Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

アクティブ/パッシブ シャーシ クラスタ展開

アクティブ/パッシブ シャーシ クラスタの導入について

この場合、クラスタ内の 1 つのデバイスがすべてのトラフィックのルーティングに使用され、もう 1 つのデバイスは障害発生時にのみ使用されます( 図 1 を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図 1:アクティブ/パッシブ シャーシ クラスタ シナリオ Network topology diagram: High availability setup with Juniper Networks devices, showing EX Series switches, SRX Series firewalls, and redundant Ethernet interfaces in Trust and Untrust zones.

アクティブ/パッシブ シャーシクラスター は、すべて同じ冗長グループに割り当てられた冗長イーサネットインターフェイス(reth)を使用することで実現できます。ノード内のアクティブなグループのインターフェイスのいずれかに障害が発生した場合、そのグループは非アクティブと宣言され、グループ内のすべてのインターフェイスが他のノードにフェイルオーバーします。

この構成では、常にクラスタ内の 1 つのノードのみがトラフィックを転送するため、ファブリック リンク上のトラフィックが最小限に抑えられます。

参照

例:SRX5800 ファイアウォールでのアクティブ/パッシブ シャーシ クラスタの設定

この例では、SRX5800ファイアウォールで基本的なアクティブ/パッシブ シャーシ クラスタリングを設定する方法を示しています。

必要条件

開始する前に、以下を実行します。

  • 同じハードウェア構成のSRX5800ファイアウォールが2台必要で、エンドツーエンドのデータトラフィックを送信するためには、オプションで1台のMX480 エッジルーターと1台のEX9214イーサネットスイッチが必要です。

  • 2 つのデバイスを物理的に接続し(ファブリックと制御ポートをバックツーバックで接続)、それらが同じモデルであることを確認します。

  • クラスタを形成する前に、各デバイスに制御ポートを設定し、各デバイスにクラスタIDとノードIDを割り当てて、再起動する必要があります。システムが起動すると、両方のノードがクラスタとして立ち上がります。

    SRX5400、SRX5600、およびSRX5800ファイアウォールには、制御ポートの設定が必要です。

これでデバイスはペアになりました。これ以降、ノード メンバー間でクラスタの設定が同期され、2台のデバイスは1台のデバイスとして機能します。

概要

この例では、SRXシリーズファイアウォールで基本的なアクティブ/パッシブシャーシクラスタリングを設定する方法を説明します。基本的なアクティブ/パッシブの例は、最も一般的なタイプのシャーシ クラスタです。

基本的なアクティブ/パッシブ シャーシ クラスタは、2 つのデバイスで構成されています。

  • 1台のデバイスが、シャーシクラスターの制御を維持しながら、ルーティング、ファイアウォール、NAT、VPN、セキュリティサービスをアクティブに提供します。

  • もう一方のデバイスは、アクティブデバイスが非アクティブになった場合に備えて、クラスタフェイルオーバー機能のためにその状態を受動的に維持します。

このSRX5800ファイアウォールのアクティブ/パッシブモードの例では、NAT、セキュリティポリシー、VPNの設定方法などのその他の設定については詳細に説明していません。これらは、基本的にスタンドアロン構成の場合と同じです。ただし、シャーシ クラスタ設定でプロキシ ARPを実行する場合は、RETH インターフェイスが論理設定を保持するため、メンバー インターフェイスではなく reth インターフェイスにプロキシ ARP設定を適用する必要があります。 NAT 用プロキシ ARP の設定(CLI 手順)を参照してください。SRX5800ファイアウォールでVLANとトランクされたインターフェイスを使用して、個別の論理インターフェイス構成を構成することもできます。これらの構成は、VLAN とトランク インターフェイスを使用するスタンドアロン実装と類似しています。

図 2 は、この例で使用されるトポロジーを示しています。

図2:SRXシリーズファイアウォールトポロジーでの基本的なアクティブ/パッシブシャーシクラスタリングの例 Network topology diagram with Juniper devices: Internet cloud to MX480 router, SRX5800 firewalls, and EX9214 switch. High-availability setup.

