Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:デフォルトのゲートウェイ導入で Multinode の高可用性を構成する

概要 この例では、デフォルト ゲートウェイ(レイヤー 2 ネットワーク)の導入において、SRX シリーズ ファイアウォール間で Multinode の高可用性を確立します。

概要

マルチノード高可用性では、参加する SRX シリーズ ファイアウォールは、レイヤー 2 ネットワーク内の独立したノードとして動作します。暗号化された論理シャーシ間リンク(ICL)は、ルーティングされたネットワークを介してノードを接続します。参加ノードは相互にバックアップを行い、システムやハードウェアに障害が発生した場合に高速に同期されたフェイルオーバーを保証します。

マルチノードの高可用性では、アクティブ性はサービス冗長グループ(SRG)レベルで決定されます。SRG1 がアクティブな SRX シリーズ ファイアウォールは、フローティング IP アドレスをホストし、フローティング IP アドレスを使用してトラフィックを誘導します。フェイルオーバー時に、フローティング IP アドレスは古いアクティブ ノードから新しいアクティブ ノードに移動し、通信クライアント デバイスを続行します。

メモ:

Junos OS リリース 22.3R1 時点では、マルチノード高可用性ソリューションで 2 ノード構成をサポートしています。

この例で使用するトポロジーの概要から始めましょう。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 2 つの SRX シリーズ ファイアウォールまたは vSRX 仮想ファイアウォール インスタンス

  • ジュニパーネットワークスEX9214イーサネットスイッチ2台

  • Junos OS リリース 22.3R1

トポロジ

図 1 は、この例で使用したトポロジーを示しています。

図 1:デフォルト ゲートウェイ導入 Multinode High Availability in Default Gateway Deploymentにおけるマルチノードの高可用性

トポロジーに示すように、2つのSRXシリーズファイアウォールが、信頼および信頼できない側のスイッチに接続されています。暗号化された論理シャーシ間リンク(ICL)は、ルーティングされたネットワークを介してノードを接続します。ノードは、ネットワーク上でルーティング可能な IP アドレス(フローティング IP アドレス)を使用して相互に通信します。ループバック インターフェイスは、SRX シリーズ ファイアウォールで IP アドレスをホストするために使用されます。

一般に、SRX シリーズ ファイアウォールのアグリゲート イーサネット(AE)または収益イーサネット ポートを使用して、ICL 接続を設定できます。この例では、ICLにGEポートを使用しています。また、セグメント化を最大限に高めるために、ICLパスにルーティングインスタンスを設定しました。

一般的な高可用性の導入では、ネットワークのノースバウンド側とサウスバウンド側に複数のルーターとスイッチがあります。この例では、SRX シリーズ ファイアウォールの両側で 2 つのスイッチを使用しています。

この例では、SRX-1とSRX-2で静的ルートを使用し、これらのルートをBGPにアドバタイズして、メトリックを追加して、どのSRXシリーズファイアウォールが優先パスにあるかを判断します。または、SRXシリーズファイアウォールでルートリフレクタを使用して、BGP経由で学習したルートをアドバタイズし、それに応じてBGPで一致するようにルーティングポリシーを設定することができます。

マルチノードの高可用性セットアップを構築するには、以下のタスクを実行します。

  • IDを割り当てて、SRXシリーズファイアウォールのペアをローカルノードとピアノードとして設定します。
  • SLG(サービス冗長グループ)を設定します。
  • アクティブ性の決定と適用のための仮想IPアドレスを設定します。
  • IKEv2を使用して、高可用性(ICL)トラフィックのVPNプロファイルを設定します。
  • ネットワーク内のトラフィックを管理するための適切なセキュリティポリシーを設定します。
  • ネットワーク要件に応じて、ステートレスファイアウォールフィルタリングとQoS(サービス品質)を設定します。

  • ネットワーク要件に応じてインターフェイスとゾーンを設定します。リンク暗号化用のIKE、設定同期用のSSHなどのサービスを、ICLに関連付けられたセキュリティゾーンのホストインバウンドシステムサービスとして許可する必要があります。

SRG0 および SRG1 では、以下のオプションを設定できます。

  • SRG1:アクティブ/バックアップ信号ルート、導入タイプ、アクティブ度優先度、プリエンプション、仮想IPアドレス(デフォルトゲートウェイ導入の場合)、アクティブ性プロビングおよびバックアップ時のパケット処理。

