Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

例:デフォルトゲートウェイ導入でのマルチノード高可用性の設定

このトピックでは、デフォルトゲートウェイ(レイヤー2)導入のアクティブ/バックアップモードでマルチノード高可用性を設定する方法について説明します。

概要

さまざまなプラットフォームやソフトウェアリリースでサポートされている機能のリストについては、「 機能エクスプローラー」を参照してください。

マルチノード高可用性では、参加するJunosファイアウォールがレイヤー2ネットワークの独立したノードとして動作します。暗号化されたシャーシ間論理リンク(ICL)は、ルーティングされたネットワーク上でノードを接続します。参加ノードは相互にバックアップを行い、システムまたはハードウェアに障害が発生した場合に、迅速な同期フェイルオーバーを確保します。

MNHAデフォルトゲートウェイ(L2)モードでは、両方のSRXシリーズファイアウォールノードが仮想IP(VIP)とMACアドレスを共有することで単一のゲートウェイとして表示されます。ネットワーク内のデバイスはこのVIPをデフォルトゲートウェイとして使用するため、どのノードが実際にトラフィックを処理しているかを知る必要はありません。各グループには、トラフィックを転送するアクティブノードが1つ、フェイルオーバー用のバックアップノードが1つあるため、ネットワークのネクストホップ設計がシンプルで透過的になっています。

要件

この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。

  • 2つのサポート対象のJunosファイアウォールまたは仮想ファイアウォールインスタンス
  • もう一方の終端に2台のジュニパーネットワークススイッチ
  • Junos OSリリース26.2R1

トポロジー

図1は、この例で使用されているトポロジーを示しています。

図1:デフォルトゲートウェイ導入Multinode High Availability in Default Gateway Deploymentにおけるマルチノード高可用性

このトポロジーでは、LAN内のクライアントがトラフィックをデフォルトゲートウェイ(VIP)に送信します。スイッチはこのトラフィックを両方のSRXシリーズファイアウォールノードに転送しますが、そのSRGのアクティブノード(図のSRX-01など)のみがVIPを所有し、パケットを処理します。アクティブノードは、セキュリティチェックを実行し、セッションを作成し、信頼できない側にトラフィックを転送します。同時に、ICLリンクを介してバックアップノードとセッション情報を同期し、ピアがいつでも引き継ぐ準備ができるようにします。

アクティブノードまたはそのパスに障害が発生した場合、バックアップノードがVIPとvMACを素早く引き継ぎます。その後、LAN側とuntrust側からのトラフィックは、ホストを変更することなく、新しいアクティブノードにリダイレクトされます。セッションはすでに同期されているため、ほとんどのフローは最小限の中断で継続され、ネットワーク内でシームレスなフェイルオーバーを実現します。

この例では、わかりやすくするために、SRXシリーズファイアウォールとスイッチ間の直接接続を使用しています。特に、HAリンクゾーンのシャーシ間リンク(ICL)は、デバイス間で直接ge-0/0/2.0インターフェイスを使用して確立されます。ただし、本番環境では、これらのリンクは中間のルーティングネットワークを通過することもできます。

表1は 、この例で使用されているインターフェイス設定の詳細を示しています。

表1:セキュリティデバイス上のインターフェイスとIPアドレス設定
デバイス インターフェース ゾーン IPアドレス 設定対象
SRX-01 ge-0/0/2.0 ハリンク 10.22.0.2/24 シャーシ間リンク(ICL)
ge-0/0/3.0 信頼 10.3.0.2/24 スイッチ-01に接続します
ge-0/0/4.0 信頼できない 10.5.0.1/24 スイッチ-02に接続します。
SRX-02 ge-0/0/2.0 ハリンク 10.22.0.1/24 シャーシ間リンク(ICL)
ge-0/0/3.0 信頼 10.2.0.2/24 スイッチ-01に接続します
ge-0/0/4.0 信頼できない 10.4.0.1/24 スイッチ-02に接続します。

