Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

例:ステートフルファイアウォール向けの単一のMXシリーズ(CSDSトラフィックオーケストレータ)とスケールアウトされたSRXシリーズファイアウォール(MNHA)

この構成では、ステートフルファイアウォールサービスのマルチノード高可用性で、単一のMXシリーズをCSDSトラフィックオーケストレーターとしてSRXシリーズとして設定する方法を学習します。

Connected Security Distributed Services Traffic Orchestrator(CSDS-TO)は、MXシリーズルーターでステートレスロードバランシング機能を有効にします。ルーターは、設定された SRXシリーズ ファイアウォールにトランジット トラフィックを分散します。CSDS-TOは、各SRXシリーズファイアウォールに対してルーティングエンジン(RE)ベースのヘルスチェックプロセスを実行します。このプロセスにより、トラフィック管理、トラフィック分散オーケストレーション、トラフィックリダイレクトが、ネットワーク監視プロセスのローカルインスタンスに接続されます。

この例では、CSDSアーキテクチャが転送層のMXシリーズを使用して、マルチノード高可用性(MNHA)導入のスケールアウト機能を備えたサービス層のトラフィックとSRXシリーズファイアウォールの負荷分散を行います。

SRXシリーズファイアウォールは、MNHAトポロジーで接続し、ノード間のステートフルセッション同期を提供し、保証された冗長性と中断のないトラフィックフローを確保します。この例は、MNHAのCSDS-TOおよびSRXシリーズファイアウォールを備えた単一のMXシリーズによるステートフルファイアウォールサービスの設定を示しています。

ヒント:
表1:可読性スコアと時間の推定値

読書時間

2時間未満

設定時間

3時間未満

前提条件の例

表2:MXシリーズの要件

ハードウェア要件

  • ジュニパーネットワークス® MX304

ソフトウェア要件

  • Junos OSリリース24.4R1
表3:SRXシリーズファイアウォールの要件

ハードウェア要件

  • ジュニパーネットワークス® SRX4600 x 4

ソフトウェア要件

  • Junos OSリリース24.4R1

次の前提条件を必ずお読みください。

  • サポートされているプラットフォームとリリースの詳細なリストについては、「 リリースノート:Connected Security 分散型サービスアーキテクチャ」を参照してください。

  • MXシリーズルーターとSRXシリーズファイアウォールの基本的な設定を完了し、ノードが管理ネットワークを介して相互に通信できることを確認します。

  • 「機能の概要」、「トポロジーの概要」、「トポロジー図」の各セクションを確認して、設定を理解することをお勧めします。

  • この例では、MNHAモードの転送プレーンでのMX1と、サービスプレーン内のSRX1-Aの設定を段階的に説明します。SRX1-B、SRX2-A、SRX2-B用の同様のセットコマンドについては、「 付録1:SRX1-B、SRX2-A、SRX2-Bデバイスでコマンドを設定する」を参照してください。ゲートウェイルーターは、DUT(被試験デバイス)ではないことに注意してください。

  • この例ではゲートウェイルーターとしてMX304を使用していますが、このロールにはどのデバイスでも使用できます。フォワーディング層で冗長性を確保するには、2台目のMXシリーズルーターの使用を検討してください。

  • 設定は、Junos Node Unifier(JNU)の統合型 CLI 管理を使用して実行することをお勧めします。

  • Junos OS設定グループを使用して、再利用可能な設定ステートメントのグループを作成し、設定内の複数のレベルにグループを適用できます。

始める前に

表4:リソースと追加情報

CSDS のための CSDS-TO を理解する

CSDSとトラフィックオーケストレーターの連携を理解する。CSDSトラフィックオーケストレーターの仕組みを見る

詳細はこちら

詳細情報

機能の概要

表5:MX1のフィルターベースフォワーディング(FBF)およびCSDS-TO機能の詳細

機能性

説明

MXシリーズ上のトラフィックのFBF

  • クライアントからサーバーへのトラフィックをCSDS-TOの TRUST_VR インスタンスに誘導するようにFBFインスタンスを設定します。さらに、CSDS-TOは、ソースベースのハッシュを使用して、利用可能なすべてのSRXシリーズファイアウォールにトラフィックを分散します。

  • サーバーからクライアントへのトラフィックをCSDS-TOの UNTRUST_VR インスタンスに誘導するように別のFBFインスタンスを設定します。さらに、CSDS-TOは宛先ベースのハッシュを実行して、利用可能なすべてのSRXシリーズファイアウォール間でトラフィックの負荷分散を行います。

転送データトラフィック用のトラストサイドのファイアウォールフィルター

クライアントからMXシリーズへの転送トラフィックフロー用に TRUST_VR インスタンスにファイアウォールフィルターを設定し、一致するトラフィックを適切なルーティングインスタンスにルーティングします。

  • ファイアウォールフィルター名: MX_LB_TRUST

  • 一致条件:IP 172.16.160.0/24(データクライアント)から送信されるトラフィックに一致します。

  • アクション:トラフィックを許可し、ルーティングインスタンス srx_mnha_group_trust_fiのエントリに基づいて、宛先(SRXシリーズファイアウォールのループバックインターフェイスで設定されたサーバーIPの1つ)に送信します。

