Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

単一MXシリーズ(ECMPベースの一貫性のあるハッシュ)とスケールアウトされたSRXシリーズのファイアウォール(スタンドアロン)におけるNATトラフィックフロー

このトピックでは、スタンドアロンのSRXシリーズファイアウォールを使用したECMPベースの一貫性のあるハッシュロードバランシングを備えた単一のMXシリーズでNATトラフィックがどのように流れるかについて説明します。

このトポロジでは、次のことを行う必要があります。

  • TRUSTおよびUNTRUSTルーティングインスタンス用の2つのインターフェイスを備えた単一のMXシリーズを設定します。
  • 各インターフェイスで eBGP/BFD を設定します。
  • 転送テーブルにルート 0/0 の送信元ハッシュを使用してロード バランシング ポリシーを設定します。
  • SRXシリーズファイアウォールごとに一意のNATプールIPアドレス範囲を設定します。

図 1 に、トラフィックのフローを順を追った図を示します。

図1:単一のMXシリーズ(ECMPベースの一貫性のあるハッシュ)とスケールアウトされたSRXシリーズのファイアウォール(スタンドアロン) NAT Traffic Flow with Single MX Series (ECMP based Consistent Hashing) and Scaled-Out SRX Series Firewalls (Standalone)を使用したNATトラフィックフロー

MXシリーズは、TRUSTおよびUNTRUST VR方向にスケールアウトされたSRXシリーズファイアウォールに向けて複数の論理インターフェイスで構成された単一のルーターです。

  1. SRXシリーズのファイアウォールは、UNTRUST側で0/0ルートを受信し、TRUST側ではeBGPを使用してMXシリーズにアドバタイズします。MXシリーズは、ECMPベースの一貫性のあるハッシュポリシーを使用して、これらのルートをTRUST側にインポートします。
  2. SRXシリーズファイアウォールは、TRUST側でクライアントプレフィックスルートを受信し、eBGPを使用してUNTRUST側のMXシリーズにNATプールルートプレフィックスをアドバタイズします。
  3. MXシリーズTRUST側には0/0ルート用のECMPルートがあり、UNTRUST側にはNATプールルートプレフィックス用の一意のルートがあります。
  4. クライアントからサーバーへの転送トラフィックフローは、TRUSTインスタンス上のMXシリーズルーターに到達してルート0/0ルートを照合し、送信元IPアドレスのハッシュ値に基づいて、任意の1つのECMPネクストホップをSRXシリーズファイアウォールに渡します。
  5. SRXシリーズのファイアウォールは、NATフローセッションを作成し、サーバーに向かってUNTRUST方向でパケットをMXシリーズにルーティングします。
  6. サーバーからクライアントへのリバーストラフィックフローは、UNTRUSTインスタンスでMXシリーズに到達し、一意のNATプールプレフィックスルートと一致し、フォワードフローが固定されているのと同じSRXシリーズファイアウォールを使用します。これにより、SRXシリーズファイアウォールの対称性が維持されます。
  7. SRXシリーズのファイアウォールがダウンした場合、MXシリーズルーターのコンシステントハッシュにより、他のSRXシリーズのファイアウォールのセッションが妨害されず、影響を受けるSRXシリーズのファイアウォールのセッションのみが再配布されます。再配布されたセッションは、送信元 NAT 用の異なる NAT プールから IP アドレスを取得するため、アプリケーションは TCP/UDP セッションを再起動します。