Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

アクティブ/パッシブ シャーシ クラスタの導入

アクティブ/パッシブ シャーシ クラスタの導入について

この場合、クラスタ内の単一のデバイスがすべてのトラフィックをルーティングするために使用され、もう一方のデバイスは障害が発生した場合にのみ使用されます( 図1を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図 1:アクティブ/パッシブ シャーシ クラスタ シナリオ Active/Passive Chassis Cluster Scenario

アクティブ/パッシブ シャーシクラスタ は、すべて同じ冗長グループに割り当てられた冗長イーサネットインターフェイス(reths)を使用することで実現できます。ノード内のアクティブなグループ内のインターフェイスのいずれかに障害が発生した場合、グループは非アクティブと宣言され、グループ内のすべてのインターフェイスが他のノードにフェールオーバーします。

この設定では、クラスタ内の 1 つのノードのみがいつでもトラフィックを転送するため、ファブリック リンク上のトラフィックが最小限に抑えられます。

「」も参照

例:SRX5800デバイス上のアクティブ/パッシブシャーシクラスターの設定

この例では、SRX5800デバイスで基本的なアクティブ/パッシブシャーシクラスタリングを設定する方法を示します。

要件

開始する前に、以下を行います。

  • 同一のハードウェア構成を備えた 2 つの SRX5800 サービス ゲートウェイと、オプションで 1 台の MX240 エッジ ルーター、およびデータ トラフィックをエンドツーエンドで送信するための EX8208 イーサネット スイッチが 1 台必要です。

  • 2台のデバイスを物理的に接続し(ファブリックとコントロールポートの場合はバックツーバック)、それらが同じモデルであることを確認します。

  • クラスタを形成する前に、各デバイスの制御ポートを設定し、各デバイスにクラスタIDとノードIDを割り当て、再起動する必要があります。システムが起動すると、両方のノードがクラスタとして起動します。

    SRX5400、SRX5600、SRX5800 のデバイスでは、制御ポートの設定が必要です。

これでデバイスはペアになります。この時点からノードメンバー間でクラスタの設定が同期され、2つの個別のデバイスが1つのデバイスとして機能します。

概要

この例では、SRXシリーズデバイスで基本的なアクティブ/パッシブシャーシクラスタリングを設定する方法を示します。アクティブ/パッシブの基本的な例は、最も一般的なタイプのシャーシ クラスタです。

基本的なアクティブ/パッシブ シャーシ クラスタは、2 つのデバイスで構成されています。

  • 1台のデバイスが、ルーティング、ファイアウォール、NAT、VPN、セキュリティサービスを積極的に提供し、シャーシクラスタの制御を維持します。

  • もう一方のデバイスは、アクティブなデバイスが非アクティブになった場合に、クラスタ フェイルオーバー機能の状態を受動的に維持します。

SRX5800 サービス ゲートウェイのこのアクティブ/パッシブ モードの例では、NAT、セキュリティ ポリシー、VPN を構成する方法など、その他の構成について詳しく説明していません。スタンドアロンの構成の場合と基本的に同じです。ただし、シャーシ クラスタ設定でプロキシ ARP を実行する場合、RETH インターフェイスが論理設定を保持するため、メンバー インターフェイスではなく reth インターフェイスにプロキシ ARP 設定を適用する必要があります。 NAT用プロキシーARPの設定(CLI手順)を参照してください。また、SRX5800 サービス ゲートウェイで VLAN とトランク インターフェイスを使用して、個別の論理インターフェイス設定を設定することもできます。これらの設定は、VLAN やトランク インターフェイスを使用したスタンドアロンの実装と似ています。

図 2 は、この例で使用したトポロジーを示しています。

図 2:SRX シリーズ デバイス トポロジーでの基本的なアクティブ/パッシブ シャーシ クラスタリングの例 Basic Active/Passive Chassis Clustering on an SRX Series Device Topology Example

構成

制御ポートの設定とクラスタ モードの有効化

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

{プライマリ:node0}で

(オプション)EX8208コアスイッチを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLIにコピーアンドペーストして、設定モードから を入力 commit します。

{プライマリ:node0}で

(オプション)MX240エッジルーターを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLIにコピーアンドペーストして、設定モードから を入力 commit します。

{プライマリ:node0}で

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。

SRX シリーズ デバイスでシャーシ クラスタを設定するには、次の手順に従います。

クラスタ モードでは、コマンドを実行したときにノード間の制御リンクを介して設定が commit 同期されます。コマンドが設定されているデバイスに関係なく、すべてのコマンドが両方のノードに適用されます。