  • 適用:ファイアウォールフィルターをインターフェイスae10.41に適用します

逆データトラフィック用のuntrust側のファイアウォールフィルター

MXシリーズからインターネットサーバーに送信されるリバーストラフィックフロー用に、 UNTRUST_VR インスタンスにファイアウォールフィルターを設定し、一致するトラフィックを適切なルーティングインスタンスにルーティングします。

  • ファイアウォールフィルター名: MX_LB_UNTRUST

  • 一致条件:IP 172.16.160.0/24(データクライアント)宛てのトラフィックに一致します。

  • アクション:トラフィックを許可し、ルーティングインスタンス srx_mnha_group_untrust_fiのエントリに基づいて宛先に送信します。

  • 適用:ファイアウォールフィルターをインターフェイスae10.81に適用します

MXシリーズでのCSDS-TO

CSDS-TOを使用してMXシリーズに転送層機能を展開し、利用可能なネクストホップに基づいてトラフィックの負荷分散を行います。MXシリーズは、利用可能なSRXシリーズファイアウォールに対してREベースのヘルスチェックを実行します。MXシリーズは、利用可能なSRXシリーズファイアウォールを複合ネクストホップとしてルーティングテーブルに追加します。

  • ロードバランシングモード: direct-server-return

転送データトラフィック用のCSDS-TO

TRUST_VRインスタンスでのソースベースのハッシュに基づいて、利用可能なネクストホップSRXシリーズファイアウォールサーバーグループへの転送トラフィックの負荷分散を行います。

  • CSDS-TOインスタンス名:IPv4トラフィックとIPv6トラフィックのそれぞれ csds_sfw_trustipv6_csds_sfw_trust
  • クライアント側の仮想ルーティングおよび転送(VRF)の仮想ルーティングインスタンス名: TRUST_VR
  • サーバー側VRFの仮想ルーティングインスタンス名: TRUST_VR

  • 実際のサービスとしてのターゲットSRXシリーズファイアウォールの追加: MNHA_SRX1 MNHA_SRX2IPv6_MNHA_SRX1 IPv6_MNHA_SRX2

  • トラフィック配信用のサーバーに関連付けられた仮想サービス名: srx_trust_vsipv6_srx_trust_vs

リバースデータトラフィック用のCSDS-TO

UNTRUST_VRインスタンスでの宛先ベースのハッシュに基づいて、利用可能なネクストホップSRXシリーズファイアウォールサーバーグループへのリバーストラフィックをロードバランシングします。

  • CSDS-TOインスタンス名:IPv4とIPv6トラフィックではそれぞれ csds_sfw_untrustipv6_csds_sfw_ut。
  • クライアント側VRFの仮想ルーティングインスタンス名: UNTRUST_VR
  • サーバー側VRFの仮想ルーティングインスタンス名: UNTRUST_VR

  • 実際のサービスとしてのターゲットSRXシリーズファイアウォールの追加: UNTRUST_SRX1 UNTRUST_SRX2IPv6_UNTRUST_SRX1 IPv6_UNTRUST_SRX2

  • トラフィック配信用のサーバーに関連付けられた仮想サービス名: srx_untrust_vsipv6_srx_untrust_vs
表6:SRXシリーズファイアウォールに関するMNHA機能の詳細

機能性

説明

MNHAペア

  • SRX1-A と SRX1-B は、MNHA(アクティブ/バックアップ)ノードのペアです。

  • SRX2-A と SRX2-B は、MNHA(アクティブ/バックアップ)ノードのもう 1 つのペアです。

  • ペアごとに一度に1つのノードのみアクティブになります。

トラフィック負荷の要件に基づいて、より多くのMNHAペアを持つことができます。

MNHAモード

  • レイヤー 3 高可用性モード

  • ノード間の接続とステートフルセッション同期は、MX1を介して行われます。

  • 高可用性ノード通信、ステートフルセッション同期にBGPを使用

サービス冗長グループ(SRG)

  • レイヤー4-レイヤー7トラフィックのステートフルファイアウォールサービスを管理するためのSRG0

ルーティング用BGP

各SRXシリーズファイアウォールには、MX1を使用した6つのBGPピアリングセッションがあります。IPv4データトラフィック用に3つ、IPv6データトラフィック用に3つあります。

