デュアルMXシリーズルーター(ECMPベースの一貫性のあるハッシュ)とスケールアウト型SRXシリーズファイアウォール(MNHA)におけるステートフルファイアウォールとNATトラフィックフロー

このトピックでは、MNHAのSRXシリーズファイアウォールによるECMPベースの一貫したハッシュロードバランシングを使用して、デュアルMXシリーズルーターでステートフルファイアウォールトラフィックがどのように流れるかを見ていきます。

図1 は、ECMPベースの一貫性のあるハッシュを使用したデュアルMXシリーズルーターと、MNHAを使用したスケールアウトSRXシリーズファイアウォールのトポロジーを示しています。

図1:デュアルMXシリーズルーター(ECMPベースの一貫性のあるハッシュ)とスケールアウトSRXシリーズファイアウォール(MNHA) Dual MX Series Routers (ECMP-Based Consistent Hashing) and Scaled-Out SRX Series Firewalls (MNHA)

Dual MX Series Routers (ECMP-Based Consistent Hashing) and Scaled-Out SRX Series Firewalls (MNHA)

このトポロジーでは、次のようになります。

アクティブ/スタンバイモードのHAでMXシリーズルーターのペアを設定します。
セッション同期を使用して、アクティブ/バックアップモードでMNHAペアのSRXシリーズファイアウォールを設定します。SRX1-ACT1とSRX2-ACT2はMNHAペアになり、SRX1-STA1とSRX2-STA2はもう一方のMNHAペアを形成します。SRX1-ACT1とSRX1-STA1はステートフル同期にあり、SRX1-ACT2とSRX1-STA2はステートフル同期です。
MNHAペアでSRXシリーズファイアウォールを展開すると、トラフィックの受信場所に応じて、両方向でセッション同期が行われます。
MXシリーズ HAペアのユーザー管理のために、サービス冗長デーモン(SRD)冗長性を使用してMXシリーズルーターのペアを設定します。サービス冗長デーモンを参照してください。
MXシリーズルーターのペアは、TRUSTとインターネットゲートウェイルーターへのリンク、およびMXシリーズルーターとSRXシリーズファイアウォール間のリンクを監視します。いずれかのリンクに障害が発生した場合、SRDは他のMXシリーズルーターへの自動スイッチオーバーをトリガーします。フェイルオーバーは、プライマリMXシリーズルーターがダウンしている場合でも発生します。
AEバンドルとしてSRXシリーズファイアウォールに接続された4x100Gインターフェイスを備えたMXシリーズルーターには、3つのVLAN(信頼、信頼解除、HA管理)が含まれています。
プライマリ MXシリーズはプライマリ ECMP パスのままで、セカンダリ MXシリーズルーターはスタンバイ ECMP パスです。
SRD を使用してMXシリーズルーターの冗長性を実現し、プライマリMXシリーズルーターの状態遷移を制御します。
SRDプロセスは、優先してルートアドバタイズメントに使用されるプライマリMXシリーズルーターに信号ルートをインストールします。
プライマリMXシリーズルーターはルートをそのままアドバタイズしますが、スタンバイMXシリーズはas-path-prependでルートをアドバタイズします。ASパスを拡張すると、短いASパスが長く見えるため、BGPにはあまり適していません。 BGP AS パスへの AS 番号の付加についてを参照してください。
プライマリMXシリーズからSRXシリーズファイアウォールへのインターフェイスと、SRXシリーズファイアウォールへのセカンダリMXシリーズ上のインターフェイスは、同様のI/Oカード(IOC)で同様のインターフェイス番号を使用してプロビジョニングする必要があります。これにより、両方の MXシリーズルーターで同じユニリストネクストホップの順序を維持できます。
ユニリストのネクストホップの順序は、論理インターフェイス(ifl)インデックス番号(論理インターフェイス(ifl)番号の昇順)に基づいて、ルーティングプロトコルデーモン(RPD)によって決定されます。
ユニリストのネクストホップの順序は両方のMXシリーズルーターで同じであるため、ルーターのスイッチオーバー後のハッシュ(送信元または宛先)に問題はありません。

図 2 は、MNHA ペアのステートフル同期を示しています。ここでは、SRX1-ACT1 と SRX1-STA1 のペアがステートフル同期しています。SRX1-ACT2 と SRX1-STA2 のペアはステートフル同期しています。

図2:ステートフル同期フロー Dual MX Series (ECMP-Based Consistent Hashing) and Scaled-Out SRX Series Firewalls (MNHA) with Stateful Synchronization Flow

を備えたデュアルMXシリーズ(ECMPベースの一貫性のあるハッシュ)とスケールアウトSRXシリーズファイアウォール(MNHA)

図 3 は、NAT トラフィックフローを示しています。

図3:デュアルMXシリーズルーター(ECMPベースの一貫性のあるハッシュ)とスケールアウトSRXシリーズファイアウォール(MNHA) NAT Traffic Flow in Dual MX Series Routers (ECMP-Based Consistent Hashing) and Scaled-Out SRX Series Firewalls (MNHA)

NAT Traffic Flow in Dual MX Series Routers (ECMP-Based Consistent Hashing) and Scaled-Out SRX Series Firewalls (MNHA)

におけるNATトラフィックフロー

図4 は、ステートフルファイアウォールのトラフィックフローを示しています。

図4:デュアルMXシリーズルーター(ECMPベースの一貫性のあるハッシュ)とスケールアウトSRXシリーズファイアウォール(MNHA)におけるステートフルファイアウォールトラフィックフロー Stateful Firewall Traffic Flow in Dual MX Series Routers (ECMP-Based Consistent Hashing) and Scaled-Out SRX Series Firewalls (MNHA)

Stateful Firewall Traffic Flow in Dual MX Series Routers (ECMP-Based Consistent Hashing) and Scaled-Out SRX Series Firewalls (MNHA)