Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Zustandsbehaftete Synchronisierung zwischen den Gehäusen für langlebige NAT, zustandsbehaftete Firewall und IDS-Datenströme für Services der nächsten Generation

Übersicht über die zustandsbehaftete Synchronisierung zwischen Chassis

Die zustandsbehaftete Synchronisierung repliziert den Status von langlebigen NAT-, Stateful-Firewall- und IDS-Sitzungen auf dem primären Service-PIC und sendet ihn an das Backup-Services-PIC, das sich in einem anderen Gehäuse der MX-Serie befindet. Standardmäßig werden langlebige Sitzungen so definiert, dass sie mindestens 180 Sekunden lang auf dem Dienst-PIC aktiv waren, obwohl Sie dies auf einen höheren Wert konfigurieren können.

Es gelten folgende Einschränkungen:

  • NAPT44 ist der einzige unterstützte Übersetzungstyp.

Die Replikation von Statusinformationen für die Funktionen Port Block Allocation (PBA), Endpoint-Independent Mapping (EIM) oder Endpoint-Independent Filters (EIF) wird für Services der nächsten Generation unterstützt.

Wenn Sie einen Servicesatz für NAT, Stateful Firewall oder IDS konfigurieren, der zu einer Stateful-Synchronisierungseinrichtung gehört, müssen Sie einen Next-Hop-Servicesatz verwenden, und die NAT-, Stateful Firewall- und IDS-Konfigurationen für das Serviceset müssen auf beiden Gehäusen der MX-Serie identisch sein.

Abbildung 1 zeigt die zustandsbehaftete Synchronisierungstopologie.

Abbildung 1: Topologie Stateful Sync Topology der zustandsbehafteten Synchronisierung

Nützt

Die zustandsbehaftete Interchassis-Synchronisierung des Sitzungsstatus der Services ermöglicht unterbrechungsfreie Services, wenn ein Umschalten von einem Services-PIC auf einem Chassis zu einem Service-PIC auf einem anderen Chassis erfolgt.

Konfiguration von zustandsbehafteter Synchronisierung zwischen Chassis für langlebige NAT, zustandsbehaftete Firewall und IDS-Datenströme für Services der nächsten Generation

Konfiguration der zustandsbehafteten Synchronisierung zwischen den Chassis für Services der nächsten Generation mit Nicht-AMS-Schnittstelle

Führen Sie die folgenden Konfigurationsschritte auf jedem Gehäuse des Hochverfügbarkeitspaars aus, um zustandsbehaftete Synchronisierung, Chassis-übergreifende Hochverfügbarkeit für NAT, zustandsbehaftete Firewall und IDS-Datenströme für Services der nächsten Generation zu konfigurieren, wenn es sich bei den Dienstschnittstellen nicht um AMS handelt.

  1. Geben Sie die IP-Adresse der vms-Schnittstelle an. Diese Adresse wird vom TCP-Kanal zwischen den HA-Paaren verwendet.

    Zum Beispiel:

    Wenn Sie das andere Gehäuse konfigurieren, ist dies die Adresse, die Sie für .redundancy-peer ipaddress

  2. Geben Sie die IP-Adresse der Remote-Service-Schnittstelle an. Diese Adresse wird vom TCP-Kanal zwischen den HA-Paaren verwendet.

    Zum Beispiel:

    Wenn Sie das andere Gehäuse konfigurieren, ist dies die Adresse, die Sie für .redundancy-local data-address

  3. Konfigurieren Sie die Zeitspanne, die der Flow für die Replikation aktiv bleibt, in Sekunden.

    Zum Beispiel:

  4. Konfigurieren Sie eine andere Einheit als 0, und weisen Sie ihr die IP-Adresse der lokalen Serviceschnittstelle zu, die Sie mit der redundancy-local data-address Option konfiguriert haben.

    Zum Beispiel:

  5. Für eine einfachere Verwaltung empfehlen wir Ihnen, eine spezielle Routing-Instanz zu instance-type vrf erstellen, um den HA-Synchronisationsdatenverkehr zwischen dem Hochverfügbarkeitspaar der MX-Serie zu hosten. Geben Sie dann den Namen der speziellen Routing-Instanz an, die auf den HA-Synchronisierungsdatenverkehr zwischen dem Hochverfügbarkeitspapaar angewendet werden soll.
  6. Konfigurieren Sie die inneren und äußeren Schnittstelleneinheiten, die von der Next-Hop-Servicegruppe verwendet werden. Verwenden Sie unterschiedliche Einheitennummern für die Innen- und Außeneinheiten, und verwenden Sie nicht 0 oder die in Schritt 4 verwendete Einheitennummer.

