単一MXシリーズ(ECMPベースの一貫性のあるハッシュ)とスケールアウトされたSRXシリーズのファイアウォール(スタンドアロン)におけるNATトラフィックフロー
このトピックでは、スタンドアロンのSRXシリーズファイアウォールを使用したECMPベースの一貫性のあるハッシュロードバランシングを備えた単一のMXシリーズでNATトラフィックがどのように流れるかについて説明します。
このトポロジでは、次のことを行う必要があります。
- TRUSTおよびUNTRUSTルーティングインスタンス用の2つのインターフェイスを備えた単一のMXシリーズを設定します。
- 各インターフェイスで eBGP/BFD を設定します。
- 転送テーブルにルート 0/0 の送信元ハッシュを使用してロード バランシング ポリシーを設定します。
- SRXシリーズファイアウォールごとに一意のNATプールIPアドレス範囲を設定します。
図 1 に、トラフィックのフローを順を追った図を示します。
図1:単一のMXシリーズ(ECMPベースの一貫性のあるハッシュ)とスケールアウトされたSRXシリーズのファイアウォール(スタンドアロン)
を使用したNATトラフィックフロー
MXシリーズは、TRUSTおよびUNTRUST VR方向にスケールアウトされたSRXシリーズファイアウォールに向けて複数の論理インターフェイスで構成された単一のルーターです。
- SRXシリーズのファイアウォールは、UNTRUST側で0/0ルートを受信し、TRUST側ではeBGPを使用してMXシリーズにアドバタイズします。MXシリーズは、ECMPベースの一貫性のあるハッシュポリシーを使用して、これらのルートをTRUST側にインポートします。
- SRXシリーズファイアウォールは、TRUST側でクライアントプレフィックスルートを受信し、eBGPを使用してUNTRUST側のMXシリーズにNATプールルートプレフィックスをアドバタイズします。
- MXシリーズTRUST側には0/0ルート用のECMPルートがあり、UNTRUST側にはNATプールルートプレフィックス用の一意のルートがあります。
- クライアントからサーバーへの転送トラフィックフローは、TRUSTインスタンス上のMXシリーズルーターに到達してルート0/0ルートを照合し、送信元IPアドレスのハッシュ値に基づいて、任意の1つのECMPネクストホップをSRXシリーズファイアウォールに渡します。
- SRXシリーズのファイアウォールは、NATフローセッションを作成し、サーバーに向かってUNTRUST方向でパケットをMXシリーズにルーティングします。
- サーバーからクライアントへのリバーストラフィックフローは、UNTRUSTインスタンスでMXシリーズに到達し、一意のNATプールプレフィックスルートと一致し、フォワードフローが固定されているのと同じSRXシリーズファイアウォールを使用します。これにより、SRXシリーズファイアウォールの対称性が維持されます。
- SRXシリーズのファイアウォールがダウンした場合、MXシリーズルーターのコンシステントハッシュにより、他のSRXシリーズのファイアウォールのセッションが妨害されず、影響を受けるSRXシリーズのファイアウォールのセッションのみが再配布されます。再配布されたセッションは、送信元 NAT 用の異なる NAT プールから IP アドレスを取得するため、アプリケーションは TCP/UDP セッションを再起動します。