  • MX1 TRUST_VR 側とのBGPピアリング

  • MX1 UNTRUST_VR 側とのBGPピアリング

  • MNHAでのステートフルセッション同期のためのMX1 MNHA-VR とのBGPピアリング
表7:MX1のインターフェイスの詳細

インターフェース

IPアドレス

説明

ae10.41

  • 172.16.1.1/30

  • 2001:db8:172:1:1::1/126

トラストサイドのGWルーターに接続するIPv4およびIPv6アドレス

ae10.81

  • 172.16.2.1/30

  • 2001:db8:172:2:1::1/126

信頼できない側のGWルーターに接続するIPv4およびIPv6アドレス

lo0.1

  • 192.168.10.251/32

  • 2001:db8:1:255::251/128

インスタンスのCSDS-TOヘルスチェック用のIPv4およびIPv6アドレスTRUST_VR

lo0.2

  • 192.168.10.252/32

  • 2001:db8:1:255::252/128

インスタンスのCSDS-TOヘルスチェック用のIPv4およびIPv6アドレスUNTRUST_VR

ae1.0

  • 10.1.1.1/30

  • 2001:db8:1:1:1::1/126

SRX1-AとのBGPピアリング用の TRUST_VR インスタンス上のローカルIPv4およびIPv6アドレス

ae1.1

  • 10.2.1.1/30

  • 2001:db8:1:2:1:::1/126

SRX1-AとのBGPピアリング用の UNTRUST_VR インスタンス上のローカルIPv4およびIPv6アドレス

ae2.0

  • 10.1.2.1/30

  • 2001:db8:1:1:2:1/126

SRX1-BとのBGPピアリング用の TRUST_VR インスタンスのローカルIPv4およびIPv6アドレス

ae2.1

  • 10.2.2.1/30

  • 2001:db8:1:2:2:1/126

SRX1-BとのBGPピアリング用の UNTRUST_VR インスタンスのローカルIPv4およびIPv6アドレス

ae3.0

  • 10.1.3.1/30

  • 2001:db8:1:1:3:1/126

SRX2-AとのBGPピアリング用の TRUST_VR インスタンスのローカルIPv4およびIPv6アドレス

ae3.1

  • 10.2.3.1/30

  • 2001:db8:1:2:3:1/126

SRX2-AとのBGPピアリング用の UNTRUST_VR インスタンスのローカルIPv4およびIPv6アドレス

ae4.0

  • 10.1.4.1/30

  • 2001:db8:1:1:4::1/126

SRX2-BとのBGPピアリング用の TRUST_VR インスタンスのローカルIPv4およびIPv6アドレス

ae4.1

  • 10.2.4.1/30

  • 2001:db8:1:2:4::1/126

SRX2-BとのBGPピアリング用の UNTRUST_VR インスタンスのローカルIPv4およびIPv6アドレス

ae1.100

  • 10.3.1.1/30

ルーティングインスタンスでSRX1-AとBGPピアリングするためのローカルIPアドレスMNHA-VR

AE2.100

  • 10.3.2.1/30

ルーティングインスタンスでSRX1-BとBGPピアリングするためのローカルIPアドレスMNHA-VR

AE3.100

  • 10.3.3.1/30

ルーティングインスタンスでSRX2-AとBGPピアリングするためのローカルIPアドレスMNHA-VR

AE4.100

  • 10.3.4.1/30

ルーティングインスタンスでSRX2-BとBGPピアリングするためのローカルIPアドレスMNHA-VR
表8:SRXシリーズファイアウォールのインターフェイスの詳細

