Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

シングルMXシリーズ(CSDSトラフィックオーケストレータ)およびスケールアウトSRXシリーズファイアウォールでのNATトラフィックフロー

このトピックでは、CSDSトラフィックオーケストレータとSRXシリーズファイアウォールを備えた単一のMXシリーズでNATトラフィックがどのように流れるかを見ていきます。

トポロジーについては 、図 1 を参照してください。このNATトラフィックのトポロジーでは、次のようになります。

  • TRUSTおよびUNTRUSTルーティングインスタンス用に、2つのインターフェイス論理インターフェイス(IFL)を備えた単一のMXシリーズルーターを設定します。MXシリーズCSDSトラフィックオーケストレータ(CSDS-TO)は、スケールアウトされたすべてのSRXシリーズファイアウォールでヘルスチェックを実行し、トラフィックのロードバランシング用のネクストホップを構築します。
  • スケールアウトしたすべてのSRXシリーズファイアウォールをBGP接続でMXシリーズルーターに接続します。

  • TRUSTルーティング インスタンスでCSDS-TOを使用してMXシリーズルータを設定します。CSDS-TOは、クライアント側のゲートウェイルーターからスケールアウトされたSRXシリーズファイアウォールに向けて送信されるデータトラフィックのロードバランシングを実行します。

  • スケールアウトされた各SRXシリーズファイアウォールには、MXシリーズUNTRUST方向に向けてアドバタイズされる固有のNAT プール範囲が必要です。

  • MXシリーズルーターに接続されているスケールアウトされたすべてのSRXシリーズファイアウォールに一意のIPアドレスを設定します。CSDS-TO は、この IP アドレスを使用してヘルスチェックを実行し、パケット転送エンジンでセレクタテーブルを構築します。パケット転送エンジンは、このセレクターテーブルを使用して、利用可能なネクストホップ間でパケットの負荷分散を行います。このヘルスチェックには、BGP接続を介してアクセスできます。

  • 送信元IPアドレス一致でのフィルターベースの転送(FBF)は、MXシリーズルーターでNAT固有のトラフィックをCSDS-TO TRUST転送インスタンスにプッシュするために使用されます。

  • CSDS-TO転送インスタンスには、SRXシリーズファイアウォールのリストとしてネクストホップを持つデフォルトルートがあります。CSDS-TOは、ヘルスチェックが少なくとも1つのSRXシリーズファイアウォールで合格すると、このデフォルトルートをインストールします。

  • CSDS-TOは、利用可能なすべてのSRXシリーズファイアウォールネクストホップデバイスに対して、ソースベースハッシュロードバランシングを実行します。

  • 利用可能なSRXシリーズファイアウォールは、負荷分散されたNATデータセッションを支え、NATフローを作成します。その後、MXシリーズルーターはUNTRUSTルーティング インスタンスを介してサーバーに到達するようにトラフィックを転送します。

  • MXシリーズ UNTRUST ルーティング インスタンス上のサーバーからクライアント方向へのリターン トラフィックの場合、一意の NAT プール ルートを使用してトラフィックを同じ SRXシリーズ ファイアウォールにルーティングします。

  • SRXシリーズファイアウォールは、同じNATフローを使用してリターントラフィックを処理し、TRUST方向でパケットをMXシリーズルーターに向けてルーティングします。MXシリーズは、パケットをクライアントにルーティングします。

図 1 は、トラフィック フローを順を追って示しています。

図 1:単一MXシリーズルーター(CSDSトラフィックオーケストレータ)とSRXシリーズファイアウォールNAT Traffic Flow with Single MX Series Router (CSDS Traffic Orchestrator) and SRX Series Firewallsを使用したNATトラフィックフロー

MXシリーズは、複数の論理インターフェイスで構成された単一ルーターで、TRUST VRおよびUNTRUST VR方向でスケールアウトされたSRXシリーズファイアウォールに向けて行われます。

  1. クライアントからサーバーに送信される転送トラフィックの場合、MXシリーズルーターは、一致した送信元IPアドレスに基づいてFBFを使用します。ルーターは送信元IPアドレスを照合して、NATトラフィックをCSDS-TO TRUST転送インスタンスにプッシュします。CSDS-TO転送インスタンスには、SRXシリーズファイアウォールのリストとしてネクストホップがあるデフォルトルートが含まれています。CSDS-TOは、少なくとも1つのSRXシリーズファイアウォールのヘルスチェックに合格すると、このデフォルトルートをインストールします。

  2. CSDS-TOは、利用可能なすべてのSRXシリーズファイアウォールネクストホップデバイスにわたって、ソースベースのハッシュロードバランシングを実行します。

  3. 利用可能なSRXシリーズファイアウォールは、ロードバランシングされたNATデータセッションを固定し、NATフローを作成します。

  4. MXシリーズルーターは、UNTRUST ルーティング インスタンスを介してサーバーに到達するようにトラフィックを誘導します。

  5. MXシリーズ UNTRUST ルーティング インスタンス上のサーバーからクライアントへのリターン トラフィックには、一意の NAT プール ルートを使用してトラフィックを同じ SRXシリーズ ファイアウォールにルーティングします。

  6. SRXシリーズファイアウォールは、同じNATフローを使用してリターントラフィックを処理し、TRUST方向でパケットをMXシリーズに向けてルーティングします。

  7. MXシリーズは、パケットをクライアントにルーティングします。

詳しくは、 エンタープライズ向けジュニパースケールアウトステートフルファイアウォールとソースNAT—JVD、および SPエッジ向けジュニパースケールアウトステートフルファイアウォールとCGNAT— JVDをご覧ください。