マルチノードの高可用性導入のための環境の準備
このトピックでは、マルチノード高可用性展開のための環境を準備するための詳細について説明します。
デバイス モデル
マルチノード高可用性では、ノードと同じSRXシリーズファイアウォールモデルを使用する必要があります。たとえば、SRX5600を 1 つのノードとして使用する場合は、別のSRX5600をもう一方のノードとして使用する必要があります
SRX5000 シリーズのデバイスの場合は、SPC、NPC、および IOC のスロット配置とタイプが同じであることを確認します。
マルチノード高可用性は、以下のデバイスでサポートされています。
- SRX5800、SRX5600、Junos OS リリース 20.4R1 以降を実行する次のコンポーネントでSRX5400:
-
-
サービス処理カード SPC3
-
入出カード IOC3
-
スイッチコントロールボードSCB3およびSCB4
-
ルーティングエンジン RE3
-
- Junos OSリリース22.3R1以降を実行しているSRX4600、SRX4200、SRX4100、およびSRX1500
- Junos OSリリース23.4R1以降を実行しているSRX2300およびSRX1600
- Junos OSリリース24.2R1以降を実行しているSRX4300
- Junos OSリリース22.3R1以降を実行するvSRX仮想ファイアウォール
ソフトウェアバージョン
参加のセキュリティデバイスに互換性のあるバージョンのJunos OSをインストールします。
最新の Junos IKE パッケージ
マルチノード高可用性ソリューションで ICL 暗号化を有効にするには、IKE パッケージをインストールする必要があります。
デフォルトでは、SRXシリーズファイアウォールが起動すると、従来のIKEアーキテクチャが実行されます。新しい IKE アーキテクチャを有効にするには、新しい Junos IKE パッケージをインストールする必要があります。Junos OSソフトウェアのダウンロードイメージに含まれるオプションパッケージです。
次のコマンドを使用して、IKE パッケージをインストールします。
user@host> request system software add optional://junos-ike.tgz
Junos IKEパッケージをインストールした後、インスタンスの後続のソフトウェアアップグレードのために、Junos IKEパッケージは、デバイスにインストールされている新しいJunos OSリリースから自動的にアップグレードされます。
ソフトウェア ライセンス
マルチノード高可用性機能に特定のライセンスは必要ありません。ただし、ライセンスはSRXシリーズごとに固有であり、マルチノード高可用性設定のノード間で共有することはできません。そのため、両方のノードで同一のライセンスを使用する必要があります。両方のSRXシリーズファイアウォールに同一のライセンスセットがない場合、システムは導入の準備ができていません。
ネットワークアクセシビリティ
マルチノード高可用性セットアップの両方のノードは、ICL パスを使用して相互に到達できる必要があります。このパスは、(ICL が暗号化されているかどうかにかかわらず)IP アドレス、プロトコル、およびポートの詳細を使用します。ファイアウォールまたはその他のインスペクションを実施する場合は、ノード間でこの通信が許可されていることを確認してください。
各ノードに使用するフローティング IP アドレスは、ネットワーク経由でルーティング可能な IP (論理ルーティング パス) である必要があります。
ICLをループバックインターフェイス(lo0)または集合型イーサネットインターフェイス(ae0)にバインドし、パスの多様性を保証する複数の物理リンク(LAG/LACP)を用意して、最高の耐障害性を実現することを推奨します。SRXシリーズファイアウォールの収益イーサネットポートを使用して、ICL接続を設定することもできます。収益インターフェイスのトランジットトラフィックを高可用性(HA)トラフィックから分離してください。
IP アドレスに関する考慮事項
表 1 は、マルチノード高可用性導入における IPv4 および IPv6 アドレスのサポートの詳細を示しています。
MNHA 導入タイプ | レイヤー 3 ネットワーク(両端にルーター) | ハイブリッド ネットワーク(一方の端にルーター、もう一方の端にスイッチ) | デフォルト ゲートウェイ (両端にスイッチ) |
---|---|---|---|
IP 監視用の IPv4 および IPv6 アドレス |
はい | はい | はい |
アクティブ性プローブ用のIPv4およびIPv6アドレス |
はい | はい | はい |
仮想 IPv4 および IPv6 アドレス |
適用外 | はい | はい |
マルチノード高可用性セットアップでは、論理インターフェイス(IFL)ごとに VIP を 1 つだけ設定します。複数の VIP またはデュアルスタックの使用はサポートされていません。
マルチノード高可用性設定でのIPアドレスプールの使用
マルチノード高可用性で複数の SRG(アクティブ/アクティブ モード)を設定する場合は、アクセスプロファイル内の SRG が使用するアドレスプールが重複しないようにしてください。また、異なる SRG に接続されているホストの RADIUS サーバで設定されたアドレスとアドレス プールが一意であることも確認します。
例:以下のサンプルは、SRG1 と SRG2 のそれぞれアクセスプロファイル localpool
と localpool2
を使用したアドレス プール設定を示しています。
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
この例では、サービス冗長性グループ(SRG1 と SRG2)が同じネットワーク内にあります(192.0.2.0/24)。ただし、アドレスプール内のIPアドレスは、重複を避けるために分散されます(SRG1の場合は192.0.2.1/24—192.0.2.127、SRG2の場合は192.0.2.128—192.0.2.255)。
同様に、RADIUS サーバーのユーザー設定には、一意の IP アドレスとアドレス プールを使用する必要があります。
2つのSRGのホストに同じアドレスを割り当てた場合、マルチノード高可用性は新しいホストを削除し、IKEネゴシエーションを停止し、次のメッセージを表示します。
AUTHENTICATION_FAILED as the AUTH response
システムログに次のメッセージが表示されます。
Duplicate assigned IPv4 received, delete new peer