インターフェース

IPアドレス

説明

SRX1-Aでは

lo0.0

  • 192.168.0.1/32

MNHA IPアドレス

lo0.1

  • 192.168.10.1/32

  • 2001:db8:1:255::1/128

MNHAペア1のIPv4およびIPv6アドレスのヘルスチェック

ae1.0

  • 10.1.1.2/30

  • 2001:db8:1:1:1::2/126

MX1 TRUST_VR インスタンスとのBGPピアリング用のローカルIPv4およびIPv6アドレス

ae1.1

  • 10.2.1.2/30

  • 2001:db8:1:2:1::2/126

UNTRUST_VRインスタンスでMX1とBGPピアリングするためのローカルIPv4およびIPv6アドレス

ae1.100

10.3.1.2/30

ルーティングインスタンスでMX1とBGPピアリングするためのローカルIPアドレスMNHA-VR
SRX1-Bの場合

lo0.0

  • 192.168.0.2/32

MNHA IPアドレス

lo0.1

  • 192.168.10.1/32

  • 2001:db8:1:255::1/128

MNHAペア1のIPv4およびIPv6アドレスのヘルスチェック

ae1.0

  • 10.1.2.2/30

  • 2001:db8:1:1:2::2/126

MX1 TRUST_VR インスタンスとのBGPピアリング用のローカルIPv4およびIPv6アドレス

ae1.1

  • 10.2.2.2/30

  • 2001:db8:1:2:2::2/126

UNTRUST_VRインスタンスでMX1とBGPピアリングするためのローカルIPv4およびIPv6アドレス

ae1.100

10.3.2.2/30

ルーティングインスタンスでMX1とBGPピアリングするためのローカルIPアドレスMNHA-VR
SRX2-Aの場合

lo0.0

  • 192.168.0.3/32

MNHA IPアドレス

lo0.1

  • 192.168.10.2/32

  • 2001:db8:1:255::2/128

MNHAペア2のIPv4およびIPv6アドレスのヘルスチェック

ae2.0

  • 10.1.3.2/30

  • 2001:db8:1:1:3::2/126

MX1 TRUST_VR インスタンスとのBGPピアリング用のローカルIPv4およびIPv6アドレス

ae2.1

  • 10.2.3.2/30

  • 2001:db8:1:2:3::2/126

UNTRUST_VRインスタンスでMX1とBGPピアリングするためのローカルIPv4およびIPv6アドレス

AE2.100

10.3.3.2/30

ルーティングインスタンスでMX1とBGPピアリングするためのローカルIPアドレスMNHA-VR
SRX2-Bの場合

lo0.0

  • 192.168.0.4/32

MNHA IPアドレス

lo0.1

  • 192.168.10.2/32

  • 2001:db8:1:255::2/128

MNHAペア2のIPv4およびIPv6アドレスのヘルスチェック

ae2.0

  • 10.1.4.2/30

  • 2001:db8:1:1:4::2/126

MX1 TRUST_VR インスタンスとのBGPピアリング用のローカルIPv4およびIPv6アドレス

ae2.1

  • 10.2.4.2/30

  • 2001:db8:1:2:4::2/126

UNTRUST_VRインスタンスでMX1とBGPピアリングするためのローカルIPv4およびIPv6アドレス

AE2.100

10.3.4.2/30

ルーティングインスタンスでMX1とBGPピアリングするためのローカルIPアドレスMNHA-VR
表9:GWのインターフェイスの詳細

インターフェース

IPアドレス

説明

ae10.41

  • 172.16.1.2/30

  • 2001:db8:172:1:1::2/126

トラストサイドでMX1に接続するインターフェイス

ae10.81

  • 172.16.2.2/30

  • 2001:db8:172:2:1::2/126

untrust側のMX1に接続するインターフェイス

et-0/0/2

  • 172.16.8.2/24

  • 2001:db8:172:16:8::2/126

データクライアントに到達可能なトラストサイドのインターフェイス。

et-0/0/5

  • 172.16.10.2/24

  • 2001:db8:172:16:10::2/126

インターネットサーバーに到達できる、信頼できない側のインターフェイス。

トポロジーの概要

表10:設定で使用されるデバイス、役割、および機能

デバイス

役割

機能

MX1

転送レイヤーデバイス

CSDS-TOを使用したトラフィックの負荷分散

SRX1-A

サービス層デバイス

MNHAペア1のデバイス部分

SRX1-B

サービス層デバイス

MNHAペア1のデバイス部分

SRX2-A

サービス層デバイス

MNHAペア2のデバイス部分

SRX2-B

サービス層デバイス

MNHAペア2のデバイス部分

GW

ゲートウェイルーター

信頼側ネットワークと信頼されていない側ネットワーク用のゲートウェイルーター。デバイスは、データクライアントとインターネットサーバーに到達するために使用されます。この例では、MXシリーズを使用しています。どのデバイスでも使用できます。
表11:IPv4アドレスを持つステートフルファイアウォールサービスのMNHAペアのトラフィックフロー

機能

トラフィックフローコンポーネント

IPアドレス

マルチノードHAペア1向けSRXシリーズファイアウォール上のステートフルファイアウォールサービス

(SRX1-A、SRX1-B)

ソースデータクライアント

172.16.160.0/24

宛先インターネットサーバー

172.16.10.2/32

ステートフルファイアウォールを備えたSRXシリーズファイアウォールシリーズ - ソース

172.16.160.0/24

ステートフルファイアウォールを備えたSRXシリーズファイアウォールシリーズ - 宛先

172.16.10.2/32

マルチノードHAペア2用のSRXシリーズファイアウォール上のステートフルファイアウォールサービス

(SRX2-A、SRX2-B)

ソースデータクライアント

172.16.160.0/24

宛先インターネットサーバー

172.16.10.2/32

ステートフルファイアウォールを備えたSRXシリーズファイアウォールシリーズ - ソース

172.16.160.0/24

ステートフルファイアウォールを備えたSRXシリーズファイアウォールシリーズ - 宛先

172.16.10.2/32
表12:IPv6アドレスを持つステートフルファイアウォールサービスのMNHAペアのトラフィックフロー

機能

トラフィックフローコンポーネント

IPアドレス

マルチノードHAペア1向けSRXシリーズファイアウォール上のステートフルファイアウォールサービス

(SRX1-A、SRX1-B)

ソースデータクライアント

2001:db8:172:160::/96

宛先インターネットサーバー

2001:db8:172:16:10::3/128

ステートフルファイアウォールを備えたSRXシリーズファイアウォール - ソース

2001:db8:172:160::/96

ステートフルファイアウォールを備えたSRXシリーズファイアウォール - 宛先

2001:db8:172:16:10::3/128

マルチノードHAペア2用のSRXシリーズファイアウォール上のステートフルファイアウォールサービス

(SRX2-A、SRX2-B)

ソースデータクライアント

2001:db8:172:160::/96

宛先インターネットサーバー

2001:db8:172:16:10::3/128

ステートフルファイアウォールを備えたSRXシリーズファイアウォール - ソース

2001:db8:172:160::/96

ステートフルファイアウォールを備えたSRXシリーズファイアウォール - 宛先

2001:db8:172:16:10::3/128

トポロジー図

図1:シングルMXシリーズとスケールアウトされたSRXシリーズファイアウォールを備えたCSDSトラフィックオーケストレーター CSDS Traffic Orchestrator with Single MX Series and Scaled-out SRX Series Firewalls
図2:フォワードトラフィックフロー Forward Traffic Flow
図3:リバーストラフィックフローReverse Traffic Flow

図1 は、MX1が利用可能なネクストホップに基づいてトラフィックロードバランシングを実行することを示しています。利用可能なネクストホップは、SRXシリーズファイアウォールです。データクライアントから発信されたトラフィックは、信頼できるサイドトラフィックとして指定されます。インターネットから発信されたトラフィックは、信頼できないサイドトラフィックと見なされます。トポロジーでは、データクライアントとインターネットサーバーへのゲートウェイとして機能するGWルーターを使用します。トポロジー内のデバイスは、集合型イーサネットインターフェイスを使用します。セットアップでスタンドアロンインターフェイスを使用できます。

