Services der nächsten Generation – Überblick über die hohe Verfügbarkeit zwischen Chassis für NAT-, Stateful Firewall- und IDS-Flows
Übersicht über die hohe Verfügbarkeit zwischen den Gehäusen für NAT-, Stateful Firewall- und IDS-Flows für Services der nächsten Generation
NAT-, Stateful-Firewall- und IDS-Flows auf Betreiberniveau können mit einem redundanten Datenpfad mit zwei Chassis konfiguriert werden. Obwohl eine gehäuseinterne Hochverfügbarkeit in einem Gerät der MX-Serie durch den Einsatz der AMS-Schnittstellen genutzt werden kann, behandelt diese Methode nur lokal Services PIC-Fehler. Wenn der Datenverkehr aus irgendeinem Grund aufgrund eines anderen Fehlers im Router zu einem Backup-Router umgeschaltet wird, geht der Sitzungsstatus der Services-PIC verloren, es sei denn, Sie konfigurieren die Synchronisierung der Services-Sitzungszustände mit einer Services-PIC auf dem Backup-Router.
Inter-Chassis-Hochverfügbarkeit stellt diese Synchronisierung bereit und steuert Switchover zwischen den Service-PICs im Redundanz-Paar. Die Hochverfügbarkeit zwischen den Gehäusen ist ein Primär-Sekundär-Modell, kein Aktiv-Aktiv-Cluster. Nur ein Service-PIC in einem Redundanzpaar, der aktuelle primäre, empfängt den zu bedienenden Datenverkehr.
Um die Interchassis-Hochverfügbarkeit für NAT, Stateful Firewall und IDS zu konfigurieren, konfigurieren Sie:
Statusbasierte Synchronisierung, bei der der Sitzungsstatus von den primären Service-PICs auf dem primären auf die Backup-Services-PIC auf dem anderen Gehäuse repliziert wird.
Inter-Chassis-Services-Redundanz, die Primärrollen-Switchover im Services-PIC-Redundanzpaar auf der Grundlage überwachter Ereignisse steuert. Die meisten Betreiber würden keine zustandsbehaftete Synchronisierung verwenden wollen, ohne auch eine Service-Redundanz zu implementieren.
Vorteile
Die hohe Verfügbarkeit zwischen den Gehäusen ermöglicht die automatische Umschaltung von einem Service-PIC auf einem Gehäuse auf einen Service-PIC auf einem anderen Gehäuse und stellt gleichzeitig unterbrechungsfreie Services für den Kundendatenverkehr bereit.
Beispiel: Services der nächsten Generation Zustandsbehaftete Hochverfügbarkeit zwischen Chassis für NAT und Stateful Firewall
Dieses Beispiel zeigt, wie die Services der nächsten Generation die chassisübergreifende Hochverfügbarkeit für Stateful Firewall- und NAT-Services konfigurieren.
Überblick
Zwei Router sind identisch konfiguriert, um im Falle eines Chassis-Ausfalls ein Stateful Failover für Firewall- und NAT-Services zu ermöglichen.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die Hochverfügbarkeit zwischen den Chassis für dieses Beispiel zu konfigurieren:
- CLI-Schnellkonfiguration
- Konfigurieren von Schnittstellen für Gehäuse 1.
- Konfigurieren von Routing-Informationen für Gehäuse 1
- Konfigurieren von NAT und Stateful Firewall für Gehäuse 1
- Konfigurieren des Service-Sets
- Konfigurieren von Schnittstellen für Chassis 2
- Konfigurieren von Routing-Informationen für Gehäuse 2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell auf den Routern zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Routers ein, nachdem Sie Zeilenumbrüche entfernt und standortspezifische Schnittstelleninformationen ersetzt haben.
Die folgende Konfiguration gilt für Chassis 1.
