例:アクティブ/アクティブ レイヤー 3 クラスタ展開の設定
この例では、ハイエンドSRXシリーズ デバイスで基本的なアクティブ/アクティブ シャーシ クラスタリングを設定する方法を示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
同一のハードウェア構成を持つ 2 台のジュニパーネットワークスSRX5800サービス ゲートウェイ(Junos OS リリース 9.6 以降を実行)。
Junos OSリリース9.6以降を実行するジュニパーネットワークスEX9214イーサネットスイッチ2台。
ここでは、すべてのEXシリーズスイッチを使用できます。
始める前に:
2台のSRXサービスゲートウェイを物理的に接続します(ファブリックポートと制御ポートはバックツーバック)。
この設定例は、記載されているソフトウェア リリースを使用してテストされており、それ以降のすべてのリリースで動作することを想定しています。
概要
シャーシクラスターは、同一のハードウェアを備えた2台のSRXシリーズデバイスで構成されます。SRXシリーズ デバイス上のアクティブ/アクティブ クラスタリングは、可能な限り両方のシャーシ クラスタ メンバーのトラフィックを維持したい環境でサポートされています。アクティブ/アクティブ展開では、データ プレーンのみがアクティブ/アクティブ モードになります。コントロールプレーンはアクティブ/パッシブモードです。これにより、1つのコントロールプレーンで両方のシャーシメンバーを単一の論理デバイスとして制御でき、障害が発生した場合にコントロールプレーンを他のデバイスにフェイルオーバーできます。データ プレーンのみをアクティブ/アクティブ モードにすると、データ プレーンをコントロール プレーンから独立してフェールオーバーできます。
アクティブ/アクティブ構成では、イングレス インターフェイスを一方のクラスタ デバイスに、エグレス インターフェイスをもう一方のクラスタ デバイスに配置することもできます。イングレス インターフェイスとエグレス インターフェイスが異なるデバイスに設定されている場合、データ トラフィックはデータ ファブリックを通過して他のクラスタ デバイスに到達し、エグレス インターフェイスから出る必要があります。
このアクティブ/アクティブシャーシクラスタリングの例では、ノードごとに2つの冗長イーサネット(reth)インターフェイス(reth0とreth1)を設定し、それらが1つ以上のスイッチで接続されていることを確認する必要があります。rethインターフェイスは、2つの物理インターフェイス(各ノードから1つずつ)をバンドルします。reth インターフェイスは冗長性グループに割り当てられます。
図 1 に、この例で使用するトポロジを示します。
構成
この例を構成するには、次の手順を実行します。
制御ポートの設定
手順
各デバイスの制御ポートを設定します。
中心点(CP)は常にクラスタ内の最も低いSPC/SPU(この例ではスロット0)にあるため、FPC 1とFPC 13を選択します。信頼性を最大にするため、制御ポートは中央点とは別のSPCに配置します(この例ではスロット1のSPCを使用しています)。
制御ポートの設定は、SRX5600およびSRX5800デバイスにのみ必要です。
制御ポートを設定し、設定をコミットします。
user@host# set chassis cluster control-ports fpc 1 port 0 user@host# set chassis cluster control-ports fpc 13 port 0 user@host# commit and-quit
クラスタモードの有効化
手順
各デバイスにクラスタIDとノードIDを割り当てます。
2台のデバイスをクラスタモードに設定するには、それぞれにクラスタIDとノードIDを追加して再起動します。set コマンドに reboot パラメーターを含めることで、システムが自動的にブートするように設定できます。
セグメントには 1 つのクラスタしかないため、この例では、デバイス SRX5800-1 をノード 0、デバイス SRX5800-2 をノード 1 とするクラスタ ID 1 を使用します。
2台のデバイスをクラスタモードに設定するには、次の手順に従います。
SRX5800-1 (ノード 0) でクラスタ モードを有効にします。
user@host> set chassis cluster cluster-id 1 node 0 reboot
SRX5800-2 (ノード 1) でクラスタ モードを有効にします。
user@host> set chassis cluster cluster-id 1 node 1 reboot
手記:1つのブロードキャストドメインに複数のSRXデバイスクラスタがある場合は、MACアドレスの競合を避けるために、クラスタごとに異なるクラスタIDを割り当ててください。
システムが再起動すると、ノードはクラスタとして起動します。これ以降、クラスタの構成はノード メンバー間で同期され、2 台のデバイスは 1 つのデバイスとして機能します。
クラスタ パラメータの設定
手順
クラスタ モードでは、すべてのコマンドと設定が両方のノードに適用されます。
シャーシ クラスタ設定を構成するには:
トラフィックが1つのノードのイングレスインターフェイスに到着し、別のノードを離れる場合のために、トラフィックが1つのデバイスから別のデバイスに転送されるように、各デバイスにファブリック(データ)ポートを設定します。
手記:アクティブ/アクティブ展開には、10ギガビットイーサネット接続を推奨します。
user@host# set interfaces fab0 fabric-options member-interfaces xe-6/3/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-18/3/0
各デバイスのfxp0インターフェイスをアウトオブバンド管理用に設定します。クラスタの各デバイス(コントロールプレーン)に個別のIPアドレスを割り当てます。
SRXサービス ゲートウェイ シャーシのクラスター設定は、単一の共通構成内に含まれるため、構成の一部の要素を特定のメンバーのみに割り当てるには、グループと呼ばれるJunos OSノード固有の構成方法を使用します。
