Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

マルチノードの高可用性における非対称トラフィックフローのサポート

概要

Junos OSリリース23.4R1以降、マルチノード高可用性のSRXシリーズファイアウォールは、非対称トラフィックフローをサポートしています。

ステートフルサービスの場合、またはディープパケットインスペクションを実行する場合、ファイアウォールは各フローセッションの両方向を認識する必要があります。

非対称トラフィック フローは、パケットのフローが、あるパス(ノード 1 経由)を使用して送信元ネットワークから宛先ネットワークに移動し、別のリターン パス(ノード 2 を使用)を取る場合に発生します。この非対称フローは、トラフィックがレイヤー 3 ルーティング ネットワーク上を流れるときに発生する可能性があります。

一般的な高可用性展開では、ネットワークの両側に複数のルーターとスイッチがあります。ルーターは、ネクストホップパスを使用して各パケットフローを転送します。ただし、ルーターはリターントラフィックに同じパスを使用しない場合があります。マルチノード高可用性設定では、ルーターは現在のルーティングパスに基づいてファイアウォールにパケットを送信するため、トラフィックフローが非対称になる可能性があります

このようにトラフィック方向の処理が異なると、一部のパケットが一方または両方の高可用性ノードによって破棄される可能性があります。これは、どちらのノードもトラフィックフロー全体をキャプチャできず、不整合やパケットのドロップにつながる可能性があるために発生します。

非対称トラフィックフローを処理するために、マルチノードの高可用性には、ICD(シャーシ間データパス)と呼ばれる追加リンクが必要です。ICDは、2つのノード間でトラフィックをルーティングすることができます。ICDを使用すると、ノードは非対称トラフィックフローを、フローにステートフルサービスを提供する元々担当するピアノードにリダイレクトできます。

この機能により、セキュリティチェック(スリーウェイハンドシェイクやウィンドウスケールファクターによるシーケンスチェックなど)を、従来の(必須の)対称フローに対して非対称トラフィックフローに対して実行できます。

マルチノードの高可用性が非対称トラフィック フローをサポートするしくみ

非対称トラフィック フローをサポートしない場合

同じフローの双方向パケットは、図1に示すように、隣接するルーターまたはスイッチによって、マルチノード高可用性セットアップにある別のSRXシリーズデバイスに配信されます

図 1: 非対称トラフィック フローをサポートし Packet Flow without Asymmetric Traffic Flow Supportないパケット フロー

ネットワーク B からネットワーク A へのアウトバウンド トラフィックはノード 1 を通過し(SRX-01)、リターン トラフィック(インバウンド トラフィック)はネットワーク A からネットワーク B にノード 2 (SRX-02) を経由してフローします。

この非対称トラフィックフローの場合、同じフローの双方向トラフィックに関する完全な状態情報がないため、SRXシリーズファイアウォール(この例ではSRX-02)はパケットを破棄します。

非対称トラフィックフローのサポート

非対称トラフィックフローをサポートするために、マルチノードの高可用性はシャーシ間データパス(ICD)を使用します。ICDは、高可用性セットアップで、2台のSRXシリーズデバイス間で非対称トラフィックフローのパケットを転送します。

図 2: 非対称トラフィック フローをサポートする Packet Flow with Asymmetric Traffic Flow Supportパケット フロー

この場合、マルチノード高可用性システムは、ノード間に新しいルーティング可能なリンクを作成します。このルーティング可能なリンクにより、ノードは非対称フローを、フローのセキュリティ検査を実行できる元のノードに転送できます。つまり、ノード 2(SRX-02)は、受信トラフィックをネクストホップ ルーターではなくノード 1(SRX-01)に転送します。SRXシリーズファイアウォールは、双方向フローのパケットのセキュリティ検査を実行します。

シャーシ間データパス(ICD)の仕組み

マルチノードの高可用性 ICD はデータ トラフィックを伝送し、データ フローをピア ノードに転送します。このリンクは、シャーシ間リンク(ICL)パケットを転送しません。