構成

制御ポートの設定とクラスタ モードの有効化

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

{primary:node0}について

(オプション)EX9214 コア スイッチを素早く構成するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、構成モードから commit を入力します。

EXデバイスの場合

(オプション)MX480エッジルーターを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

MX デバイスの場合

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。

SRXシリーズファイアウォールでシャーシクラスターを設定するには、次の手順に従います。

クラスタモードでは、 commit コマンドを実行すると、ノード間の制御リンクを介して設定が同期されます。コマンドが設定されたデバイスに関係なく、すべてのコマンドは両方のノードに適用されます。

  1. SRX5000ファイアウォールシャーシクラスタ設定は、単一の共通設定内に含まれているため、設定の一部の要素を特定のメンバーのみに割り当てるには、グループと呼ばれるJunos OSノード固有の設定方法を使用する必要があります。 set apply-groups ${node} コマンドは、ノード変数を使用して、ノードにグループを適用する方法を定義します。各ノードはその番号を認識し、それに応じて設定を受け入れます。また、SRX5000ファイアウォールのfxp0インターフェイス上で、クラスタの個々のコントロールプレーンに個別のIPアドレスを使用して帯域外管理を設定する必要があります。

    バックアップ ルーターの宛先アドレスを x.x.x.0/0 として設定することはできません。

    上記のグループ node0 と node1 の設定はコミットされますが、適用されません。デバイスがクラスタ内で立ち上がると、これらのコマンドは set apply-groups “${node}”を使用して適用されます。

  2. 以下のコマンドを使用して、プライマリであるノード 0 を設定します。ノード 1 は、ノード構成がコミットされるまで到達できません。ノード 0 は、制御ポートを介してノード 1 に設定を自動的に同期するため、ノード 1 を明示的に設定する必要はありません。

  3. 各デバイスに制御ポートを設定し、設定をコミットします。

    設定に従って、両方のノードのSPCカード間に物理制御リンク接続があることを確認します。

    制御ポートはシャーシ内のSPC位置に基づいて取得され、オフセット値はプラットフォームに基づきます。以下の例では、SPC は収益スロット 1 に存在し、SRX5800 のオフセットが 12 であるため、制御ポートは 1, 13 です。特定のプラットフォームのオフセット値を表示するには、シェル モードで “jwhoami -c” コマンドを使用します。両方のデバイスで次のコマンドを入力する必要があります。例えば:

    • ノード0:

    • ノード1:

  4. 2台のデバイスをクラスタ モードに設定します。クラスタIDとノードIDを設定した後、クラスタモードに入るには再起動が必要です。CLI コマンドラインに reboot パラメータを含めることで、システムを自動的に起動させることができます。両方のデバイスで動作モードコマンドを入力する必要があります。例えば:

    • ノード0:

    • ノード1:

    クラスタIDはクラスタ内の両方のデバイスで同じである必要がありますが、一方のデバイスはノード0でもう一方のデバイスはノード1であるため、ノードIDは異なっている必要があります。クラスタ ID の範囲は 1 から 255 です。クラスタ ID を 0 に設定することは、クラスタを無効にすることと同じです。ただし、 set chassis cluster disable を使用してクラスタからノードを解除することをお勧めします。

  5. シャーシクラスタリングの冗長グループを設定します。各ノードは冗長性グループ内にインターフェイスを持ち、インターフェイスはアクティブ冗長グループ内でアクティブになります(1つの冗長性グループに複数のアクティブインターフェイスが存在できます)。冗長グループ0はコントロールプレーンを制御し、冗長グループ1+はデータプレーンを制御し、データプレーンポートを含みます。このアクティブ/パッシブ モードの例では、一度に 1 つのシャーシ クラスタ メンバーしかアクティブにならないため、冗長グループ 0 と 1 のみを定義する必要があります。冗長性のグループの他に、以下も定義する必要があります。

    • 冗長イーサネットグループ—システムが適切なリソースを割り当てられるように、デバイス上でアクティブになる冗長イーサネットインターフェイス(メンバーリンク)の数を設定します。

    • コントロールプレーンとデータプレーンの優先度:コントロールプレーンの優先度(シャーシクラスターでは優先度の高い優先度が優先される)と、データプレーンに対してアクティブにすることを優先するデバイスを定義します。

      • アクティブ/パッシブモードまたはアクティブ/アクティブモードでは、コントロールプレーン(冗長グループ0)をデータプレーン(冗長グループ1+およびグループ)シャーシとは異なるシャーシ上でアクティブにすることができます。ただし、この例では、同じシャーシメンバー上でコントロールプレーンとデータプレーンの両方をアクティブにすることを推奨します。トラフィックがファブリックリンクを通過して別のメンバーノードに移動すると、遅延が発生します(zラインモードトラフィック)。

