Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

シャーシ クラスタ ファブリック インターフェイス

シャーシ クラスタ内の SRX シリーズ デバイスは、ファブリック(fab)インターフェイスを使用してセッションを同期し、2 つのシャーシ間でトラフィックを転送します。ファブリック リンクは、同一 LAN 上の 2 つのイーサネット インターフェイス間の物理的な接続です。両方のインターフェイスが同じメディア タイプである必要があります。詳細については、次のトピックを参照してください。

シャーシ クラスタ ファブリック インターフェイスについて

ファブリックは、クラスタの2つのノード間の物理的な接続であり、1対のイーサネットインターフェイスを背中合わせ(各ノードから1つずつ)接続することによって形成されます。

インターフェイスがシステムによって決定される制御リンクとは異なり、ファブリック データ リンクに使用する物理インターフェイスを設定で指定します。

ファブリックはノード間のデータ リンクであり、シャーシ間でトラフィックを転送するために使用されます。もう一方のノードで処理する必要があるノードに到着したトラフィックは、ファブリック データ リンクを介して転送されます。同様に、他のノード上のインターフェイスを介して終了する必要があるノードで処理されたトラフィックは、ファブリック上に転送されます。

このデータ リンクは、ファブリック インターフェイスと呼ばれます。クラスタのパケット転送エンジンはこれを使用して、トランジットトラフィックを送信し、データプレーンソフトウェアの動的なランタイム状態を同期させます。ファブリックは、認証、NAT(ネットワークアドレス変換)、ALG(アプリケーション層ゲートウェイ)、IPsec(IP Security)セッションなどの操作によって作成されたセッション状態オブジェクトの同期を提供します。

ファブリック インターフェイスを作成すると、パケット送信に使用する内部派生 IP アドレスが割り当てられます。

注意:

シャーシ クラスタでファブリック インターフェイスを設定した後、いずれかのノードでファブリック設定を削除すると、冗長グループ 0(RG0)セカンダリ ノードは無効状態に移行します。(デバイスを工場出荷時のデフォルト設定にリセットすると、ファブリック設定が削除され、RG0セカンダリノードが無効状態になります)。ファブリック設定のコミット後は、どちらのデバイスも工場出荷時のデフォルト設定にリセットしないでください。

SRXシリーズファイアウォールでサポートされているファブリックインターフェイスタイプ(SRX300シリーズ、SRX1500、SRX1600、SRX4100/SRX4200、SRX4600、SRX5000ライン)

SRXシリーズのシャーシクラスターの場合、ファブリックリンクは、クラスターにまたがるイーサネットインターフェイスの任意のペアにすることができます。ファブリック リンクは、ギガビット イーサネット インターフェイスの任意のペアにすることができます。例:

  • SRX300、SRX320、SRX340、SRX345 デバイスの場合、ファブリック リンクはギガビット イーサネット インターフェイスの任意のペアにすることができます。SRX380 デバイスの場合、ファブリック リンクは、ギガビット イーサネット インターフェイスの任意のペアまたは 10 ギガビット イーサネット インターフェイスの任意のペアにすることができます。

  • SRX1500 および SRX1600 の場合、ファブリック リンクは、クラスタにまたがるイーサネット インターフェイスの任意のペアにすることができます。ファブリックリンクは、ギガビットイーサネットインターフェイスの任意のペアまたは10ギガビットイーサネットインターフェイスの任意のペアにすることができます。SRX1600の場合、ファブリック リンクは 25 ギガビット イーサネット インターフェイスの任意のペアにすることもできます。

  • SRX4100およびSRX4200デバイスでサポートされているファブリックインターフェイスのタイプは、10ギガビットイーサネット(xe)(10ギガビットイーサネットインターフェイスSFP+スロット)です。

  • SRX4600デバイスでサポートされているファブリックインターフェイスのタイプは、40ギガビットイーサネット(et)(40ギガビットイーサネットインターフェイスQSFPスロット)と10ギガビットイーサネット(xe)です。

  • SRX5000回線デバイスでサポートされているサポートされているファブリックインターフェイスタイプは次のとおりです。

    • ファストイーサネット

    • ギガビットイーサネット

    • 10ギガビットイーサネット

    • 40ギガビットイーサネット

    • 100ギガビットイーサネット

      Junos OSリリース12.1X46-D10およびJunos OSリリース17.3R1以降、100ギガビットイーサネットインターフェイスがSRX5000ラインデバイスでサポートされています。

      Junos OS リリース 19.3R1 以降、SRX5K-IOC4-10G および SRX5K-IOC4-MRAT は、SRX5K-SPC3 とともにSRX5000ライン デバイスでサポートされます。SRX5K-IOC4-10G MPIC は MACsec をサポートしています。

