AUF DIESER SEITE
Services der nächsten Generation Chassisübergreifende Hochverfügbarkeit für NAT, Stateful Firewall und IDS-Datenströme
Übersicht über die Hochverfügbarkeit zwischen den Gehäusen für NAT, Stateful Firewall und IDS-Datenströme für Services der nächsten Generation
NAT der Carrier-Klasse, Stateful-Firewall und IDS-Datenströme können mit einem redundanten Dual-Chassis-Datenpfad konfiguriert werden. Obwohl Intra-Chassis-Hochverfügbarkeit in einem Gerät der MX-Serie durch die Verwendung der AMS-Schnittstellen genutzt werden kann, behandelt diese Methode nur lokal Service-PIC-Fehler. Wenn der Datenverkehr aus irgendeinem Grund aufgrund eines anderen Fehlers im Router auf einen Backup-Router umgestellt wird, geht der Sitzungsstatus des Dienst-PIC verloren, es sei denn, Sie konfigurieren die Synchronisierung der Dienstsitzungszustände mit einem Dienst-PIC auf dem Sicherungsrouter.
Chassisübergreifende Hochverfügbarkeit ermöglicht diese Synchronisierung und steuert Umschaltungen zwischen den Service-PICs im Redundanzpaar. Bei der chassisübergreifenden Hochverfügbarkeit handelt es sich um ein Primär-Sekundär-Modell, nicht um einen Aktiv-Aktiv-Cluster. Nur ein Dienst-PIC in einem Redundanzpaar, der aktuelle primäre Server, empfängt Datenverkehr, der bedient werden muss.
Um die Interchassis-Hochverfügbarkeit für NAT, Stateful-Firewall und IDS zu konfigurieren, konfigurieren Sie Folgendes:
Zustandsbehaftete Synchronisierung, die den Sitzungsstatus von den PICs der primären Services auf der primären zu den PIC der Backup-Services auf dem anderen Chassis repliziert.
Interchassis-Serviceredundanz, die primäre Rollenwechsel im Services-PIC-Redundanzpaar basierend auf überwachten Ereignissen steuert. Die meisten Betreiber würden keine zustandsbehaftete Synchronisierung einsetzen wollen, ohne gleichzeitig Serviceredundanz zu implementieren.
Nützt
Die hohe Verfügbarkeit von Interchassis ermöglicht den automatischen Wechsel von einem Service-PIC auf einem Chassis zu einem Service-PIC auf einem anderen Chassis und stellt dabei unterbrechungsfreie Services für den Kundenverkehr bereit.
Beispiel: Services der nächsten Generation: Zustandsbehaftete Hochverfügbarkeit zwischen den Gehäusen für NAT und zustandsbehaftete Firewall (MX-SPC3)
In diesem Beispiel wird gezeigt, wie die chassisübergreifende Hochverfügbarkeit von Next Gen-Services für Stateful-Firewall- und NAT-Services konfiguriert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei MX480-Router mit MX-SPC3-Servicekarten
Junos OS Version 19.3R2, 19.4R1 oder höher
Überblick
Zwei MX 3D-Router sind identisch konfiguriert, um im Falle eines Gehäuseausfalls ein zustandsbehaftetes Failover für Firewall- und NAT-Dienste zu ermöglichen.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die chassisübergreifende Hochverfügbarkeit für dieses Beispiel zu konfigurieren:
- CLI Schnellkonfiguration
- Konfigurieren von Schnittstellen für Gehäuse 1.
- Konfigurieren von Routing-Informationen für Gehäuse 1
- Konfigurieren von NAT und Stateful-Firewall für Gehäuse 1
- Konfigurieren des Servicesatzes
- Konfigurieren von Schnittstellen für Gehäuse 2
- Konfigurieren der Routing-Informationen für Gehäuse 2
CLI Schnellkonfiguration
Um dieses Beispiel schnell auf den Routern zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Routers ein, nachdem Sie Zeilenumbrüche entfernt und die für Ihren Standort spezifischen Schnittstelleninformationen ersetzt haben.
Die folgende Konfiguration gilt für Gehäuse 1.