ワークフローには、次の手順が含まれます。

  1. マルチノード高可用性ノードがデータパケットを受信すると、そのノードで実行されているセキュリティサービスが、パケットをピアノードに転送するか、ローカルで処理するかを決定します。パケットの転送の決定は、以下によって異なります。
    • パケットのフロー セッション状態またはサービスの種類
    • パケットのフローに関連付けられた SRG の状態
  2. ピアノードがICDを介して到達可能な場合、ノード上のセキュリティサービスはノード間でパケットを送受信できます。
  3. ピアノードは、ICDを介して転送されたデータパケットを受信すると、設定されたポリシーに基づいてセキュリティインスペクションを実行します。

ノード間のパケット転送に ICD を使用するには、次のことを行う必要があります。

  • 他のノードへのルーティング可能なパスを持つループバックインターフェイスにICDを割り当てます。
  • 複数の物理インターフェイスをICDに割り当てることで、ICDにパスの多様性を持たせて信頼性を最大限に高めます。

ICL および ICD のインターフェイスの計画

マルチノードの高可用性構成では、ICL と ICD の物理インターフェイスがアクティブで、非対称トラフィック フローに対応するために動作している必要があります。ICLおよびICDインターフェイスは、高可用性セットアップのノード間の通信を容易にし、それらのステータスはパケット処理に影響を与えます。いずれかのインターフェイスが機能していない場合、非対称トラフィック フローのサポートに影響します。したがって、最適なネットワークパフォーマンスのためには、これらのインターフェイスが適切に機能することを確認することが重要です。

ICL に複数の物理インターフェイスが接続されていて、パケットの処理にアクティブに使用されているこれらのインターフェイスの 1 つが失敗した場合、データ フローは ICL に関連付けられている別の使用可能な物理インターフェイスを使用するように切り替わります。ICLに関連するすべての物理インターフェイスがダウンすると、SRXシリーズファイアウォールはICL接続を失います。この場合、SRXシリーズノードはRTOメッセージを交換できず、非対称トラフィックフローをサポートできません。

マルチノード高可用性設定では、ICLとICDに異なるループバックインターフェイスを使用します。

ノードは、静的または動的ルーティングプロトコル(例:BGP)を介してピアノードのICDのIPアドレスに到達するためのルートを学習します。マルチノード高可用性セットアップでは、各SRXシリーズファイアウォールの既存のルーティング機能を利用してパケットをルーティングします。

非対称トラフィックに影響を与える ICL および ICD の状態

表1 は、ノード間のBFDの状態が、ICLとICDの両方に割り当てられた物理インターフェイスにどのように依存するかを示しています。

表 1:非対称トラフィック フローのサポートに影響を与える ICL および ICD の状態
Icl Icd 非対称トラフィックフローのサービス
物理インターフェイス BFD 状態 物理インターフェイス BFD 状態
ダウン ダウン ダウン
ダウン ダウン ダウン
ダウン ダウン ダウン
ダウン ダウン ダウン ダウン ダウン

例:マルチノードの高可用性における非対称トラフィック フローのサポートの設定

概要 このトピックでは、マルチノード高可用性ソリューションに導入されたSRXシリーズファイアウォールの非対称トラフィックフローサポートを設定する方法について説明します。この例では、SRXシリーズファイアウォールが両側のルーターに接続されている場合のアクティブ/バックアップモードでの設定(レイヤー3導入)を示しています。

Junos OSリリース23.4R1では、非対称トラフィックフローをサポートする新機能が導入されています。非対称ルーティングとは、一方向のパケットのパスが発信元パスと異なるシナリオです。

一般的な高可用性展開では、ネットワークの両側に複数のルーターとスイッチがあります。ルーターは、ネクストホップパスを使用して各パケットフローを転送します。ただし、ルーターはリターントラフィックに同じパスを使用しない場合があります。マルチノード高可用性設定では、ルーターは現在のルーティングパスに基づいてファイアウォールにパケットを送信するため、トラフィックフローが非対称になる可能性があります

