Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

例:デフォルト ゲートウェイ展開でのマルチノード高可用性の構成

概要 この例では、デフォルトゲートウェイ(レイヤー2ネットワーク)導入において、SRXシリーズファイアウォール間でマルチノード高可用性を確立します。

概要

マルチノード高可用性では、参加するSRXシリーズのファイアウォールは、レイヤー2ネットワーク内の独立したノードとして動作します。暗号化された論理シャーシ間リンク(ICL)は、ルーティングされたネットワークを介してノードを接続します。参加ノードは相互にバックアップし、システムまたはハードウェアに障害が発生した場合に高速同期フェイルオーバーを確保します。

マルチノードの高可用性では、アクティブかどうかはサービス冗長性グループ (SRG) レベルで決定されます。SRG1がアクティブなSRXシリーズファイアウォールは、フローティングIPアドレスをホストし、フローティングIPアドレスを使用してトラフィックを送信します。フェイルオーバー中、フローティング IP アドレスは古いアクティブ・ノードから新しいアクティブ・ノードに移動し、通信クライアント・デバイスを継続します。

メモ:

Junos OS リリース 22.3R1 では、マルチノード高可用性ソリューションで 2 ノード構成をサポートしています。

この例で使用するトポロジの概要から始めましょう。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 2つのSRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンス

  • 2つのジュニパーネットワークスEX9214イーサネットスイッチ

  • Junos OSリリース22.3R1

トポロジ

図 1 に、この例で使用するトポロジを示します。

図 1: デフォルト ゲートウェイ展開 Multinode High Availability in Default Gateway Deploymentにおけるマルチノードの高可用性

トポロジーに示されているように、2台のSRXシリーズファイアウォールが、信頼側と信頼解除側のスイッチに接続されています。暗号化された論理シャーシ間リンク(ICL)は、ルーティングされたネットワークを介してノードを接続します。ノードは、ネットワーク上でルーティング可能なIPアドレス(フローティングIPアドレス)を使用して相互に通信します。ループバックインターフェイスは、SRXシリーズファイアウォールでIPアドレスをホストするために使用されます。

一般に、集約型イーサネット(AE)またはSRXシリーズファイアウォールの収益イーサネットポートを使用して、ICL接続を設定できます。この例では、ICL に GE ポートを使用しました。また、最大限のセグメンテーションを確保するために、ICLパスのルーティングインスタンスも設定しました。

一般的な高可用性展開では、ネットワークのノースバウンド側とサウスバウンド側に複数のルーターとスイッチがあります。この例では、SRXシリーズファイアウォールの両側で2つのスイッチを使用しています。

この例では、SRX-1とSRX-2で静的ルートを使用し、これらのルートをBGPにアドバタイズしてメトリックを追加し、どのSRXシリーズファイアウォールが優先パスにあるかを判断します。または、SRXシリーズファイアウォールでルートリフレクタを使用して、BGP経由で学習したルートをアドバタイズし、それに応じてBGPで一致するようにルーティングポリシーを設定することもできます。

次のタスクを実行して、マルチノードの高可用性セットアップを構築します。

  • IDを割り当てることで、SRXシリーズのファイアウォールのペアをローカルノードおよびピアノードとして設定します。
  • サービス冗長性グループ(SRG)を設定します。
  • アクティブ性の判断と適用のために仮想 IP アドレスを構成します。
  • IKEv2 を使用して、高可用性(ICL)トラフィック用の VPN プロファイルを構成します。
  • ネットワーク内のトラフィックを管理するための適切なセキュリティポリシーを設定します。

  • ネットワークの要件に応じて、ステートレス ファイアウォール フィルタリングとサービス品質 (QoS) を構成します。

  • ネットワークの要件に応じてインターフェイスとゾーンを設定します。リンク暗号化用の IKE や構成同期用の SSH などのサービスを、ICL に関連付けられたセキュリティー・ゾーン上のホスト・インバウンド・システム・サービスとして許可する必要があります。

SRG0 および SRG1 では、次のオプションを設定できます。

  • SRG1:アクティブ/バックアップ信号ルート、展開タイプ、アクティブ優先度、プリエンプション、仮想IPアドレス(デフォルトゲートウェイ展開の場合)、アクティブ性プローブ、およびバックアップ時のパケット処理。

  • SRG1: SRG1でのBFD監視、IP監視、インターフェイス監視オプション。

  • SRG0: 障害発生時のシャットダウンと障害時インストールのルート オプション。

    SRG1 で監視(BFD または IP またはインターフェイス)オプションを設定する場合、SRG0 では障害時のシャットダウン オプションを設定しないことを推奨します。

シャーシ間リンク(ICL)の場合は、次の構成設定をお勧めします。

  • 集合型イーサネットインターフェイス(ae0)を使用してループバック(lo0)インターフェイスを使用するか、任意の収益イーサネットインターフェイスを使用してICLを確立します。専用のHAポート(制御ポートおよびファブリックポート)がSRXシリーズファイアウォールで利用可能な場合は使用しないでください。
  • MTU を 1514 に設定
  • ICL に使用されるインターフェイスに関連付けられたセキュリティ ゾーンで、次のサービスを許可します。