set apply-groups ${node}コマンドは、ノード変数を使用して、グループをノードに適用する方法を定義します。各ノードはその番号を認識し、それに応じて構成を受け入れます。user@host# set groups node0 system host-name SRX5800-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 10.52.43.57/19 user@host# set groups node1 system host-name SRX5800-2 user@host# set groups node1 interfaces fxp0 unit 0 family inet address 10.52.52.27/19 user@host# set apply-groups ${node}シャーシクラスタリングの冗長性グループを設定します。
各ノードには、冗長性グループ内のインターフェイスがあります。冗長グループ0はコントロールプレーンを制御し、どのノードをプライマリにするかを定義します。冗長グループ1+は、データプレーンを制御し、データプレーンポートを含みます。このアクティブ/アクティブ クラスタリング モードの例では、冗長性グループ 0、1、2 を持つ 2 つの reth インターフェイスを使用します。
冗長性グループの設定の一環として、コントロールプレーンとデータプレーンの優先度(コントロールプレーンにはどのデバイスを優先するか、データプレーンにはどのデバイスを優先するか)も定義する必要があります。(シャーシクラスタリングでは、より高い優先度が優先されます)。
手記:コントロールプレーン(冗長グループ0)とデータプレーン(冗長グループ1+)は、それぞれ異なるシャーシでアクティブにすることができます。ただし、この例では、同じシャーシ メンバー上でコントロール プレーンとデータ プレーンの両方をアクティブにすることを推奨します。冗長グループ0(RG0)と冗長グループ1(RG1)は、ノード0ではデフォルトでアクティブ状態になりますが、冗長グループ2(RG2)は、ノード1でデフォルトでアクティブ状態になります。
user@host# set chassis cluster redundancy-group 0 node 0 priority 129 user@host# set chassis cluster redundancy-group 0 node 1 priority 128 user@host# set chassis cluster redundancy-group 1 node 0 priority 129 user@host# set chassis cluster redundancy-group 1 node 1 priority 128 user@host# set chassis cluster redundancy-group 2 node 0 priority 128 user@host# set chassis cluster redundancy-group 2 node 1 priority 129
データプレーンのフェイルオーバーが発生した場合に、他のシャーシクラスタメンバーがシームレスに接続を引き継ぐことができるように、プラットフォーム上のデータインターフェイスを設定します。
次の項目を定義します。
クラスタの reth インターフェイスの最大数。システムが適切なリソースを割り当てることができるようにするため。
user@host# set chassis cluster reth-count 2
インターフェイスのIPアドレスなどのrethインターフェイス情報。
user@host# set interfaces reth0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces reth1 unit 0 family inet address 10.1.2.1/24
reth インターフェイスに対するメンバー インターフェイスのメンバーシップ情報。
user@host# set interfaces xe-6/0/0 gigether-options redundant-parent reth0 user@host# set interfaces xe-6/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-18/0/0 gigether-options redundant-parent reth0 user@host# set interfaces xe-18/1/0 gigether-options redundant-parent reth1
rethインターフェイスの冗長性グループへのマッピング。
user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 redundant-ether-options redundancy-group 2
障害発生時の動作を設定します。
各インターフェイスは、リンク損失時に冗長グループのしきい値である255から差し引かれた重み値で設定されます。冗長性グループのしきい値が 0 に達すると、その冗長性グループはセカンダリ ノードにフェールオーバーします。
手記:control-link-recovery機能が有効になっていない場合、セカンダリノードをプライマリノードと同期させるためには、手動でのリブートが必要です。user@host# set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255 user@host# set chassis cluster redundancy-group 2 interface-monitor xe-6/1/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255 user@host# set chassis cluster redundancy-group 2 interface-monitor xe-18/1/0 weight 255 user@host# set chassis cluster control-link-recovery
手記:インターフェイス上の個々の VLAN は監視されません。全体としてのインターフェイスのみが監視されます。
この手順でシャーシ クラスタの設定は完了です。
rethインターフェイスに属しない他のインターフェイスを設定します。これらは、ISP 向けのアップストリーム インターフェイスです。
user@host# set interface xe-6/2/0 unit 0 family inet address 192.168.3.1/24 user@host# set interface xe-18/2/0 unit 0 family inet address 192.168.4.1/24
以下のセクションでは、ゾーン、セキュリティポリシー、NAT、ルーティング、EX8208コアスイッチを設定して導入シナリオを完了する方法について説明します。
ゾーン、ポリシー、NAT、ルートの設定
手順
