このページの目次
長寿命NATおよびステートフルファイアウォールフロー(MS-MPC、MS-MIC)(リリース16.1以降)のためのシャーシ間ステートフル同期
NAT およびステートフル ファイアウォール向けのシャーシ間 MS-MPC および MS-MIC 冗長性の設定の概要(リリース 16.1 以降)
このトピックは、Junos OSリリース16.1以降に適用されます。(Junos OSリリース15.1以前のバージョンについては、 MS-MICおよびMS-MPCのシャーシ間高可用性(リリース15.1以前)を参照してください)。
キャリアグレードNAT(CGN)とステートフルファイアウォールの導入では、デュアルシャーシ実装を使用して、ルーターの主要コンポーネントに冗長データパスと冗長性を提供できます。MX シリーズ デバイスでは AMS インターフェイスを使用することでシャーシ内の高可用性を使用できますが、この方法では、サービス PIC および完全な MS-MPC または MS-MIC カードの障害のみがローカルで処理されます。ルーター内のその他の障害により、何らかの理由でトラフィックがバックアップルーターに切り替えられた場合、サービスPICからのセッション状態は失われます。シャーシ間の高可用性は、サービスPICからNATとステートフルファイアウォールのセッション状態を保持することで、より堅牢なソリューションを提供します。このテクノロジーはプライマリ/セカンダリ モデルであり、アクティブ/アクティブ クラスタではありません。シャーシ間高可用性用に設定されたサービスPICによってサービスされるトラフィックは、現在ペアのプライマリであるMXシリーズデバイスのみを流れます。
NATおよびステートフルファイアウォールのシャーシ間冗長性を設定するには、以下を設定します。
ステートフル同期:プライマリシャーシ上のサービスPICからバックアップシャーシにセッション状態を複製します。詳細については、 長寿命 NAT およびステートフルファイアウォールフローのためのシャーシ間ステートフル同期(MS-MPC、MS-MIC)の概要(リリース 16.1 以降)を参照してください。
監視対象のイベントに基づいてプライマリロールのスイッチオーバーを実行できるようにするサービス冗長性デーモン。ほとんどのオペレーターは、サービス冗長性デーモンも実装せずにステートフル同期を採用することを望んでいません。詳細については、「サービス冗長デーモンの概要」を参照してください。
長寿命NATおよびステートフルファイアウォールフローのためのシャーシ間ステートフル同期(MS-MPC、MS-MIC)の概要(リリース16.1以降)
このトピックは、Junos OSリリース16.1以降に適用されます。(Junos OSリリース15.1以前のバージョンについては、 MS-MICおよびMS-MPCのシャーシ間高可用性(リリース15.1以前)を参照してください)。
ステートフル同期は、高可用性ペアのプライマリとバックアップのMXシリーズシャーシ間で長期間有効なセッションを同期します。デフォルトでは、存続期間の長いセッションは、サービスPIC上で180秒間アクティブになっているステートフルファイアウォール、NAT、およびIDSセッションですが、これをより高い値または低い値に設定できます。ステートフルファイアウォールセッション、NATセッション、およびIDSセッションは、同期可能なセッションタイプです。
シャーシ間の高可用性は、MS-MICまたはMS-MPCインターフェイスカードで設定されたMSサービスインターフェイスで動作します。ユニット0以外のmsインターフェイスユニットは、オプションで ip-address-owner service-plane 設定する必要があります。
次のNAT変換タイプとセッションは、ステートフル同期をサポートしています。
ベーシックNAT44
ダイナミックNAT44
ナプト-44
エンドポイント非依存マッピング(EIM)またはエンドポイント非依存フィルター(EIF)を使用したnapt-44
DNAT-44
TWICE-NAT
ステートフルNAT64
次の制限が適用されます。
ポート ブロック割り当て (PBA)、エンドポイントに依存しないマッピング (EIM)、またはエンドポイントに依存しないフィルター (EIF) 機能の状態情報のレプリケートはサポートされていません。
ステートフル同期セットアップに属するNATまたはステートフルファイアウォールのサービスセットを設定する場合、サービスセットのNATおよびステートフルファイアウォールの設定は、両方のMXシリーズデバイスで同一である必要があります。
アプリケーション層ゲートウェイ (ALG) セッションは、ステートフル同期をサポートしていません。
図 1 に、シャーシ間の高可用性トポロジーを示します。
長寿命NATおよびステートフルファイアウォールフロー(MS-MPC、MS-MIC)のためのシャーシ間ステートフル同期の設定(リリース16.1以降)
このトピックは、Junos OSリリース16.1以降に適用されます。(Junos OSリリース15.1以前のバージョンについては、 MS-MICおよびMS-MPCのシャーシ間高可用性(リリース15.1以前)を参照してください)。
MS-MIC または MS-MPC サービス PIC でステートフル ファイアウォールおよび NAPT44 のステートフル同期シャーシ間高可用性を設定するには、高可用性ペアの各シャーシで以下の設定手順を実行します。
例:長寿命 NAT およびステートフル ファイアウォール フロー(MS-MIC、MS-MPC)(リリース 16.1 以降)のためのシャーシ間ステートフル同期
この例では、NAT サービスのシャーシ間高可用性を設定する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MS-MPCラインカードを搭載した2つのMX480ルーター
Junos OS リリース 16.1 以降
概要
2台のMXシリーズルーターは、シャーシ障害時にNATサービスのステートフルフェイルオーバーを容易にするために、同一に設定されています。
構成
この例でシャーシ間の高可用性を設定するには、次のタスクを実行します。
- CLIクイック構成
- シャーシ1のインターフェイスの設定
- シャーシ 1 の MX シリーズ ルーター間の HA 同期トラフィックのルーティング情報の設定
- シャーシ 1 の NAT の設定