    • IKE、高可用性、SSH

    • プロトコルは、必要なルーティングプロトコルによって異なります

    • BFDによる隣接ルートの監視

構成

始める前に

Junos IKEパッケージは、マルチノード高可用性のためのSRXシリーズファイアウォール設定に必要です。このパッケージは、デフォルトパッケージまたはSRXシリーズファイアウォールのオプションパッケージとして利用できます。詳細については、 Junos IKEパッケージのサポート を参照してください。

パッケージがSRXシリーズのファイアウォールにデフォルトでインストールされていない場合は、次のコマンドを使用してインストールします。この手順は、ICL 暗号化に必要です。

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

これらの構成はラボ環境からキャプチャされ、参照のみを目的として提供されています。実際の構成は、環境の特定の要件によって異なる場合があります。

SRX-1デバイスの場合

SRX-2デバイスの場合

次のセクションでは、ネットワークでマルチノード高可用性セットアップを設定するために必要なスイッチの構成スニペットを示します。

オンスイッチ(EX9214イーサネットスイッチ)

オンスイッチ(EX9214イーサネットスイッチ)

構成

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

  1. インターフェイスを設定します。

    スイッチへの接続にはインターフェイスge-0/0/3とge-0/0/4を使用し、ICLにはge-0/0/2インターフェイスを使用します。

  2. ループバックインターフェイスを設定します。

    ループバックインターフェイスにIPアドレス(10.11.0.1)を割り当てます。この IP アドレスは、フローティング IP アドレスとして機能します。

    ループバック インターフェイスを使用することで、任意の時点で、隣接するデバイスからのトラフィックがフローティング IP アドレス(アクティブ ノード)に誘導されます。

  3. セキュリティポリシーを設定します。

    ネットワーク要件に従ってセキュリティポリシーが設定されていることを確認します。この例では、すべてのトラフィックを許可するポリシーを構成します。

  4. セキュリティ ゾーンの設定、ゾーンへのインターフェイスの割り当て、セキュリティ ゾーンで許可されるシステム サービスの指定を行います。

    インターフェイスge-0/0/3とge-0/0/4をそれぞれtrustゾーンとuntrustゾーンに割り当てます。lo0.0 インターフェイスを untrust ゾーンに割り当てて、パブリック IP ネットワーク経由で接続します。インターフェイスge-0/0/2をhalinkゾーンに割り当てます。このゾーンを使用して ICL を設定します。

  5. ルーティングオプションを設定します。

  6. ローカル ノードとピア ノードの lP アドレス、ピア ノードのインターフェイスなど、ローカル ノードとピア ノードの両方の詳細を設定します。

    ICL を使用してピア ノードと通信するには、ge-0/0/2 インターフェイスを使用します。

  7. IPsec VPN プロファイル IPSEC_VPN_ICLをピアノードに接続します。

    ノード間にセキュリティで保護された ICL リンクを確立するには、この構成が必要です。

  8. ピアノードの双方向フォワーディング検出(BFD)プロトコルオプションを設定します。

  9. ピアノードID 2をサービス冗長グループ0(SRG0)に関連付けます。

  10. サービス冗長グループ1(SRG1)を設定します。

    この手順では、デフォルト ゲートウェイ (レイヤー 2 ネットワーク) としてマルチノード高可用性を設定するため、展開の種類を [スイッチング] として指定します。

    SRG1 の仮想 IP(VIP)アドレスとインターフェイスを割り当てます。

  11. SRG1のIPおよびBFD監視パラメータを設定して、IPアドレスの到達可能性を確認し、ネットワークの障害を検出します。

  12. アクティブ性の適用に必要なアクティブ信号ルートを設定します。

    割り当てたアクティブ信号ルートIPアドレスは、ルート優先アドバタイズに使用されます。ステートメントでpolicy-optionsポリシーroute-existsとともにアクティブな信号ルートを指定する必要があります。

  13. 要件に従って CA 証明書を構成します。

  14. マルチノードの高可用性を実現するインターネット鍵交換(IKE)設定を定義します。IKE設定は、セキュアな接続を確立するのに使用するアルゴリズムとキーを定義します。

    マルチノード高可用性機能の場合、IKE バージョンを として設定する必要があります。 v2-only

  15. IPsecプロポーザルプロトコルと暗号化アルゴリズムを指定します。IPsecオプションを指定して、2台の参加デバイス間にIPsecトンネルを作成し、VPN通信を保護します。

    このオプション ha-link-encryption を指定すると、ICL が暗号化され、ノード間の高可用性トラフィック フローが保護されます。

    シャーシの高可用性設定で、同じ VPN 名IPSEC_VPN_ICLを指定する必要があります vpn_profile

ソフトウェア アップグレードの構成オプション

マルチノードの高可用性では、ソフトウェアのアップグレード中に、ノード上のインターフェイスを閉じることでトラフィックを迂回させることができます。ここでは、トラフィックはノードを通過できません。詳細については 、マルチノード高可用性でのソフトウェア アップグレード をチェックします。