      • SRXシリーズファイアウォール(SRX5000シリーズ)では、IPSec VPNはZモードのアクティブ/アクティブシャーシクラスター設定(つまり、複数のRG1+冗長グループがある場合)ではサポートされません。

  6. アクティブ/パッシブモードでRTOを渡すために使用されるクラスターのファブリック(データ)ポートを設定します。この例では、revenue ポートの 1 つを使用します。互いに接続するために、各シャーシに 1 つずつ、合計 2 つのファブリック インターフェイスを定義します。

    データプレーンのフェイルオーバーが発生した場合、もう一方のシャーシクラスタメンバーがシームレスに接続を引き継ぐことができるように、プラットフォーム上のデータインターフェイスを設定します。新しいアクティブノードへのシームレスな移行は、データプレーンのフェイルオーバーで行われます。コントロールプレーンのフェイルオーバーの場合、すべてのデーモンが新しいノードで再起動されるため、ピア(ospf、bgp)とのネイバーシップが失われないようにグレースフルリスタートが可能になります。これにより、パケットロスが発生することなく、新しいノードにシームレスに移行できます。

    以下の項目を定義する必要があります。

    • reth インターフェイスに対するメンバー インターフェイスのメンバーシップ情報を定義します。

    • rethインターフェイスがどの冗長性グループに属しているかを定義します。このアクティブ/パッシブの例では、常に 1 です。

    • インターフェイスのIPアドレスなどのrethインターフェイス情報を定義します。

  7. (オプション)障害発生時のシャーシ クラスタの動作を設定します。SRX5800 ファイアウォールの場合、フェールオーバーのしきい値は 255 に設定されます。重みを変更して、シャーシのフェールオーバーへの影響を判断できます。また、制御リンクの回復も設定する必要があります。このリカバリにより、制御リンクに障害が発生した場合にセカンダリ ノードが自動的に再起動され、その後オンラインに戻ります。ノード0で以下のコマンドを入力します。

    このステップで、SRX5800ファイアウォールのアクティブ/パッシブモードの例のシャーシクラスタ設定部分を完了します。この手順の残りの部分では、ゾーン、仮想ルーター、ルーティング、EX9214コアスイッチ、MX480エッジルーターを設定して導入シナリオを完了する方法を説明します。

  8. (オプション)rethインターフェイスを設定し、適切なゾーンと仮想ルーターに接続します。この例では、reth0およびreth1インターフェイスをデフォルトの仮想ルーターinet.0に残します。これは追加の設定を必要としません。

  9. trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  10. (オプション)EX9214イーサネットスイッチでは、以下のコマンドは、SRX5800ファイアウォールのアクティブ/パッシブモードの例に関連する適用可能な構成の概要のみを提供します。特に顕著なのは、VLAN、ルーティング、およびインターフェイス構成です。

  11. (オプション)MX480エッジルーターの場合、以下のコマンドは、SRX5800ファイアウォールのアクティブ/パッシブモードの例に関連する適用可能な設定の概要のみを提供します。特に、スイッチ上の仮想スイッチ インスタンス内で IRB インターフェイスを使用する必要があります。

検証

設定が正常に機能していることを確認します。

シャーシ クラスタ ステータスの確認

目的

シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。

アクション

動作モードから show chassis cluster status コマンドを入力します。

シャーシ クラスタ インターフェイスの確認

目的

シャーシ クラスタ インターフェイスに関する情報を検証します。

アクション

動作モードから show chassis cluster interfaces コマンドを入力します。

シャーシ クラスタ統計情報の確認

目的

シャーシ クラスタ サービスおよび制御リンク統計情報(送受信したハートビート)、ファブリック リンク統計情報(送受信したプローブ)、およびサービスで送受信された RTO 数に関する情報を検証します。

アクション

動作モードから show chassis cluster statistics コマンドを入力します。

シャーシ クラスタ コントロール プレーン統計情報の確認

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計情報(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから show chassis cluster control-plane statistics コマンドを入力します。

シャーシ クラスタ データ プレーン統計情報の確認

目的

サービスで送受信されたRTO数に関する情報を確認します。

アクション

動作モードから show chassis cluster data-plane statistics コマンドを入力します。

EXデバイスからのpingの確認

目的

EXデバイスから接続状態を確認します。

アクション

動作モードから ping 172.16.1.254 count 2 コマンドを入力します。

シャーシ クラスタ冗長グループ ステータスの確認

目的

クラスタ内の両ノードの状態と優先度、プライマリ ノードの事前対応の有無または手動フェイルオーバーの有無に関する情報を検証します。

アクション

動作モードから chassis cluster status redundancy-group コマンドを入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、以下の show log コマンドを入力します。

