Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

単一のMXシリーズルーターでのNATトラフィックフロー(ECMPベースの一貫性のあるハッシュ)とスケールアウトされたSRXシリーズファイアウォール(スタンドアロン)

このトピックでは、ECMPベースの一貫したハッシュロードバランシングを備えた単一のMXシリーズルーターとスタンドアロンのSRXシリーズファイアウォールを含むトポロジーで、NATトラフィックがどのように流れるかを見ていきます。

トポロジーについては 、図 1 を参照してください。このトポロジーでは、次のことを行う必要があります。

  • TRUSTおよびUNTRUSTルーティングインスタンス用に2つのインターフェイスを持つ単一のMXシリーズルーターを設定します。
  • 各インターフェイスで外部BGP(EBGP)または双方向フォワーディング検出(BFD)を設定します。
  • 転送テーブルで、ルート 0/0 のソース ハッシュを使用してロードバランシング ポリシーを設定します。
  • SRXシリーズファイアウォールごとに固有のNAT プール IPアドレス範囲を設定します。

図 1 は、トラフィック フローを順を追って示しています。

図1:単一MXシリーズルーターによるNATトラフィックフロー(ECMPベースの一貫性のあるハッシュ)とスケールアウトされたSRXシリーズファイアウォール(スタンドアロン) NAT Traffic Flow with a Single MX Series Router (ECMP-based Consistent Hashing) and Scaled-Out SRX Series Firewalls (Standalone)

MXシリーズルーターは、TRUSTおよびUNTRUST方向でスケールアウトされたSRXシリーズファイアウォールに向けて、複数の論理インターフェイスで設定された単一のデバイスです。

  1. SRXシリーズファイアウォールは、UNTRUST側で0/0ルートを受信し、TRUST側でEBGPを使用してMXシリーズルーターにアドバタイズします。MXシリーズルーターは、ECMPベースの一貫性のあるハッシュポリシーを使用して、TRUST側でこれらのルートをインポートします。
  2. SRXシリーズファイアウォールは、TRUST側でクライアントプレフィックスルートを受信し、EBGPを使用してNAT プールルートプレフィックスをUNTRUST側のMXシリーズルーターにアドバタイズします。
  3. TRUST側のMXシリーズルーターには0/0ルート用のECMPルートがあり、UNTRUST側のルーターにはNAT プールルートプレフィックス用の一意のルートがあります。
  4. クライアントからサーバーへの転送トラフィックフローは、TRUSTインスタンス上のMXシリーズルーターに到達して0/0ルートを照合し、送信元IPアドレスのハッシュ値に基づいて、任意の1つのECMPネクストホップをSRXシリーズファイアウォールに持っていきます。
  5. SRXシリーズファイアウォールは、NATフローセッションを作成し、サーバーに向かうUNTRUST方向でパケットをMXシリーズルーターにルーティングします。
  6. サーバーからクライアントへのリバーストラフィックフローは、UNTRUSTインスタンス上のMXシリーズルーターに到達し、一意のNAT プールプレフィックスルートと一致して、フォワードフローが固定されている同じSRXシリーズファイアウォールを通過します。これにより、SRXシリーズファイアウォールの対称性が維持されます。
  7. SRXシリーズファイアウォールがダウンした場合、MXシリーズルーター上の一貫したハッシュにより、他のSRXシリーズファイアウォール上のセッションが妨げられることなく、影響を受けたSRXシリーズファイアウォール上のセッションのみが再配布されるようにすることができます。再配布されたセッションは、送信元 NAT の別の NAT プールから IP アドレスを取得するため、アプリケーションは TCP/UDP セッションを再起動します。