  1. デバイスがクラスタ モードで起動した後、バックアップ ノード上で管理アクセスを提供するために、両方のスタンドアロン デバイスをバックアップ ルーター宛先設定に設定します。プライマリ ノードへのアクセスは、プライマリ ノードのルーティングを通じて有効になります。

  2. SRX5000 シリーズ サービス ゲートウェイ シャーシ クラスター構成は、単一の共通構成内に含まれているため、構成の一部の要素を特定のメンバーにのみ割り当てるには、グループと呼ばれる Junos OS ノード固有の構成方法を使用する必要があります。コマンドは set apply-groups ${node} ノード変数を使用して、グループのノードへの適用方法を定義します。各ノードはその数を認識し、それに応じて設定を受け入れます。また、クラスタの個々のコントロール プレーンに個別の IP アドレスを使用して、SRX5000 シリーズ サービス ゲートウェイの fxp0 インターフェイスでアウトオブバンド管理を設定する必要があります。

    バックアップ ルーターの宛先アドレスを x.x.x.0/0 として設定することはできません。

    上記のグループノード0とノード1の設定はコミットされますが、適用されません。デバイスがクラスタ内に起動すると、これらのコマンドは. を使用して set apply-groups “${node}”適用されます。

  3. 各デバイスの制御ポートを設定し、設定をコミットします。

    設定に従って、両方のノード上のSPCカード間に物理的な制御リンク接続があることを確認します。

    制御ポートはシャーシ内のSPCの位置に基づいて取得され、オフセット値はプラットフォームに基づきます。以下の例では、SPCが収益スロット1に存在し、SRX5800のオフセットが12であるため、制御ポートは1、13です。シェル モードの コマンドを使用すると、特定のプラットフォームのオフセット値を “jwhoami -c” 表示できます。両方のデバイスで以下のコマンドを入力する必要があります。例えば:

    • ノード0:

    • ノード1:

  4. 2台のデバイスをクラスタモードに設定します。クラスタIDとノードIDが設定された後、クラスタモードに入るために再起動が必要です。CLI コマンドラインに パラメーターを含めることで、システムを reboot 自動的に起動させることができます。両方のデバイスで動作モード コマンドを入力する必要があります。例えば:

    • ノード0:

    • ノード1:

    クラスタ ID はクラスタ内の両方のデバイスで同じにする必要がありますが、1 台のデバイスがノード 0 で、もう一方のデバイスがノード 1 であるため、ノード ID は異なる必要があります。クラスタIDの範囲は1~255です。クラスタ ID を 0 に設定すると、クラスタの無効化に相当します。ただし、クラスタからノードを分離するために使用 set chassis cluster disable することをお勧めします。

  5. 以下のコマンドを使用して、プライマリであるノード0を設定します。ノード1は、ノード設定がコミットされるまで到達できません。ノード0は制御ポートからノード1に自動的に設定を同期し、ノード1を明示的に設定する必要はありません。

  6. シャーシクラスタリングの冗長性グループを設定します。各ノードには、冗長グループ内のインターフェイスがあり、インターフェイスはアクティブな冗長グループでアクティブです(1つの冗長グループに複数のアクティブなインターフェイスが存在する可能性があります)。リダンダンシー グループ 0 はコントロール プレーンを制御し、冗長グループ 1+ はデータ プレーンを制御し、データ プレーン ポートを含みます。このアクティブ/パッシブ モードの例では、一度に 1 つのシャーシ クラスタ メンバーのみがアクティブであるため、冗長性グループ 0 と 1 のみを定義する必要があります。冗長性グループに加えて、以下も定義する必要があります。

    • 冗長イーサネット グループ—デバイス上でアクティブになる冗長イーサネット インターフェイス(メンバー リンク)の数を設定し、システムがそのデバイスに適切なリソースを割り当てることができます。

    • 制御プレーンとデータ プレーンの優先度 — コントロール プレーンに対して優先するデバイス(シャーシ クラスタの場合、高優先度が優先される)と、データ プレーンでアクティブにするデバイスを定義します。

      • アクティブ/パッシブまたはアクティブ/アクティブ モードでは、コントロール プレーン(冗長グループ 0)は、データ プレーン(冗長グループ 1+およびグループ)シャーシとは異なるシャーシ上でアクティブにすることができます。ただし、この例では、同じシャーシ メンバー上でコントロール プレーンとデータ プレーンの両方をアクティブにすることをお勧めします。トラフィックがファブリック リンクを通過して別のメンバー ノードに移動すると、遅延が発生します(z ライン モード トラフィック)。

