このページの目次
シャーシ クラスタの概要
シャーシクラスターは、2つのデバイスが単一のデバイスとして動作するSRXシリーズファイアウォールで高可用性を提供します。シャーシクラスターには、シャーシクラスター設定の一部であるSRXシリーズファイアウォール間の構成ファイルと動的なランタイムセッション状態の同期が含まれます。
シャーシ クラスタの概要
Junos OSは、シャーシクラスタリングを使用して、SRXシリーズファイアウォールの高可用性を提供します。SRXシリーズファイアウォールは、クラスターモードで動作するよう設定できます。このモードでは、1組のデバイスを接続し、単一ノードとして動作するよう設定することで、デバイス、インターフェイス、サービスレベルの冗長性を確保できます。
ステートフルファイアウォールとして機能するSRXシリーズファイアウォールでは、2つのデバイス間のトラフィックの状態を保持することが重要です。シャーシ クラスタの設定では、障害が発生した場合、障害が発生したデバイスがトラフィックを転送していても確立されたセッションがドロップされないように、セッションの持続性が必要です。
シャーシ クラスタとして構成された場合、2つのノードが互いにバックアップします。このとき、1つのノードはプライマリ デバイス、もう1つのノードはセカンダリ デバイスとして動作し、システムやハードウェアの障害発生時に、プロセスのステートフル フェイルオーバーおよびサービスを確保します。プライマリデバイスに障害が発生した場合、セカンダリデバイスがトラフィックの処理を引き継ぎます。クラスタノードは、制御リンクとファブリックリンクと呼ばれる2つのリンクで接続され、シャーシクラスタ内のデバイスは、クラスタ全体の設定、カーネル、PFEセッション状態を同期させて、高可用性、ステートフルサービスのフェイルオーバー、ロードバランシングを促進します。
シャーシ クラスタを有効にするために別途ライセンスは必要ありません。ただし、一部の Junos OS ソフトウェア機能では、この機能をアクティブ化するためにライセンスが必要です。詳細については、 シャーシ クラスタのライセンス要件について、 シャーシ クラスタ内のSRXシリーズ デバイスへのライセンスのインストール 、および シャーシ クラスタ内のSRXシリーズ デバイス上のライセンスの確認を参照してください。ライセンス管理に関する一般的な情報については、『ジュニパー ライセンス ガイド』を参照してください。詳細については、 SRXシリーズサービスゲートウェイの 製品データシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。
シャーシ クラスタのメリット
-
接続の損失につながる単一デバイスの障害を防ぎます。
-
支社/拠点やリモートサイトのリンクを大規模な本社に接続する際に、デバイス間の高可用性を提供します。シャーシ クラスタ機能を活用することで、企業はデバイスやリンクの障害発生時に接続を確保できます。
シャーシ クラスタ機能
シャーシ クラスタの機能には以下が含まれます。
-
クラスタ全体に対して単一のアクティブコントロールプレーンと複数のパケット転送エンジンを備えた、耐障害性に優れたシステムアーキテクチャ。このアーキテクチャでは、クラスターの単一デバイス ビューが表示されます。
-
クラスター内のノード間での構成と動的なランタイム状態の同期。
-
物理インターフェイスの監視と、障害パラメータが設定したしきい値を超えた場合のフェイルオーバー。
シャーシ クラスタ モード
シャーシ クラスタは、アクティブ/アクティブ モードまたはアクティブ/パッシブ モードで設定できます。
-
Active/passive mode: アクティブ/パッシブモードでは、トランジットトラフィックはプライマリノードを通過しますが、バックアップノードは障害発生時のみ使用されます。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送タスクを引き継ぎます。
-
Active/active mode: アクティブ/アクティブ モードでは、クラスターの両方のノードを常に通過するトランジット トラフィックがあります。
シャーシクラスタリングの仕組み
各ノードのコントロールポートは、インターフェイスとサービスの高可用性を促進するために、設定とカーネルの状態を同期するコントロールプレーンを形成するように接続されています。
各ノードのデータプレーンはファブリックポートを介して接続され、統合データプレーンを形成します。
シャーシクラスタを作成する際、各ノードのコントロールポートが接続され、設定とカーネルの状態を同期させるコントロールプレーンが形成され、インターフェイスとサービスの高可用性が実現します。
同様に、各ノードのデータプレーンはファブリックポートを介して接続され、統合データプレーンを形成します。
ファブリックリンクにより、ノード間のフロー処理の管理とセッションの冗長性の管理が可能になります。