参照

例:アクティブ/パッシブ シャーシ クラスタ ペア(SRX1500またはSRX1600)の設定

この例では、SRX1500またはSRX1600デバイスに対してアクティブ/パッシブ シャーシ クラスタリングを設定する方法を示しています。

必要条件

開始する前に、以下を実行します。

  1. 2 組のデバイスを物理的に接続し、それらが同じモデルであることを確認します。

  2. あるデバイス上のギガビットイーサネットインターフェイスを、別のデバイス上の別のギガビットイーサネットインターフェイスに接続して、ファブリックリンクを作成します。

  3. 2台のSRX1500デバイスの制御ポートを接続して、制御リンクを作成します。

  4. コンソール ポートを使用して、デバイスの 1 つに接続します。(これは、クラスターを形成するノードです。をクリックし、クラスタ ID とノード番号を設定します。

  5. コンソール ポートを使用して他のデバイスに接続し、クラスタ ID とノード番号を設定します。

概要

この例では、クラスタ内の 1 つのデバイスがすべてのトラフィックのルーティングに使用され、他のデバイスは障害発生時にのみ使用されます。( 図 3 を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図 3:アクティブ/パッシブ シャーシ クラスタ トポロジー Active/Passive Chassis Cluster Topology

すべて同じ冗長グループに割り当てられる冗長イーサネットインターフェイス(reth)を設定することで、アクティブ/パッシブシャーシクラスターを作成できます。この構成では、常にクラスタ内の 1 つのノードのみがトラフィックを転送するため、ファブリック リンク上のトラフィックが最小限に抑えられます。

この例では、グループ( apply-groups コマンドで設定を適用)とシャーシ クラスタ情報を設定します。次に、セキュリティゾーンとセキュリティポリシーを設定します。 表 1 から 表 4 を参照してください。

表 1:グループおよびシャーシ クラスタの設定パラメータ

特徴

名前

設定パラメータ

グループ

ノード0

  • ホスト名:srx1500-A

  • インタフェース:fxp0

    • ユニット0

    • 192.0.2.110/24

ノード1

  • ホスト名:srx1500-B

  • インタフェース:fxp0

    • ユニット0

    • 192.0.2.111/24
表 2:シャーシ クラスタ設定パラメータ

特徴

名前

設定パラメータ

ファブリックリンク

ファブ0

インターフェイス:ge-0/0/1

ファブ1

インターフェイス:ge-7/0/1

ハートビート間隔

1000

ハートビートしきい値

3

リダンダンシーグループ

0

  • 優先権:

    • ノード 0: 254

    • ノード 1:1

1

  • 優先権:

    • ノード 0: 254

    • ノード 1:1

インターフェイス監視

  • ge-0/0/4

  • ge-7/0/4

  • ge-0/0/5

  • ge-7/0/5

冗長イーサネットインターフェイスの数

2

インターフェイス

ge-0/0/4

冗長な親: reth0

ge-7/0/4

冗長な親: reth0

ge-0/0/5

冗長な親: reth1

ge-7/0/5

冗長な親: reth1

reth0さん

冗長グループ:1

  • ユニット0

  • 198.51.100.1/24

reth1 (レス1)

冗長グループ:1

  • ユニット0

  • 203.0.113.233/24
表 3:セキュリティゾーンの設定パラメータ

名前

設定パラメータ

信託

reth1.0インターフェイスは、このゾーンにバインドされています。

信頼できない

reth0.0インターフェイスは、このゾーンにバインドされています。
表 4: セキュリティポリシー設定パラメータ

目的

名前

設定パラメータ

このセキュリティ ポリシーは、trustゾーンからuntrustゾーンへのトラフィックを許可します。

任意

  • 一致する条件:

    • 送信元アドレス ANY

    • 宛先アドレス any(任意)

    • アプリケーション任意

  • アクション:許可

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手順

アクティブ/パッシブ シャーシ クラスタを設定するには、次の手順に従います。

  1. 管理インターフェイスを設定します。

  2. ファブリックインターフェイスを設定します。

  3. ハートビート設定を構成します。

  4. 冗長性グループを設定します。

  5. 冗長イーサネットインターフェイスを設定します。

  6. セキュリティ ゾーンを設定します。

  7. セキュリティポリシーを設定します。

業績

設定モードから、 show configuration コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