- サービスセットの設定
- シャーシ2のインターフェイスの設定
- シャーシ 2 の MX シリーズ ルーター間の HA 同期トラフィックのルーティング情報の設定
CLIクイック構成
ルーターでこの例をすばやく設定するには、改行を削除し、サイトに固有のインターフェイス情報を置き換えた後、次のコマンドをコピーしてルーター端末ウィンドウに貼り付けます。
次の設定はシャーシ 1 用です。
[edit] set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.1 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 redundancy-options replication-threshold 180 set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set policy-options policy-statement dummy term 1 then reject set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class nat-logs
次の設定はシャーシ 2 用です。NAT とサービス セットの情報は、シャーシ 1 と 2 で同一である必要があります。
set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.2 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 redundancy-options replication-threshold 180 set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set policy-options policy-statement dummy term 1 then reject set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class nat-logs
シャーシ1のインターフェイスの設定
手順
各 HA ペアのルーターのインターフェイスは、次のサービス PIC オプションを除き、同じように設定されます。
は
redundancy-options redundancy-peer ipaddress addressシャーシごとに異なっている必要があり、ピアシャーシ上の を指している必要がありますredundancy-options redundancy-local data-address data-address。オプションを含む
ip-address-owner service-plane0以外のユニットのはunit unit-number family inet address address、シャーシごとに異なっている必要があります。
インターフェイスを設定するには:
シャーシ1で冗長サービスPICを設定します。
[edit interfaces} user@host# set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 redundancy-options replication-threshold 180 user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
同期トラフィックのシャーシ間リンクとして使用されるシャーシ1のインターフェイスを設定します。
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
必要に応じて、残りのインターフェイスを設定します。
結果
user@host# show interfaces
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.1/24;
}
}
}
ms-4/0/0 {
redundancy-options {
redundancy-peer {
address 5.5.5.2;
}
redundancy-local {
data-address 5.5.5.1;
}
routing-instance HA;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.1/32;
}
}
unit 20 {
family inet;
family inet6;
service-domain inside;
}
unit 30 {
family inet;
family inet6;
service-domain outside;
}
}
シャーシ 1 の MX シリーズ ルーター間の HA 同期トラフィックのルーティング情報の設定
手順
この例では、詳細なルーティング設定は含まれていません。ルーティングインスタンスは、以下のシャーシ間の HA 同期トラフィックに必要です。
シャーシ 1 のルーティング インスタンスを設定するには:
ダミーポリシーステートメントを指定します。このステートメントは、ルーティングインスタンス構成で参照されます。
user@host# set policy-options policy-statement dummy term 1 then reject
ルーティングインスタンスのオプションを指定します。
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy @user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop 20.1.1.2
サービス セットが適用されるネクストホップ トラフィックを指定します。
user@host# set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20
結果
@user@host# show routing-instances
HA {
instance-type vrf;
interface ge-2/0/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.1/32 next-hop ms-4/0/0.10;
route 5.5.5.2/32 next-hop 20.1.1.2;
}
}
}
