 und höher.
Die zustandsbehaftete Synchronisierung synchronisiert langlebige Sitzungen zwischen dem primären und dem Backup-Gehäuse der MX-Serie im Hochverfügbarkeitspaar. Standardmäßig handelt es sich bei langlebigen Sitzungen um Stateful Firewall-, NAT- und IDS-Sitzungen, die seit 180 Sekunden auf der Service-PIC aktiv sind, obwohl Sie dies auf einen höheren oder niedrigeren Wert konfigurieren können. Zustandsbehaftete Firewall-Sitzungen, NAT-Sitzungen und IDS-Sitzungen sind die Sitzungstypen, die synchronisiert werden können.
Die Inter-Chassis-Hochverfügbarkeit funktioniert mit MS-Service-Schnittstellen, die auf MS-MIC- oder MS-MPC-Schnittstellenkarten konfiguriert sind. Eine andere ms-Schnittstelleneinheit als Einheit 0 muss mit der ip-address-owner service-plane Option konfiguriert werden.
Die folgenden NAT-Übersetzungstypen und -Sitzungen unterstützen die zustandsbehaftete Synchronisierung:
basic-nat44
dynamic-nat44
napt-44
napt-44 mit Endgerät-unabhängiger Zuordnung (EIM) oder Endgeräte-unabhängigen Filtern (EIF)
DNAT-44
Zweimal NAT
Stateful-NAT64
Es gelten folgende Einschränkungen:
Das Replizieren von Statusinformationen für die Funktionen für die Portblockzuweisung (PBA), die Endgeräteunabhängige Zuordnung (EIM) oder die EIF-Funktionen (Endgeräteunabhängige Filter) wird nicht unterstützt.
Wenn Sie ein Service-Set für NAT oder eine Stateful-Firewall konfigurieren, das zu einem Stateful-Synchronisations-Setup gehört, müssen die NAT- und Stateful-Firewall-Konfigurationen für das Service-Set auf beiden Geräten der MX-Serie identisch sein.
Anwendungsebene Gateway-Sitzungen (ALG) unterstützen keine zustandsbehaftete Synchronisierung.
Abbildung 1 zeigt die Hochverfügbarkeitstopologie zwischen den Gehäusen.
Konfiguration der zustandsbehafteten Synchronisierung zwischen Chassis für langlebige NAT- und Stateful Firewall-Flows (MS-MPC, MS-MIC) (Version 16.1 und höher)
Dieses Thema gilt für Junos OS Version 16.1 und höher.
Führen Sie die folgenden Konfigurationsschritte für jedes Gehäuse des Hochverfügbarkeitspaars aus, um die zustandsbehaftete Synchronisierung, die hohe Verfügbarkeit zwischen den Chassis für die Stateful-Firewall und NAPT44 auf MS-MIC- oder MS-MPC-Dienst-PIC zu konfigurieren.
Beispiel: Zustandsbehaftete Synchronisierung zwischen Chassis für langlebige NAT- und Stateful Firewall-Flows (MS-MIC, MS-MPC) (Version 16.1 und höher)
In diesem Beispiel wird gezeigt, wie die Hochverfügbarkeit zwischen den Chassis für NAT-Services konfiguriert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei MX480-Router mit MS-MPC-Linecards
Junos OS Version 16.1 oder höher
Überblick
Zwei Router der MX-Serie sind identisch konfiguriert, um im Falle eines Chassis-Ausfalls ein zustandsbehaftetes Failover für NAT-Services zu ermöglichen.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die Hochverfügbarkeit zwischen den Chassis für dieses Beispiel zu konfigurieren:
- CLI-Schnellkonfiguration
- Konfigurieren von Schnittstellen für Gehäuse 1
- Konfigurieren von Routing-Informationen für Datenverkehr zur Synchronisierung mit hoher Verfügbarkeit auf hoher Verfügbarkeit zwischen Routern der MX-Serie für Gehäuse 1
- Konfigurieren von NAT für Gehäuse 1
- Konfigurieren des Service-Sets
- Konfigurieren von Schnittstellen für Chassis 2
- Konfigurieren von Routing-Informationen für Datenverkehr mit hoher Verfügbarkeit (Hochverfügbarkeit) zwischen Routern der MX-Serie für Gehäuse 2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell auf den Routern zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Routers ein, nachdem Sie Zeilenumbrüche entfernt und standortspezifische Schnittstelleninformationen ersetzt haben.