  • SRG1:SRG1 の BFD 監視、IP 監視、およびインターフェイス監視オプション。

  • SRG0: 障害時のシャットダウンと障害ルート オプションのインストール

    SRG1 でモニタリング(BFD または IP またはインターフェイス)オプションを設定する場合、SRG0 の下で shutdown-on-failure オプションを設定しないことをお勧めします。

ICL(Interchassis Link)では、以下の構成設定を推奨します。

  • iCL を確立するには、集合型イーサネット インターフェイス(ae0)を使用してループバック(lo0)インターフェイスを使用するか、収益イーサネット インターフェイスを使用します。SRX シリーズ ファイアウォールで使用可能な場合は、専用の HA ポート(コントロール ポートとファブリック ポート)を使用しないでください。
  • MTU を 1514 に設定
  • ICL に使用されるインターフェイスに関連付けられたセキュリティ ゾーンで、以下のサービスを許可します。
    • IKE、高可用性、SSH

    • プロトコルは、必要なルーティング プロトコルによって異なります。

    • BFDは隣接するルートを監視する

構成

始める前に

マルチノードの高可用性構成には、SRX シリーズ ファイアウォールに Junos IKE パッケージが必要です。このパッケージは、デフォルト パッケージとして、または SRX シリーズ ファイアウォールのオプション パッケージとして利用できます。詳細については、 Junos IKEパッケージのサポート を参照してください。

パッケージが SRX シリーズ ファイアウォールにデフォルトでインストールされていない場合は、次のコマンドを使用してインストールします。ICL 暗号化には、この手順が必要です。

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

これらの設定はラボ環境から取得され、参考のために提供されます。実際の構成は、環境固有の要件によって異なる場合があります。

SRX-1デバイス上

SRX-2デバイス上

以下のセクションでは、ネットワークで Multinode の高可用性設定を設定するために必要なスイッチの構成スニペットを示します。

スイッチ上(EX9214イーサネットスイッチ)

スイッチ上(EX9214イーサネットスイッチ)

構成

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

  1. インターフェイスを設定します。

    スイッチに接続するためにインターフェイスge-0/0/3とge-0/0/4を使用し、ICLにはge-0/0/2インターフェイスを使用しています。

  2. ループバックインターフェイスを設定します。

    ループバック インターフェイスに IP アドレス(10.11.0.1)を割り当てます。この IP アドレスは、フローティング IP アドレスとして機能します。

    ループバックインターフェイスを使用することで、任意のポイントで、隣接するデバイスからのトラフィックが(アクティブノードに向かって)フローティングIPアドレスに向かって誘導されるようになります。

  3. セキュリティポリシーを設定します。

    ネットワーク要件に応じてセキュリティポリシーが設定されていることを確認します。この例では、すべてのトラフィックを許可するポリシーを設定します。

  4. セキュリティ ゾーンの設定、ゾーンへのインターフェイスの割り当て、セキュリティ ゾーンに許可されるシステム サービスの指定を行います。

    インターフェイス ge-0/0/3 と ge-0/0/4 をそれぞれ trust ゾーンと untrust ゾーンに割り当てます。lo0.0 インターフェイスを untrust ゾーンに割り当て、パブリック IP ネットワークを介して接続します。インターフェイスge-0/0/2をhalinkゾーンに割り当てます。このゾーンを使用して ICL を設定します。

  5. ルーティングオプションを設定します。

  6. ローカルノードとピアノードの詳細(ノードID、ローカルノードとピアノードのlPアドレス、ピアノードのインターフェイスなど)の両方を設定します。

    GE-0/0/2インターフェイスを使用して、ICLを使用してピアノードと通信します。

  7. IPsec VPNプロファイルIPSEC_VPN_ICLをピアノードにアタッチします。

    ノード間でセキュアな ICL リンクを確立するには、この設定が必要です。

  8. ピアノードの双方向転送検出(BFD)プロトコルオプションを設定します。

  9. ピアノードID 2をサービス冗長グループ0(SRG0)に関連付けます。

  10. サービス冗長グループ1(SRG1)を設定します。

    このステップでは、Multinode の高可用性をデフォルト ゲートウェイ(レイヤー 2 ネットワーク)として設定するため、導入タイプをスイッチングとして指定します。

    SRG1 の仮想 IP(VIP)アドレスとインターフェイスを割り当てます。

  11. SRG1のIPおよびBFD監視パラメーターを設定して、IPアドレスの到達可能性を確認し、ネットワークの障害を検出します。

  12. アクティブ性の適用に必要なアクティブな信号ルートを設定します。

    割り当てるアクティブ信号ルートIPアドレスは、ルート優先アドバタイズメントに使用されます。ステートメントで、ポリシーとともにアクティブな信号ルートを route-exists 指定する policy-options 必要があります。