非対称フローを処理するために、マルチノード高可用性セットアップは、シャーシ間データパス(ICD)という名前の新しいリンクを利用します。ICDには、2つのノード間でトラフィックを転送する機能があります。これにより、ノードは、非対称トラフィックフローを、もともとこれらのフローにステートフルサービスの提供を担当するピアノードにリダイレクトできます。

この設定例に従って、非対称フローをサポートするようにマルチノードの高可用性を設定し、デバイスの設定を検証します。

ヒント:
表 2: 読みやすさスコアと時間の推定値

可読性スコア

  • フレッシュ読書のしやすさ:34

  • フレッシュキンケイドのリーディンググレードレベル:11.9

読書の時間

15分未満。

設定時間

1時間未満。

前提条件の例

表 3 に、この構成をサポートするハードウェアおよびソフトウェア コンポーネントを示します。

表 3: 要件

サポートされているハードウェア

  • SRX5800、SRX5600、SPC3、IOC3、IOC4、SCB3、SCB4、RE3 のSRX5400

  • SRX4600、SRX4200、SRX4100、SRX2300、SRX1600、およびSRX1500

サポートされているソフトウェア

Junos OSリリース23.4R1

ライセンス要件

マルチノードの高可用性を設定するために別途ライセンスは必要ありません。ライセンスはSRXシリーズごとに異なり、マルチノード高可用性設定のノード間で共有することはできません。そのため、両方のノードで同一のライセンスを使用する必要があります。

この例では、アップストリームおよびダウンストリームルーターとして、Junos OSリリース23.4R1でサポートされている2つのSRXシリーズファイアウォールと2つのJuniper Networks(R)MX960ユニバーサルルーティングプラットフォームを使用しました。

始める前に

利点

マルチノード高可用性のSRXシリーズファイアウォールは、非対称フローを効率的に処理します。このプロセスにより、これらのパケットに対するステートフルサービスの信頼性が高く一貫した処理が保証され、全体的なパフォーマンスが向上し、パケット損失とネットワーク内の不整合が最小限に抑えられます。

もっと知る

マルチノードの高可用性

機能概要

表 4 に、この例で導入した構成コンポーネントの概要を示します。

表 4: 構成コンポーネント

使用技術

  • 高可用性

  • ルーティングポリシー

  • ルーティングオプション

一次検証タスク

  1. セットアップの両方のノードで高可用性を確認します。

  2. マルチノードの高可用性データプレーンの統計情報を検証します。

トポロジーの図

図 3 に、この例で使用するトポロジを示します。

図3:シャーシ間データパス(ICD)によるレイヤー3ネットワークにおけるマルチノードの高可用性 Multinode High Availability in Layer 3 Network with Interchassis Datapath (ICD)

トポロジーに示すように、2つのSRXシリーズファイアウォールが、BGPネイバーシップを形成する信頼側と信頼しない側で隣接ルーターに接続されています。

暗号化された論理シャーシ間リンク(ICL)は、ルーティングされたネットワークを介してノードを接続します。ノードは、ネットワーク上でルーティング可能なIPアドレス(フローティングIPアドレス)を使用して相互に通信します。一般に、SRXシリーズファイアウォールの集約型イーサネット(AE)または収益イーサネットポートを使用して、ICL接続を設定できます。この例では、ICL に GE ポートを使用しました。また、最大限のセグメンテーションを確保するために、ICLパスのルーティングインスタンスも設定しました。

2つの物理リンク(ICD)が2つのSRXシリーズファイアウォールを接続します。両方のノードの物理インターフェイスは、MNHA ICD 接続を形成しています。この例では、2 つの専用収益インターフェイスを使用して ICD を設定します。

ループバックインターフェイスは、SRXシリーズとルーターでIPアドレスをホストするために使用されます。

一般的な高可用性展開では、ネットワークのノースバウンド側とサウスバウンド側に複数のルーターとスイッチがあります。この例では、SRXシリーズファイアウォールの両側で2台のルーターを使用しています。