管理、制御、ファブリックリンクでのポートとインターフェイスの使用方法の詳細については、 SRXシリーズシャーシクラスタスロットの番号付けと物理ポートおよび論理インターフェイスの名前付けについてを参照してください。

ジャンボ フレームのサポート

ファブリック データ リンクはフラグメント化をサポートしていません。この状態に対応するため、SRXシリーズファイアウォールの最大送信単位(MTU)サイズが9014バイト(ペイロード9000バイト+イーサネットヘッダー用14バイト)のリンクでは、ジャンボフレームサポートがデフォルトで有効になっています。データリンクを通過するトラフィックがこのサイズを超えないように、他のインターフェイスがファブリックデータリンクのMTUサイズを超えないようにすることを推奨します。

IOC2およびIOC3用SRX5000ラインデバイス上のファブリックインターフェイスについて

Junos OS リリース 15.1X49-D10 より、SRX5K-MPC3-100G10G(IOC3)と SRX5K-MPC3-40G10G(IOC3)が導入されました。

SRX5K-MPC(IOC2)は、SRX5400、SRX5600、および SRX5800 でサポートされているモジュラー ポート コンセントレータ(MPC)です。このインターフェイス・カードは、サービス・ゲートウェイにイーサネット・ポートを追加して、さまざまなネットワーク・メディア・タイプへの物理接続を提供するモジュラー・インターフェイス・カード(MIC)を受け入れます。MPC と MIC は、シャーシ クラスタのファブリック リンクをサポートします。SRX5K-MPCは、ファブリックポートとして、10ギガビットイーサネット(10GEMICx10)、40ギガビットイーサネット、100ギガビットイーサネット、および1GEx20イーサネットポートを提供します。SRX5400デバイスでは、SRX5K-MPC(IOC2)のみがサポートされています。

SRX5K-MPC3-100G10G(IOC3)とSRX5K-MPC3-40G10G(IOC3)は、SRX5400、SRX5600、SRX5800でサポートされているモジュラーポートコンセントレータ(MPC)です。これらのインターフェイス・カードは、モジュラー・インターフェイス・カード(MIC)を受け入れます。モジュラー・インターフェイス・カードは、サービス・ゲートウェイにイーサネット・ポートを追加して、さまざまなネットワーク・メディア・タイプへの物理接続を提供します。MPC と MIC は、シャーシ クラスタのファブリック リンクをサポートします。

MIC を内蔵している IOC3 モジュラー ポート コンセントレータ(MPC)には、24x10GE + 6x40GE MPC と 2x100GE + 4x10GE MPC の 2 種類があります。

電力と熱の制約により、24x10GE + 6x40GEの4つのPICすべての電源を入れることができません。最大2つのPICを同時に電源オンできます。

set chassis fpc <slot> pic <pic> power offコマンドを使用して、電源をオンにするPICを選択します。

シャーシクラスター内のSRX5400、SRX5600、およびSRX5800デバイスで、SRX5K-MPC3-40G10G(IOC3)上のファブリックリンクを含むPICの電源がオフになって代替PICをオンにする場合は、必ず次のことを確認してください。

  • 新しいファブリックリンクは、オンになった新しいPICで設定されます。RTO の損失を最小限に抑えるには、少なくとも 1 つのファブリック リンクが存在し、オンラインになっている必要があります。

  • シャーシ クラスタはアクティブ/パッシブ モードになり、代替リンクがオンラインになった後の RTO 損失を最小限に抑えます。

  • オンになっているPICに代替ファブリックリンクが設定されていない場合、ファブリックリンクが無いため、2つのノード間のRTO同期通信が停止し、シャーシクラスタのセッション状態はバックアップされません。コマンドを使用して、不良シャーシ クラスタ状態 show chassis cluster interfaces を示すこのシナリオの CLI 出力を表示できます。

セッションRTOについて

アクティブ/アクティブモードで動作するデータプレーンソフトウェアは、フロー処理とセッション状態の冗長性を管理し、トランジットトラフィックを処理します。特定のセッションに属するすべてのパケットは、同じノード上で処理され、同じセキュリティ処理が適用されます。システムは、セッションがアクティブであるノードを識別し、そのパケットをそのノードに転送して処理します。(パケットが処理された後、パケット転送エンジンは、そのノードがローカルでない場合、そのエグレスインターフェイスが存在するノードにパケットを送信します。)