rethインターフェイスを設定して適切なゾーンに接続し、アウトバウンドトラフィックを許可するセキュリティポリシーを定義します。また、この例では、デフォルトのルートとNATを使用して、エンドホストがインターネットに到達できるようにします。
ゾーン、ポリシー、NAT、ルートを設定するには:
インターフェイスを適切なゾーンに割り当てます。
user@host# set security zones security-zone trust interfaces reth0.0 user@host# set security zones security-zone trust interfaces reth1.0 user@host# set security zones security-zone untrust interfaces xe-6/2/0.0 user@host# set security zones security-zone untrust interfaces xe-18/2/0.0
trustゾーン内のホストからインターネットへのトラフィックを許可するポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy allow match source-address any user@host# set security policies from-zone trust to-zone untrust policy allow match destination-address any user@host# set security policies from-zone trust to-zone untrust policy allow match application any user@host# set security policies from-zone trust to-zone untrust policy allow then permit
アウトバウンドトラフィックのソースNATを設定します。
user@host# set security nat source rule-set internet from zone trust user@host# set security nat source rule-set internet to zone untrust user@host# set security nat source rule-set internet rule rule1 match source-address 10.1.0.0/16 user@host# set security nat source rule-set internet rule rule1 then source-nat interface
デフォルトの静的ルートを定義して、ホストがインターネットに到達できるようにします。
user@host# set routing-options static route 0.0.0.0/0 next-hop 192.168.3.254 user@host# set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.4.254 preference 7 user@host# set routing-options static route 10.0.0.0/8 next-hop 10.52.63.254
OSPFを設定します。
user@host# set protocols ospf area 0.0.0.0 interface reth0.0 user@host# set protocols ospf area 0.0.0.0 interface reth1.0 user@host# set protocols ospf area 0.0.0.0 interface reth2.0 user@host# set protocols ospf area 0.0.0.0 interface reth3.0
EX9214-1の設定
手順
EX9214の場合、以下のコマンドは、このSRX5800のアクティブ/アクティブの例、特にVLAN、ルーティング、インターフェイス設定に関連する設定のみを提供します。
インターフェイスを設定します。
user@host# set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode access user@host# set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH0 user@host# set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode access user@host# set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH0 user@host# set interfaces xe-3/0/0 unit 0 family ethernet-switching interface-mode trunk user@host# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH1 user@host# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH0 user@host# set interfaces ge-4/0/0 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-4/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH0
手記:エンドホストはタグなしのトラフィックを送信しています。
VLAN を構成します。
user@host# set vlans SRX5800-RETH0 vlan-id 50 user@host# set vlans SRX5800-RETH1 vlan-id 60
RSTPを有効にします。
user@host# set protocols rstp interface all
手記:この例では、レイヤー2ループがないため、RSTPは厳密には必要ありません。ただし、一般的な環境では、より多くのスイッチが存在する可能性が高く、プロトコルを有効にする必要があります。
EX9214-2の設定
手順
EX9214-2を設定するには:
インターフェイスを設定します。