      • SRX シリーズ デバイス(SRX5000 シリーズ)では、IPsec VPN は Z モードのアクティブ/アクティブ シャーシ クラスタ設定(複数の RSA1+ 冗長グループがある場合)ではサポートされていません。

  7. アクティブ/パッシブ モードで RTU を渡すために使用されるクラスタのファブリック(データ)ポートを設定します。この例では、収益ポートの 1 つを使用します。2つのファブリックインターフェイスを定義し、各シャーシに1つずつ接続します。

    データ プレーンのフェイルオーバーが発生した場合、他のシャーシ クラスタ メンバーがシームレスに接続を引き継ぐように、プラットフォーム上のデータ インターフェイスを設定します。データ プレーンのフェイルオーバーにより、新しいアクティブ ノードへのシームレスな移行が行われます。制御プレーンのフェイルオーバーの場合、すべてのデーモンが新しいノードで再起動されるため、グレースフルリスタートがピア(ospf、bgp)との隣接関係を失うことを回避することができます。これにより、パケットロスのない新しいノードへのシームレスな移行が促進されます。

    以下の項目を定義する必要があります。

    • reth インターフェイスへのメンバー インターフェイスのメンバーシップ情報を定義します。

    • reth インターフェイスがメンバーである冗長性グループを定義します。このアクティブ/パッシブの例では、常に 1 です。

    • インターフェイスの IP アドレスなどの reth インターフェイス情報を定義します。

  8. (オプション)障害が発生した場合のシャーシ クラスタの動作を設定します。SRX5800 サービス ゲートウェイの場合、フェイルオーバーしきい値は 255 に設定されています。重み付けを変更して、シャーシのフェイルオーバーへの影響を判断できます。また、制御リンクの回復も設定する必要があります。回復により、制御リンクに障害が発生した後、オンラインに戻った場合にセカンダリ ノードが自動的に再起動します。ノード0にこれらのコマンドを入力します。

    このステップでは、SRX5800 サービス ゲートウェイのアクティブ/パッシブ モードの例のシャーシ クラスタ設定部分を完了します。この手順の残りの部分では、導入シナリオを完了するためにゾーン、仮想ルーター、ルーティング、EX8208コアスイッチ、MX240エッジルーターを設定する方法について説明します。

  9. (オプション)reth インターフェイスを構成し、適切なゾーンと仮想ルーターに接続します。この例では、reth0 および reth1 インターフェイスをデフォルトの仮想ルーター inet.0 のままにします。追加の設定は必要ありません。

  10. (オプション)このアクティブ/パッシブ モードの例では、シンプルなネットワーク アーキテクチャのため、静的ルートを使用して他のネットワーク デバイスへのルーティング方法を定義します。

  11. (オプション)EX8208イーサネットスイッチの場合、以下のコマンドは、SRX5800サービスゲートウェイのこのアクティブ/パッシブモードの例に関連する該当する設定の概要のみを提供します。特に顕著なのは、VLAN、ルーティング、インターフェイス設定です。

  12. (オプション)MX240エッジルーターの場合、以下のコマンドは、SRX5800サービスゲートウェイのこのアクティブ/パッシブモードの例に関連する該当する設定の概要のみを提供します。特に注目すべきは、スイッチ上の仮想スイッチ インスタンス内で IRB インターフェイスを使用する必要があります。

検証

設定が正しく機能していることを確認します。

シャーシ クラスタ ステータスの検証

目的

シャーシ クラスタのステータス、フェイルオーバー ステータス、冗長性グループの情報を確認します。

アクション

動作モードから、 コマンドを show chassis cluster status 入力します。

シャーシ クラスタ インターフェイスの検証

目的

シャーシ クラスタ インターフェイスに関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster interfaces 入力します。

シャーシ クラスタ統計情報の検証

目的

シャーシ クラスタ サービスおよび制御リンク統計情報(送受信したハートビート)、ファブリック リンク統計(送受信したプローブ)、サービスで送受信した RNO の数に関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster statistics 入力します。

シャーシ クラスタ コントロール プレーン統計情報の検証

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster control-plane statistics 入力します。

シャーシ クラスタ データ プレーン統計情報の検証

目的

サービスで送受信されるRNOの数に関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster data-plane statistics 入力します。

