MS-MIC および MS-MPC のシャーシ間高可用性(リリース 15.1 以前)
このトピックは、Junos OSリリース15.1以前に適用されます。(Junos OS リリース 16.1 以降については、 長寿命 NAT およびステートフル ファイアウォール フロー(MS-MPC、MS-MIC)のためのシャーシ間ステートフル同期の概要(リリース 16.1 以降)を参照してください)。
シャーシ間の高可用性は、異なるシャーシ上のバックアップサービスPICへのスイッチオーバーを利用して、サービスのステートフル同期をサポートします。このトピックは、Junos OSリリース15.1以前に適用されます。(Junos OS リリース 16.1 以降については、 長寿命 NAT およびステートフル ファイアウォール フロー(MS-MPC、MS-MIC)のためのシャーシ間ステートフル同期の概要(リリース 16.1 以降)を参照してください)。この機能については、次のトピックで説明します。
ステートフルファイアウォールのためのシャーシ間高可用性とNAPT44の概要(MS-MIC、MS-MPC)
キャリアグレードNAT(CGN)の導入では、デュアルシャーシ実装を使用して、ルーターの主要コンポーネントに冗長データパスと冗長性を提供できます。シャーシ内高可用性はデュアルシャーシ環境で使用できますが、対処するのはサービスPICの障害のみです。ルーターのその他の障害が原因でトラフィックがバックアップ ルーターに切り替えられた場合、状態は失われます。シャーシ間の高可用性は、状態を維持し、シャーシ内の高可用性よりも少ないサービスPICで冗長性を提供します。高可用性ペアのプライマリ シャーシとバックアップ シャーシ間で同期されるのは、存続期間の長いフローのみです。サービスPICは、明示的なCLIコマンドを発行して状態のレプリケーションを開始または停止するまで、 request services redundancy (synchronize | no-synchronize)
状態をレプリケートしません。ステートフルファイアウォール、NAPT44、APPの状態情報を同期できます。
プライマリPICとバックアップPICの両方が立ち上がっている場合、 が発行された直後に request services redundancy command
レプリケーションが開始されます。
シャーシ間の高可用性を使用するには、ネクストホップ サービス インターフェイス用に設定されたサービス セットを使用する必要があります。シャーシ間の高可用性は、MS-MICまたはMS-MPCインターフェイスカードで設定されたMSサービスインターフェイスで動作します。ユニット0以外のユニットは、オプションで ip-address-owner service-plane
設定する必要があります。
次の制限が適用されます。
サポートされている変換タイプは NAPT44 だけです。
チェックポイントは、ALG、PBA ポート ブロック割り当て (PBA)、エンドポイント非依存マッピング (EIM)、またはエンドポイント非依存フィルター (EIF) ではサポートされていません。
図 1 に、シャーシ間の高可用性トポロジーを示します。
ステートフルファイアウォールとNAPT44(MS-MPC、MS-MIC)のためのシャーシ間高可用性の設定
MS-MIC または MS-MPC サービス PIC でステートフルファイアウォールと NAPT44 のシャーシ間可用性を設定するには、高可用性ペアの各シャーシで以下の設定手順を実行します。
例:NAT およびステートフル ファイアウォール(MS-MIC、MS-MPC)向けのシャーシ間ステートフル高可用性
この例では、ステートフルファイアウォールとNATサービス用のシャーシ間の高可用性を設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MS-MPCラインカードを搭載した2つのMX480ルーター
Junos OS リリース 13.3 以降
概要
2台のMX 3Dルーターは、シャーシ障害が発生した場合にファイアウォールとNATサービスのステートフルフェイルオーバーを容易にするために、同じ構成になっています。
構成
この例でシャーシ間の高可用性を設定するには、次のタスクを実行します。
- CLIクイック構成
- シャーシ 1 のインターフェイスの設定
- シャーシ 1 のルーティング情報の設定
- シャーシ 1 の NAT およびステートフル ファイアウォールの設定
- サービスセットの設定
- シャーシ2のインターフェイスの設定
- シャーシ 2 のルーティング情報の設定
CLIクイック構成
ルーターでこの例をすばやく設定するには、改行を削除し、サイトに固有のインターフェイス情報を置き換えた後、次のコマンドをコピーしてルーター端末ウィンドウに貼り付けます。
次の設定はシャーシ 1 用です。
[edit] set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
次の設定はシャーシ 2 用です。NAT、ステートフル ファイアウォール、およびサービス セットの情報は、シャーシ 1 および 2 で同一である必要があります。
set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
シャーシ 1 のインターフェイスの設定
手順
各 HA ペアのルーターのインターフェイスは、次のサービス PIC オプションを除き、同じように設定されます。
redundancy-options redundancy-peer ipaddress address
unit unit-number family inet address address
オプションを含むip-address-owner service-plane
0以外のユニットの
インターフェイスを設定するには:
シャーシ1で冗長サービスPICを設定します。
[edit interfaces} user@host# set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
同期トラフィックのシャーシ間リンクとして使用されるシャーシ1のインターフェイスを設定します。
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
必要に応じて、残りのインターフェイスを設定します。
結果
user@host# show interfaces ge-2/0/0 { vlan-tagging; unit 0 { vlan-id 100; family inet { address 20.1.1.1/24; } } } ms-4/0/0 { redundancy-options { redundancy-peer { ipaddress 5.5.5.2; } routing-instance HA; } unit 10 { ip-address-owner service-plane; family inet { address 5.5.5.1/32; } } unit 20 { family inet; family inet6; service-domain inside; } unit 30 { family inet; family inet6; service-domain outside; } } }
シャーシ 1 のルーティング情報の設定
手順
この例では、詳細なルーティング設定は含まれていません。ルーティングインスタンスは、以下のシャーシ間の HA 同期トラフィックに必要です。
シャーシ 1 のルーティング インスタンスを設定します。
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2
結果
user@host# show routing-instances HA { instance-type vrf; interface ge-2/0/0.0; interface ms-4/0/0.10; route-distinguisher 1:1; vrf-import dummy; vrf-export dummy; routing-options { static { route 5.5.5.1/32 next-hop ms-4/0/0.10; route 5.5.5.2/32 next-hop 20.1.1.2; } } }