コントロールプレーンソフトウェアは、アクティブモードまたはバックアップモードで動作します。シャーシ クラスタとして構成された場合、2つのノードが互いにバックアップします。このとき、1つのノードはプライマリ デバイス、もう1つのノードはセカンダリ デバイスとして動作し、システムやハードウェアの障害発生時に、プロセスのステートフル フェイルオーバーおよびサービスを確保します。プライマリデバイスに障害が発生した場合、セカンダリデバイスがトラフィックの処理を引き継ぎます。
データ プレーン ソフトウェアは、アクティブ/アクティブ モードで動作します。シャーシ クラスタでは、トラフィックがいずれかのデバイスを通過するとセッション情報が更新され、この情報はファブリック リンクを介してノード間で送信されるため、フェイルオーバー発生時に確立されたセッションがドロップされません。アクティブ/アクティブ モードでは、トラフィックが一方のノードでクラスターに到達し、もう一方のノードから出力される可能性があります。デバイスがクラスタに参加すると、そのクラスタのノードになります。一意のノード設定と管理 IP アドレスを除き、クラスタ内のノードは同じ設定を共有します。
どの時点でも、クラスターは保留、プライマリ、セカンダリホールド、セカンダリ、不適格、無効のいずれかの状態になります。状態遷移は、インターフェイス監視、SPU 監視、障害、手動フェイルオーバーなどのあらゆるイベントが原因でトリガーできます。
IPv6クラスタリングのサポート
IPバージョン6(IPv6)を実行するSRXシリーズファイアウォールは、従来のアクティブ/パッシブ(フェイルオーバー)シャーシクラスター構成に加えて、アクティブ/アクティブ(フェイルオーバー)シャーシクラスター構成でも導入できます。インターフェイスは、IPv4アドレス、IPv6アドレス、またはその両方で設定できます。アドレス帳エントリには、IPv4 アドレス、IPv6 アドレス、およびドメイン ネーム システム (DNS) 名の任意の組み合わせを含めることができます。
シャーシ クラスタは、内部インターフェイス gr-0/0/0 を使用してカプセル化された IPv4/IPv6 トラフィックをルーティングするのに使用される GRE(汎用ルーティング カプセル化)トンネルをサポートしています。このインターフェイスは、システムの起動時にJunos OSによって作成され、GREトンネルの処理にのみ使用されます。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
SRXシャーシクラスターの使用例
エンタープライズおよびサービスプロバイダのネットワークでは、カスタマーエッジネットワーク層でさまざまな冗長性と耐障害性の方式を採用しています。この層はインターネットへの入り口またはピアリングポイントを表すため、その安定性と稼働時間は非常に重要です。顧客のトランザクション情報、電子メール、ボイスオーバーIP(VoIP)、およびサイト間のトラフィックはすべて、パブリックネットワークへのこの単一のエントリポイントを利用できます。サイト間VPNが顧客サイトと本社サイト間の唯一の相互接続である環境では、このリンクはさらに重要になります。
従来は、このネットワーク層で冗長性を提供するために、目立たない構成の複数のデバイスが使用されてきましたが、結果はまちまちです。これらの構成では、企業はルーティングと冗長性プロトコルに依存して、高可用性と冗長性のあるカスタマーエッジを実現します。これらのプロトコルは、障害の認識に時間がかかることが多く、ステートフルトラフィックを適切に処理するために必要な同期ができないことが一般的です。エッジ (インターネット間または顧客サイト間) を通過するエンタープライズ トラフィックのかなりの量がステートフルであることを考えると、このネットワーク層の構成における一貫した課題は、フェールオーバーまたは復帰が発生したときにセッション状態が失われないようにすることです。
冗長デバイスの構成におけるもう1つの課題は、異なる構成の個別の物理デバイスを構成、管理、および維持する必要があることです。セキュリティ対策の必要性と複雑さが増すにつれて、構成が一致しない確率も高まるため、これらの構成を同期することも困難な場合があります。セキュリティで保護された環境では、構成の不一致により、接続が失われるなどの単純なものから、完全なセキュリティの逆子のような複雑でコストがかかるものまで、さまざまな原因が生じる可能性があります。顧客エッジでの異常なイベントは稼働時間に影響を与える可能性があり、その結果、顧客にサービスを提供する能力や、場合によっては顧客データを安全に保つ能力に影響を与えます。
冗長なカスタマーエッジ構成の問題に対する答えは、2つ以上のデバイスを単一のデバイスとして動作できる状態認識クラスタリングアーキテクチャを導入することです。このタイプのアーキテクチャのデバイスは、すべてのデバイス間でセッション情報を共有できるため、ほぼ瞬時のフェイルオーバーとステートフルトラフィックの復帰が可能になります。この分野で成功の鍵となるのは、アクティブなセッションの状態を維持しながら、クラスターがフェールオーバーしてトラフィックを元に戻す機能です。