Die folgende Konfiguration gilt für Chassis 1.
[edit] set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.1 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 redundancy-options replication-threshold 180 set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set policy-options policy-statement dummy term 1 then reject set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class nat-logs
Die folgende Konfiguration gilt für Chassis 2. NAT- und Servicesatzinformationen müssen für Gehäuse 1 und 2 identisch sein.
set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.2 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 redundancy-options replication-threshold 180 set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set policy-options policy-statement dummy term 1 then reject set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class nat-logs
Konfigurieren von Schnittstellen für Gehäuse 1
Schritt-für-Schritt-Anleitung
Die Schnittstellen für jedes der Hohe Verfügbarkeit Routerpaare sind identisch konfiguriert, mit Ausnahme der folgenden Service-PIC-Optionen:
Der
redundancy-options redundancy-peer ipaddress addressmuss in jedem Gehäuse unterschiedlich sein und auf dasredundancy-options redundancy-local data-address data-addressauf dem Peer-Gehäuse zeigen.Der Wert
unit unit-number family inet address addresseiner Einheit ungleich 0, die dieip-address-owner service-planeOption enthält, muss für jedes Gehäuse unterschiedlich sein.
So konfigurieren Sie Schnittstellen:
Konfigurieren Sie die redundante Dienst-PIC auf Chassis 1.
[edit interfaces} user@host# set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 redundancy-options replication-threshold 180 user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
Konfigurieren Sie die Schnittstellen für Chassis 1, die als Interchassis-Links für den Synchronisationsdatenverkehr verwendet werden.
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
Konfigurieren Sie die verbleibenden Schnittstellen nach Bedarf.
Ergebnisse
user@host# show interfaces
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.1/24;
}
}
}
ms-4/0/0 {
redundancy-options {
redundancy-peer {
address 5.5.5.2;
}
redundancy-local {
data-address 5.5.5.1;
}
routing-instance HA;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.1/32;
}
}
unit 20 {
family inet;
family inet6;
service-domain inside;
}
unit 30 {
family inet;
family inet6;
service-domain outside;
}
}
Konfigurieren von Routing-Informationen für Datenverkehr zur Synchronisierung mit hoher Verfügbarkeit auf hoher Verfügbarkeit zwischen Routern der MX-Serie für Gehäuse 1
Schritt-für-Schritt-Anleitung
Eine detaillierte Routingkonfiguration ist in diesem Beispiel nicht enthalten. Für den Hohe Verfügbarkeit Synchronisierungsdatenverkehr zwischen den Chassis ist eine Routinginstanz wie folgt erforderlich:
So konfigurieren Sie die Routing-Instanzen für Chassis 1:
Geben Sie eine Dummy-Richtlinienanweisung an. Auf diese Anweisung wird in der Konfiguration der Routing-Instanz verwiesen.
user@host# set policy-options policy-statement dummy term 1 then reject
Geben Sie die Optionen für die Routing-Instanz an.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy @user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop 20.1.1.2
Geben Sie den Next-Hop-Datenverkehr an, auf den die Servicegruppe angewendet wird.
user@host# set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20
Ergebnisse
@user@host# show routing-instances
HA {
instance-type vrf;
interface ge-2/0/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.1/32 next-hop ms-4/0/0.10;
route 5.5.5.2/32 next-hop 20.1.1.2;
}
}
}
Konfigurieren von NAT für Gehäuse 1
Schritt-für-Schritt-Anleitung
Konfigurieren Sie NAT auf beiden Routern identisch.
So konfigurieren Sie NAT:
Geben Sie Informationen zum NAT-Pool und -Regel an.
