Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

長寿命NAT、ステートフルファイアウォール、次世代サービス向けのIDSフローのためのシャーシ間ステートフル同期

シャーシ間ステートフル同期の概要

ステートフル同期は、有効期間の長いNAT、ステートフルファイアウォール、IDSセッションの状態をプライマリサービスPICに複製し、別のMXシリーズシャーシ上にあるバックアップサービスPICに送信します。デフォルトでは、存続期間の長いセッションは、サービス PIC 上で 180 秒以上アクティブであったと定義されますが、これより高い値に設定できます。

次の制限が適用されます。

  • サポートされている変換タイプは NAPT44 だけです。

ポートブロック割り当て (PBA)、エンドポイント非依存マッピング (EIM)、またはエンドポイント非依存フィルター (EIF) 機能の状態情報のレプリケートは、次世代サービスでサポートされています。

ステートフル同期設定に属するNAT、ステートフルファイアウォール、またはIDSのサービスセットを設定する場合は、ネクストホップサービスセットを使用する必要があります。また、サービスセットのNAT、ステートフルファイアウォール、IDSの設定は、両方のMXシリーズシャーシで同一である必要があります。

図 1 に、ステートフル同期トポロジを示します。

図 1: ステートフル同期トポロジ Stateful Sync Topology

利点

サービス セッション状態のシャーシ間ステートフル同期により、あるシャーシ上のサービス PIC から別のシャーシ上のサービス PIC へのスイッチオーバーが発生した場合でも、サービスを中断することなく行うことができます。

長寿命NAT、ステートフルファイアウォール、次世代サービス向けのIDSフローのためのシャーシ間ステートフル同期の設定

非AMSインターフェイスを使用した次世代サービスのシャーシ間ステートフル同期の設定

サービスインターフェイスがAMSでない場合に、NAT、ステートフルファイアウォール、次世代サービスのIDSフロー向けのステートフル同期シャーシ間高可用性を設定するには、高可用性ペアの各シャーシで以下の設定ステップを実行します。

  1. vms- インターフェイスの IP アドレスを指定します。このアドレスは、HA ペア間の TCP チャネルによって使用されます。

    例えば:

    もう一方のシャーシを設定する場合、これは redundancy-peer ipaddressに使用するアドレスです。

  2. リモートサービスインターフェースのIPアドレスを指定します。このアドレスは、HA ペア間の TCP チャネルによって使用されます。

    例えば:

    他のシャーシを設定する場合、これは redundancy-local data-addressに使用するアドレスです。

  3. レプリケーションのためにフローがアクティブであり続ける時間を秒単位で設定します。

    例えば:

  4. 0以外のユニットを設定し、 redundancy-local data-address オプションで設定したローカルサービスインターフェイスのIPアドレスを割り当てます。

    例えば:

  5. 管理を容易にするために、MX シリーズの高可用性ペア間の HA 同期トラフィックをホストするために、 instance-type vrf を持つ特別なルーティングインスタンスを作成することをお勧めします。次に、高可用性ペア間の HA 同期トラフィックに適用する特別なルーティングインスタンスの名前を指定します。
  6. ネクストホップ サービス セットで使用される内部および外部インターフェイス ユニットを設定します。内側と外側のユニットに異なるユニット番号を使用し、0または手順 4で使用したユニット番号は使用しないでください。

    例えば:

  7. NAT ルール、ステートフル ファイアウォール ルール、または IDS スクリーンを含むネクストホップ サービス セットを設定します。サービス セットは、高可用性ペアの各シャーシで同じように構成する必要があります。NAT ルール、ステートフル ファイアウォール ルール、IDS スクリーンも、各シャーシで同じように設定する必要があります。

    例えば:

  8. 高可用性ペアの他のシャーシについても、これらの手順を繰り返します。

AMS インターフェイスを使用した次世代サービスのシャーシ間ステートフル同期の設定

AMS サービス インターフェイスの次世代サービスの NAT、ステートフル ファイアウォール、および次世代サービスの IDS フロー向けのステートフル同期シャーシ間高可用性を設定するには、高可用性ペアの各シャーシで次の構成手順を実行します。

  1. AMS インターフェイスのすべてのメンバーのサービス vms- インターフェイスを構成します。
    1. vms- インターフェイスの IP アドレスを指定します。このアドレスは、HA ペア間の TCP チャネルによって使用されます。

      例えば:

      他のシャーシを設定する場合、これは redundancy-peer ipaddressに使用するアドレスです。

    2. リモートサービスインターフェースのIPアドレスを指定します。このアドレスは、HA ペア間の TCP チャネルによって使用されます。

      例えば:

      他のシャーシを設定する場合、これは redundancy-local data-addressに使用するアドレスです。

    3. レプリケーションのためにフローがアクティブであり続ける時間を秒単位で設定します。

      例えば:

    4. 0以外のユニットを設定し、 redundancy-local data-address オプションで設定したローカルサービスインターフェイスのIPアドレスを割り当てます。

      例えば:

    5. 管理を容易にするために、MX シリーズの高可用性ペア間の HA 同期トラフィックをホストするために、 instance-type vrf を持つ特別なルーティングインスタンスを作成することをお勧めします。次に、高可用性ペア間の HA 同期トラフィックに適用する特別なルーティングインスタンスの名前を指定します。
  2. AMS インターフェイスを作成し、ステップ 1 で設定したメンバー インターフェイスを追加します。

    ここで、 interface-name はamsNa はFPCスロット番号、 b は各メンバーインターフェイスのPICスロット番号です。

    例えば:

  3. ネクストホップ サービス セットで使用される AMS インターフェイスの内部インターフェイスを設定します。
    1. 内部インターフェイスの ファミリーを設定します。ユニット番号に 0 は使用しないでください。

      例えば:

    2. 内部インターフェイスの配信を調整するハッシュ キーを設定します。
  4. ネクストホップ サービス セットで使用される AMS インターフェイスの外部インターフェイスを設定します。0 または内部インターフェイスに使用したものと同じユニット番号は使用しないでください。

    1. 外部インターフェイスに ファミリーを設定します。

      例えば:

    2. 外部インターフェイスの配信を調整するハッシュキーを設定します。
  5. NAT ルール、ステートフル ファイアウォール ルール、または IDS スクリーンを含むネクストホップ サービス セットを設定します。サービス セットは、高可用性ペアの各シャーシで同じように構成する必要があります。NAT ルール、ステートフル ファイアウォール ルール、IDS スクリーンも、各シャーシで同じように設定する必要があります。

    例えば:

  6. 高可用性ペアの他のシャーシについても、これらの手順を繰り返します。