例:SRXシリーズ サービス ゲートウェイをフルメッシュ シャーシ クラスタとして設定するで説明されているSRXシャーシ クラスタ設定を使用すると、システムのダウンタイムを短縮できます。
効果的なクラスタリングアーキテクチャのデバイスは、単一のデバイスとして管理することもできます。単一のコントロールプレーンを共有。この機能は、複数デバイスの管理に伴うOpExを削減するために不可欠です。構成や管理ポータルが異なる個別のデバイスを管理および運用するのではなく、1 つの管理ポイントで同じ機能を提供する複数のデバイスを管理できます。
最後に、クラスタ設定では、デバイスはアクティブなインターフェイスを監視してサービスの状態を判断することができます。効果的なクラスタは、すべての収益インターフェイスをプロアクティブに監視し、障害が検出された場合はバックアップインターフェイスにフェイルオーバーする必要があります。これは、サービス障害 (顧客との通話の切断など) の影響を最小限に抑えるために、ほぼ瞬時の間隔で実行する必要があります。
シャーシ クラスタの制限
SRXシリーズファイアウォールには、以下のシャーシクラスター制限が設けられています。
Chassis Cluster
グループ VPN はサポートされていません。
シャーシクラスター内のすべてのSRXシリーズファイアウォールで、バージョン5およびバージョン8のフロー監視がサポートされています。ただし、バージョン 9 のフロー監視はサポートされていません。
SRXシリーズのファイアウォールがシャーシクラスタモードで動作しているときに、SPCまたはI/Oカード(IOC)でIAチップアクセスの問題が発生した場合、マイナーFPCアラームが作動し、冗長グループのフェイルオーバーがトリガーされます。
SRX5400、SRX5600、および SRX5800 デバイスでは、画面統計データはプライマリ デバイスでのみ収集できます。
SRX4600、SRX5400、SRX5600、および SRX5800 デバイスでは、大規模なシャーシ クラスタ設定で、1,000 を超える論理インターフェイスが使用されている場合、クラスタ ハートビート タイマーをデフォルトの待機時間から増やしてからフェールオーバーをトリガーすることを推奨します。フルキャパシティー実装では、
[edit chassis cluster]
階層のheartbeat-threshold
値とheartbeat-interval
値を変更して、待機時間を 8 秒に増やすことをお勧めします。heartbeat-threshold
値とheartbeat-interval
値の積によって、フェールオーバーまでの時間が定義されます。デフォルト値 (heartbeat-threshold
3 ビート、heartbeat-interval
1000 ミリ秒) では、3 秒の待機時間が生成されます。待機時間を変更するには、製品が目的の設定と等しくなるようにオプション値を変更します。たとえば、
heartbeat-threshold
を 8 に設定し、heartbeat-interval
のデフォルト値 (1000 ミリ秒) を維持すると、待機時間は 8 秒になります。同様に、heartbeat-threshold
を 4 に設定し、heartbeat-interval
を 2000 ミリ秒に設定すると、待機時間は 8 秒になります。SRX5400、SRX5600、および SRX5800 デバイスでは、8 キューの設定はシャーシ クラスタ インターフェイスに反映されません。
Flow and Processing
rethインターフェイスでパケットキャプチャを使用する場合、rethインターフェイス名に基づいて、イングレスパケット用とエグレスパケット用の2つのファイルが作成されます。これらのファイルは、WiresharkやMergecapなどのツールを使用して、デバイスの外部でマージできます。
rethインターフェイスでポートミラーリングを使用する場合、rethインターフェイスを出力インターフェイスとして設定することはできません。出力インターフェイスとして物理インターフェイスを使用する必要があります。
set forwarding-options port-mirroring family inet output
コマンドを使用してrethインタフェースを出力インタフェースとして設定すると、以下のエラーメッセージが表示されます。Port-mirroring configuration error
.Interface type in reth1.0 is not valid for port-mirroring or next-hop-group config
SRXシリーズのファイアウォールがシャーシクラスターモードで動作していて、IAチップ(IAチップはJuniper SPC1およびIOC1の一部。SPCまたはIOC(SPC1/IOC1コントロールプレーン)アクセスの問題に直接影響します。マイナーFPCアラームが作動し、冗長グループのフェイルオーバーがトリガーされます。
