Haute disponibilité interchâssis pour MS-MIC et MS-MPC (version 15.1 et versions antérieures)
Cette rubrique s’applique à Junos OS version 15.1 et antérieure. (Pour Junos OS version 16.1 et ultérieure , reportez-vous à Présentation de la synchronisation dynamique entre châssis pour les flux de NAT à longue durée et de pare-feu dynamiques (MS-MPC, MS-MIC) (version 16.1 et ultérieures).)
La haute disponibilité entre châssis prend en charge la synchronisation dynamique des services à l’aide d’un basculement vers un PIC de services de secours sur un autre châssis. Cette rubrique s’applique à Junos OS version 15.1 et antérieure. (Pour Junos OS version 16.1 et ultérieure , reportez-vous à Présentation de la synchronisation dynamique entre châssis pour les flux de NAT à longue durée et de pare-feu dynamiques (MS-MPC, MS-MIC) (version 16.1 et ultérieures).) Cette fonctionnalité est décrite dans les rubriques suivantes :
Haute disponibilité interchâssis pour pare-feu dynamique et présentation de NAPT44 (MS-MIC, MS-MPC)
Les déploiements NAT de classe opérateur (CGN) peuvent utiliser des implémentations à double châssis pour fournir un chemin de données redondant et une redondance pour les composants clés du routeur. Bien que la haute disponibilité intra-châssis puisse être utilisée dans les environnements à double châssis, elle ne traite que les défaillances du PIC de service. Si le trafic est basculé vers un routeur de secours en raison d’une autre défaillance du routeur, l’état est perdu. La haute disponibilité entre châssis préserve l’état et assure la redondance en utilisant moins de PIC de service que la haute disponibilité intra-châssis. Seuls les flux de longue durée sont synchronisés entre le châssis principal et le châssis de secours dans la paire haute disponibilité. Les PIC de service ne répliquent pas l’état tant qu’une commande CLI explicite, request services redundancy (synchronize | no-synchronize), n’est pas émise pour démarrer ou arrêter la réplication d’état. Les informations d’état du pare-feu dynamique, du NAPT44 et de l’APP peuvent être synchronisées.
Lorsque les PIC principal et secondaire sont activés, la réplication démarre immédiatement lorsque le request services redundancy command est émis.
Pour utiliser la haute disponibilité entre châssis, vous devez utiliser des ensembles de services configurés pour les interfaces de service de saut suivant. La haute disponibilité entre châssis fonctionne avec les interfaces de service MS- configurées sur des cartes d’interface MS-MIC ou MS-MPC. Une unité autre que l’unité 0 doit être configurée avec l’option ip-address-owner service-plane .
Les restrictions suivantes s’appliquent :
NAPT44 est le seul type de traduction pris en charge.
Les points de contrôle ne sont pas pris en charge pour les ALG, l’allocation de blocs de ports PBA (PBA), le mappage indépendant du point de terminaison (EIM) ou les filtres indépendants du point de terminaison (EIF).
La figure 1 illustre la topologie de haute disponibilité entre les châssis.
de haute disponibilité inter-châssis
Configuration de la haute disponibilité interchâssis pour le pare-feu dynamique et NAPT44 (MS-MPC, MS-MIC)
Pour configurer la disponibilité entre châssis pour le pare-feu dynamique et NAPT44 sur les PICS de service MS-MIC ou MS-MPC, effectuez les étapes de configuration suivantes sur chaque châssis de la paire haute disponibilité :
Exemple : haute disponibilité dynamique entre châssis pour NAT et pare-feu dynamique (MS-MIC, MS-MPC)
Cet exemple montre comment configurer la haute disponibilité entre châssis pour les services NAT et de pare-feu dynamique.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Deux routeurs MX480 avec cartes de ligne MS-MPC
Junos OS version 13.3 ou ultérieure
Aperçu
Deux routeurs MX 3D sont configurés de manière identique pour faciliter le basculement dynamique des services de pare-feu et de NAT en cas de défaillance du châssis.
Configuration
Pour configurer la haute disponibilité entre châssis pour cet exemple, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Configuration des interfaces pour le châssis 1.
- Configurer les informations de routage pour le châssis 1
- Configuration du NAT et du pare-feu dynamique pour le châssis 1
- Configuration de l’ensemble de services
- Configuration des interfaces pour le châssis 2
- Configurer les informations de routage pour le châssis 2
Configuration rapide de la CLI
Pour configurer rapidement cet exemple sur les routeurs, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du routeur après avoir supprimé les sauts de ligne et remplacé les informations d’interface spécifiques à votre site.
La configuration suivante concerne le châssis 1.
[edit] set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
La configuration suivante concerne le châssis 2. Les informations relatives au NAT, au pare-feu dynamique et à l’ensemble de services doivent être identiques pour les châssis 1 et 2.
set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
Configuration des interfaces pour le châssis 1.
Procédure étape par étape
Les interfaces de chaque paire de routeurs HA sont configurées de manière identique, à l’exception des options PIC de service suivantes :
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addressd’une unité, autre que 0, qui contient l’optionip-address-owner service-plane
Pour configurer les interfaces :
Configurez le PIC de service redondant sur le châssis 1.
[edit interfaces} user@host# set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
Configurez les interfaces du châssis 1 qui sont utilisées comme liens interchâssis pour la synchronisation du trafic.