シャーシ 1 の NAT およびステートフル ファイアウォールの設定
手順
両方のルーターでNATとステートフルファイアウォールを同じように設定します。NATとステートフルファイアウォールを設定するには:
必要に応じて NAT を設定します。
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
必要に応じてステートフルファイアウォールを設定します。
user@host# set services stateful-firewall rule r2 match-direction input user@host# set services stateful-firewall rule r2 term t1 from source-address any-unicast user@host# set services stateful-firewall rule r2 term t1 then accept user@host# set services stateful-firewall rule r2 term t1 then syslog
結果
user@host# show services nat nat { pool p2 { address 32.0.0.0/24; port { automatic { random-allocation; } } address-allocation round-robin; } rule r2 { match-direction input; term t1 { from { source-address { 129.0.0.0/8; 128.0.0.0/8; } } then { translated { source-pool p2; translation-type { napt-44; } address-pooling paired; } syslog; } } } } }
user@host show services stateful-firewell rule r2 { match-direction input; term t1 { from { source-address { any-unicast; } } then { accept; syslog; } } }
サービスセットの設定
手順
両方のルーターでサービス セットを同じように設定します。サービスセットを設定するには:
サービス セットのレプリケーション オプションを構成します。
user@host# set services service-set ss2 replicate-services replication-threshold 180 user@host# set services service-set ss2 replicate-services stateful-firewall user@host# set services service-set ss2 replicate-services nat
サービス セットの NAT およびステートフル ファイアウォール ルールへの参照を構成します。
user@host# set services service-set ss2 stateful-firewall-rules r2 user@host# set services service-set ss2 nat-rules r2
MS-PICでネクストホップサービスインターフェイスを設定します。
user@host# set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
必要なログ オプションを設定します。
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class stateful-firewall-logs user@host# set services service-set ss2 syslog host local class nat-logs
結果
user@host# show services service-set ss2 syslog { host local { class { session-logs; inactive: stateful-firewall-logs; nat-logs; } } } replicate-services { replication-threshold 180; stateful-firewall; nat; } stateful-firewall-rules r2; inactive: nat-rules r2; next-hop-service { inside-service-interface ms-3/0/0.20; outside-service-interface ms-3/0/0.30; } }
シャーシ2のインターフェイスの設定
手順
各 HA ペアのルーターのインターフェイスは、次のサービス PIC オプションを除き、同じように設定されます。
redundancy-options redundancy-peer ipaddress address
unit unit-number family inet address address
オプションを含むip-address-owner service-plane
0以外のユニットの
シャーシ2で冗長サービスPICを設定します。
は
redundancy-peer ipaddress
、 ステートメントを含むip-address-owner service-plane
シャーシ1のシャーシ上のms-4/0/0のユニット(ユニット10)のアドレスを指します。[edit interfaces} set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
同期トラフィックのシャーシ間リンクとして使用されるシャーシ2のインターフェイスを設定します
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
必要に応じて、シャーシ 2 の残りのインターフェイスを設定します。
結果
user@host# show interfaces ms-4/0/0 { redundancy-options { redundancy-peer { ipaddress 5.5.5.1; } routing-instance HA; } unit 0 { family inet; } unit 10 { ip-address-owner service-plane; family inet { address 5.5.5.2/32; } } ge-2/0/0 { vlan-tagging; unit 0 { vlan-id 100; family inet { address 20.1.1.2/24; } } unit 10 { vlan-id 10; family inet { address 2.10.1.2/24; }
シャーシ 2 のルーティング情報の設定
手順
この例では、詳細なルーティング設定は含まれていません。ルーティングインスタンスは、2 つのシャーシ間の HA 同期トラフィックに必要であり、ここに含まれています。
シャーシ 2 のルーティング インスタンスを設定します。
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1
メモ:次の設定手順は、シャーシ 1 で示した手順 と同じです 。
NAT とステートフル ファイアウォールの設定
サービスセットの設定
結果
user@host# show services routing-instances HA { instance-type vrf; interface xe-2/2/0.0; interface ms-4/0/0.10; route-distinguisher 1:1; vrf-import dummy; vrf-export dummy; routing-options { static { route 5.5.5.2/32 next-hop ms-4/0/0.10; route 5.5.5.1/32 next-hop 20.1.1.1; } }