シャーシ クラスタ冗長性グループ ステータスの検証

目的

クラスター内の両方のノードの状態と優先度、およびプライマリ ノードがプリエンプトされたかどうか、または手動フェイルオーバーが行われているかどうかに関する情報を検証します。

アクション

動作モードから、 コマンドを chassis cluster status redundancy-group 入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、これらのコマンドを show log 入力します。

「」も参照

例:アクティブ/パッシブシャーシクラスタペアの設定(SRX1500)

この例では、SRX1500デバイスにアクティブ/パッシブシャーシクラスタリングを設定する方法を示しています。

要件

開始する前に、以下を行います。

  1. 1組のデバイスを物理的に接続して、同じモデルであることを確認します。

  2. 1台のデバイス上のギガビットイーサネットインターフェイスを、もう一方のデバイス上の別のギガビットイーサネットインターフェイスに接続することで、ファブリックリンクを作成します。

  3. 2 台の SRX1500 デバイスのコントロール ポートを接続して、コントロール リンクを作成します。

  4. コンソール ポートを使用して、いずれかのデバイスに接続します。(これはクラスタを形成するノードです)。クラスタIDとノード番号を設定します。

  5. コンソール ポートを使用して他のデバイスに接続し、クラスタ ID とノード番号を設定します。

概要

この例では、クラスタ内の単一のデバイスを使用してすべてのトラフィックをルーティングし、もう一方のデバイスは障害が発生した場合にのみ使用されます。( 図 3 を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図 3:アクティブ/パッシブ シャーシ クラスタ トポロジー Active/Passive Chassis Cluster Topology

同じ冗長グループに割り当てられた冗長イーサネット インターフェイス(reths)を設定することで、アクティブ/パッシブ シャーシ クラスタを作成できます。この設定では、クラスタ内の 1 つのノードのみがいつでもトラフィックを転送するため、ファブリック リンク上のトラフィックが最小限に抑えられます。

この例では、グループ(コマンドで設定を適用)とシャーシクラスタ情報を apply-groups 設定します。次に、セキュリティゾーンとセキュリティポリシーを設定します。 表 1 ~ 表 4 を参照してください。

表 1:グループおよびシャーシ クラスタ設定パラメータ

機能

名前

設定パラメータ

グループ

node0

  • ホスト名:srx1500-A

  • インターフェイス:fxp0

    • ユニット 0

    • 192.0.2.110/24

node1

  • ホスト名:srx1500-B

  • インターフェイス:fxp0

    • ユニット 0

    • 192.0.2.111/24
表 2:シャーシ クラスタ設定パラメータ

機能

名前

設定パラメータ

ファブリック リンク

fab0

インターフェイス:ge-0/0/1

fab1

インターフェイス:ge-7/0/1

ハートビート間隔

1000

ハートビートのしきい値

3

リダンダンシー グループ

0

  • 優先 順位:

    • ノード0:254

    • ノード 1:1

1

  • 優先 順位:

    • ノード0:254

    • ノード 1:1

インターフェイス監視

  • ge-0/0/4

  • ge-7/0/4

  • ge-0/0/5

  • ge-7/0/5

冗長イーサネット インターフェイス数

2

インターフェイス

ge-0/0/4

冗長親: reth0

ge-7/0/4

冗長親: reth0

ge-0/0/5

冗長親:reth1

ge-7/0/5

冗長親:reth1

reth0

冗長性グループ:1

  • ユニット 0

  • 198.51.100.1/24

reth1

冗長性グループ:1

  • ユニット 0

  • 203.0.113.233/24
表 3:セキュリティ ゾーンの設定パラメーター

名前

設定パラメータ

信頼

reth1.0インターフェイスは、このゾーンにバインドされています。

untrust

reth0.0インターフェイスは、このゾーンにバインドされています。
表 4:セキュリティ ポリシー設定パラメーター

目的

名前

設定パラメータ

このセキュリティポリシーは、trustゾーンからtrustゾーンへのトラフィックを許可します。

任意

  • 一致条件:

    • 送信元アドレス any

    • 宛先アドレス any

    • アプリケーション

  • アクション: 許可

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

アクティブ/パッシブ シャーシ クラスタを設定するには:

  1. 管理インターフェイスを設定します。

  2. ファブリックインターフェイスを設定します。

  3. ハートビート設定を構成します。

  4. 冗長性グループを設定します。

  5. 冗長イーサネット インターフェイスを設定します。

  6. セキュリティ ゾーンを設定します。

  7. セキュリティポリシーを設定します。

結果

設定モードから、 コマンドを入力して設定を show configuration 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみが含まれています。システム上の他の設定はすべて省略記号(...)で置き換えられました。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認します。