トポロジの概要

この例では、SRXシリーズファイアウォール間の高可用性を確立し、非対称ルーティングサポートを処理するためのサポートを提供するためのICD(シャーシ間データパス)を確立します。

一般的な高可用性展開では、ネットワークのノースバウンド側とサウスバウンド側に複数のルーターとスイッチがあります。この例では、SRXシリーズファイアウォールの両側で2台のルーターを使用しています。

表 5表 6 に、この例で使用されるインターフェイス設定の詳細を示します。

表 5: セキュリティ デバイスのインターフェイスと IP アドレスの設定
デバイス インターフェイス ゾーンの IPアドレス 構成
SRX-01 lo0 信頼 10.1.100.1/32

ICDリンク上でデータパケットを転送するために使用されるローカル転送アドレス。
ge-0/0/2 ICLゾーン 10.22.0.1/24 シャーシ間リンク(ICL)
ge-0/0/1 と ge-0/0/0 信頼
  • 10.200.200.2/24
  • 10.100.100.2/24
 2台のSRXシリーズファイアウォールを接続するシャーシ間データリンク
ge-0/0/4 信頼できない 10.4.0.1/24 R2ルーターに接続
ge-0/0/3 信頼 10.2.0.2/24 R1ルーターに接続
SRX-02 lo0 信頼 10.1.200.1/32

ICDリンク上でデータパケットを転送するために使用されるローカル転送アドレス。
ge-0/0/2 ICLゾーン 10.22.0.2/24 シャーシ間リンク(ICL)
  • ge-0/0/0
  • ge-0/0/1
 信頼
  • 10.100.100.1/24
  • 10.200.200.1/24
 シャーシ間データ リンク(ICD)
ge-0/0/3 信頼 10.3.0.2/24 R1ルーターに接続
ge-0/0/4 信頼できない 10.5.0.1/24 R2ルーターに接続

ルーティング デバイスでのインターフェイスと IP アドレスの設定

表 6: ルーティング デバイスでのインターフェイスと IP アドレスの設定
デバイス インターフェイスIPアドレス 構成
R2 lo0 10.111.0.2/32 R2のループバックインターフェイスアドレス
ge-0/0/0 10.4.0.2/24 SRX-02に接続
ge-0/0/1 10.5.0.2/24 SRX-01に接続
ge-0/0/2 10.6.0.1/24 外部ネットワークに接続
R1 lo0 10.111.0.1/32 R1のループバックインターフェイスアドレス
ge-0/0/0 10.2.0.1/24 SRX-01に接続
ge-0/0/1 10.3.0.1/24 SRX-02に接続
ge-0/0/2 10.1.0.1/24 内部ネットワークに接続

構成

メモ:

DUTの完全な構成例については、以下を参照してください。

Junos IKEパッケージは、マルチノード高可用性のためのSRXシリーズファイアウォール設定に必要です。このパッケージは、デフォルトパッケージまたはSRXシリーズファイアウォールのオプションパッケージとして利用できます。詳細については、 Junos IKEパッケージのサポート を参照してください。

パッケージがSRXシリーズのファイアウォールにデフォルトでインストールされていない場合は、 request system software add optional://junos-ike.tgz を使用してインストールしてください。この手順は、ICL 暗号化に必要です。

  1. インターフェイスを設定します。
    1. 信頼ネットワークの接続に使用するインターフェイスを設定します。
      SRX-01
      SRX-02
    2. 信頼できないネットワークの接続に使用するインターフェイスを設定します。
      SRX-01
      SRX-02
    3. ICL のインターフェイスを設定します。
      SRX-01
      SRX-02
    4. ICDのインターフェイスを設定します。
      SRX-01
      SRX-02
    5. ループバックインターフェイスを設定します。
      SRX-01
      SRX-02
  2. セキュリティ ゾーンの構成、ゾーンへのインターフェイスの割り当て、セキュリティ ゾーンで許可されるシステム サービスの指定を行います
    1. トラストゾーンを設定します。
      SRX-01
      SRX-02
    2. untrust ゾーンを設定します。
      SRX-01
      SRX-02
    3. ICLゾーンを設定します。
      SRX-01
      SRX-02
  3. マルチノードの高可用性ローカルノードを設定します。
    1. ローカルノードを設定します。
      SRX-01