この設定では、次のタスクを実行します。

  1. MX1でCSDSトラフィックオーケストレーションを設定し、利用可能なネクストホップに基づいてトラフィックの負荷を分散します。

    • MX1とファイアウォールの間、およびMX1とGWルーターの間でBGPを設定します。MX1は、信頼側と信頼できない側のルーティング用に2つのルーティングインスタンスを維持します。

    • FBFを信頼側と信頼できない側で、フォワードトラフィックとリバーストラフィックに設定します。

    • ロードバランシングのためのハッシュアルゴリズムベースのフォワーディング決定を設定します。MX1 に 2 つの CSDS-TO インスタンスを、信頼側用と信頼できない側用に設定します。

    • 使用可能な4つのSRXシリーズファイアウォールに対して、IPv4およびIPv6ベースのCSDS-TOヘルスチェックを設定します。MX1は、CSDS-TOを介して、各SRXシリーズファイアウォールでREベースのヘルスチェックを実行します。

    • ループバックインターフェイスでヘルスチェックIPを設定します。MX1は、BGPを介してループバックインターフェイスIPをファイアウォールにアドバタイズします。

  2. 2つのMNHAペアで4つのSRXシリーズファイアウォールを設定します。

    • 各ファイアウォールで、MNHA IPアドレスであるサーバーIPを設定します。

    • 各ファイアウォールで、ループバックインターフェイスのヘルスチェックIPを設定します。マルチノード HA ペアの両方のノードが、同じヘルスチェック IP アドレスを使用します。プライマリノードのみがMX1からのヘルスチェック要求に応答します。

    • マルチノード HA 用に SRG0 を設定します。最初のマルチノードHAペアでは、SRX1-Aがアクティブノードで、SRX1-Bがスタンバイノードです。2番目のマルチノードHAペアでは、SRX2-Aがアクティブノードで、SRX2-Bがスタンバイノードです。

    • セッションの HA 通信とステートフル同期のための BGP ルーティングを設定します。プライマリロールに基づいて、マルチノードHAはルーティングテーブルに1つのルートを配置します。プライマリロールが変更されると、ファイアウォールはそのルートをBGPでアドバタイズします。

図2(データクライアント>GW>MX1(信頼側にFBFを使用)>SRX>MX1>GW>インターネットサーバーに示す転送データトラフィックの場合:

  • トラスト側では、MX1はGWルーターにデフォルトルートをアドバタイズします。GWルーターは、データクライアントトラフィックを受信し、デフォルトルートを使用してMX1に到達します。untrust側では、MX1はGWルーターからデフォルトルートを受信し、それをファイアウォールにアドバタイズします。

  • マルチノードHAペアのアクティブノードは、ヘルスチェックIPをアドバタイズします。常に、アクティブなノードはMX1からのヘルスチェックに応答します。MX1では、CSDS-TOにはSRXシリーズファイアウォールへのネクストホップが2つあります。

  • トラストサイドのトラフィックがGWからMX1に到着すると、ステートレスファイアウォールフィルターはMX1の着信インターフェイスae10.41にFBFを適用します。次に、トラストサイドFBFフィルターは、データクライアントプレフィックスからの任意の送信元IPを照合し、CSDS-TO転送インスタンスであるtrust-fiにトラフィックを送信します。

  • CSDS-TOは、データクライアントプレフィックスのソースハッシュを実行します。次に、MX1上のインターフェイスae1.0およびae3.0を介して、利用可能なアクティブなMNHAペアのネクストホップ上でトラフィックの負荷分散を行います。最後に、トラフィックはインターフェイスae1.0およびae2.0を介してファイアウォールに到達します。

  • トラフィックがSRX1-AとSRX2-Aに到達すると、ファイアウォールがフローを作成します。パケットはステートフルファイアウォールサービスを受信し、そのパケットに対して5タプルセッションがSRX1-AとSRX2-Aに作成されます。

  • ステートフルファイアウォールサービスのセッションを作成した後、パケットはae1.1およびae2.1インターフェイスのファイアウォールを出て、MX1のae1.1およびae3.1インターフェイスに向かいます。MX1がルート検索を行い、デフォルトのルートを使用して、トラフィックはインターネットサーバーに到達します

図3に示すようなリバースデータトラフィックの場合(インターネットサーバー>GW>MX1(信頼できない側にFBFを使用)>SRX>MX1>GW>データクライアント):

  • 信頼できない側のトラフィック、インターネットサーバーからMX1 ae10.81に送信され、データクライアント宛てのトラフィックでは、MX1はステートレスファイアウォールFBFフィルターを適用します。untrust側のFBFフィルターは、データクライアントプレフィックスからの任意の宛先IPを照合し、CSDS-TO転送インスタンスuntrust-fiにトラフィックを送信します。

  • CSDS-TOは、データクライアントプレフィックスの宛先ハッシュを実行します。次に、MX1上のインターフェイスae1.1およびae3.1を介して、利用可能なアクティブなMNHAペアネクストホップ上でトラフィックの負荷分散を行います。最後に、トラフィックはインターフェイスae1.1とae2.1を介してファイアウォールに到達します。

