Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

単一のMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトされたSRXシリーズファイアウォール(スタンドアロン)におけるステートフルファイアウォールのトラフィックフロー

このトピックでは、スタンドアロンのSRXシリーズファイアウォールを使用したECMPベースのコンシステントハッシュロードバランシングを使用して、単一のMXシリーズでステートフルファイアウォールトラフィックがどのようにフローするかについて説明します。

このトポロジでは、次のことを行う必要があります。

  • TRUSTおよびUNTRUSTルーティングインスタンス用の2つのインターフェイスを備えた単一のMXシリーズを設定します。
  • 各インターフェイスで eBGP/BFD を設定します。
  • 転送テーブルにルート 0/0 の送信元ハッシュを使用してロード バランシング ポリシーを設定します。
  • 転送テーブル内のクライアントプレフィックスルートの宛先ハッシュを使用して、ロードバランシングポリシーを設定します。

図 1 に、トラフィックのフローを順を追った図を示します。

図1:単一のMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトされたSRXシリーズファイアウォール(スタンドアロン)を使用したステートフルファイアウォールのトラフィックフロー Stateful Firewall Traffic Flow with Single MX Series (ECMP based Consistent Hashing) and Scaled-Out SRX Series Firewalls (Standalone)

MXシリーズは、TRUSTおよびUNTRUST VR方向にスケールアウトされたSRXシリーズファイアウォールに向けて、複数の論理インターフェイスで構成された単一のルーターです。

  1. SRXシリーズのファイアウォールは、UNTRUST側で0/0ルートを受信し、TRUST側ではeBGPを使用してMXシリーズにアドバタイズします。MXシリーズは、ECMPベースの一貫性のあるハッシュポリシーを使用して、これらのルートをTRUST側にインポートします。
  2. SRXシリーズファイアウォールは、TRUST側でクライアントプレフィックスルートを受信し、UNTRUST側でeBGPを使用してMXシリーズにアドバタイズします。MX シリーズは、ECMP ベースの一貫性のあるハッシュ ポリシーを使用して、UNTRUST 側でこれらのルートをインポートします。
  3. MXシリーズTRUST側には0/0ルート用のECMPルートがあり、UNTRUST側にはクライアントプレフィックスルート用のECMPルートがあります。
  4. クライアントからサーバーへの転送トラフィックフローは、TRUSTインスタンス上のMXシリーズルーターに到達してルート0/0ルートを照合し、送信元IPアドレスハッシュ値に基づいて、任意の1つのECMPネクストホップをSRXシリーズファイアウォールに取り込みます。
  5. SRXシリーズファイアウォールは、ステートフルファイアウォールフローセッションを作成し、サーバーに向かってUNTRUST方向でパケットをMXシリーズにルーティングします。
  6. サーバーからクライアントへのリバース トラフィック フローは、UNTRUST インスタンスで MX シリーズに到達し、クライアント プレフィックス ルートと一致し、計算された宛先 IP ベースのハッシュ値に基づいて同じ ECMP ネクストホップを取得します。
  7. ステートフルファイアウォールセッションの送信元と宛先のIPアドレスは変更されません。計算されたハッシュ値は同じままで、順方向と逆方向のフローで同じ ECMP ネクストホップ SRX シリーズ ファイアウォールを使用します。これにより、SRXシリーズファイアウォールの対称性が維持されます。
  8. SRXシリーズのファイアウォールがダウンした場合、MXシリーズルーターのコンシステントハッシュにより、他のSRXシリーズのファイアウォールのセッションが妨害されず、影響を受けるSRXシリーズのファイアウォールのセッションのみが再配布されます。ただし、ファイアウォールがスタンドアロン モードで展開されると、アプリケーションがセッションを再開する場合があります。