セッション(またはフロー)の冗長性を確保するために、データプレーンソフトウェアは、ランタイムオブジェクト(RTO)と呼ばれる特別なペイロードパケットをファブリックデータリンクを介して1つのノードから別のノードに送信することによって、その状態を同期させます。ノード間でセッションに関する情報を送信することで、RTOはフェイルオーバーが発生した場合にセッションの一貫性と安定性を確保し、システムが既存のセッションに属するトラフィックを処理し続けることを可能にします。2つのノード間でセッション情報が常に同期されることを保証するために、データプレーンソフトウェアはRTOにトランジットトラフィックよりも優先される伝送を与えます。

データプレーンソフトウェアは、UDPおよびTCPセッションのRTOを作成し、状態の変化を追跡します。また、汎用ルーティングのカプセル化(GRE)やIPsecなどのIPv4パススループロトコルのトラフィックも同期します。

セッションを同期するためのRTOには、次のものがあります。

  • 最初のパケットでのセッション作成RTO

  • セッション削除とエージアウトRTO

  • 以下を含む変更関連のRTO:

    • TCP 状態の変化

    • タイムアウト同期要求および応答メッセージ

    • ファイアウォール(ピンホール)と子セッションのピンホールに一時的な開口部を作成および削除するためのRTO

データ転送について

Junos OS の場合、フロー処理は、そのフローのセッションが確立され、アクティブな単一ノード上で行われます。このアプローチにより、セッションに属するすべてのパケットに同じセキュリティ対策が適用されます。

シャーシ クラスタは、一方のノードのインターフェイスでトラフィックを受信し、他方のノードのインターフェイスに送信できます。(アクティブ/アクティブ モードでは、トラフィックのイングレス インターフェイスが一方のノードに存在し、そのエグレス インターフェイスが他方のノードに存在する場合があります)。

このトラバーサルは、次の状況で必要です。

  • パケットが一方のノードで処理されているが、もう一方のノードのエグレスインターフェイスから転送する必要がある場合

  • パケットが一方のノードのインターフェイスに到着したが、もう一方のノードで処理する必要がある場合

    パケットのイングレス インターフェイスとエグレス インターフェイスが一方のノード上にあるが、セッションが確立されているため、もう一方のノードでパケットを処理する必要がある場合、パケットはデータ リンクを 2 回通過する必要があります。これは、Voice-over-IP(VoIP)セッションなど、一部の複雑なメディアセッションに当てはまる場合があります。

ファブリックデータリンクの障害と回復について

侵入検出および防止(IDP)サービスはフェイルオーバーをサポートしていません。このため、IDP サービスはフェイルオーバー前に存在していたセッションには適用されません。IDPサービスは、新しいプライマリノードで作成された新しいセッションに適用されます。

ファブリック データ リンクは、シャーシ クラスタにとって不可欠です。リンクが使用できない場合、トラフィック転送と RTO 同期が影響を受け、トラフィックの損失や予測不能なシステム動作が発生する可能性があります。

この可能性を排除するために、Junos OSはファブリック監視を使用して、ファブリックリンクを介してプローブを定期的に送信することにより、ファブリックリンク(デュアルファブリックリンク構成の場合は2つのファブリックリンク)がアクティブかどうかを確認します。Junos OSがファブリックの障害を検出すると、セカンダリノードのRG1+ステータスは不適格に変わります。ファブリックプローブが受信されず、ファブリックインターフェイスがアクティブな場合、ファブリック障害が発生したと判断します。この状態から回復するには、両方のファブリック リンクがオンライン状態に戻り、プローブの交換を開始する必要があります。これが発生するとすぐに、以前に不適格だったノードのすべてのFPCがリセットされます。その後、オンライン状態になり、クラスターに再参加します。

セカンダリ ノードが無効になっているときに設定を変更した場合は、ノードのリブート後に コマンドを実行して設定を commit 同期します。設定を変更しなかった場合、設定ファイルはプライマリノードのファイルと同期されたままになります。

Junos OSリリース12.1X47-D10およびJunos OSリリース17.3R1以降、ファブリック監視機能は、SRX5800、SRX5600、およびSRX5400デバイスでデフォルトで有効になっています。

Junos OSリリース12.1X47-D10およびJunos OSリリース17.3R1以降、ファブリックリンクと同期のリカバリは自動的に行われます。

プライマリ ノードとセカンダリ ノードの両方が正常で(障害がない)、ファブリック リンクがダウンした場合、セカンダリ ノードの RG1+ 冗長グループは対象外になります。ノードの 1 つが異常な場合 (つまり、障害が発生した場合)、このノード (プライマリ ノードまたはセカンダリ ノード) 上の RG1+ 冗長グループは対象外になります。両方のノードが異常でファブリックリンクがダウンした場合、セカンダリノードのRG1+冗長グループは対象外になります。ファブリック リンクがアップすると、RG1+ が不適格になったノードが、すべてのサービス処理ユニットでコールド同期を実行し、アクティブ スタンバイに移行します。