      IP アドレス 10.1.100.1 をローカル転送 IP として使用します。このIPアドレスは、ループバックインターフェイスのIPアドレスです。

      SRX-02
    2. ピアノードを設定します。
      SRX-01

      ICL を使用してピア ノードと通信するには、ge-0/0/2 インターフェイスを使用します。ピア転送IPとしてIPアドレス10.1.200.1を使用しています。この IP アドレスは、ピアノード上のループバックインターフェイスの IP アドレスです。

      SRX-02
    3. SRG0 を設定します。
      SRX-01
      SRX-02
    4. SRG 1 を設定します。
      SRX-01
      SRX-02
      メモ:

      ステートメントでpolicy-optionsポリシーroute-existsとともにアクティブな信号ルートを指定する必要があります。条件を使用してif-route-existsアクティブシグナルルートを設定すると、HAモジュールはこのルートをルーティングテーブルに追加します
  4. ルーティングオプションの設定
    SRX-01
    SRX-02
  5. ポリシー オプションを構成します。
    SRX-01
    SRX-02
  6. ICL を介してノード間の高可用性トラフィック フローを保護するためのオプションを指定します。
    SRX-01 および SRX-02
    1. PKI オプションを設定します。
    2. IKE(インターネット鍵交換)設定を定義します。IKE設定は、セキュアな接続を確立するのに使用するアルゴリズムとキーを定義します。
    3. IPsecプロポーザルプロトコルと暗号化アルゴリズム
  7. セキュリティポリシーを設定します。
    SRX-01 および SRX-02
    ヒント:

    この例で示すセキュリティ ポリシーは、デモンストレーションのみを目的としています。ネットワークのニーズに応じてセキュリティポリシーを設定する必要があります。セキュリティ ポリシーで、信頼できるアプリケーション、ユーザー、デバイスのみが許可されていることを確認します。
  8. BFD ピアリングセッションのオプションを設定し、活性検出タイマーを指定します。
    (SRX-01)

    SRX-02

検証

この例では、次の show コマンドを使用して機能を確認します。

表 7: 検証タスク
コマンド 検証タスク
シャーシの高可用性情報を表示

ステータスを含むマルチノード高可用性の詳細を表示します。

show chassis high-availability data-plane statistics(シャーシの高可用性データプレーン統計を表示)

ICD データ パケットの統計情報を表示します。

マルチノード高可用性の詳細の確認

目的

セキュリティデバイスに設定されているマルチノード高可用性設定の詳細を表示して確認します。

アクション

動作モードから、次のコマンドを実行します。

SRX-01

SRX-02

意味

コマンド出力から次の詳細を確認します。

  • ローカルノードとピアノードの詳細(IPアドレス、IDなど)。

  • このフィールド Peer ICD Conn State: UP は、ICDリンクが確立され、動作可能であることを示しています。

ICDデータパケット統計の確認

目的

ICDが動作しており、ノード間のデータパケットの転送を容易にしているかどうかを確認します。

アクション

動作モードから、次のコマンドを実行します。

意味

このフィールド ICD Data は、ICD がマルチノード高可用性セットアップで非対称トラフィックフローをルーティングしていることを示しています。

すべてのデバイスでコマンドを設定する

すべてのデバイスでコマンド出力を設定します。

SRX-01(ノード1)

SRX-02(ノード2)

ルーター-1

ルーター-2

設定出力を表示

コンフィギュレーション モードから、 、 show security zonesshow interfacesと入力してshow high availabilityコンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

SRX-01(ノード1)

SRX-02(ノード2)