  1. すべてのトラフィック インターフェイスを「shutdown-on-failure」オプションで設定します。 例:
    注意:

    シャーシ間リンク(ICL)に割り当てられたインターフェイスは使用しないでください。

検索結果 (SRX-1)

設定モードから、次のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検索結果 (SRX-2)

設定モードから、次のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

セキュリティ デバイスで、デバイスの再起動を求める次のメッセージが表示されます。

検証

設定が正常に機能していることを確認します。

マルチノード高可用性の詳細の確認

目的

セキュリティデバイスに設定されているマルチノード高可用性設定の詳細を表示して確認します。

アクション

動作モードから、次のコマンドを実行します。

SRX-1について

SRX-2について

意味

コマンド出力から次の詳細を確認します。

  • ローカルノードとピアノードの詳細(IPアドレス、IDなど)。

  • このフィールド Encrypted: YES は、トラフィックが保護されていることを示します。

  • フィールド Deployment Type: SWITCHING は、デフォルト ゲートウェイ(スイッチング)モードの設定、つまり、ネットワークの両端でスイッチが接続されている場合(レイヤー 2 ネットワーク)を示します。

  • このフィールド Services Redundancy Group: 1 は、そのノード上の SRG1 (アクティブまたはバックアップ) のステータスを示します。

マルチノード高可用性ピアノードのステータスの確認

目的

ピアノードの詳細を表示および確認します。

アクション

動作モードから、次のコマンドを実行します。

SRX-1

SRX-2

意味

コマンド出力から次の詳細を確認します。

  • 使用されているインターフェイス、IP アドレス、ID などのピア ノードの詳細。

  • 暗号化ステータス、接続ステータス、コールド同期ステータス

  • ノード全体のパケット統計情報。

マルチノード高可用性サービスの冗長性グループの確認

目的

SRG が設定され、正常に動作していることを確認します。

アクション

動作モードから、次のコマンドを実行します。

SRG0 の場合:

SRG1 の場合:

意味

コマンド出力から次の詳細を確認します。

  • 導入タイプ、ステータス、アクティブおよびバックアップ信号ルートなどのピアノードの詳細。

  • 仮想IPアドレスや仮想MACアドレスなどの情報。

  • IP監視とBFD監視のステータス。

フェールオーバー前後のマルチノードの高可用性ステータスの確認

目的

マルチノード高可用性セットアップでのフェイルオーバー前後のノードステータスの変化を確認します。

アクション

バックアップノード(SRX-2)のマルチノード高可用性ステータスを確認するには、動作モードから次のコマンドを実行します。

Services Redundancy Group: 1セクションの下に、フィールドが表示されますStatus: BACKUP。このフィールド値は、SRG 1 のステータスがバックアップであることを示しています。

アクティブノード(SRX-1デバイス)でフェイルオーバーを開始し、バックアップノード(SRX-2)で再度コマンドを実行します。

セクションの下で Services Redundancy Group: 1 、SRG1 のステータスが バックアップ から アクティブに変更されたことに注意してください。

セクションの下に Peer Information ピアノードの詳細を表示することもできます。出力では、ピアのステータスが BACKUP として示されます。

シャーシ間リンク(ICL)暗号化ステータスの確認

目的

シャーシ間リンク(ICL)ステータスを確認します。

アクション

動作モードから、次のコマンドを実行します。

意味

コマンド出力は、以下の情報を提供します。

  • ローカル ゲートウェイとリモート ゲートウェイの詳細。

  • PIC内の各スレッドのIPsec SAペア。

  • HA リンク暗号化モード(次の行を参照):

  • 使用している認証および暗号化アルゴリズム

注意:

コマンド出力に表示されるIP範囲(180.100.1.x)は、ICL IPsecトラフィックセレクターとして機能します。システムはこの IP 範囲を動的に割り当てるため、変更または変更しないことが重要です。さらに、BFD(双方向フォワーディング検出)は、より広範な180.x.x.x IP範囲に対して自動的に有効になります。

リンク暗号化トンネル統計情報の確認

目的

アクティブ ノードとバックアップ ノードの両方で、リンク暗号化トンネルの統計情報を確認します。

アクション

動作モードから、次のコマンドを実行します。

意味

VPN全体でパケット損失の問題が発生した場合、コマンドを show security ipsec statistics ha-link-encryption 数回実行して、暗号化および復号化されたパケットカウンターが増加していることを確認できます。また、他のエラー カウンターが増加しているかどうかも確認する必要があります。

show security ike active-peer ha-link-encryptionコマンドを使用して、アクティブ・ピア・ノード上の ICL の詳細を表示します。

clear security ipsec statistics ha-link-encryptionコマンドを使用して、すべてのIPsec統計情報をクリアします。

関連項目