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
Configurez les autres interfaces selon vos besoins.
Résultats
user@host# show interfaces
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.1/24;
}
}
}
ms-4/0/0 {
redundancy-options {
redundancy-peer {
ipaddress 5.5.5.2;
}
routing-instance HA;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.1/32;
}
}
unit 20 {
family inet;
family inet6;
service-domain inside;
}
unit 30 {
family inet;
family inet6;
service-domain outside;
}
}
}
Configurer les informations de routage pour le châssis 1
Procédure étape par étape
La configuration détaillée du routage n’est pas incluse dans cet exemple. Une instance de routage est requise pour le trafic de synchronisation HA entre les châssis, comme suit :
Configurer les instances de routage pour le châssis 1.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2
Résultats
user@host# show routing-instances
HA {
instance-type vrf;
interface ge-2/0/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.1/32 next-hop ms-4/0/0.10;
route 5.5.5.2/32 next-hop 20.1.1.2;
}
}
}
Configuration du NAT et du pare-feu dynamique pour le châssis 1
Procédure étape par étape
Configurez le NAT et le pare-feu dynamique de manière identique sur les deux routeurs. Pour configurer le NAT et le pare-feu dynamique :
Configurez le NAT selon vos besoins.
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
Configurez le pare-feu dynamique selon vos besoins.
user@host# set services stateful-firewall rule r2 match-direction input user@host# set services stateful-firewall rule r2 term t1 from source-address any-unicast user@host# set services stateful-firewall rule r2 term t1 then accept user@host# set services stateful-firewall rule r2 term t1 then syslog
Résultats
user@host# show services nat
nat {
pool p2 {
address 32.0.0.0/24;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule r2 {
match-direction input;
term t1 {
from {
source-address {
129.0.0.0/8;
128.0.0.0/8;
}
}
then {
translated {
source-pool p2;
translation-type {
napt-44;
}
address-pooling paired;
}
syslog;
}
}
}
}
}
user@host show services stateful-firewell
rule r2 {
match-direction input;
term t1 {
from {
source-address {
any-unicast;
}
}
then {
accept;
syslog;
}
}
}
Configuration de l’ensemble de services
Procédure étape par étape
Configurez l’ensemble de services de manière identique sur les deux routeurs. Pour configurer l’ensemble de services :
Configurez les options de réplication de l’ensemble de services.
user@host# set services service-set ss2 replicate-services replication-threshold 180 user@host# set services service-set ss2 replicate-services stateful-firewall user@host# set services service-set ss2 replicate-services nat
Configurez les références aux règles NAT et de pare-feu dynamique pour l’ensemble de services.
user@host# set services service-set ss2 stateful-firewall-rules r2 user@host# set services service-set ss2 nat-rules r2
Configurez l’interface de service de saut suivant sur le MS-PIC.
user@host# set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
Configurez les options de journalisation souhaitées.
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class stateful-firewall-logs user@host# set services service-set ss2 syslog host local class nat-logs
Résultats
user@host# show services service-set ss2
syslog {
host local {
class {
session-logs;
inactive: stateful-firewall-logs;
nat-logs;
}
}
}
replicate-services {
replication-threshold 180;
stateful-firewall;
nat;
}
stateful-firewall-rules r2;
inactive: nat-rules r2;
next-hop-service {
inside-service-interface ms-3/0/0.20;
outside-service-interface ms-3/0/0.30;
}
}
Configuration des interfaces pour le châssis 2
Procédure étape par étape
Les interfaces de chaque paire de routeurs HA sont configurées de manière identique, à l’exception des options PIC de service suivantes :
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addressd’une unité, autre que 0, qui contient l’optionip-address-owner service-plane
Configurez le PIC de service redondant sur le châssis 2.
Le
redundancy-peer ipaddresspointe vers l’adresse de l’unité (unité 10) sur ms-4/0/0 sur le châssis sur le châssis 1 qui contient l’instructionip-address-owner service-plane.[edit interfaces} set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
Configurez les interfaces du châssis 2 qui sont utilisées comme liens interchâssis pour la synchronisation du trafic
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
Configurez les interfaces restantes pour le châssis 2 selon vos besoins.
Résultats
user@host# show interfaces
ms-4/0/0 {
redundancy-options {
redundancy-peer {
ipaddress 5.5.5.1;
}
routing-instance HA;
}
unit 0 {
family inet;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.2/32;
}
}
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.2/24;
}
}
unit 10 {
vlan-id 10;
family inet {
address 2.10.1.2/24;
}
Configurer les informations de routage pour le châssis 2
Procédure étape par étape
La configuration détaillée du routage n’est pas incluse dans cet exemple. Une instance de routage est requise pour le trafic de synchronisation HA entre les deux châssis et est incluse ici.
Configurer les instances de routage pour le châssis 2.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1
Note:Les étapes de configuration suivantes sont identiques aux étapes indiquées pour le châssis 1.
Configuration du NAT et du pare-feu dynamique
Configuration de l’ensemble de services
Résultats
user@host# show services routing-instances
HA {
instance-type vrf;
interface xe-2/2/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.2/32 next-hop ms-4/0/0.10;
route 5.5.5.1/32 next-hop 20.1.1.1;
}
}