以下のタスクを実行して、MNHAセットアップを構築します。

  • IDを割り当てて、ファイアウォールのペアをローカルノードおよびピアノードとして設定します。
  • サービス冗長性グループ(SRG)を設定します。
  • アクティブ性の判断と適用のために仮想IPアドレスを設定します。この例では、デュアルスタックサポートを有効にするために、複数の ip ステートメントを使用して、IPv4とIPv6の両方のアドレスで単一の仮想IPが設定されています。
  • IKEv2を使用して、高可用性(ICL)トラフィック用のVPNプロファイルを構成します。
  • 適切なセキュリティポリシーを設定して、ネットワーク内のトラフィックを管理します。
  • ネットワーク要件に応じてインターフェイスとゾーンを設定します。リンク暗号化用の IKE や設定同期用の SSH などのサービスを、ICL に関連付けられたセキュリティーゾーン上のホストインバウンドシステムサービスとして許可する必要があります。

設定

始める前に

MNHAを設定するには、ファイアウォールにJunos IKEパッケージが必要です。このパッケージは、デフォルトパッケージまたはファイアウォールのオプションパッケージとして利用できます。詳細については、「 Junos IKEパッケージのサポート 」を参照してください。

パッケージがデフォルトでデバイスにインストールされていない場合は、次のコマンドを使用してインストールします。ICL暗号化には、このステップが必要です。

CLIクイックコンフィグレーション

この例をすばやく設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更します。次に、コマンドを [edit] 階層レベルのCLIにコピーアンドペーストし、設定モードから commit を入力します。

これらの設定はラボ環境から取得したものであり、参照用にのみ提供されています。実際の構成は、環境の特定の要件によって異なる場合があります。

SRX-01の場合

SRX-02では

以下のセクションでは、ネットワーク内でMNHAの設定に必要なスイッチの設定スニペットを示します。

スイッチ -01

スイッチ-02について

設定

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

  1. 物理インターフェイスに適切な説明とIPアドレスを設定します。

    • SRX-01

    • SRX-02
  2. セキュリティポリシーを設定します。 SRX-01 および SRX-02
    注意:
    この例に示されているセキュリティポリシーは、デモとテストのみを目的としています。ネットワークのニーズに応じてセキュリティポリシーを設定する必要があります。セキュリティポリシーで、信頼できるアプリケーション、ユーザー、デバイスのみが許可されるようにしてください。

  3. セキュリティゾーンを設定し、ゾーンにインターフェイスを割り当て、セキュリティゾーンで許可されるシステムサービスを指定します。

    • SRX-01
    • SRX-02

      MNHAの設定では、通常、この設定にはIKE、BGP、BFDの許可が含まれます。ネットワークとセキュリティの要件に合わせてセキュリティルールを常に調整します。

  4. シャーシの高可用性IDを設定します。ローカルデバイスのIDとピア関係を確立します。

    • SRX-01
    • SRX-02

      ICLを使用してピアノードと通信するために、ge-0/0/2インターフェイスを使用します。

  5. IPsec VPNプロファイルIPSEC_VPN_ICLをピアノードにアタッチします。

    • SRX-01
    • SRX-02

    ノード間のセキュアなICLリンクを確立するには、この設定が必要です。

  6. ライブネス検出パラメーターを設定します。

    • SRX-01
    • SRX-02

  7. 導入タイプとピアアソシエーションを使用してSRGを作成します。

    • SRX-01
    • SRX-02
  8. 仮想IPアドレスとインターフェイスを設定してシームレスなフェイルオーバーを実現します。
    • SRX-01
    • SRX-02
      注: use-virtual-macオプションの設定は、ほとんどのケースで推奨されます。ただし、周囲のインフラストラクチャがローカルMACアドレスに加えてポートでアクティブな仮想MACアドレスの移動をサポートしていない場合を除きます。

  9. 自動フェイルオーバーのために重要なインターフェイスの監視を有効にします。

    • SRX-01
    • SRX-02

  10. IKEv2ベースのVPNプロファイルを設定してICLを暗号化し、必要なIKEおよびIPsecパラメータを定義してMNHA制御トラフィックとセッション同期を保護します

    SRX-01 および SRX-02

    MNHA機能では、IKEバージョンを v2-only として設定し、 ha-link-encryption オプションを指定してICLを暗号化し、ノード間の高可用性トラフィックフローを保護する必要があります。

結果 (SRX-01)

設定モードから、以下のコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

結果 (SRX-02)