シャーシクラスター内のSRXシリーズファイアウォールでは、2つの論理システムが設定されている場合、拡張制限は13,000を超え、これは標準の拡張制限である15,000に非常に近く、5分のコンバージェンス時間になります。この問題は、ルート数を増やすと、マルチキャスト ルートの学習に時間がかかるために発生します。
シャーシ クラスタ内の SRX4600、SRX5400、SRX5600、および SRX5800 デバイスでは、LACP プロセス(lacpd)を実行しているプライマリ ノードがグレースフル再起動または非グレースフル再起動を行った場合、予期しない同期結果を回復するために、新しいプライマリ ノードの lacpd が起動またはインターフェイスとステート マシンをリセットするのに数秒かかることがあります。また、フェイルオーバー時に、システムがトラフィックパケットまたは内部の高優先度パケット(セッションの削除またはタスクの再確立)を処理しているとき、ピア(スイッチ)からの中程度の優先度のLACPパケットが待機キューに押し出され、さらなる遅延が発生します。
フロー監視は、SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、SRX4300デバイスでサポートされています。
Installation and Upgrade
SRX300、SRX320、SRX340、SRX345、SRX380 デバイスでは、クラスタ内のデバイスがインバンド クラスタ アップグレード(ICU)後に自動的に再起動されるため、
reboot
パラメータは使用できません。
Interfaces
lsq-0/0/0 インターフェイスでは、リンク サービス MLPPP、MLFR、および CRTP はサポートされません。
lt-0/0/0 インターフェイスでは、RPM 向け CoS はサポートされていません。
3G ダイヤラ インターフェイスはサポートされていません。
aeインターフェイスでのキューイングはサポートされていません。
Layer 2 Switching
SRXシリーズファイアウォールのフェイルオーバーでは、レイヤー2スイッチ上のアクセスポイントが再起動し、すべてのワイヤレスクライアントが4〜6分間接続を失います。
MIBs
シャーシ クラスタ MIB はサポートされていません。
Monitoring
クラスタごとに設定できる監視IPの最大数は、SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、およびSRX4300デバイスで64です。
SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX1600、SRX2300、および SRX4300 デバイスでは、ストリームモードでロギングが設定されている場合、ログを NSM に送信できません。セキュリティ ログが fxp0 インターフェイスの送信元 IP アドレスの構成をサポートしておらず、ストリーム モードのセキュリティ ログの宛先を fxp0 インターフェイス経由でルーティングできないため、ログを送信できません。つまり、fxp0 インターフェイスと同じサブネット内にセキュリティ ログ サーバーを構成し、fxp0 インターフェイスを介してログ サーバーをルーティングすることはできません。
IPv6
冗長グループの IP アドレス監視は、IPv6 宛先ではサポートされていません。
GPRS
SRX5400、SRX5600、および SRX5800 デバイスでは、APN または IMSI フィルターを GTP プロファイルごとに 600 に制限する必要があります。フィルターの数は、IMSI プレフィックス エントリの数に正比例します。たとえば、1 つの APN が 2 つの IMSI プレフィックス エントリで構成されている場合、フィルターの数は 2 つです。
MIBs
シャーシ クラスタ MIB はサポートされていません。
Nonstop Active Routing (NSR)
-
NSRは、バックアップのルーティングエンジンでルーティングプロトコルプロセス(RPD)を実行することで、インターフェイスとカーネルの情報を保持し、ルーティングプロトコル情報を保存できます。しかし、ほとんどのSRXプラットフォームはまだNSRをサポートしていません。したがって、セカンダリノードには、既存のRPDデーモンはありません。RG0 フェイルオーバーが発生すると、新しい RG0 マスターは新しい RPD を持つため、ピア デバイスと再ネゴシエートする必要があります。バージョン17.4R2以上のSRX5000プラットフォームのみがNSRをサポートできます。
Junos OSリリース12.1X45-D10以降では、フロー監視、パケットキャプチャ、ポートミラーリングなどのサンプリング機能がrethインターフェイスでサポートされます。
関連項目
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。