Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

マルチノード高可用性サービス

マルチノード高可用性は、データプレーンのアクティブ/アクティブモードとコントロールプレーンサービスのアクティブ/バックアップモードをサポートします。コントロールプレーンのステートレスサービスとステートフルサービスについては、次のセクションで説明します。

コントロールプレーンステートレスサービス

SRG0は、アプリケーションセキュリティ、IDP、コンテンツセキュリティ、ファイアウォール、NAT、ポリシー、ALGなどのコントロールプレーンの状態なしでサービスを管理します。これらのサービスのフェイルオーバーはデータプレーンレベルでのみ必要であり、これらのサービスの一部はパススルーされます(NAT、ファイアウォール認証を除き、デバイスでは終端しません)。

SRG0 は両方のノードでアクティブな状態を維持し、両方のノードからトラフィックを転送します。これらの機能は、マルチノード高可用性の両方のSRXシリーズファイアウォールで独立して動作します。

コントロールプレーンのステートレスサービスを設定するには:

  • スタンドアロンのSRXシリーズファイアウォールで設定するのと同じように、機能を設定します。
  • 参加するセキュリティデバイスに同じJunos OSバージョン(Junos OS リリース22.3R1以降)をインストールします
  • 両方のノードに同一のライセンスをインストールする
  • 両方のノードに同じバージョンのアプリケーション シグネチャ パッケージまたは IPS パッケージをダウンロードしてインストールします(アプリケーション セキュリティと IDP を使用している場合)。
  • 要件に応じて、条件付きルートアドバタイズメント、ルーティングポリシー、スタティックルートを設定します。
  • マルチノード高可用性では、設定の同期はデフォルトで行われません。アプリケーションをグループの一部として設定し、 peer synchronization オプションを使用して設定を同期するか、各ノードで設定を個別に管理する必要があります。

ネットワークアドレス変換

ファイアウォール、ALG、NATなどのサービスには、コントロールプレーンの状態はありません。このようなサービスでは、ノード間で同期する必要があるのはデータプレーンの状態だけです。

マルチノード高可用性設定では、1つのデバイスが一度にNATセッションを処理し、フェイルオーバーが発生するともう1つのデバイスがアクティブな役割を引き継ぎます。そのため、1 つのデバイスではセッションがアクティブなままになり、もう 1 つのデバイスでは、フェールオーバーが発生するまでセッションがウォーム(スタンバイ)状態になります。

NATセッションとALG状態オブジェクトは、ノード間で同期されます。1 つのノードに障害が発生した場合、2 番目のノードは、NAT 変換を含む、障害が発生したデバイスからの同期されたセッションのトラフィックの処理を続行します。

両方のSRXシリーズファイアウォールで、同じパラメーターを使用してNATルールとプールを作成する必要があります。NAT トラフィック(NAT プール IP アドレス宛て)の応答パスを正しい SRXシリーズ ファイアウォール(アクティブデバイス)に誘導するには、アクティブ/バックアップデバイスの両方で必要なルーティング設定を行う必要があります。つまり、ルーティングプロトコルを介して隣接するルーティングデバイスにアドバタイズされるルートを指定する必要があります。したがって、ポリシーオプションとルート設定も設定する必要があります。

両方のデバイスでNAT固有の運用コマンドを実行すると、同じ出力が表示されます。ただし、NAT ルール/プール内部の数値 ID がノード間で異なる場合もあります。数値IDが異なっていても、フェイルオーバー時のセッション同期/NAT変換には影響しません。

ファイアウォールユーザー認証

ファイアウォール認証を使用すると、ユーザーを個別に、またはグループで制限または許可できます。ユーザーは、ローカルパスワードデータベースまたは外部パスワードデータベースを使用して認証できます。

マルチノード高可用性は、次の認証方法をサポートしています。

  • パススルー認証
  • Web リダイレクト認証によるパススルー
  • Web 認証

ファイアウォールユーザー認証は、アクティブなコントロールプレーン状態を持つサービスであり、ノード間でコントロールプレーンとデータプレーン状態を同期する必要があります。マルチノード高可用性セットアップで作業中、ファイアウォールユーザー認証機能は両方のSRXシリーズファイアウォールで独立して動作し、ノード間で認証テーブルを同期します。ユーザが正常に認証されると、認証エントリが他のノードに同期され、show コマンドを実行すると両方のノードに表示されます(例: show security firewall-authentication users )。

手記:

ノード間で設定を同期する場合は、認証、ポリシー、送信元ゾーン、宛先ゾーンの詳細が両方のノードで一致することを確認します。設定で同じ順序を維持することで、両方のノード間で認証エントリーを正常に同期させることができます。

ステートメントを使用して 1 つのノードの認証エントリを clear security user-identification local-authentication-table クリアする場合は、もう一方のノードの認証エントリもクリアしてください。

