Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

例:単一のMXシリーズ(ECMPベースの一貫性のあるハッシュ)と、NATおよびステートフルファイアウォール用のスケールアウトされたSRXシリーズファイアウォール(スタンドアロン)

概要  この構成では、NATおよびステートフルファイアウォールサービス用に、スケールアウトされたSRXシリーズファイアウォールをスタンドアロンでスケールアウトした単一のMXシリーズを設定する方法を学習します。

概要

表 1 に、この例で使用されている展開コンポーネントを示します。

表 1: 展開の詳細
CSDSコンポーネント の詳細
転送レイヤー MX304とJunos OSリリース23.4R1以降
サービスレイヤー vSRX 3.0 と Junos OS リリース 23.4R1 以降
冗長性

ロードバランサー向けのECMPベースの一貫性のあるハッシュを備えた単一のMXシリーズ。

SRXシリーズファイアウォール(スタンドアロン)

機能 NAPT44とステートフルファイアウォール(IPv4サポート)
追加コンポーネント TRUSTおよびUNTRUSTネットワーク用のゲートウェイルーター。この例では、MX シリーズを使用しています。どのデバイスも使用できます。

トラフィックフローについては、 表 2 および 表 3 を参照してください。

表 2: NAT のトラフィック フロー
機能トラフィック フローコンポーネントの IPアドレスとポート番号
SRXシリーズファイアウォール(SRX1)上のNAPT44 元のソースデータクライアント 140.0.0.0/8およびポート22279
元の宛先インターネット サーバー 100.1.1.0/24およびポート70
NAT ソースの後 192.168.64.0/24およびポート2480
NAT 宛先後 100.1.1.0/24およびポート70
SRXシリーズファイアウォール(SRX2)上のNAPT44 元のソースデータクライアント 140.0.0.0/8およびポート22279
元の宛先インターネット サーバー 100.1.1.0/24およびポート70
NAT ソースの後 192.169.64.0/24およびポート2480
NAT 宛先後 100.1.1.0/24およびポート70
SRXシリーズファイアウォール(SRX3)上のNAPT44 元のソースデータクライアント 140.0.0.0/8およびポート22279
元の宛先インターネット サーバー 100.1.1.0/24およびポート70
NAT ソースの後 192.170.64.0/24およびポート2480
NAT 宛先後 100.1.1.0/24およびポート70
表 3: ステートフルファイアウォールサービスのトラフィックフロー
機能トラフィック フローコンポーネントの IPアドレス

SRXシリーズファイアウォールでのステートフルファイアウォールサービス

(SRX1、SRX2、SRX3)

ソース データ クライアント 141.0.0.0/8
宛先インターネット サーバー 100.1.1.0/24
ステートフルファイアウォールを備えたSRXシリーズ - 出典 141.0.0.0/8
ステートフルファイアウォール搭載SRXシリーズ - 宛先 100.1.1.0/24

トラフィックフローについては、 表 4 および 表 5 を参照してください。

表4:NATサービス用ロードバランサーからSRXシリーズファイアウォール
フロー タイプ トラフィック フロー コンポーネントの IP アドレス
フォワード フロー ソースロードバランサー(MXシリーズのルートフィルター) 0.0.0.0/0
逆フロー 宛先ロードバランサー(ルーティングベース) 一意のNATプールのIPアドレス範囲に基づく
表5:ステートフルファイアウォールサービス向けのロードバランサーからSRXシリーズファイアウォール
フロー タイプ トラフィック フロー コンポーネントの IP アドレス
フォワード フロー ソースロードバランサー(MXシリーズのルートフィルター) 0.0.0.0/0
逆フロー 宛先ロードバランサー(MXシリーズのルートフィルター) 141.0.0.0/8

トポロジーの図

図1:単一のMXシリーズ(ECMPベースのコンシステントハッシュ)と、NATおよびステートフルファイアウォールサービス用のスケールアウトSRXシリーズファイアウォール Single MX Series (ECMP based Consistent Hashing) and Scaled-Out SRX Series Firewalls for NAT and Stateful Firewall Services
図2: NAPT44とステートフルファイアウォールサービスのフォワードフローのルートアドバタイズ Route Advertisements for Forward Flow for NAPT44 and Stateful Firewall Services
図3: ステートフルファイアウォールサービスのリバースフローのルートアドバタイズ Route Advertisements for Reverse Flow for Stateful Firewall Services
図 4: NAT44 サービスのリバース フローのルート アドバタイズメント Route Advertisements for Reverse Flow for NAT44 Services

構成

この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク・コンフィギュレーションに合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、コンフィギュレーション・モードからコミットを入力してください。

これらの構成はラボ環境からキャプチャされたものであり、参照用にのみ提供されています。実際の構成は、環境の特定の要件によって異なる場合があります。

次の項目は、この例の構成コンポーネントの一覧を示しています。

  • MXシリーズを設定する
  • ゲートウェイルーターを設定する
  • SRX1の設定
  • SRX2の設定
  • SRX3の設定
MXシリーズを設定する
ゲートウェイルーターの設定
SRX1の設定
SRX2の設定
SRX3の設定

検証

以下の項目は、この例の機能を検証するために使用される show コマンドのリストを示しています。

  • MXシリーズ設定の確認
  • SRX1の設定を確認する
  • SRX2 の設定を確認する
  • SRX3 の設定を確認する
MXシリーズ設定の確認
SRX1の設定を確認する
SRX2 の設定を確認する
SRX3設定の確認