シャーシ クラスタ ステータスの検証

目的

シャーシ クラスタのステータス、フェイルオーバー ステータス、冗長性グループの情報を確認します。

アクション

動作モードから、 コマンドを show chassis cluster status 入力します。

シャーシ クラスタ インターフェイスの検証

目的

シャーシ クラスタ インターフェイスに関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster interfaces 入力します。

シャーシ クラスタ統計情報の検証

目的

同期するさまざまなオブジェクトの統計情報、ファブリックと制御インターフェイスhello、クラスタ内の監視対象インターフェイスのステータスに関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster statistics 入力します。

シャーシ クラスタ コントロール プレーン統計情報の検証

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster control-plane statistics 入力します。

シャーシ クラスタ データ プレーン統計情報の検証

目的

サービスで送受信されるRNOの数に関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster data-plane statistics 入力します。

シャーシ クラスタ冗長性グループ ステータスの検証

目的

クラスター内の両方のノードの状態と優先度、およびプライマリ ノードがプリエンプトされたかどうか、または手動フェイルオーバーが行われているかどうかに関する情報を検証します。

アクション

動作モードから、 コマンドを chassis cluster status redundancy-group 入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、これらのコマンドを show 入力します。

「」も参照

例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(J-Web)

  1. クラスタリングを有効にします。 例: CLI(アクティブ/パッシブ シャーシ クラスタ ペア)の設定のステップ 1 を参照してください。

  2. 管理インターフェイスを設定します。 例: CLI(アクティブ/パッシブ シャーシ クラスタ ペア)の設定のステップ 2 を参照してください。

  3. ファブリックインターフェイスを設定します。 例: CLI(アクティブ/パッシブ シャーシ クラスタ ペア)の設定のステップ 3 を参照してください。

  4. 冗長性グループを設定します。

    • を選択します Configure>Chassis Cluster

    • 次の情報を入力し、 をクリックします Apply

      1. 冗長 ether-Interface Count: 2

      2. ハートビート間隔: 1000

      3. ハートビートしきい値: 3

      4. ノード: 0

      5. グループ番号: 0

      6. 優先 順位: 100

    • 次の情報を入力し、 をクリックします Apply

      1. ノード: 0

      2. グループ番号: 1

      3. 優先 順位: 1

    • 次の情報を入力し、 をクリックします Apply

      1. ノード: 1

      2. グループ番号: 0

      3. 優先 順位: 100

  5. 冗長イーサネット インターフェイスを設定します。

    • を選択します Configure>Chassis Cluster

    • を選択します ge-0/0/4

    • 冗長親ボックスに を入力 reth1 します。

    • をクリックします Apply

    • を選択します ge-7/0/4

    • 冗長親ボックスに を入力 reth1 します。

    • をクリックします Apply

    • を選択します ge-0/0/5

    • 冗長親ボックスに を入力 reth0 します。

    • をクリックします Apply

    • を選択します ge-7/0/5

    • 冗長親ボックスに を入力 reth0 します。

    • をクリックします Apply

    • 過去 4 つの設定については、「 例: アクティブ/パッシブ シャーシ クラスタ ペア(CLI) の設定」のステップ 5 を参照してください。

  6. セキュリティ ゾーンを設定します。 例: CLI(アクティブ/パッシブ シャーシ クラスタ ペア)の設定のステップ 6 を参照してください。

  7. セキュリティ ポリシーを設定します。 例: CLI(アクティブ/パッシブ シャーシ クラスタ ペア)の設定のステップ 7 を参照してください。

  8. をクリックOKして構成を確認し、候補の構成として保存してから、 [>Commit] をクリックしますCommit Options

「」も参照

IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタの導入について

この場合、クラスタ内の単一のデバイスはIPsecトンネルで終端し、すべてのトラフィックの処理に使用され、もう一方のデバイスは障害が発生した場合にのみ使用されます( 図4を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図 4:アクティブ/パッシブ シャーシ クラスタと IPsec トンネル シナリオ(SRX シリーズ デバイス) Active/Passive Chassis Cluster with IPsec Tunnel Scenario (SRX Series Devices)

アクティブ/パッシブ シャーシクラスタ は、すべて同じ冗長グループに割り当てられた冗長イーサネットインターフェイス(reths)を使用することで実現できます。ノード内のアクティブなグループ内のインターフェイスのいずれかに障害が発生した場合、グループは非アクティブと宣言され、グループ内のすべてのインターフェイスが他のノードにフェールオーバーします。