  • SRXシリーズファイアウォールでは、5タプルはフォワードフローとリバースフローの両方のステートフルファイアウォールサービスで同じままです。

  • ファイアウォールでは、リバースデータトラフィックは、ファイアウォール上のae1.0とae2.0と、MX1上のae1.0とae3.0を受け取ります。

  • MX1がルート検索を実行し、トラフィックはデータクライアントに送られます。

MX1のステップバイステップ設定

以下の前提条件を満たしていることを確認します。

  • デュアルREを搭載したルーターに対して、両方のRE間でコミット操作の同期を有効にします。

  • デバイス管理用にNETCONFおよびSSHサービスを有効にします。

  • show system processes extensive操作コマンドを使用してSDKサービスが実行されていることを確認します。それ以外の場合は、CSDS-TOのSDKサービスを有効にします。

CSDS-TO設定用にMX1をセットアップします。

re0でコマンドを実行します。MX1はRE間の同期を確保します。

  1. シャーシ冗長性を設定し、pic-modeし、enhanced-ipを有効にします。
  2. インターフェイスを設定します。
    1. LACP、VLAN、IPアドレス設定で集合型イーサネットインターフェイスを設定します。
    2. CSDS-TOヘルスチェック用のループバックインターフェイスを設定します。
  3. ルーティングインスタンスを設定します。
    1. BGPピアリング用のMNHA-VRルーティングインスタンスを設定します。
    2. クライアントからサーバー TRUST_VR転送データトラフィック用のルーティングインスタンスを設定します。
    3. サーバーからクライアントUNTRUST_VRリバースデータトラフィック用にルーティングインスタンスを設定します。
    4. トラフィックを信頼できる方向と信頼できない方向にリダイレクトするために、転送ベースのルーティングインスタンスを設定します。
  4. ルーティングを設定します。
    1. グローバルルーティングオプションを設定します。
    2. MX1とGWルーター間のスタティックルーティングを設定します。
    3. MX1 MNHA-VRインスタンス間でBGPを設定します。およびSRX1-AおよびSRX1-B。
    4. MX1 MNHA-VRインスタンスと、SRX2-AおよびSRX2-Bの間でBGPを設定します。
    5. MX1 TRUST_VRインスタンスとGW ルーター間のBGPを設定します。
    6. MX1 UNTRUST_VRインスタンスとGWルーター間のBGPを設定します。
    7. MX1 TRUST_VRインスタンスとSRX1-AおよびSRX1-Bの間でBGPを設定します。
    8. MX1 UNTRUST_VRインスタンスとSRX1-AおよびSRX1-B間のBGPを設定します。
    9. MX1 TRUST_VRインスタンスと、SRX2-A および SRX2-B 間のBGPを設定します。
    10. MX1 UNTRUST_VRインスタンスとSRX2-AおよびSRX2-B間のBGPを設定します。
  5. ロードバランシングのためのハッシュアルゴリズムベースのフォワーディング決定を有効にします。
  6. トラフィック転送のルーティングポリシーを設定します。
    1. クライアントからサーバーにスタティック ルート 172.16.80.0/24 をエクスポートするポリシーを設定します。
    2. IPv4デフォルトルート0.0.0.0/0をMX1からGWにエクスポートするポリシーを設定します。
    3. CSDS-TOヘルスチェックIPv4アドレスをエクスポートするポリシーを設定し、インスタンスとBGPルートTRUST_VRします。
    4. UNTRUST_VRインスタンスとBGPルートのCSDS-TOヘルスチェックIPv4アドレスをエクスポートするためのポリシーを設定します。
    5. 静的ルート172.16.160.0/24(データクライアント)をエクスポートするためのポリシーを設定します。
    6. IPv6 デフォルト ルートを MX1 から GW にエクスポートするように構成します。
    7. TRUST_VRインスタンスとBGPルートのCSDS-TOヘルスチェックIPv6アドレスをエクスポートするように構成します。
    8. UNTRUST_VRインスタンスとBGPルートのCSDS-TOヘルスチェックIPv6アドレスをエクスポートするためのポリシーを設定します。
    9. 静的ルート2001:db8:172:160::/96(クライアント)をエクスポートするためのポリシーを設定します。
    10. MX1からサーバー(SRX1-A、SRX1-B、SRX2-A、SRX2-B)にBGPルートをエクスポートするためのポリシーを設定します。
    11. ポリシーを設定して、残りのポリシーで処理されないトラフィックが、CSDS-TO処理のためにパケット単位のロードバランシングを受けないようにします。
  7. トラフィック がCSDS-TOに送信されるようにFBFを設定します。
    1. ファイアウォールフィルターを設定して、172.16.160.0/24(データクライアント)からのトラフィックをMNHAグループ(SRX1-A、SRX1-B、SRX2-A、SRX2-B)の信頼できるルーティングインスタンスに誘導します。
    2. ファイアウォールフィルターを設定して、MNHAグループ(SRX1-A、SRX1-B、SRX2-A、SRX2-B)の信頼できないルーティングインスタンスを介して172.16.160.0/24(データクライアント)宛てのトラフィックを送信します。
    3. IPv6のtrustグループとuntrustグループからのトラフィックを受け入れるように、ファイアウォールフィルターを設定します。
  8. CSDS-TOを設定します。
    1. REベースのロードバランシングを設定します。
    2. CSDS-TOを設定して、TRUST_VRでIPv4トラフィックをロードバランシングします。サーバーと仮想サービスを関連付けます。
    3. CSDS-TOを設定して、TRUST_VRでIPv6トラフィックをロードバランシングします。サーバーと仮想サービスを関連付けます。
    4. CSDS-TOを設定して、UNTRUST_VRでIPv4トラフィックをロードバランシングします。サーバーと仮想サービスを関連付けます。
    5. CSDS-TOを設定して、UNTRUST_VRでIPv6トラフィックをロードバランシングします。サーバーと仮想サービスを関連付けます。
    6. ICMPおよびTCPベースのヘルスチェックを設定します。