[edit] set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces vms-4/0/0 redundancy-options routing-instance HA set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces vms-4/0/0 unit 20 family inet set interfaces vms-4/0/0 unit 20 service-domain inside set interfaces vms-4/0/0 unit 30 family inet set interfaces vms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface vms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop vms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
Die folgende Konfiguration gilt für Chassis 2. Die Informationen zu NAT, Stateful Firewall und Servicesatz müssen für Chassis 1 und 2 identisch sein.
set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 set interfaces vms-4/0/0 redundancy-options routing-instance HA set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces vms-4/0/0 unit 20 family inet set interfaces vms-4/0/0 unit 20 service-domain inside set interfaces vms-4/0/0 unit 30 family inet set interfaces vms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface vms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop vms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
Konfigurieren von Schnittstellen für Gehäuse 1.
Schritt-für-Schritt-Anleitung
Die Schnittstellen für jedes der Hohe Verfügbarkeit Routerpaare sind identisch konfiguriert, mit Ausnahme der folgenden Service-PIC-Optionen:
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addresseiner Einheit außer 0, die dieip-address-owner service-planeOption
So konfigurieren Sie Schnittstellen:
Konfigurieren Sie die redundante Dienst-PIC auf Chassis 1.
[edit interfaces} user@host# set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces vms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces vms-4/0/0 unit 20 family inet user@host# set interfaces vms-4/0/0 unit 20 service-domain inside user@host# set interfaces vms-4/0/0 unit 30 family inet user@host# set interfaces vms-4/0/0 unit 30 service-domain outside
Konfigurieren Sie die Schnittstellen für Chassis 1, die als Interchassis-Links für den Synchronisationsdatenverkehr verwendet werden.
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
Konfigurieren Sie die verbleibenden Schnittstellen nach Bedarf.
Ergebnisse
user@host# show interfaces
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.1/24;
}
}
}
vms-4/0/0 {
redundancy-options {
redundancy-peer {
ipaddress 5.5.5.2;
}
routing-instance HA;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.1/32;
}
}
unit 20 {
family inet;
family inet6;
service-domain inside;
}
unit 30 {
family inet;
family inet6;
service-domain outside;
}
}
}
Konfigurieren von Routing-Informationen für Gehäuse 1
Schritt-für-Schritt-Anleitung
Eine detaillierte Routingkonfiguration ist in diesem Beispiel nicht enthalten. Für den Hohe Verfügbarkeit Synchronisierungsdatenverkehr zwischen den Chassis ist eine Routinginstanz wie folgt erforderlich:
Konfigurieren Sie Routinginstanzen für Chassis 1.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface vms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop vms-4/0/0.10 user@host# set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2
Ergebnisse
user@host# show routing-instances
HA {
instance-type vrf;
interface ge-2/0/0.0;
interface vms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.1/32 next-hop vms-4/0/0.10;
route 5.5.5.2/32 next-hop 20.1.1.2;
}
}
}
Konfigurieren von NAT und Stateful Firewall für Gehäuse 1
Schritt-für-Schritt-Anleitung
Konfigurieren Sie NAT und Stateful Firewall auf beiden Routern identisch. So konfigurieren Sie NAT und Stateful Firewall:
Konfigurieren Sie NAT nach Bedarf.
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
Konfigurieren Sie die Stateful Firewall nach Bedarf.
user@host# set services stateful-firewall rule r2 match-direction input user@host# set services stateful-firewall rule r2 term t1 from source-address any-unicast user@host# set services stateful-firewall rule r2 term t1 then accept user@host# set services stateful-firewall rule r2 term t1 then syslog
Ergebnisse
user@host# show services nat
nat {
pool p2 {
address 32.0.0.0/24;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule r2 {
match-direction input;
term t1 {
from {
source-address {
129.0.0.0/8;
128.0.0.0/8;
}
}
then {
translated {
source-pool p2;
translation-type {
napt-44;
}
address-pooling paired;
}
syslog;
}
}
}
}
}
user@host show services stateful-firewell
rule r2 {
match-direction input;
term t1 {
from {
source-address {
any-unicast;
}
}
then {
accept;
syslog;
}
}
}
Konfigurieren des Service-Sets
Schritt-für-Schritt-Anleitung
Konfigurieren Sie den Dienstsatz auf beiden Routern identisch. So konfigurieren Sie das Service-Set:
Konfigurieren Sie die Optionen für die Service-Set-Replikation.