シャーシ 1 の NAT の設定
手順
両方のルーターでNATを同一に設定します。
NATを設定するには、次の手順に従います。
NAT プールとルールの情報を指定します。
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
結果
user@host# show services nat
nat {
pool p2 {
address 32.0.0.0/24;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule r2 {
match-direction input;
term t1 {
from {
source-address {
129.0.0.0/8;
128.0.0.0/8;
}
}
then {
translated {
source-pool p2;
translation-type {
napt-44;
}
address-pooling paired;
}
syslog;
}
}
}
}
サービスセットの設定
手順
両方のルーターでサービス セットを同じように構成します。サービスセットを設定するには:
(オプション)サービス セットは既定でレプリケートされます。レプリケーションからサービス セットを除外するには、次のオプションを使用します。
user@host# set services service-set ss2 replicate-services disable-replication-capability
サービス セットの NAT ルールへの参照を構成します。
user@host# set services service-set ss2 nat-rules r2
MS-PICでネクストホップサービスインターフェイスを設定します。
user@host# set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
必要なログ オプションを設定します。
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class nat-logs
結果
user@host# show services service-set ss2
syslog {
host local {
class {
session-logs;
inactive:
nat-logs;
}
}
replicate-services {
replication-threshold 180;
inactive: disable-replication-capability;
}
nat-rules r2;
next-hop-service {
inside-service-interface ms-3/0/0.20;
outside-service-interface ms-3/0/0.30;
}
}
シャーシ2のインターフェイスの設定
手順
各 HA ペアのルーターのインターフェイスは、次のサービス PIC オプションを除き、同じように設定されます。
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addressオプションを含むip-address-owner service-plane0以外のユニットの
シャーシ2で冗長サービスPICを設定します。
は
redundancy-peer ipaddress、 ステートメントを含むip-address-owner service-planeシャーシ1のシャーシ上のms-4/0/0のユニット(ユニット10)のアドレスを指します。[edit interfaces} set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options replication-threshold 180 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
同期トラフィックのシャーシ間リンクとして使用されるシャーシ2のインターフェイスを設定します
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
必要に応じて、シャーシ 2 の残りのインターフェイスを設定します。
結果
user@host# show interfaces
ms-4/0/0 {
redundancy-options {
redundancy-peer {
address 5.5.5.1;
}
redundancy-local {
data-address 5.5.5.2;
}
routing-instance HA;
}
unit 0 {
family inet;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.2/32;
}
}
}
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.2/24;
}
}
unit 10 {
vlan-id 10;
family inet {
address 2.10.1.2/24;
}
}
}
シャーシ 2 の MX シリーズ ルーター間の HA 同期トラフィックのルーティング情報の設定
手順
この例では、詳細なルーティング設定は含まれていません。ルーティングインスタンスは、2 つのシャーシ間の HA 同期トラフィックに必要であり、ここに含まれています。
シャーシ 2 のルーティング インスタンスを設定します。
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 user@host# set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20
メモ:次の設定手順は、シャーシ 1 で示した手順 と同じです 。
NAT の設定
サービスセットの設定
結果
@user@host# show services routing-instances
HA {
instance-type vrf;
interface xe-2/2/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.2/32 next-hop ms-4/0/0.10;
route 5.5.5.1/32 next-hop 20.1.1.1;
}
}
}