この構成により、サイト間 IPsec トンネルが、冗長イーサネット インターフェイスがトンネル エンドポイントとして使用されるアクティブ/パッシブ クラスターで終端できます。障害が発生した場合、バックアップSRXシリーズデバイスの冗長イーサネットインターフェイスがアクティブになり、トンネルが新しいアクティブなSRXシリーズデバイスでエンドポイントを強制的に終了するように変更します。トンネルキーとセッション情報はシャーシクラスタのメンバー間で同期されるため、フェイルオーバーでトンネルを再ネゴシエートする必要がなく、確立されたすべてのセッションが維持されます。

RG0(ルーティング エンジン)に障害が発生した場合、ルーティング プロトコルは新しいプライマリ ノードで再確立する必要があります。VPN監視またはデッドピア検出が設定されており、新しいRG0プライマリでのルーティング再コンバージェンスの前にタイマーが終了した場合、VPNトンネルはダウンして再ネゴシエートされます。

動的トンネルは、異なるSPC間で負荷分散できません。

「」も参照

例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスタペアの設定

この例では、SRX シリーズ デバイスの IPsec トンネルを使用してアクティブ/パッシブ シャーシ クラスタリングを設定する方法を示します。

要件

開始する前に、以下を行います。

  • 同一のハードウェア構成、1台のSRX1500デバイス、4台のEXシリーズイーサネットスイッチを備えた2つのSRX5000モデルを入手できます。

  • 2台のデバイスを物理的に接続し(ファブリックとコントロールポートの場合はバックツーバック)、それらが同じモデルであることを確認します。SRX5000 シリーズでは、ファブリックとコントロール ポートの両方を設定できます。

  • 2台のデバイスをクラスタモードに設定し、デバイスを再起動します。例えば、以下のように、両方のデバイスに以下の動作モードコマンドを入力する必要があります。

    • ノード0:

    • ノード1:

    クラスタIDは両方のデバイスで同じですが、1台のデバイスがノード0で、もう一方のデバイスがノード1であるため、ノードIDは異なる必要があります。クラスタIDの範囲は1~255です。クラスタ ID を 0 に設定すると、クラスタの無効化に相当します。

    15 を超えるクラスター ID を設定できるのは、ファブリックと制御リンク インターフェイスがバックツーバックで接続されている場合のみです。

  • 同一のハードウェア構成、1台のSRX1500エッジルーター、4台のEXシリーズイーサネットスイッチを備えた2つのSRX5000モデルを入手できます。

  • 2台のデバイスを物理的に接続し(ファブリックとコントロールポートの場合はバックツーバック)、それらが同じモデルであることを確認します。SRX5000 シリーズでは、ファブリックとコントロール ポートの両方を設定できます。

この時点から、ノードメンバー間でクラスタの設定が同期され、2つの個別のデバイスが1つのデバイスとして機能します。メンバー固有の設定(各メンバーの管理ポートのIPアドレスなど)は、設定グループを使用して入力されます。

概要

この例では、クラスタ内の単一のデバイスはIPsecトンネルで終端し、すべてのトラフィックの処理に使用され、もう一方のデバイスは障害が発生した場合にのみ使用されます。( 図 5 を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図 5:IPsec トンネル トポロジーを持つアクティブ/パッシブ シャーシ クラスタ(SRX シリーズ デバイス) Active/Passive Chassis Cluster with IPsec Tunnel Topology (SRX Series Devices)

この例では、グループ(コマンドで設定を適用)とシャーシクラスタ情報を apply-groups 設定します。次に、IKE、IPsec、静的ルート、セキュリティゾーン、セキュリティポリシーの各パラメーターを設定します。 表 5 ~ 表 11 を参照してください。

表 5:グループおよびシャーシ クラスタ設定パラメータ

機能

名前

設定パラメータ

グループ

node0

  • ホスト名:SRX5800-1

  • インターフェイス:fxp0

    • ユニット 0

    • 172.19.100.50/24

node1

  • ホスト名:SRX5800-2

  • インターフェイス:fxp0

    • ユニット 0

    • 172.19.100.51/24
表 6:シャーシ クラスタ設定パラメータ

機能

名前

設定パラメータ

ファブリック リンク

fab0

インターフェイス:xe-5/3/0

fab1

インターフェイス:xe-17/3/0

冗長イーサネット インターフェイス数

2

ハートビート間隔

1000

ハートビートのしきい値

3

リダンダンシー グループ

0

  • 優先 順位:

    • ノード0:254

    • ノード 1:1

1

  • 優先 順位:

    • ノード0:254

    • ノード 1:1

インターフェイス監視

  • xe-5/0/0

  • xe-5/1/0

  • xe-17/0/0

  • xe-17/1/0

インターフェイス

xe-5/1/0

冗長親:reth1

xe-5/1/0

冗長親:reth1

xe-5/0/0

冗長親: reth0

xe-17/0/0

冗長親: reth0

reth0

冗長性グループ:1

  • ユニット 0

  • 10.1.1.60/16

reth1

冗長性グループ:1

  • マルチポイント

  • ユニット 0

  • 10.10.1.1/30

st0

  • ユニット 0

  • 10.10.1.1/30
表 7:IKE 設定パラメータ

機能

名前

設定パラメータ

提案

プロポーザルセット標準

-

ポリシー

事前共有

  • モード:メイン

  • プロポーザルリファレンス:プロポーザルセット標準

  • IKEフェーズ1ポリシー認証方法:事前共有キーasciiテキスト

ゲートウェイ

SRX1500-1

  • IKEポリシーリファレンス:各共有

  • 外部インターフェイス:reth0.0

  • ゲートウェイ アドレス:10.1.1.90

メモ:

SRXシャーシクラスタリングでは、IKE外部インターフェイス設定では、rethおよびlo0インターフェイスのみがサポートされます。その他のインターフェイス タイプは設定できますが、IPsec VPN が機能しない場合があります。lo0 論理インターフェイスが IKE ゲートウェイ外部インターフェイスとして使用されている場合、それはRG0 で設定できません。
表 8:IPsec 設定パラメータ

機能

名前

設定パラメータ

提案

プロポーザルセット標準

ポリシー

Std

Vpn

SRX1500-1

  • IKE ゲートウェイ リファレンス:SRX1500-1

  • IPsecポリシーリファレンス:std

  • インターフェイスへのバインド:st0.0

  • VPN 監視:vpn 監視の最適化

  • 確立されたトンネル:即時にトンネルを確立

メモ:

手動 VPN 名とサイト間ゲートウェイ名を同じにすることはできません。
メモ:

st0.16000 から st0.16385 までのセキュア トンネル インターフェイス(st0)は、マルチノードの高可用性とシャーシ クラスターでの HA 制御リンク暗号化用に予約されています。これらのインターフェイスは、ユーザーが設定できるインターフェイスではありません。インターフェイスは st0.0 から st0.15999 までのみ使用できます。
表 9:スタティック ルート設定パラメータ

名前

設定パラメータ

0.0.0.0/0

ネクスト ホップ:10.2.1.1

10.3.0.0/16

ネクスト ホップ:10.10.1.2
表 10:セキュリティ ゾーンの設定パラメーター

名前

設定パラメータ

信頼

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • reth0.0インターフェイスは、このゾーンにバインドされています。

untrust

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • reth1.0インターフェイスは、このゾーンにバインドされています。

Vpn

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • st0.0インターフェイスは、このゾーンにバインドされています。
表 11:セキュリティ ポリシー設定パラメーター

目的

名前

設定パラメータ

このセキュリティポリシーは、trustゾーンからtrustゾーンへのトラフィックを許可します。

任意

  • 一致条件:

    • 送信元アドレス any

    • 宛先アドレス any

    • アプリケーション

  • アクション: 許可

このセキュリティポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。

vpn-any

  • 一致条件:

    • 送信元アドレス any

    • 宛先アドレス any

    • アプリケーション

  • アクション: 許可

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

IPsecトンネルでアクティブ/パッシブシャーシクラスタペアを設定するには:

  1. 制御ポートを設定します。

  2. 管理インターフェイスを設定します。

  3. ファブリックインターフェイスを設定します。

  4. 冗長性グループを設定します。

  5. 冗長イーサネット インターフェイスを設定します。

  6. IPsecパラメーターを設定します。

  7. 静的ルートを設定します。

  8. セキュリティ ゾーンを設定します。

  9. セキュリティポリシーを設定します。

結果

動作モードから、 コマンドを入力して設定を show configuration 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみが含まれています。システム上の他の設定はすべて省略記号(...)で置き換えられました。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認します。

