Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

クラスタ モードについて

TOE の管理者は、「https://kb.juniper.net/KB34608」の記事で説明されているように、ノード 0 の HA 制御ポート em0 をノード 1 の HA 制御ポート em0 に接続することで 高可用性 (HA) のためのクラスタ モードを設定できます。

工場出荷時のデフォルト設定には、HA設定は含まれていません。HAを有効にするには、HAで使用されている物理インターフェイスの設定をすべて削除してください。シャーシ クラスタを構成する 2 台のホストの設定は同じである必要があります。1 つのクラスタをノード 0 に設定し、もう 1 つのクラスタをノード 1 に設定します。

TOE には、HA 管理専用の fxp0 インターフェイスがあります。HA 制御リンクのインターフェイスは、各デバイスで em0 間である必要があります。管理者はファブリック・インターフェイスを定義できます。これで、クラスタが管理者によって定義および設定されました。シャーシ クラスタを構成する 2 つのデバイスのクラスタ ID は同じですが、1 つのホストがノード 0 にあり、2 つ目のクラスタがノード 1 にあるため、ノード ID が異なります。SRX3XX デバイスでは、ノード 1 の ge-0/0/1 または xe-0/0/1 インターフェイスが ge-7/0/1 または xe-7/0/1 に変更されます。

ノード1は、インターフェイスの元のFPC番号にシステムFPCの総数を追加して、インターフェイスのリナンバリングを行います。ファブリック インターフェイスは管理者定義のままです。

L2 HAリンク暗号化トンネルを使用すると、クラスタモードで2つのシャーシ間の制御リンクを介して交換されるセキュリティセンシティブパラメータ(クリティカルセキュリティパラメータ)は、IPsecを使用して保護されます。プライマリ ノードからセカンダリ ノードへのシャーシ クラスタ リンクを通過する設定情報と IKE HA メッセージは、ノード間の内部通信に IPsec を使用することで、アクティブおよびパッシブ盗聴から保護されます。攻撃者は、内部 IPsec キーがなければ、特権アクセスを取得したり、トラフィックを監視したりすることはできません。