[edit] set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces vms-4/0/0 redundancy-options routing-instance HA set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces vms-4/0/0 unit 20 family inet set interfaces vms-4/0/0 unit 20 service-domain inside set interfaces vms-4/0/0 unit 30 family inet set interfaces vms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface vms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop vms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
Die folgende Konfiguration gilt für Gehäuse 2. Die NAT-, Stateful-Firewall- und Service-Set-Informationen müssen für Gehäuse 1 und 2 identisch sein.
set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 set interfaces vms-4/0/0 redundancy-options routing-instance HA set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces vms-4/0/0 unit 20 family inet set interfaces vms-4/0/0 unit 20 service-domain inside set interfaces vms-4/0/0 unit 30 family inet set interfaces vms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface vms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop vms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
Konfigurieren von Schnittstellen für Gehäuse 1.
Schritt-für-Schritt-Anleitung
Die Schnittstellen für jedes Routerpaar mit hoher Verfügbarkeit sind identisch konfiguriert, mit Ausnahme der folgenden Service-PIC-Optionen:
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addresseiner Einheit, die nicht 0 ist und dieip-address-owner service-planeOption
So konfigurieren Sie Schnittstellen:
Konfigurieren Sie den redundanten Service-PIC auf Gehäuse 1.
[edit interfaces} user@host# set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces vms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces vms-4/0/0 unit 20 family inet user@host# set interfaces vms-4/0/0 unit 20 service-domain inside user@host# set interfaces vms-4/0/0 unit 30 family inet user@host# set interfaces vms-4/0/0 unit 30 service-domain outside
Konfigurieren Sie die Schnittstellen für Gehäuse 1, die als Verbindungen zwischen den Chassis für den Synchronisierungsdatenverkehr verwendet werden.
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
Konfigurieren Sie die restlichen Schnittstellen nach Bedarf.
Befund
user@host# show interfaces
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.1/24;
}
}
}
vms-4/0/0 {
redundancy-options {
redundancy-peer {
ipaddress 5.5.5.2;
}
routing-instance HA;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.1/32;
}
}
unit 20 {
family inet;
family inet6;
service-domain inside;
}
unit 30 {
family inet;
family inet6;
service-domain outside;
}
}
}
Konfigurieren von Routing-Informationen für Gehäuse 1
Schritt-für-Schritt-Anleitung
Eine detaillierte Routingkonfiguration ist in diesem Beispiel nicht enthalten. Für den HA-Synchronisierungsdatenverkehr zwischen den Chassis ist wie folgt eine Routing-Instanz erforderlich:
Konfigurieren von Routing-Instanzen für Chassis 1.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface vms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop vms-4/0/0.10 user@host# set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2
Befund
user@host# show routing-instances
HA {
instance-type vrf;
interface ge-2/0/0.0;
interface vms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.1/32 next-hop vms-4/0/0.10;
route 5.5.5.2/32 next-hop 20.1.1.2;
}
}
}
Konfigurieren von NAT und Stateful-Firewall für Gehäuse 1
Schritt-für-Schritt-Anleitung
Konfigurieren Sie NAT und Stateful-Firewall auf beiden Routern identisch. So konfigurieren Sie NAT und zustandsbehaftete Firewall:
Konfigurieren Sie NAT nach Bedarf.
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
Konfigurieren Sie die zustandsbehaftete Firewall nach Bedarf.
user@host# set services stateful-firewall rule r2 match-direction input user@host# set services stateful-firewall rule r2 term t1 from source-address any-unicast user@host# set services stateful-firewall rule r2 term t1 then accept user@host# set services stateful-firewall rule r2 term t1 then syslog
Befund
user@host# show services nat
nat {
pool p2 {
address 32.0.0.0/24;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule r2 {
match-direction input;
term t1 {
from {
source-address {
129.0.0.0/8;
128.0.0.0/8;
}
}
then {
translated {
source-pool p2;
translation-type {
napt-44;
}
address-pooling paired;
}
syslog;
}
}
}
}
}
user@host show services stateful-firewell
rule r2 {
match-direction input;
term t1 {
from {
source-address {
any-unicast;
}
}
then {
accept;
syslog;
}
}
}
Konfigurieren des Servicesatzes
Schritt-für-Schritt-Anleitung
Konfigurieren Sie den eingestellten Dienst auf beiden Routern identisch. So konfigurieren Sie den Servicesatz:
Konfigurieren Sie die Replikationsoptionen des Servicesatzes.