シャーシ クラスタ ステータスの検証

目的

シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。

アクション

動作モードから show chassis cluster status コマンドを入力します。

シャーシ クラスタ インターフェイスの検証

目的

シャーシ クラスタ インターフェイスに関する情報を検証します。

アクション

動作モードから show chassis cluster interfaces コマンドを入力します。

シャーシ クラスタ統計情報の検証

目的

同期するさまざまなオブジェクトの統計情報、ファブリックと制御インターフェイスHello、クラスタ内の監視対象インターフェイスのステータスに関する情報を検証します。

アクション

動作モードから show chassis cluster statistics コマンドを入力します。

シャーシ クラスタ コントロール プレーン統計情報の検証

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計情報(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから show chassis cluster control-plane statistics コマンドを入力します。

シャーシ クラスタ データ プレーン統計情報の検証

目的

サービスで送受信されたRTO数に関する情報を確認します。

アクション

動作モードから show chassis cluster data-plane statistics コマンドを入力します。

シャーシ クラスタ冗長グループ ステータスの検証

目的

クラスタ内の両ノードの状態と優先度、プライマリ ノードの事前対応の有無または手動フェイルオーバーの有無に関する情報を検証します。

アクション

動作モードから chassis cluster status redundancy-group コマンドを入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、以下の show コマンドを入力します。

参照

例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(J-Web)

  1. クラスタリングを有効にします。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 1 を参照してください。

  2. 管理インターフェイスを設定します。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 2を参照してください。

  3. ファブリックインターフェイスを設定します。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 3 を参照してください。

  4. 冗長性グループを設定します。

    • [ Configure>Chassis Cluster] を選択します。

    • 次の情報を入力し、[ Apply] をクリックします。

      1. 冗長 ether-interface count: 2

      2. ハートビート間隔: 1000

      3. ハートビートしきい値: 3

      4. ノード: 0

      5. グループ番号: 0

      6. 優先 順位: 100

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 0

      2. グループ番号: 1

      3. 優先 順位: 1

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 1

      2. グループ番号: 0

      3. 優先 順位: 100

  5. 冗長イーサネットインターフェイスを設定します。

    • [ Configure>Chassis Cluster] を選択します。

    • [ ge-0/0/4] を選択します。

    • 「Redundant Parent」ボックスに「 reth1 」と入力します。

    • [ Apply] をクリックします。

    • [ ge-7/0/4] を選択します。

    • 「Redundant Parent」ボックスに「 reth1 」と入力します。

    • [ Apply] をクリックします。

    • [ ge-0/0/5] を選択します。

    • 「Redundant Parent」ボックスに reth0 と入力します。

    • [ Apply] をクリックします。

    • [ ge-7/0/5] を選択します。

    • 「Redundant Parent」ボックスに「 reth0 」と入力します。

    • [ Apply] をクリックします。

    • 最後の 4 つの設定については、 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI) のステップ 5 を参照してください。

  6. セキュリティ ゾーンを設定します。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 6 を参照してください。

  7. セキュリティポリシーを設定します。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 7 を参照してください。

  8. OK 」をクリックして設定を確認し、設定の候補として保存し、「 Commit Options>Commit」をクリックします。

参照

IPsecトンネルを使用したアクティブ/パッシブシャーシクラスター導入について

この場合、クラスタ内の 1 つのデバイスが IPsec トンネルで終端し、すべてのトラフィックを処理するために使用され、他のデバイスは障害発生時にのみ使用されます( 図 4 を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図 4: IPsecトンネルを使用したアクティブ/パッシブ シャーシ クラスタのシナリオ(SRXシリーズファイアウォール) Network topology with SRX5000 firewalls in high availability setup using reth interfaces for redundancy and EX Series switches in trust and untrust zones. An SRX1500 firewall adds security in the untrust zone.