非対称トラフィック構成の場合も同じ方法に従います。

マルチノード高可用性は、Juniper Identity Management Service(JIMS)をサポートしてユーザーID情報を取得します。各ノードは、JIMS サーバーから認証エントリを取得し、個別に処理します。このため、ファイアウォールユーザー認証コマンドはノードごとに個別に実行する必要があります。たとえば、show コマンドを使用して認証エントリーを表示すると、各ノードは、現在処理している認証エントリーのみを表示します(スタンドアロンモードで独立して作業している場合と同様)。

Express Pathのサポート

MNHA の Express Path(以前は サービス オフローディングと呼ばれていました)(SRG0 と SRG1+ の両方)は、フェイルオーバー後のシームレスなパケット転送を確保して遅延を削減します。この機能は、アクティブ ノードが動作している間に、ステートフルおよびスタティック SOFセッションを他のノードにインストールし、コントロール プレーン メッセージによって即座にフェイルオーバーの準備ができるようにします。

システムは、他のノードで SOF セッションが早期にエージングするのを防ぎ、セッションの整合性を維持し、プライマリ ロールの移行中に最初のパケット処理をシームレスに処理します。さらに、SOFセッションの削除と再インストールを選択することで、新しい障害が発生したノードでのセッション処理に対処し、最新の管理を保証します。

この機能のサポートは、レイヤ 3(ルーティング)モードで動作するマルチノード高可用性システムで利用できます。Express Path の詳細については、「 Express Path の概要」を参照してください。

マルチノード高可用性ノード間の設定同期

マルチノード高可用性では、2つのSRXシリーズファイアウォールが独立したデバイスとして機能します。これらのデバイスには、fxp0インターフェイス上に一意のホスト名とIPアドレスがあります。これらのデバイスでは、ALG、ファイアウォール、NATなどのコントロールプレーンステートレスサービスを個別に設定できます。ノード固有のパケットは、常にそれぞれのノードで処理されます。

以下のパケット/サービスは、マルチノード高可用性のノード固有(ローカル)です。

  • ルーティングプロトコルパケットからルーティングエンジンへ

  • SNMPなどの管理サービス、および運用コマンド(showrequest)

  • 認証サービスプロセス(authd)などのプロセスは、RADIUSおよびLDAPサーバーと統合されています。

  • ICL暗号化固有のトンネル制御とデータパケット

マルチノード高可用性の設定同期は、デフォルトでは有効になっていません。特定の設定を他のノードに同期させるには、次のことを行う必要があります。

  • groupsの一部として機能/機能を構成する
  • [edit system commit peers-synchronize] オプションを使用した設定の同期

マルチノード高可用性の両方のデバイスで( peers-synchronize オプションを使用して)設定同期を有効にすると、[groups]で一方のピアで構成した設定は、 コミット アクション時にもう一方のピアに自動的に同期されます。

peers-synchronize ステートメントを有効にしたローカルピアは、その設定をリモートピアにコピーしてロードします。次に、各ピアは、コミットされる構成ファイルに対して構文チェックを実行します。エラーが見つからなければ、設定がアクティブになり、両方のピアで現在の動作設定になります。

設定例については、 例:Junos OS設定グループでマルチノード高可用性を設定するを参照してください

次の構成スニペットは、host-mnha-01 の avpn_config_group の下にあるvpnを示しています。設定を他のピアデバイスhost-mnha-02に同期します。

  1. 参加ピアデバイス(host-mnha-02)のホスト名とIPアドレス、認証の詳細を設定し、 peers-synchronization ステートメントを含めます。

  2. グループ(avpn_config_group)を設定し、適用条件を指定します(ピア host-mnha-01 および host-mnha-02 の場合)

  3. 設定のルートで apply-groups コマンドを使用します。

    設定をコミットすると、Junosはコマンドをチェックし、ノード名と一致するように正しいグループをマージします。

  4. 動作モードから show configuration system コマンドを使用して、同期ステータスを確認します。

    コマンドの出力は、 peers オプションの下にピアSRXシリーズファイアウォールの詳細を表示します。

手記:

設定の同期は動的に行われ、1 つのノードしか使用できない場合、またはノード間で接続が切断されたときに設定変更が行われた場合、もう 1 つのコミットを発行して、もう一方のノードに設定を同期させる必要があります。そうしないと、アプリケーションのノード間で構成に一貫性がなくなります。
手記:
  • 設定の同期は、マルチノード高可用性を機能させるために必須ではありません。ただし、簡単に設定を同期させるには、一方向(ノード0からノード1など)のjunos groups設定でset system commit peers-synchronizeステートメントを使用することを推奨します。
  • 共通の設定を管理するには、アウトオブバンド管理(fxp0)接続を使用して、マルチノード高可用性ノード間で設定の同期を形成することを推奨します。
  • IPsec のユースケースでは、設定の同期が有効になっていない場合、まずバックアップノードで設定をコミットし、次にアクティブノードで設定をコミットする必要があります。

関連資料