  13. 要件に従って CA 証明書を設定します。

  14. マルチノードの高可用性の IKE(インターネット鍵交換)構成を定義します。IKE構成は、安全な接続の確立に使用するアルゴリズムとキーを定義します。

    マルチノードの高可用性機能では、IKEバージョンを として構成する必要があります。 v2-only

  15. IPsecプロポーザルプロトコルと暗号化アルゴリズムを指定します。IPsec オプションを指定して、2 台の参加者デバイス間に IPsec トンネルを作成して VPN 通信を保護します。

    オプションを ha-link-encryption 指定すると、ICLが暗号化され、ノード間の高可用性トラフィックフローが保護されます。

    シャーシの高可用性設定では、同じVPN名IPSEC_VPN_ICLを言及 vpn_profile する必要があります。

ソフトウェア アップグレードの設定オプション

Multinode の高可用性では、ソフトウェア アップグレード中にノード上のインターフェイスを閉じることによってトラフィックを迂回させることができます。ここでは、トラフィックはノードを通過できません。詳細については 、マルチノードの高可用性のソフトウェア アップグレード を参照してください。

  1. すべてのトラフィックインターフェイスを「shutdown-on-failure」オプションで設定します。 例:
    注意:

    ICL(インターシャーシ リンク)に割り当てられたインターフェイスは使用しないでください。

結果(SRX-1)

設定モードから、以下のコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

結果(SRX-2)

設定モードから、以下のコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

セキュリティ デバイスで、デバイスを再起動するよう求めるメッセージが表示されます。

検証

設定が正しく機能していることを確認します。

マルチノードの高可用性の詳細を確認する

目的

セキュリティ デバイスに設定されている Multinode 高可用性設定の詳細を表示および検証します。

アクション

動作モードから、以下のコマンドを実行します。

SRX-1 について

SRX-2 について

意味

コマンド出力から以下の詳細を確認します。

  • ローカルノードと、IPアドレスやIDなどのピアノードの詳細。

  • フィールド Encrypted: YES は、トラフィックが保護されていることを示しています。

  • フィールド Deployment Type: SWITCHING は、デフォルトゲートウェイ(スイッチング)モード設定を示しています。つまり、ネットワークのスイッチは両端で接続されています(レイヤー2ネットワーク)。

  • フィールド Services Redundancy Group: 1 は、そのノードの SRG1(ACTIVE または BACKUP)のステータスを示しています。

マルチノードの高可用性ピアノードステータスの確認

目的

ピアノードの詳細を表示および検証します。

アクション

動作モードから、以下のコマンドを実行します。

SRX-1

SRX-2

意味

コマンド出力から以下の詳細を確認します。

  • 使用されたインターフェイス、IPアドレス、IDなどのピアノードの詳細。

  • 暗号化ステータス、接続ステータス、コールド同期ステータス

  • ノード全体のパケット統計。

マルチノードの高可用性サービス冗長グループの確認

目的

SLG が構成され、正しく動作していることを確認します。

アクション

動作モードから、以下のコマンドを実行します。

SRG0 の場合:

SRG1 の場合:

意味

コマンド出力から以下の詳細を確認します。

  • 導入タイプ、ステータス、アクティブおよびバックアップシグナルルートなどのピアノードの詳細。

  • IP アドレスや仮想 MAC アドレスなどの仮想 IP 情報。

  • IP 監視および BFD 監視ステータス。

フェイルオーバーの前後に、マルチノードの高可用性ステータスを検証する

目的

マルチノードの高可用性セットアップで、フェイルオーバーの前後のノード ステータスの変更を確認します。

アクション

バックアップ ノード(SRX-2)で Multinode の高可用性ステータスを確認するには、運用モードから次のコマンドを実行します。

セクションの Services Redundancy Group: 1 下には、 フィールドが Status: BACKUP 表示されます。このフィールド値は、SRG 1 のステータスがバックアップであることを示しています。

アクティブ ノード(SRX-1 デバイス)でフェイルオーバーを開始し、もう一度バックアップ ノード(SRX-2)で コマンドを実行します。

このセクションでは Services Redundancy Group: 1 、SRG1 のステータスが BACKUP から ACTIVE に変更されていることに注意 してください

また、セクションの下でピアノードの詳細を Peer Information 見ることもできます。出力には、ピアの バックアップとしてのステータスが表示されます。