マルチノード高可用性サービス
マルチノードの高可用性は、データプレーンのアクティブ/アクティブモードとコントロールプレーンサービスのアクティブ/バックアップモードをサポートします。コントロール プレーンのステートレス サービスとステートフル サービスについては、次のセクションで説明します。
コントロール プレーン ステートレス サービス
SRG0は、アプリケーションセキュリティ、IDP、コンテンツセキュリティ、ファイアウォール、NAT、ポリシー、ALGなど、コントロールプレーンの状態がないサービスを管理します。これらのサービスのフェイルオーバーは、データ プレーン レベルでのみ必要であり、これらのサービスの一部はパススルーされます(NAT とファイアウォール認証を除き、デバイスで終了しません)。
SRG0 は両方のノードでアクティブなままで、両方のノードからのトラフィックを転送します。これらの機能は、マルチノード高可用性の両方のSRXシリーズファイアウォールで独立して動作します。
コントロール プレーンのステートレス サービスを設定するには:
- スタンドアロンのSRXシリーズファイアウォールで設定するのと同じように機能を設定します。
- 参加するセキュリティデバイスに同じJunos OSバージョンをインストールする(Junos OSリリース22.3R1以降)
- 両方のノードに同一のライセンスをインストールする
- 両方のノードに同じバージョンのアプリケーション署名パッケージまたはIPSパッケージをダウンロードしてインストールします(アプリケーションセキュリティとIDPを使用している場合)
- 要件に応じて、条件付きルートアドバタイズメント、ルーティングポリシー、スタティックルートを設定します。
- マルチノード高可用性では、構成の同期はデフォルトでは行われません。アプリケーションをグループの一部として構成し、
peer synchronization
オプションを使用して構成を同期するか、各ノードで構成を個別に管理する必要があります。
ネットワーク アドレス変換
ファイアウォール、ALG、NATなどのサービスには、コントロールプレーンの状態はありません。このようなサービスの場合、ノード間で同期する必要があるのは、データ プレーンの状態だけです。
マルチノード高可用性設定では、フェイルオーバーが発生すると、一方のデバイスが一度にNATセッションを処理し、もう一方のデバイスがアクティブな役割を引き継ぎます。そのため、一方のデバイスではセッションはアクティブなままになり、もう一方のデバイスでは、フェールオーバーが発生するまでセッションはウォーム(スタンバイ)状態になります。
NATセッションとALG状態オブジェクトは、ノード間で同期されます。1 つのノードで障害が発生した場合、2 番目のノードは、NAT 変換を含め、障害が発生したデバイスからの同期セッションのトラフィックの処理を続行します。
両方のSRXシリーズファイアウォールで、同じパラメータでNATルールとプールを作成する必要があります。NATトラフィック(NATプールIPアドレス宛て)のレスポンスパスを正しいSRXシリーズファイアウォール(アクティブデバイス)に誘導するには、両方のアクティブ/バックアップデバイスに必要なルーティング設定が必要です。つまり、ルーティングプロトコルを介して隣接するルーティングデバイスにアドバタイズされるルートを指定する必要があります。したがって、ポリシーオプションとルート設定も設定する必要があります。
両方のデバイスでNAT固有の操作コマンドを実行すると、同じ出力が表示されます。ただし、NATルール/プールの内部数値IDがノード間で異なる場合があります。異なる数値 ID は、フェールオーバー時のセッション同期/NAT 変換に影響を与えません。
ファイアウォールユーザー認証
ファイアウォール認証を使用すると、ユーザーを個別に、またはグループで制限または許可できます。ユーザーは、ローカルパスワードデータベースまたは外部パスワードデータベースを使用して認証できます。
マルチノードの高可用性では、以下の認証方法がサポートされています。
- パススルー認証
- Web リダイレクト認証によるパススルー
- ウェブ認証
ファイアウォールのユーザー認証は、アクティブなコントロールプレーン状態のサービスであり、ノード間でコントロールプレーンとデータプレーンの状態を同期する必要があります。マルチノード高可用性セットアップで作業している間、ファイアウォールユーザー認証機能は両方のSRXシリーズファイアウォールで独立して動作し、ノード間で認証テーブルを同期します。ユーザーが正常に認証されると、認証エントリが他のノードに同期され、show コマンドを実行すると両方のノードに表示されます(例: show security firewall-authentication users
)。
ノード間で構成を同期する場合、認証、ポリシー、送信元ゾーン、宛先ゾーンの詳細が両方のノードで一致することを確認します。設定で同じ順序を維持することで、両方のノード間で認証エントリを正常に同期させることができます。
clear security user-identification local-authentication-table ステートメントを使用して一方のノードの認証エントリーをクリアする場合は、もう一方のノードの認証エントリーも必ずクリアしてください。
非対称トラフィック設定の場合も同じ方法に従います。
マルチノードの高可用性は、JIMS(Juniper Identity Management Service)によるユーザーID情報の取得をサポートします。各ノードはJIMSサーバから認証エントリを取得し、独立して処理します。このため、ファイアウォールユーザー認証コマンドを各ノードで個別に実行する必要があります。例えば、show コマンドを使用して認証エントリーを表示すると、各ノードは現在処理している認証エントリーのみを表示します(スタンドアロンモードで独立して動作しているかのように:
マルチノード高可用性ノード間の構成の同期