アクティブ/パッシブ シャーシクラスター は、すべて同じ冗長グループに割り当てられた冗長イーサネットインターフェイス(reth)を使用することで実現できます。ノード内のアクティブなグループのインターフェイスのいずれかに障害が発生した場合、そのグループは非アクティブと宣言され、グループ内のすべてのインターフェイスが他のノードにフェイルオーバーします。

この構成は、冗長イーサネットインターフェイスがトンネルエンドポイントとして使用されるアクティブ/パッシブクラスターでサイトツーサイトIPsec トンネルを終端する方法を提供します。障害が発生すると、バックアップ用のSRXシリーズファイアウォールの冗長イーサネットインターフェイスがアクティブになり、トンネルがエンドポイントを変更して、新しいアクティブなSRXシリーズファイアウォールで終端するように強制されます。トンネルキーとセッション情報はシャーシ クラスタのメンバー間で同期されるため、フェイルオーバー時にトンネルを再ネゴシエートする必要はなく、確立されたすべてのセッションが維持されます。

RG0(ルーティングエンジン)に障害が発生した場合、ルーティングプロトコルは新しいプライマリノードで再確立する必要があります。VPNモニタリングまたはデッドピア検出が設定されていて、ルーティングが新しいRG0プライマリで再コンバージェンスする前にタイマーが切れた場合、VPNトンネルは停止し、再ネゴシエートされます。

動的トンネルは、異なるSPC間でロードバランシングを行うことはできません。

参照

例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスタペアの設定

この例では、SRXシリーズファイアウォールのIPsec トンネルを使用してアクティブ/パッシブシャーシクラスタリングを設定する方法を示しています。

必要条件

開始する前に、以下を実行します。

  • 同一のハードウェア構成の2つのSRX5000モデル、1つのSRX1500またはSRX1600デバイス、4つのEXシリーズイーサネットスイッチを入手できます。

  • 2 つのデバイスを物理的に接続し(ファブリックと制御ポートをバックツーバックで接続)、それらが同じモデルであることを確認します。SRX5000シリーズでは、ファブリックポートと制御ポートの両方を設定できます。

  • 2台のデバイスをクラスタ モードに設定し、デバイスを再起動します。たとえば以下のように、両方のデバイスに動作モードコマンドを入力する必要があります。

    • ノード0:

    • ノード1:

    クラスタIDは両方のデバイスで同じですが、一方のデバイスがノード0でもう一方のデバイスがノード1であるため、ノードIDは異なっている必要があります。クラスタ ID の範囲は 1 から 255 です。クラスタ ID を 0 に設定することは、クラスタを無効にすることと同じです。

    クラスタIDが15を超えると、ファブリックと制御リンクのインターフェイスがバックツーバックで接続されている場合のみ設定できます。

  • 同一のハードウェア構成の2つのSRX5000モデル、1つのSRX1500エッジルーター、および4つのEXシリーズイーサネットスイッチを入手できます。

  • 2 つのデバイスを物理的に接続し(ファブリックと制御ポートをバックツーバックで接続)、それらが同じモデルであることを確認します。SRX5000シリーズでは、ファブリックポートと制御ポートの両方を設定できます。

これ以降、ノード メンバー間のクラスタ設定は同期され、2台のデバイスは1台のデバイスとして機能します。メンバー固有の設定(各メンバーの管理ポートのIPアドレスなど)は、設定グループを使用して入力されます。

概要

この例では、クラスタ内の 1 つのデバイスが IPsec トンネルで終端し、すべてのトラフィックの処理に使用され、もう一方のデバイスは障害発生時にのみ使用されます。( 図 5 を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図 5:IPsecトンネルトポロジーを使用したアクティブ/パッシブシャーシクラスター(SRXシリーズファイアウォール) Network topology showing Juniper SRX5000 firewalls with redundancy, trust and untrust zones, and connections to EX Series switches.

この例では、グループ( apply-groups コマンドで設定を適用)とシャーシ クラスタ情報を設定します。次に、IKE、IPsec、静的ルート、セキュリティ ゾーン、セキュリティ ポリシー パラメータを設定します。 表 5 から 表 11 を参照してください。

表 5:グループおよびシャーシ クラスタ設定パラメータ

特徴

名前

設定パラメータ

グループ

ノード0

  • ホスト名:SRX5800-1

  • インタフェース:fxp0

    • ユニット0

    • 172.19.100.50/24

ノード1

  • ホスト名:SRX5800-2

  • インタフェース:fxp0

    • ユニット0

    • 172.19.100.51/24
表 6:シャーシ クラスタ設定パラメータ

特徴

名前

設定パラメータ

ファブリックリンク

ファブ0

インターフェイス:xe-5/3/0

ファブ1

インターフェイス:xe-17/3/0

冗長イーサネットインターフェイスの数

2

ハートビート間隔

1000

ハートビートしきい値

3

リダンダンシーグループ

0

  • 優先権:

    • ノード 0: 254

    • ノード 1:1

1

  • 優先権:

    • ノード 0: 254

    • ノード 1:1

インターフェイス監視

  • xe-5/0/0

  • xe-5/1/0

  • xe-17/0/0

  • xe-17/1/0

インターフェイス

xe-5/1/0

冗長な親: reth1

xe-5/1/0

冗長な親: reth1

xe-5/0/0

冗長な親: reth0

xe-17/0/0

冗長な親: reth0

reth0さん

冗長グループ:1

  • ユニット0

  • 10.1.1.60/16

reth1 (レス1)

冗長グループ:1

  • マルチポイント

  • ユニット0

  • 10.10.1.1/30

st0

  • ユニット0

  • 10.10.1.1/30
表 7: IKE 設定パラメータ

特徴

名前

設定パラメータ

建議

プロポーザルセット標準

-

政策

事前共有

  • モード:メイン

  • プロポーザルリファレンス:proposal-set standard

  • IKEフェーズ1ポリシー認証方法: pre-shared-key ascii-text

ゲートウェイ

SRX1500-1

  • IKE ポリシー リファレンス: perShared

  • 外部インターフェイス: reth0.0

  • ゲートウェイ アドレス: 10.1.1.90

手記:

SRXシャーシクラスタリングでは、rethおよびlo0インターフェイスのみがIKE外部インターフェース設定でサポートされています。他のインターフェイス タイプも設定できますが、IPSec VPN が機能しない場合があります。lo0論理インターフェイスがIKEゲートウェイの外部インターフェースとして使用されている場合、RG0で設定することはできません。
表 8: IPsec 設定パラメータ

特徴

名前

設定パラメータ

建議

プロポーザルセット標準

政策

標準

VPN

SRX1500-1

  • IKEゲートウェイリファレンス: SRX1500-1

  • IPsecポリシー リファレンス: std

  • インターフェイスへのバインド: st0.0

  • VPN監視:vpn-monitorに最適化

  • トンネルの確立:トンネルを直ちに確立する

手記:

手動 VPN 名とサイト間ゲートウェイ名を同じにすることはできません。
手記:

st0.16000からst0.16385までのセキュアトンネルインターフェイス(st0)は、マルチノード高可用性とシャーシクラスターでのHA制御リンク暗号化のために予約されています。これらのインターフェイスは、ユーザー設定可能なインターフェイスではありません。st0.0からst0.15999までのインターフェイスのみを使用できます。
表 9: スタティック ルート設定パラメータ

名前

設定パラメータ

0.0.0.0/0

ネクスト ホップ:10.2.1.1

10.3.0.0/16

ネクストホップ:10.10.1.2
表 10: セキュリティゾーン設定パラメータ

名前

設定パラメータ

信託

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • reth0.0インターフェイスは、このゾーンにバインドされています。

信頼できない

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • reth1.0インターフェイスは、このゾーンにバインドされています。

VPN

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • st0.0インターフェイスは、このゾーンにバインドされています。
表 11: セキュリティポリシー設定パラメータ

目的

名前

設定パラメータ

このセキュリティ ポリシーは、trustゾーンからuntrustゾーンへのトラフィックを許可します。

任意

  • 一致する条件:

    • 送信元アドレス ANY

    • 宛先アドレス any(任意)

    • アプリケーション任意

  • アクション:許可

このセキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。

vpn-any(vpn-any)

  • 一致する条件:

    • 送信元アドレス ANY

    • 宛先アドレス any(任意)

    • アプリケーション任意

  • アクション:許可

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手順

IPsec トンネルでアクティブ/パッシブ シャーシ クラスタ ペアを設定するには、次の手順に従います。

  1. 制御ポートを設定します。

  2. 管理インターフェイスを設定します。

  3. ファブリックインターフェイスを設定します。

  4. 冗長性グループを設定します。

  5. 冗長イーサネットインターフェイスを設定します。

  6. IPsecパラメータを設定します。

  7. スタティックルートを設定します。

  8. セキュリティ ゾーンを設定します。

  9. セキュリティポリシーを設定します。

業績

動作モードから、 show configuration コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