user@host# set interfaces xe-1/0/0 unit 0 family ethernet-switching interface-mode access user@host# set interfaces xe-1/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH1 user@host# set interfaces xe-2/0/0 unit 0 family ethernet-switching interface-mode access user@host# set interfaces xe-2/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH1 user@host# set interfaces xe-3/0/0 unit 0 family ethernet-switching interface-mode trunk user@host# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH0 user@host# set interfaces xe-3/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH1 user@host# set interfaces ge-4/0/0 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-4/0/0 unit 0 family ethernet-switching vlan members SRX5800-RETH1
手記:エンドホストはタグなしのトラフィックを送信しています。
VLAN を構成します。
user@host# set vlans SRX5800-RETH0 vlan-id 50 user@host# set vlans SRX5800-RETH1 vlan-id 60
RSTPを有効にします。
user@host# set protocols rstp interface all
手記:この例では、レイヤー2ループがないため、RSTPは厳密には必要ありません。ただし、一般的な環境では、より多くのスイッチが存在する可能性が高く、プロトコルを有効にする必要があります。
検証
設定が正常に機能していることを確認します。
- シャーシ クラスタ ステータスの検証
- シャーシ クラスタ インターフェイスの検証
- シャーシ クラスタ統計情報の検証
- シャーシ クラスタ コントロール プレーン統計情報の検証
- シャーシ クラスタ データ プレーン統計情報の検証
- シャーシ クラスタ冗長グループ ステータスの検証
- ログを使用したトラブルシューティング
シャーシ クラスタ ステータスの検証
目的
シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。
アクション
動作モードから、 show chassis cluster status コマンドを入力します。
{primary:node0}
user@host>show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 129 primary no no None
node1 128 secondary no no None
Redundancy group: 1 , Failover count: 1
node0 129 primary no no None
node1 128 secondary no no None
Redundancy group: 2 , Failover count: 0
node0 128 secondary no no None
node1 129 primary no no None
意味
サンプル出力には、プライマリ ノードとセカンダリ ノードのステータスが表示され、手動フェイルオーバーはありません。
シャーシ クラスタ インターフェイスの検証
目的
シャーシ クラスタ インターフェイスに関する情報を検証します。
アクション
動作モードから、 show chassis cluster interfaces コマンドを入力します。
{primary:node0}
user@host>show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA
0 fxp1 Up Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status
(Physical/Monitored)
fab0 xe-6/3/0 Up / Up
fab0
fab1 xe-18/3/0 Up / Up
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 2
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
Interface Monitoring:
Interface Weight Status Redundancy-group
ge-6/0/0 255 Up 1
ge-18/0/0 255 Up 1
ge-6/1/0 255 Up 2
ge-18/1/0 255 Up 2
意味
サンプル出力は、制御リンクとファブリックリンクに関するステータス情報を提供します。また、各rethインターフェイスのステータス、重み値、冗長グループも表示されます。
シャーシ クラスタ統計情報の検証
目的
シャーシ クラスタ サービスに関する情報を検証し、制御リンク統計情報(送受信したハートビート)、ファブリック リンク統計情報(送受信したプローブ)、サービスで送受信されたリアルタイム オブジェクト(RTO)の数に関する情報を検証します。
アクション
動作モードから、 show chassis cluster statistics コマンドを入力します。
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
意味
サンプル出力を使用して、次のことを行います。
Heartbeat packets sentが増加していることを確認します。
Heartbeat packets receivedがHeartbeats packets sentの数に近い数値であることを確認します。
Heartbeats packets errorsがゼロであることを確認します。
これにより、ハートビートパケットがエラーなく送受信されていることが確認されます。
シャーシ クラスタ コントロール プレーン統計情報の検証
目的
シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計情報(送受信したプローブ)に関する情報を検証します。
アクション
動作モードから、 show chassis cluster control-plane statistics コマンドを入力します。