GWルーターのステップバイステップ設定

GWルーターの設定は表現目的であり、例のDUTではないことに注意してください。

SSHログインサービスやシャーシ構成などの基本設定が構成されていることを確認してください。

GWルーターの設定を設定します。

デュアルREデバイスを使用している場合は、 RE0 でコマンドを実行し、RE間の同期を確認してください。

  1. インターフェイスを設定します。
    1. LACP、VLAN、IPアドレス設定で集合型イーサネットインターフェイスを設定します。
  2. ルーティングインスタンスを設定します。
    1. クライアントからサーバー TRUST_VR転送データトラフィック用のルーティングインスタンスを設定します。
    2. サーバーからクライアントUNTRUST_VRリバースデータトラフィック用にルーティングインスタンスを設定します。
  3. ルーティングを設定します。
    1. GW ルーターとMX1の間のインスタンスTRUST_VRスタティックルーティングを設定します。
    2. GW ルーターとMX1の間のインスタンスUNTRUST_VRスタティックルーティングを設定します。
    3. GW ルーターとMX1の間のTRUST_VRインスタンスでBGPを設定します。
    4. GW ルーターとMX1の間のUNTRUST_VRインスタンスでBGPを設定します。
  4. トラフィック転送のルーティングポリシーを設定します。
    1. 静的ルートをエクスポートするポリシーを設定し、クライアントからサーバーへのIPv4トラフィックを受け入れます。
    2. 静的ルートをエクスポートするポリシーを設定し、クライアントからサーバーへのIPv6トラフィックを受け入れます。
    3. サーバーからクライアントへのIPv4トラフィックを受け入れるように静的ルートをエクスポートするポリシーを設定します。
    4. 静的ルートをエクスポートするポリシーを設定し、サーバーからクライアントへのIPv6トラフィックを受け入れます。

SRX1-Aのステップバイステップ設定

以下の前提条件を満たしていることを確認します。

  • NETCONF、SSHサービス、Web管理サービスを有効にします。

SRX1-A設定をセットアップします。

  1. 速度を設定します。
  2. インターフェイスを設定します。
    1. LACP、VLAN、IPアドレス設定で集合型イーサネットインターフェイスを設定します。
    2. シャーシ間リンク(ICL)を使用してノード間の通信のためのループバックインターフェイスを設定します。
  3. MNHAを設定します。
    1. ローカルノード、ピアノード、ノード通信用のシャーシ間リンク(ICL)、ルーティングインスタンス、ピアノードの双方向フォワーディング検出(BFD)プロトコルオプションを使用して、MNHAを設定します。
    2. サービス冗長性グループSRG0を設定し、BFD監視パラメーターを設定してネットワークの障害を検出します。
  4. ルーティングインスタンスを設定します。
    1. MNHAMNHA-VRステートフルセッション同期用に、SRX1-A BGPピアリングのルーティングインスタンスを設定します。
    2. 信頼側と信頼できない側のデータトラフィックVR-1ルーティングインスタンスを設定します。
  5. ルーティングを設定します。
    1. グローバルルーティングオプションを設定します。
    2. インスタンスMNHA-VRBGPを設定します。
    3. トラスト側VR-1IPv4およびIPv6データトラフィック用に、BGPインスタンスに構成します。
    4. untrust側VR-1IPv4およびIPv6データトラフィック用にインスタンスにBGPを設定します。
  6. ルーティングポリシーを設定します。
    1. トラフィックのフロー属性(送信元IP、宛先IP、送信元ポート、宛先ポート)に基づいて、利用可能なルート全体でトラフィックのフローごとのロードバランシングを設定します。
    2. IPv4トラストサイドトラフィックのルートをエクスポートするポリシーを設定します。
    3. IPv6トラストサイドトラフィックのルートをエクスポートするポリシーを設定します。
    4. IPv4 untrust サイド トラフィックのルートをエクスポートするポリシーを設定します。
    5. IPv6の信頼できないサイドトラフィックのルートをエクスポートするようにポリシーを設定します。
    6. MNHAトラフィックのポリシーを設定します。
    7. 障害発生時に高可用性を確保するためのルート条件を指定します。
  7. 送信元プレフィックスのアドレス帳を設定します。
  8. セキュリティゾーンを設定し、ゾーンにインターフェイスを割り当て、セキュリティゾーンで許可されるシステムサービスを指定します。
  9. 信頼側と信頼できない側間のトラフィックに対するセキュリティポリシーを設定します。

検証

このセクションでは、この例の機能を検証するために使用できるshowコマンドのリストを示します。コマンドを動作モードで実行します。

MX1のCSDSトラフィックオーケストレーション統計

目的

コマンドを実行して、ロードバランシングインスタンスのトラフィック統計を表示します。

アクション

動作モードから、MX1でコマンド show services traffic-load-balance statistics instance instance-name を実行します。