  • RG0 が異常なノードでプライマリである場合、RG0 は異常なノードから正常なノードにフェールオーバーします。たとえば、ノード 0 が RG0+ のプライマリであり、ノード 0 が異常になった場合、ファブリック リンク障害から 66 秒後にノード 0 の RG1+ は不適格に移行し、RG0+ は正常なノードであるノード 1 にフェールオーバーします。

  • RG1+のみが不適格な状態に移行します。RG0 は、プライマリまたはセカンダリ状態のいずれかの状態であり続けます。

CLI コマンドを使用して、 show chassis cluster interfaces ファブリック リンクのステータスを確認します。

関連項目

例:シャーシ クラスタ ファブリック インターフェイスの設定

この例では、シャーシ クラスタ ファブリックを設定する方法を示します。ファブリックは、クラスター内のノード間のバックツーバックのデータ接続です。一方のノード上のトラフィックは、もう一方のノードで処理する必要があるもの、または他方のノードのインターフェイスを介して出る必要があるものは、ファブリック上を通過します。セッション状態情報もファブリック上を通過します。

要件

開始する前に、シャーシ クラスタ ID とシャーシ クラスタ ノード ID を設定します。 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定 を参照してください。

概要

シャーシクラスター内のほとんどのSRXシリーズファイアウォールでは、ノード間のファブリックとして機能するギガビットイーサネットインターフェイスのペアまたは10ギガビットインターフェイスの任意のペアを設定できます。

ファブリックインターフェイスにフィルター、ポリシー、またはサービスを設定することはできません。ファブリック リンクではフラグメンテーションはサポートされていません。ファブリックインターフェイスの最大MTUサイズは9014バイトで、その他のインターフェイスの最大MTUサイズは8900バイトです。メンバーリンクでのジャンボフレームサポートは、デフォルトで有効になっています。

この例では、ファブリック リンクを設定する方法を示します。

ファブリックの子として設定できるのは、同じタイプのインターフェイスのみであり、 と fab1にはfab0同数の子リンクを設定する必要があります。

スイッチを介して各ファブリック リンクを接続する場合は、対応するスイッチ ポートでジャンボ フレーム機能を有効にする必要があります。両方のファブリックリンクが同じスイッチを介して接続されている場合、RTOとプローブのペアは1つの仮想LAN(VLAN)にあり、データペアは別のVLANに存在する必要があります。ここでも、対応するスイッチ ポートでジャンボ フレーム機能をイネーブルにする必要があります。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

シャーシ クラスタ ファブリックを設定するには、次の手順に従います。

  • ファブリックインターフェイスを指定します。

結果

設定モードから、 コマンドを入力して show interfaces 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

シャーシ クラスタ ファブリックの検証

目的

シャーシ クラスタ ファブリックを検証します。

アクション

動作モードから コマンド show interfaces terse | match fab を入力します。

シャーシ クラスタ データ プレーン インターフェイスの検証

目的

シャーシ クラスタ データ プレーン インターフェイスのステータスを表示します。

アクション

CLIから コマンド show chassis cluster data-plane interfaces を入力します。

シャーシ クラスタ データ プレーン統計情報の表示

目的

シャーシ クラスタ データ プレーンの統計情報を表示します。

アクション

CLIから コマンド show chassis cluster data-plane statistics を入力します。

シャーシ クラスタ データ プレーン統計情報の消去

表示されているシャーシ クラスタ データ プレーン統計情報をクリアするには、CLIから コマンドを入力します clear chassis cluster data-plane statistics

関連項目

関連ドキュメント

リリース履歴テーブル
リリース
説明
19.3R1
Junos OS リリース 19.3R1 以降、SRX5K-IOC4-10G および SRX5K-IOC4-MRAT は、SRX5K-SPC3 とともにSRX5000ライン デバイスでサポートされます。SRX5K-IOC4-10G MPIC は MACsec をサポートしています。
15.1X49-D10
Junos OS リリース 15.1X49-D10 より、SRX5K-MPC3-100G10G(IOC3)と SRX5K-MPC3-40G10G(IOC3)が導入されました。
12.1×47
Junos OSリリース12.1X47-D10およびJunos OSリリース17.3R1以降、ファブリック監視機能は、SRX5800、SRX5600、およびSRX5400デバイスでデフォルトで有効になっています。
12.1×47
Junos OSリリース12.1X47-D10およびJunos OSリリース17.3R1以降、ファブリックリンクと同期のリカバリは自動的に行われます。
12.1×46
Junos OSリリース12.1X46-D10およびJunos OSリリース17.3R1以降、100ギガビットイーサネットインターフェイスがSRX5000ラインデバイスでサポートされています。