マルチノード高可用性では、2台のSRXシリーズファイアウォールが独立したデバイスとして機能します。これらのデバイスには、fxp0インターフェイス上の一意のホスト名とIPアドレスがあります。これらのデバイスでは、ALG、ファイアウォール、NATなどのコントロールプレーンのステートレスサービスを個別に設定できます。ノード固有のパケットは、常にそれぞれのノードで処理されます。
以下のパケット/サービスは、マルチノード高可用性のノード固有(ローカル)です。
-
ルーティングエンジンへのプロトコルパケットのルーティング
-
SNMP などの管理サービス、および運用コマンド(
show
、request
) -
認証サービスプロセス(authd)など、RADIUSおよびLDAPサーバーと統合されたプロセス
-
ICL暗号化固有のトンネル制御およびデータパケット
マルチノード高可用性での構成の同期は、デフォルトでは有効になっていません。特定の構成を他のノードと同期させる場合は、次のことを行う必要があります。
groups
の一部として機能/機能を構成する[edit system commit peers-synchronize]
オプションを使用した構成の同期
マルチノード高可用性の両方のデバイスで構成の同期を( peers-synchronize
オプションを使用して)有効にすると、一方のピアの [groups] で構成した構成設定は、 コミット アクション時にもう一方のピアと自動的に同期されます。
peers-synchronize
ステートメントを有効にするローカルピアは、その設定をリモートピアにコピーしてロードします。その後、各ピアはコミットされる構成ファイルに対して構文チェックを実行します。エラーが見つからなければ、設定が有効になり、両方のピアで現在の動作設定となります。
次の構成スニペットは、host-mnha-01 の avpn_config_group
の下の VPN 構成を示しています。設定を他のピアデバイスhost-mnha-02に同期します。
- 参加しているピアデバイス(host-mnha-02)のホスト名と IP アドレス、認証の詳細を設定し、
peers-synchronization
ステートメントを含めます。On host-mnha-01 [edit] set system commit peers-synchronize set system commit peers host-mnha-02 user user-02 set system commit peers host-mnha-02 authentication "$ABC" set system services netconf ssh set system static-host-mapping host-mnha-02 inet 10.157.75.129
-
グループを設定し(avpn_config_group)、適用条件を指定します(ピアがhost-mnha-01とhost-mnha-02の場合)
On host-mnha-01 set groups avpn_config_group when peers host-mnha-01 set groups avpn_config_group when peers host-mnha-02 set groups avpn_config_group security ike proposal avpn_IKE_PROP authentication-method rsa-signatures set groups avpn_config_group security ike proposal avpn_IKE_PROP dh-group group14 set groups avpn_config_group security ike proposal avpn_IKE_PROP authentication-algorithm sha1 set groups avpn_config_group security ike proposal avpn_IKE_PROP encryption-algorithm aes-128-cbc set groups avpn_config_group security ike proposal avpn_IKE_PROP lifetime-seconds 3600 set groups avpn_config_group security ike policy avpn_IKE_POL proposals avpn_IKE_PROP set groups avpn_config_group security ike policy avpn_IKE_POL certificate local-certificate crt2k set groups avpn_config_group security ike gateway avpn_ike_gw ike-policy avpn_IKE_POL set groups avpn_config_group security ike gateway avpn_ike_gw dynamic distinguished-name wildcard C=us,O=ixia set groups avpn_config_group security ike gateway avpn_ike_gw dynamic ike-user-type group-ike-id set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection probe-idle-tunnel set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection interval 60 set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection threshold 5 set groups avpn_config_group