{primary:node0}
user@host>show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
意味
サンプル出力を使用して、次のことを行います。
Heartbeat packets sentが増加していることを確認します。
Heartbeat packets receivedがHeartbeats packets sentの数に近い数値であることを確認します。
Heartbeats packets errorsがゼロであることを確認します。
これにより、ハートビートパケットがエラーなく送受信されていることが確認されます。
シャーシ クラスタ データ プレーン統計情報の検証
目的
サービスで送受信されたリアルタイムオブジェクト(RTO)の数に関する情報を検証します。
アクション
動作モードから、 show chassis cluster data-plane statistics コマンドを入力します。
{primary:node0}
user@host>show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
意味
サンプル出力には、さまざまなサービスで送受信された RTO の数が表示されます。
シャーシ クラスタ冗長グループ ステータスの検証
目的
冗長性グループのステータスを検証します。
アクション
動作モードから、 chassis cluster status redundancy-group コマンドを入力します。
{primary:node0}
user@host>show chassis cluster status redundancy-group 1
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 1 , Failover count: 1
node0 129 primary no no None
node1 128 secondary no no None
意味
サンプル出力では、冗長グループ1が正常に機能しており、プリエンプション、手動フェイルオーバーなどの障害が発生していないことが示されています。
ログを使用したトラブルシューティング
目的
システム ログ ファイルを参照して、シャーシ クラスタの問題を特定します。両方のノードのシステム ログ ファイルを確認する必要があります。
アクション
動作モードから、次の show log コマンドを入力します。
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
業績
動作モードから、 show configuration コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
groups {
node0 {
system {
host-name SRX5800-1;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 10.3.5.1/24;
}
}
}
}
}
node1 {
system {
host-name SRX5800-2;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 10.3.5.2/24;
}
}
}
}
}
}
apply-groups “${node}”;
chassis {
cluster {
control-link-recovery;
reth-count 2;
control-ports {
fpc 1 port 0;
fpc 13 port 0;
}
redundancy-group 0 {
node 0 priority 129;
node 1 priority 128;
}
redundancy-group 1 {
node 0 priority 129;
node 1 priority 128;
interface-monitor {
xe-6/0/0 weight 255;
xe-18/0/0 weight 255;
}
}
redundancy-group 2 {
node 0 priority 128;
node 1 priority 129;
interface-monitor {
xe-6/1/0 weight 255;
xe-18/1/0 weight 255;
}
}
}
}
interfaces {
xe-6/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-6/1/0 {
gigether-options {
redundant-parent reth1;
}
}
xe-6/2/0 {
unit 0 {
family inet {
address 192.168.3.1/24;
}
}
}
xe-18/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-18/1/0 {
gigether-options {
redundant-parent reth1;
}
}
xe-18/2/0 {
unit 0 {
family inet {
address 192.168.4.1/24;
}
}
}
fab0 {
fabric-options {
member-interfaces {
xe-6/3/0;
}
}
}
fab1 {
fabric-options {
member-interfaces {
xe-18/3/0;
}
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 2;
}
unit 0 {
family inet {
address 10.1.2.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 {
next-hop 192.168.3.254;
qualified-next-hop 192.168.4.254 {
preference 7;
}
}
}
}
security {
nat {
source {
rule-set internet {
from zone trust;
to zone untrust;
rule rule1 {
match {
source-address 10.1.0.0/16;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
interfaces {
reth0.0;
reth1.0;
}
}
security-zone untrust {
interfaces {
xe-6/2/0.0;
xe-18/2/0.0;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。