シャーシ クラスタ ステータスの検証

目的

シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。

アクション

動作モードから show chassis cluster status コマンドを入力します。

シャーシ クラスタ インターフェイスの検証

目的

シャーシ クラスタ インターフェイスを確認します。

アクション

動作モードから show chassis cluster interfaces コマンドを入力します。

シャーシ クラスタ統計情報の検証

目的

シャーシ クラスタ サービスおよび制御リンク統計情報(送受信したハートビート)、ファブリック リンク統計情報(送受信したプローブ)、およびサービスで送受信された RTO 数に関する情報を検証します。

アクション

動作モードから show chassis cluster statistics コマンドを入力します。

シャーシ クラスタ コントロール プレーン統計情報の検証

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計情報(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから show chassis cluster control-panel statistics コマンドを入力します。

シャーシ クラスタ データ プレーン統計情報の検証

目的

サービスで送受信されたRTO数に関する情報を確認します。

アクション

動作モードから show chassis cluster data-plane statistics コマンドを入力します。

シャーシ クラスタ冗長グループ ステータスの検証

目的

クラスタ内の両ノードの状態と優先度、プライマリ ノードの事前対応の有無または手動フェイルオーバーの有無に関する情報を検証します。

アクション

動作モードから chassis cluster status redundancy-group コマンドを入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、以下の show コマンドを入力します。

例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定(J-Web)

  1. クラスターを有効にします。 例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定のステップ1を参照してください。

  2. 管理インターフェイスを設定します。 例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定のステップ2を参照してください。

  3. ファブリックインターフェイスを設定します。 例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定のステップ3を参照してください。

  4. 冗長性グループを設定します。

    • [ Configure>System Properties>Chassis Cluster] を選択します。

    • 次の情報を入力し、[ Apply] をクリックします。

      1. 冗長 ether-interfaces count: 2

      2. ハートビート間隔: 1000

      3. ハートビートしきい値: 3

      4. ノード: 0

      5. グループ番号: 0

      6. 優先 順位: 254

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 0

      2. グループ番号: 1

      3. 優先 順位: 254

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 1

      2. グループ番号: 0

      3. 優先 順位: 1

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 1

      2. グループ番号: 1

      3. 優先 順位: 1

      4. プリエンプト: チェックボックスを選択します。

      5. インターフェイスモニター—インターフェイス: xe-5/0/0

      6. インターフェイス モニター - 重量: 255

      7. インターフェイスモニター—インターフェイス: xe-5/1/0

      8. インターフェイス モニター - 重量: 255

      9. インターフェイスモニター—インターフェイス: xe-17/0/0

      10. インターフェイス モニター - 重量: 255

      11. インターフェイスモニター—インターフェイス: xe-17/1/0

      12. インターフェイス モニター - 重量: 255

  5. 冗長イーサネットインターフェイスを設定します。

    • [ Configure>System Properties>Chassis Cluster] を選択します。

    • [ xe-5/1/0] を選択します。

    • 「Redundant Parent」ボックスに「 reth1 」と入力します。

    • [ Apply] をクリックします。

    • [ xe-17/1/0] を選択します。

    • 「Redundant Parent」ボックスに「 reth1 」と入力します。

    • [ Apply] をクリックします。

    • [ xe-5/0/0] を選択します。

    • 「Redundant Parent」ボックスに「 reth0 」と入力します。

    • [ Apply] をクリックします。

    • [ xe-17/0/0] を選択します。

    • 「Redundant Parent」ボックスに reth0 と入力します。

    • [ Apply] をクリックします。

    • 例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定のステップ5を参照してください。

  6. IPsec 設定を構成します。 例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定のステップ6を参照してください。

  7. スタティックルートを設定します。

    • [ Configure>Routing>Static Routing] を選択します。

    • [ Add] をクリックします。

    • 次の情報を入力し、[ Apply] をクリックします。

      1. 静的ルート アドレス: 0.0.0.0/0

      2. ネクストホップアドレス: 10.2.1.1

    • 次の情報を入力し、[ Apply] をクリックします。

      1. 静的ルート アドレス: 10.3.0.0/16

      2. ネクストホップアドレス: 10.10.1.2

  8. セキュリティ ゾーンを設定します。 例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定のステップ8を参照してください。

  9. セキュリティポリシーを設定します。 例:IPsecトンネルを使用したアクティブ/パッシブシャーシクラスターペアの設定のステップ9を参照してください。

  10. OK 」をクリックして設定を確認し、設定の候補として保存し、「 Commit Options>Commit」をクリックします。

関連資料