user@host# set services service-set ss2 replicate-services replication-threshold 180 user@host# set services service-set ss2 replicate-services stateful-firewall user@host# set services service-set ss2 replicate-services nat
Konfigurieren Sie Verweise auf NAT und zustandsbehaftete Firewallregeln für den Dienstsatz.
user@host# set services service-set ss2 stateful-firewall-rules r2 user@host# set services service-set ss2 nat-rules r2
Konfigurieren Sie die Next-Hop-Dienstschnittstelle auf dem vms-PIC.
user@host# set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30
Konfigurieren Sie die gewünschten Protokollierungsoptionen.
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class stateful-firewall-logs user@host# set services service-set ss2 syslog host local class nat-logs
Befund
user@host# show services service-set ss2
syslog {
host local {
class {
session-logs;
inactive: stateful-firewall-logs;
nat-logs;
}
}
}
replicate-services {
replication-threshold 180;
stateful-firewall;
nat;
}
stateful-firewall-rules r2;
inactive: nat-rules r2;
next-hop-service {
inside-service-interface vms-3/0/0.20;
outside-service-interface vms-3/0/0.30;
}
}
Konfigurieren von Schnittstellen für Gehäuse 2
Schritt-für-Schritt-Anleitung
Die Schnittstellen für jedes Routerpaar mit hoher Verfügbarkeit sind identisch konfiguriert, mit Ausnahme der folgenden Service-PIC-Optionen:
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addresseiner Einheit, die nicht 0 ist und dieip-address-owner service-planeOption
Konfigurieren Sie den redundanten Service-PIC auf Gehäuse 2.
Der
redundancy-peer ipaddressverweist auf die Adresse der Einheit (Einheit 10) auf vms-4/0/0 auf dem Chassis auf Chassis 1, die dieip-address-owner service-planeAnweisung enthält.[edit interfaces} set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces vms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces vms-4/0/0 unit 20 family inet user@host# set interfaces vms-4/0/0 unit 20 service-domain inside user@host# set interfaces vms-4/0/0 unit 30 family inet user@host# set interfaces vms-4/0/0 unit 30 service-domain outside
Konfigurieren Sie die Schnittstellen für Gehäuse 2, die als Verbindungen zwischen den Chassis für den Synchronisierungsdatenverkehr verwendet werden.
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
Konfigurieren Sie die restlichen Schnittstellen für Gehäuse 2 nach Bedarf.
Befund
user@host# show interfaces
vms-4/0/0 {
redundancy-options {
redundancy-peer {
ipaddress 5.5.5.1;
}
routing-instance HA;
}
unit 0 {
family inet;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.2/32;
}
}
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.2/24;
}
}
unit 10 {
vlan-id 10;
family inet {
address 2.10.1.2/24;
}
Konfigurieren der Routing-Informationen für Gehäuse 2
Schritt-für-Schritt-Anleitung
Eine detaillierte Routingkonfiguration ist in diesem Beispiel nicht enthalten. Eine Routing-Instanz ist für den HA-Synchronisierungsdatenverkehr zwischen den beiden Chassis erforderlich und ist hier enthalten.
Konfigurieren von Routing-Instanzen für Gehäuse 2.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface vms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop vms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1
Anmerkung:Die folgenden Konfigurationsschritte sind identisch mit den Schritten, die für Gehäuse 1 gezeigt wurden.
Konfigurieren von NAT und zustandsbehafteter Firewall
Konfigurieren des Servicesatzes
Befund
user@host# show services routing-instances
HA {
instance-type vrf;
interface xe-2/2/0.0;
interface vms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.2/32 next-hop vms-4/0/0.10;
route 5.5.5.1/32 next-hop 20.1.1.1;
}
}