意味

このコマンドは、IPv4 と IPv6 の信頼と信頼できないインスタンスのロードバランシングメトリックを表示します。

MX1でのコンポジットネクストホップのルーティング詳細の検証

目的

コマンドを実行して、負荷とファイアウォールの可用性に基づいてCSDS-TOを使用してトラフィックのロードバランシングを行う際に、コンポジットネクストホップを検証します。

アクション

動作モードから、MX1でコマンド show route table instance-name を実行します。

意味

このコマンドは、IPv4およびIPv6の信頼側と信頼できない側のトラフィックの srx_mnha_group_trust_fi.inet.0srx_mnha_group_trust_fi.inet6.0srx_mnha_group_untrust_fi.inet.0、および srx_mnha_group_untrust_fi.inet6.0 インスタンスのルーティングテーブルを表示します。

MX1からマルチノードHAペアへのルーティング詳細の確認

目的

コマンドを実行して、SRXシリーズファイアウォールシリーズのヘルスチェックIPアドレスへのルーティング詳細を確認します。

アクション

動作モードから、MX1でコマンド show routing table instance-name を実行します。

意味

このコマンドは、IPv4およびIPv6ヘルスチェックIPのMX1からマルチノードHAペアへのBGPルーティング情報を表示します。

MX1からデータクライアントへのルーティングの詳細を確認する

目的

コマンドを実行して、IPv4およびIPv6データトラフィックの信頼側および信頼できない側インスタンスを介してデータクライアントへのルーティング詳細を確認します。

アクション

動作モードから、MX1で show routing table instance-name コマンドを実行します。

意味

このコマンドは、IPv4およびIPv6データトラフィックについて、MX1の信頼側と信頼できない側からデータクライアントへのルーティングの詳細を表示します。

MX1からインターネットサーバーへのルーティング詳細を確認する

目的

コマンドを実行して、IPv4およびIPv6データトラフィックの信頼側および信頼できない側インスタンスを介してインターネットサーバーへのルーティング詳細を確認します。

アクション

動作モードから、MX1で show routing table instance-name コマンドを実行します。

意味

このコマンドは、IPv4およびIPv6データトラフィックのMX1信頼側と信頼できない側からインターネットサーバーへのルーティングの詳細を表示します。

SRXシリーズファイアウォールでMNHAの詳細を確認する

目的

SRXシリーズファイアウォールで設定されたMNHA設定の詳細を確認します。

アクション

動作モードから、SRXシリーズファイアウォールで show chassis high-availability information コマンドを実行します。

意味

このコマンドは、マルチノードHAペアの両方のノードのIPアドレスやID、SRGの詳細など、ローカルノードとピアノードの詳細を表示します。

SRXシリーズファイアウォールでのBGPセッションの検証

目的

BGPとそのネイバーに関する概要情報を確認して、 MNHA-VR および VR-1 ルーティングインスタンスのピアからルートを受信しているかどうかを判断します。

アクション

動作モードから、SRXシリーズファイアウォールで show bgp summary instance instance-name コマンドを実行します。

意味

このコマンドは、BGPセッションが確立され、ピアがSRX-1AおよびSRX1-Bデバイス上の MNHA-VR および VR-1 ルーティングインスタンスの更新メッセージを交換していることを表示します。

SRXシリーズファイアウォールからデータクライアントへのルーティングの詳細を確認する

目的

コマンドを実行して、IPv4およびIPv6データトラフィックのデータクライアントへのルーティング詳細を確認します。

アクション

動作モードから、SRXシリーズファイアウォールで show routing table instance-name コマンドを実行します。

意味

このコマンドは、IPv4 および IPv6 データ トラフィックの SRX1-A および SRX1-B からデータ クライアントへのルーティング詳細を表示します。

SRXシリーズファイアウォールからインターネットサーバーへのルーティングの詳細を確認する

目的

コマンドを実行して、IPv4およびIPv6データトラフィックのインターネットサーバーへのルーティング詳細を確認します。

アクション

動作モードから、SRXシリーズファイアウォールで show routing table instance-name コマンドを実行します。

意味

このコマンドは、SRX1-A および SRX1-B からインターネットサーバーへの IPv4 および IPv6 データトラフィックのルーティング詳細を表示します。

セッションフローの検証

目的

コマンドを実行して、ステートフルファイアウォールサービスのセッションフローの作成を確認します。

アクション

動作モードから、SRXシリーズファイアウォールで show security flow session コマンドを実行します。

意味

コマンドは、SRX1-A デバイスでセッションがアクティブであることを示しています。

付録1:SRX1-B、SRX2-A、SRX2-Bデバイスでコマンドを設定する

SRX1-B、SRX2-A、SRX2-Bで次の前提条件を満たしていることを確認してください。

  • NETCONF、SSHサービス、Web管理サービスを有効にします。

すべてのデバイスでコマンドを設定します。

SRX1-Bでコマンドを設定する

SRX2-Aでコマンドを設定する

SRX2-Bでコマンドを設定する

付録2:DUTで設定出力を表示する

DUTのShowコマンド出力

この例は、MX1およびSRX1-Aデバイスのshowコマンド出力を示しています。SRX1-B、SRX2-A、SRX2-Bでも同様の出力が得られます。

設定モードから、以下のコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

MXシリーズのshowコマンド

SRXシリーズファイアウォールでのshowコマンド