    Zum Beispiel:

  7. Konfigurieren Sie den Next-Hop-Servicesatz, der die NAT-Regeln, Stateful-Firewall-Regeln oder IDS-Bildschirme enthält. Der Servicesatz muss auf jedem Chassis des Hochverfügbarkeitspaars identisch konfiguriert werden. Außerdem müssen die NAT-Regeln, Stateful-Firewall-Regeln und IDS-Bildschirme auf jedem Gehäuse identisch konfiguriert werden.

    Zum Beispiel:

  8. Wiederholen Sie diese Schritte für das andere Gehäuse des Hochverfügbarkeitspaars.

Konfiguration der zustandsbehafteten Synchronisierung zwischen den Chassis für Services der nächsten Generation mit AMS-Schnittstelle

Führen Sie die folgenden Konfigurationsschritte auf jedem Gehäuse des Hochverfügbarkeitspaars aus, um zustandsbehaftete Synchronisierung zwischen Gehäusen mit hoher Verfügbarkeit für NAT, zustandsbehaftete Firewall und IDS-Datenströme für Services der nächsten Generation für eine AMS-Dienstschnittstelle zu konfigurieren.

  1. Konfigurieren Sie für jedes Mitglied der AMS-Schnittstelle eine Services-VMS-Schnittstelle:
    1. Geben Sie die IP-Adresse der vms-Schnittstelle an. Diese Adresse wird vom TCP-Kanal zwischen den HA-Paaren verwendet.

      Zum Beispiel:

      Wenn Sie das andere Gehäuse konfigurieren, ist dies die Adresse, die Sie für .redundancy-peer ipaddress

    2. Geben Sie die IP-Adresse der Remote-Service-Schnittstelle an. Diese Adresse wird vom TCP-Kanal zwischen den HA-Paaren verwendet.

      Zum Beispiel:

      Wenn Sie das andere Gehäuse konfigurieren, ist dies die Adresse, die Sie für .redundancy-local data-address

    3. Konfigurieren Sie die Zeitspanne, die der Flow für die Replikation aktiv bleibt, in Sekunden.

      Zum Beispiel:

    4. Konfigurieren Sie eine andere Einheit als 0, und weisen Sie ihr die IP-Adresse der lokalen Serviceschnittstelle zu, die Sie mit der redundancy-local data-address Option konfiguriert haben.

      Zum Beispiel:

    5. Für eine einfachere Verwaltung empfehlen wir Ihnen, eine spezielle Routing-Instanz zu instance-type vrf erstellen, um den HA-Synchronisationsdatenverkehr zwischen dem Hochverfügbarkeitspaar der MX-Serie zu hosten. Geben Sie dann den Namen der speziellen Routing-Instanz an, die auf den HA-Synchronisierungsdatenverkehr zwischen dem Hochverfügbarkeitspapaar angewendet werden soll.
  2. Erstellen Sie die AMS-Schnittstelle, und fügen Sie die Mitgliedsschnittstellen hinzu, die Sie in Schritt 1 konfiguriert haben.

    wobei die interface-name amsN ist und a die FPC-Steckplatznummer und b die PIC-Steckplatznummer für jede Mitgliedsschnittstelle ist.

    Zum Beispiel:

  3. Konfigurieren Sie die interne Schnittstelle für die AMS-Schnittstelle, die von der Next-Hop-Servicegruppe verwendet wird:
    1. Konfigurieren Sie die Produktfamilie für die interne Schnittstelle. Verwenden Sie nicht 0 als Einheitennummer.

      Zum Beispiel:

    2. Konfigurieren Sie den Hashschlüssel, um die Verteilung für die interne Schnittstelle zu regulieren.
  4. Konfigurieren Sie die externe Schnittstelle für die AMS-Schnittstelle, die von der Next-Hop-Servicegruppe verwendet wird. Verwenden Sie nicht 0 oder dieselbe Einheitennummer, die Sie für die interne Schnittstelle verwendet haben.

    1. Konfigurieren Sie die Produktfamilie für die externe Schnittstelle.

      Zum Beispiel:

    2. Konfigurieren Sie den Hash-Schlüssel, um die Verteilung für die externe Schnittstelle zu regulieren.
  5. Konfigurieren Sie den Next-Hop-Servicesatz, der die NAT-Regeln, Stateful-Firewall-Regeln oder IDS-Bildschirme enthält. Der Servicesatz muss auf jedem Chassis des Hochverfügbarkeitspaars identisch konfiguriert werden. Die NAT-Regeln, die Stateful-Firewall-Regel und die IDS-Bildschirme müssen außerdem auf jedem Gehäuse identisch konfiguriert werden.

    Zum Beispiel:

  6. Wiederholen Sie diese Schritte für das andere Gehäuse des Hochverfügbarkeitspaars.