シャーシ クラスタ ステータスの検証

目的

シャーシ クラスタのステータス、フェイルオーバー ステータス、冗長性グループの情報を確認します。

アクション

動作モードから、 コマンドを show chassis cluster status 入力します。

シャーシ クラスタ インターフェイスの検証

目的

シャーシ クラスタ インターフェイスを検証します。

アクション

動作モードから、 コマンドを show chassis cluster interfaces 入力します。

シャーシ クラスタ統計情報の検証

目的

シャーシ クラスタ サービスおよび制御リンク統計情報(送受信したハートビート)、ファブリック リンク統計(送受信したプローブ)、サービスで送受信した RNO の数に関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster statistics 入力します。

シャーシ クラスタ コントロール プレーン統計情報の検証

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster control-panel statistics 入力します。

シャーシ クラスタ データ プレーン統計情報の検証

目的

サービスで送受信されるRNOの数に関する情報を検証します。

アクション

動作モードから、 コマンドを show chassis cluster data-plane statistics 入力します。

シャーシ クラスタ冗長性グループ ステータスの検証

目的

クラスター内の両方のノードの状態と優先度、およびプライマリ ノードがプリエンプトされたかどうか、または手動フェイルオーバーが行われているかどうかに関する情報を検証します。

アクション

動作モードから、 コマンドを chassis cluster status redundancy-group 入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、これらのコマンドを show 入力します。

例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスタペアの設定(J-Web)

  1. クラスタを有効にします。 「例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定」のステップ1を参照してください。

  2. 管理インターフェイスを設定します。 「例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定」のステップ2を参照してください。

  3. ファブリックインターフェイスを設定します。 「例: IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタ ペアの設定」のステップ 3 を参照してください。

  4. 冗長性グループを設定します。

    • を選択します Configure>System Properties>Chassis Cluster

    • 次の情報を入力し、 をクリックします Apply

      1. 冗長 ether-Interfaces Count: 2

      2. ハートビート間隔: 1000

      3. ハートビートしきい値: 3

      4. ノード: 0

      5. グループ番号: 0

      6. 優先 順位: 254

    • 次の情報を入力し、 をクリックします Apply

      1. ノード: 0

      2. グループ番号: 1

      3. 優先 順位: 254

    • 次の情報を入力し、 をクリックします Apply

      1. ノード: 1

      2. グループ番号: 0

      3. 優先 順位: 1

    • 次の情報を入力し、 をクリックします Apply

      1. ノード: 1

      2. グループ番号: 1

      3. 優先 順位: 1

      4. Preempt: チェック ボックスをオンにします。

      5. インターフェイス モニター—インターフェイス: xe-5/0/0

      6. インターフェイス モニター—Weight: 255

      7. インターフェイス モニター—インターフェイス: xe-5/1/0

      8. インターフェイス モニター—Weight: 255

      9. インターフェイス モニター—インターフェイス: xe-17/0/0

      10. インターフェイス モニター—Weight: 255

      11. インターフェイス モニター—インターフェイス: xe-17/1/0

      12. インターフェイス モニター—Weight: 255

  5. 冗長イーサネット インターフェイスを設定します。

    • を選択します Configure>System Properties>Chassis Cluster

    • を選択します xe-5/1/0

    • 冗長親ボックスに を入力 reth1 します。

    • をクリックします Apply

    • を選択します xe-17/1/0

    • 冗長親ボックスに を入力 reth1 します。

    • をクリックします Apply

    • を選択します xe-5/0/0

    • 冗長親ボックスに を入力 reth0 します。

    • をクリックします Apply

    • を選択します xe-17/0/0

    • 冗長親ボックスに を入力 reth0 します。

    • をクリックします Apply

    • 「例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定」のステップ5を参照してください。

  6. IPsec設定を設定します。 「例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定」のステップ6を参照してください。

  7. 静的ルートを設定します。

    • を選択します Configure>Routing>Static Routing

    • をクリックします Add

    • 次の情報を入力し、 をクリックします Apply

      1. スタティック ルート アドレス: 0.0.0.0/0

      2. ネクストホップ アドレス数: 10.2.1.1

    • 次の情報を入力し、 をクリックします Apply

      1. スタティック ルート アドレス: 10.3.0.0/16

      2. ネクストホップ アドレス数: 10.10.1.2

  8. セキュリティ ゾーンを設定します。 「例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定」のステップ8を参照してください。

  9. セキュリティ ポリシーを設定します。 「例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定」のステップ9を参照してください。

  10. をクリックOKして構成を確認し、候補の構成として保存してから、 [>Commit] をクリックしますCommit Options

関連ドキュメント