security ike gateway avpn_ike_gw local-identity hostname srx.juniper.net set groups avpn_config_group security ike gateway avpn_ike_gw external-interface lo0.0 set groups avpn_config_group security ike gateway avpn_ike_gw local-address 10.11.0.1 set groups avpn_config_group security ike gateway avpn_ike_gw version v2-only set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP protocol esp set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP authentication-algorithm hmac-sha1-96 set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP encryption-algorithm aes-128-cbc set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP lifetime-seconds 1800 set groups avpn_config_group security ipsec policy avpn_IPSEC_POL perfect-forward-secrecy keys group14 set groups avpn_config_group security ipsec policy avpn_IPSEC_POL proposals avpn_IPSEC_PROP set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn bind-interface st0.15001 set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn ike gateway avpn_ike_gw set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn ike ipsec-policy avpn_IPSEC_POL set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn traffic-selector ts local-ip 10.19.0.0/8 set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn traffic-selector ts remote-ip 10.4.0.0/8 set groups avpn_config_group security zones security-zone vpn host-inbound-traffic system-services all set groups avpn_config_group security zones security-zone vpn host-inbound-traffic protocols all set groups avpn_config_group security zones security-zone vpn interfaces st0.15001 set groups avpn_config_group interfaces st0 description vpn set groups avpn_config_group interfaces st0 unit 15001 family inet
-
設定のルートで
apply-groups
コマンドを使用します。On host-mnha-01 set apply-groups avpn_config_group
設定をコミットすると、Junosはコマンドをチェックし、ノード名に一致する正しいグループをマージします。
-
運用モードから
show configuration system
コマンドを使用して同期ステータスを確認します。user@host-mnha-01> show configuration system ........... commit { peers { host-mnha-02 { user user user-02; authentication "$ABC123"; } } } static-host-mapping { host-mnha-02 inet 10.157.75.129; } ............
コマンド出力は、 peers オプションの下にピアSRXシリーズファイアウォールの詳細を表示します。
構成の同期は動的に行われ、1 つのノードのみが使用可能なとき、またはノード間の接続が切断されたときに構成の変更が行われた場合は、もう 1 つのコミットを発行して、構成をもう一方のノードに同期させる必要があります。そうしないと、アプリケーションのノード間で構成に一貫性がなくなります。
- 構成の同期は、マルチノードの高可用性を機能させるために必須ではありません。ただし、設定の同期を簡単にするために、一方向(ノード 0 からノード 1 など)の設定で
set system commit peers-synchronize
junos groups
ステートメントを使用することをお勧めします。 - アウトオブバンド管理 (fxp0) 接続を使用して、マルチノード高可用性ノード間の構成同期を形成し、一般的な構成を管理することをお勧めします。
- IPsecのユースケースでは、設定の同期が有効になっていない場合、まずバックアップノードで設定をコミットし、次にアクティブノードで設定をコミットする必要があります。