user@host# set services service-set ss2 replicate-services replication-threshold 180 user@host# set services service-set ss2 replicate-services stateful-firewall user@host# set services service-set ss2 replicate-services nat
Konfigurieren Sie Verweise auf NAT- und Stateful-Firewall-Regeln für die Dienstgruppe.
user@host# set services service-set ss2 stateful-firewall-rules r2 user@host# set services service-set ss2 nat-rules r2
Konfigurieren Sie die Next-Hop-Dienstschnittstelle auf dem vms-PIC.
user@host# set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30
Konfigurieren Sie die gewünschten Protokollierungsoptionen.
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class stateful-firewall-logs user@host# set services service-set ss2 syslog host local class nat-logs
Ergebnisse
user@host# show services service-set ss2
syslog {
host local {
class {
session-logs;
inactive: stateful-firewall-logs;
nat-logs;
}
}
}
replicate-services {
replication-threshold 180;
stateful-firewall;
nat;
}
stateful-firewall-rules r2;
inactive: nat-rules r2;
next-hop-service {
inside-service-interface vms-3/0/0.20;
outside-service-interface vms-3/0/0.30;
}
}
Konfigurieren von Schnittstellen für Chassis 2
Schritt-für-Schritt-Anleitung
Die Schnittstellen für jedes der Hohe Verfügbarkeit Routerpaare sind identisch konfiguriert, mit Ausnahme der folgenden Service-PIC-Optionen:
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addresseiner Einheit außer 0, die dieip-address-owner service-planeOption
Konfigurieren Sie die redundante Dienst-PIC auf Chassis 2.
Der
redundancy-peer ipaddressverweist auf die Adresse der Einheit (Einheit 10) auf vms-4/0/0 auf dem Gehäuse auf Gehäuse 1, die dieip-address-owner service-planeAnweisung enthält.[edit interfaces} set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces vms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces vms-4/0/0 unit 20 family inet user@host# set interfaces vms-4/0/0 unit 20 service-domain inside user@host# set interfaces vms-4/0/0 unit 30 family inet user@host# set interfaces vms-4/0/0 unit 30 service-domain outside
Konfigurieren der Schnittstellen für Chassis 2, die als Interchassis-Links für den Synchronisationsdatenverkehr verwendet werden
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
Konfigurieren Sie die verbleibenden Schnittstellen für Gehäuse 2 nach Bedarf.
Ergebnisse
user@host# show interfaces
vms-4/0/0 {
redundancy-options {
redundancy-peer {
ipaddress 5.5.5.1;
}
routing-instance HA;
}
unit 0 {
family inet;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.2/32;
}
}
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.2/24;
}
}
unit 10 {
vlan-id 10;
family inet {
address 2.10.1.2/24;
}
Konfigurieren von Routing-Informationen für Gehäuse 2
Schritt-für-Schritt-Anleitung
Eine detaillierte Routingkonfiguration ist in diesem Beispiel nicht enthalten. Für den Hohe Verfügbarkeit Synchronisierungsdatenverkehr zwischen den beiden Chassis ist eine Routinginstanz erforderlich, die hier enthalten ist.
Konfigurieren Sie Routinginstanzen für Chassis 2.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface vms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop vms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1
Hinweis:Die folgenden Konfigurationsschritte sind identisch mit den für Chassis 1 gezeigten Schritten.
Konfigurieren von NAT und Stateful Firewall
Konfigurieren des Service-Sets
Ergebnisse
user@host# show services routing-instances
HA {
instance-type vrf;
interface xe-2/2/0.0;
interface vms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.2/32 next-hop vms-4/0/0.10;
route 5.5.5.1/32 next-hop 20.1.1.1;
}
}