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
Ergebnisse
user@host# show services nat
nat {
pool p2 {
address 32.0.0.0/24;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule r2 {
match-direction input;
term t1 {
from {
source-address {
129.0.0.0/8;
128.0.0.0/8;
}
}
then {
translated {
source-pool p2;
translation-type {
napt-44;
}
address-pooling paired;
}
syslog;
}
}
}
}
Konfigurieren des Service-Sets
Schritt-für-Schritt-Anleitung
Konfigurieren Sie den Dienstsatz auf beiden Routern identisch. So konfigurieren Sie das Service-Set:
(Optional) Servicesets werden standardmäßig repliziert. So schließen Sie eine Servicegruppe mit der folgenden Option von der Replikation aus.
user@host# set services service-set ss2 replicate-services disable-replication-capability
Konfigurieren Sie Verweise auf NAT-Regeln für den Dienstsatz.
user@host# set services service-set ss2 nat-rules r2
Konfigurieren Sie die Next-Hop-Dienstschnittstelle auf dem MS-PIC.
user@host# set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
Konfigurieren Sie die gewünschten Protokollierungsoptionen.
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class nat-logs
Ergebnisse
user@host# show services service-set ss2
syslog {
host local {
class {
session-logs;
inactive:
nat-logs;
}
}
replicate-services {
replication-threshold 180;
inactive: disable-replication-capability;
}
nat-rules r2;
next-hop-service {
inside-service-interface ms-3/0/0.20;
outside-service-interface ms-3/0/0.30;
}
}
Konfigurieren von Schnittstellen für Chassis 2
Schritt-für-Schritt-Anleitung
Die Schnittstellen für jedes der Hohe Verfügbarkeit Routerpaare sind identisch konfiguriert, mit Ausnahme der folgenden Service-PIC-Optionen:
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addresseiner Einheit außer 0, die dieip-address-owner service-planeOption
Konfigurieren Sie die redundante Dienst-PIC auf Chassis 2.
Der
redundancy-peer ipaddressverweist auf die Adresse der Einheit (Einheit 10) auf ms-4/0/0 auf dem Gehäuse auf Gehäuse 1, die dieip-address-owner service-planeAnweisung enthält.[edit interfaces} set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options replication-threshold 180 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
Konfigurieren der Schnittstellen für Chassis 2, die als Interchassis-Links für den Synchronisationsdatenverkehr verwendet werden
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
Konfigurieren Sie die verbleibenden Schnittstellen für Gehäuse 2 nach Bedarf.
Ergebnisse
user@host# show interfaces
ms-4/0/0 {
redundancy-options {
redundancy-peer {
address 5.5.5.1;
}
redundancy-local {
data-address 5.5.5.2;
}
routing-instance HA;
}
unit 0 {
family inet;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.2/32;
}
}
}
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.2/24;
}
}
unit 10 {
vlan-id 10;
family inet {
address 2.10.1.2/24;
}
}
}
Konfigurieren von Routing-Informationen für Datenverkehr mit hoher Verfügbarkeit (Hochverfügbarkeit) zwischen Routern der MX-Serie für Gehäuse 2
Schritt-für-Schritt-Anleitung
Eine detaillierte Routingkonfiguration ist in diesem Beispiel nicht enthalten. Für den Hohe Verfügbarkeit Synchronisierungsdatenverkehr zwischen den beiden Chassis ist eine Routinginstanz erforderlich, die hier enthalten ist.
Konfigurieren Sie Routinginstanzen für Chassis 2.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 user@host# set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20
Hinweis:Die folgenden Konfigurationsschritte sind identisch mit den für Chassis 1 gezeigten Schritten.
Konfigurieren von NAT
Konfigurieren des Service-Sets
Ergebnisse
@user@host# show services routing-instances
HA {
instance-type vrf;
interface xe-2/2/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.2/32 next-hop ms-4/0/0.10;
route 5.5.5.1/32 next-hop 20.1.1.1;
}
}
}