Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

マルチノード高可用性サービス

マルチノードの高可用性は、データプレーンのアクティブ/アクティブモードとコントロールプレーンサービスのアクティブ/バックアップモードをサポートします。コントロール プレーンのステートレス サービスとステートフル サービスについては、次のセクションで説明します。

コントロール プレーン ステートレス サービス

SRG0は、アプリケーションセキュリティ、IDP、コンテンツセキュリティ、ファイアウォール、NAT、ポリシー、ALGなど、コントロールプレーンの状態がないサービスを管理します。これらのサービスのフェイルオーバーは、データ プレーン レベルでのみ必要であり、これらのサービスの一部はパススルーされます(NAT とファイアウォール認証を除き、デバイスで終了しません)。

SRG0 は両方のノードでアクティブなままで、両方のノードからのトラフィックを転送します。これらの機能は、マルチノード高可用性の両方のSRXシリーズファイアウォールで独立して動作します。

コントロール プレーンのステートレス サービスを設定するには:

  • スタンドアロンのSRXシリーズファイアウォールで設定するのと同じように機能を設定します。
  • 参加するセキュリティデバイスに同じJunos OSバージョンをインストールする(Junos OSリリース22.3R1以降)
  • 両方のノードに同一のライセンスをインストールする
  • 両方のノードに同じバージョンのアプリケーション署名パッケージまたはIPSパッケージをダウンロードしてインストールします(アプリケーションセキュリティとIDPを使用している場合)
  • 要件に応じて、条件付きルートアドバタイズメント、ルーティングポリシー、スタティックルートを設定します。
  • マルチノード高可用性では、構成の同期はデフォルトでは行われません。アプリケーションをグループの一部として構成し、 peer synchronization オプションを使用して構成を同期するか、各ノードで構成を個別に管理する必要があります。

ネットワーク アドレス変換

ファイアウォール、ALG、NATなどのサービスには、コントロールプレーンの状態はありません。このようなサービスの場合、ノード間で同期する必要があるのは、データ プレーンの状態だけです。

マルチノード高可用性設定では、フェイルオーバーが発生すると、一方のデバイスが一度にNATセッションを処理し、もう一方のデバイスがアクティブな役割を引き継ぎます。そのため、一方のデバイスではセッションはアクティブなままになり、もう一方のデバイスでは、フェールオーバーが発生するまでセッションはウォーム(スタンバイ)状態になります。

NATセッションとALG状態オブジェクトは、ノード間で同期されます。1 つのノードで障害が発生した場合、2 番目のノードは、NAT 変換を含め、障害が発生したデバイスからの同期セッションのトラフィックの処理を続行します。

両方のSRXシリーズファイアウォールで、同じパラメータでNATルールとプールを作成する必要があります。NATトラフィック(NATプールIPアドレス宛て)のレスポンスパスを正しいSRXシリーズファイアウォール(アクティブデバイス)に誘導するには、両方のアクティブ/バックアップデバイスに必要なルーティング設定が必要です。つまり、ルーティングプロトコルを介して隣接するルーティングデバイスにアドバタイズされるルートを指定する必要があります。したがって、ポリシーオプションとルート設定も設定する必要があります。

両方のデバイスでNAT固有の操作コマンドを実行すると、同じ出力が表示されます。ただし、NATルール/プールの内部数値IDがノード間で異なる場合があります。異なる数値 ID は、フェールオーバー時のセッション同期/NAT 変換に影響を与えません。

ファイアウォールユーザー認証

ファイアウォール認証を使用すると、ユーザーを個別に、またはグループで制限または許可できます。ユーザーは、ローカルパスワードデータベースまたは外部パスワードデータベースを使用して認証できます。

マルチノードの高可用性では、以下の認証方法がサポートされています。

  • パススルー認証
  • Web リダイレクト認証によるパススルー
  • ウェブ認証

ファイアウォールのユーザー認証は、アクティブなコントロールプレーン状態のサービスであり、ノード間でコントロールプレーンとデータプレーンの状態を同期する必要があります。マルチノード高可用性セットアップで作業している間、ファイアウォールユーザー認証機能は両方のSRXシリーズファイアウォールで独立して動作し、ノード間で認証テーブルを同期します。ユーザーが正常に認証されると、認証エントリが他のノードに同期され、show コマンドを実行すると両方のノードに表示されます(例: show security firewall-authentication users )。

手記:

ノード間で構成を同期する場合、認証、ポリシー、送信元ゾーン、宛先ゾーンの詳細が両方のノードで一致することを確認します。設定で同じ順序を維持することで、両方のノード間で認証エントリを正常に同期させることができます。

clear security user-identification local-authentication-table ステートメントを使用して一方のノードの認証エントリーをクリアする場合は、もう一方のノードの認証エントリーも必ずクリアしてください。

非対称トラフィック設定の場合も同じ方法に従います。

マルチノードの高可用性は、JIMS(Juniper Identity Management Service)によるユーザーID情報の取得をサポートします。各ノードはJIMSサーバから認証エントリを取得し、独立して処理します。このため、ファイアウォールユーザー認証コマンドを各ノードで個別に実行する必要があります。例えば、show コマンドを使用して認証エントリーを表示すると、各ノードは現在処理している認証エントリーのみを表示します(スタンドアロンモードで独立して動作しているかのように:

マルチノード高可用性ノード間の構成の同期

マルチノード高可用性では、2台のSRXシリーズファイアウォールが独立したデバイスとして機能します。これらのデバイスには、fxp0インターフェイス上の一意のホスト名とIPアドレスがあります。これらのデバイスでは、ALG、ファイアウォール、NATなどのコントロールプレーンのステートレスサービスを個別に設定できます。ノード固有のパケットは、常にそれぞれのノードで処理されます。

以下のパケット/サービスは、マルチノード高可用性のノード固有(ローカル)です。

  • ルーティングエンジンへのプロトコルパケットのルーティング

  • SNMP などの管理サービス、および運用コマンド(showrequest)

  • 認証サービスプロセス(authd)など、RADIUSおよびLDAPサーバーと統合されたプロセス

  • ICL暗号化固有のトンネル制御およびデータパケット

マルチノード高可用性での構成の同期は、デフォルトでは有効になっていません。特定の構成を他のノードと同期させる場合は、次のことを行う必要があります。

  • groupsの一部として機能/機能を構成する
  • [edit system commit peers-synchronize]オプションを使用した構成の同期

マルチノード高可用性の両方のデバイスで構成の同期を( peers-synchronize オプションを使用して)有効にすると、一方のピアの [groups] で構成した構成設定は、 コミット アクション時にもう一方のピアと自動的に同期されます。

peers-synchronizeステートメントを有効にするローカルピアは、その設定をリモートピアにコピーしてロードします。その後、各ピアはコミットされる構成ファイルに対して構文チェックを実行します。エラーが見つからなければ、設定が有効になり、両方のピアで現在の動作設定となります。

次の構成スニペットは、host-mnha-01 の avpn_config_group の下の VPN 構成を示しています。設定を他のピアデバイスhost-mnha-02に同期します。

  1. 参加しているピアデバイス(host-mnha-02)のホスト名と IP アドレス、認証の詳細を設定し、 peers-synchronization ステートメントを含めます。

  2. グループを設定し(avpn_config_group)、適用条件を指定します(ピアがhost-mnha-01とhost-mnha-02の場合)

  3. 設定のルートで apply-groups コマンドを使用します。

    設定をコミットすると、Junosはコマンドをチェックし、ノード名に一致する正しいグループをマージします。

  4. 運用モードから show configuration system コマンドを使用して同期ステータスを確認します。

    コマンド出力は、 peers オプションの下にピアSRXシリーズファイアウォールの詳細を表示します。

手記:

構成の同期は動的に行われ、1 つのノードのみが使用可能なとき、またはノード間の接続が切断されたときに構成の変更が行われた場合は、もう 1 つのコミットを発行して、構成をもう一方のノードに同期させる必要があります。そうしないと、アプリケーションのノード間で構成に一貫性がなくなります。
手記:
  • 構成の同期は、マルチノードの高可用性を機能させるために必須ではありません。ただし、設定の同期を簡単にするために、一方向(ノード 0 からノード 1 など)の設定で set system commit peers-synchronizejunos groups ステートメントを使用することをお勧めします。
  • アウトオブバンド管理 (fxp0) 接続を使用して、マルチノード高可用性ノード間の構成同期を形成し、一般的な構成を管理することをお勧めします。
  • IPsecのユースケースでは、設定の同期が有効になっていない場合、まずバックアップノードで設定をコミットし、次にアクティブノードで設定をコミットする必要があります。

関連ドキュメント