設定モードから、以下のコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

セキュリティデバイスに、デバイスの再起動を求める次のメッセージが表示されます。

検証

showコマンドを使用して、設定が正しく機能していることを確認します。

MNHAの詳細を確認

目的

セキュリティデバイスに設定されたMNHA設定の詳細を表示および検証します。

アクション

動作モードから、以下のコマンドを実行します。

SRX-01

SRX-02

意味

コマンド出力からこれらの詳細を確認します。

  • ピア(ge-0/0/2.0 上の 10.22.0.1 または 10.22.0.2)へのリンクHA確立されています(Conn State UP)。

  • フィールド Encrypted: YES は、トラフィックが保護されていることを示します。

  • フィールド Deployment Type: SWITCHING は、デフォルトのゲートウェイ(スイッチング)モード設定、つまり、ネットワークの両端でスイッチが接続されている(レイヤー2ネットワーク)を示します。

  • フィールド Services Redundancy Group: 1 には、SRGの現在のステータスを表示する Status: ACTIVE または Status: BACKUP が表示されます。

マルチノード高可用性ピアノードステータスの確認

目的

ピアノードの詳細を表示および検証します。

アクション

動作モードから、以下のコマンドを実行します。

SRX-01

SRX-02

意味

コマンド出力からこれらの詳細を確認します。

  • HAピア接続が確立され、健全です(Conn State UPEncrypted YES)。
  • 同期は成功したと表示されます(Cold Sync Status COMPLETE)。
  • パケットの送受信エラーは報告されておらず、HAコントロールプレーン通信がクリーンであることを示しています。

マルチノード高可用性サービス冗長性グループの確認

目的

SRG が正しく設定され、動作していることを確認します。

アクション

動作モードから、以下のコマンドを実行します。

SRX-01

SRX-02

意味

コマンド出力からこれらの詳細を確認します。

  1. ピアノードの詳細(導入タイプ、ステータス、信号ルート)。ピアは正常でバックアップ準備完了状態であり、フェイルオーバー機能があることを示しています。
  2. 仮想IP情報(IPおよびVMAC)。VIPはアクティブノードに インストール されており、監視対象のインターフェイスは 稼働しています
  3. 仮想IPに関連付けられたVMAC(例: 00:10:db:fe:01:02)。
  4. VIPが インストールされていないバックアップノードのVIPステータス
  5. IPv4 と IPv6 の両方の VIP が存在するデュアルスタックのサポート。
  6. SRGステータス。SRG 1がアクティブで、障害のない READY コントロールプレーン状態です。

インターフェイスでのIPアドレスインストールの確認

目的

仮想IPアドレスがインターフェイスにインストールされていることを確認します。

アクション

動作モードから、以下のコマンドを実行します。

SRX-01

SRX-02

簡潔にするために、showコマンドの出力は切り捨てられ、いくつかのサンプルのみが表示されます。

意味

コマンド出力は、以下の情報を提供します。

  • アクティブノードでは、VIPインデックス1のインターフェイスge-0/0/3.0に、VIPインデックス2のインターフェイスge-0/0/4.0に10.2.0.200/162001:db8:6701::7/64の両方がインストールされていることが22001:db8:6700::3/6410.1.0.200/16、インターフェイスに示されています。
  • バックアップノードには、ローカルインターフェイスのIPアドレスのみが存在し、VIPはインストールされていません。

これにより、アクティブなノードのみがトラフィックを処理するようになります。フェイルオーバー中、VIP はアクティブノードからバックアップノードに移動し、IPv4 と IPv6 の両方のトラフィックのサービス継続性を維持します

シャーシ間リンク(ICL)暗号化ステータスの確認

目的

シャーシ間リンク(ICL)ステータスを確認します。

アクション

動作モードから、SRX-02で以下のコマンドを実行します。

意味

コマンド出力は、以下の情報を提供します。

  • ローカルゲートウェイとリモートゲートウェイの詳細。

  • PIC内の各スレッドのIPsec SAペア

  • HAリンク暗号化モード(次の行を参照):

  • 使用される認証および暗号化アルゴリズム

注意:

コマンド出力に示されているIP範囲(180.100.1.x)は、ICL IPsecトラフィックセレクターとして機能します。このIP範囲はシステムによって動的に割り当てられるため、変更や修正を行わないことが不可欠です。さらに、BFD(双方向フォワーディング検出)が、より広い180.x.x.x IP範囲に対して自動的に有効になります。

関連項目