次世代サービス NAT、ステートフル ファイアウォール、IDS フローのシャーシ間高可用性の概要
次世代サービス向け NAT、ステートフル ファイアウォール、IDS フローのシャーシ間高可用性の概要
キャリアグレードNAT、ステートフルファイアウォール、IDSフローは、デュアルシャーシの冗長データパスで構成できます。AMSインターフェイスを採用することで、MXシリーズデバイスでシャーシ内の高可用性を使用できますが、この方法はサービスPIC障害のみをローカルで処理します。何らかの理由で、ルーターの他の障害によりトラフィックがバックアップルーターに切り替えられた場合、バックアップルーター上のサービスPICとのサービスセッション状態の同期を設定しない限り、サービスPICからのセッション状態は失われます。
シャーシ間の高可用性がこの同期を実現し、冗長ペアのサービスPIC間のスイッチオーバーを制御します。シャーシ間の高可用性は、アクティブ/アクティブクラスターではなく、プライマリセカンダリモデルです。冗長性ペアの 1 つのサービス PIC(現在のプライマリ)のみが、サービス対象のトラフィックを受信します。
NAT、ステートフルファイアウォール、IDSのシャーシ間の高可用性を設定するには、以下を設定します。
ステートフル同期:プライマリ上のプライマリ サービス PIC から他のシャーシのバックアップ サービス PIC にセッション状態を複製します。
シャーシ間サービスの冗長性:監視されたイベントに基づいて、サービスPIC冗長ペアのプライマリロールスイッチオーバーを制御します。ほとんどの事業者は、サービスの冗長性も実装せずにステートフル同期を採用することを望んでいません。
利点
Interchassisの高可用性は、1つのシャーシ上のサービスPICから別のシャーシのサービスPICへの自動スイッチオーバーを提供すると同時に、顧客のトラフィックに中断のないサービスを提供します。
例:NATおよびステートフルファイアウォール(MX-SPC3)向けの次世代サービスシャーシ間ステートフル高可用性
この例では、ステートフルファイアウォールとNATサービスに対して、次世代サービスのシャーシ間高可用性を設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MX-SPC3サービスカードを搭載したMX480ルーター2台
Junos OS リリース 19.3R2、19.4R1 以降
概要
シャーシに障害が発生した場合にファイアウォールとNATサービスのステートフルフェイルオーバーを促進するために、2台のMX 3Dルーターが同一に構成されています。
構成
この例でシャーシ間の高可用性を設定するには、次のタスクを実行します。
- CLI クイックコンフィギュレーション
- シャーシ1のインターフェイスの設定。
- シャーシのルーティング情報を設定する 1
- シャーシの NAT およびステートフル ファイアウォールの設定 1
- サービス セットの設定
- シャーシのインターフェイスの設定 2
- シャーシのルーティング情報を設定する 2
CLI クイックコンフィギュレーション
この例をルーターで迅速に設定するには、改行を削除してサイト固有のインターフェイス情報を置き換えた後、以下のコマンドをコピーしてルーター端末ウィンドウに貼り付けます。
以下の設定はシャーシ1用です。
[edit] set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces vms-4/0/0 redundancy-options routing-instance HA set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces vms-4/0/0 unit 20 family inet set interfaces vms-4/0/0 unit 20 service-domain inside set interfaces vms-4/0/0 unit 30 family inet set interfaces vms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface vms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop vms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
次の設定はシャーシ2用です。NAT、ステートフル ファイアウォール、サービスセット情報は、シャーシ 1 と 2 で同一にする必要があります。
set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 set interfaces vms-4/0/0 redundancy-options routing-instance HA set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces vms-4/0/0 unit 20 family inet set interfaces vms-4/0/0 unit 20 service-domain inside set interfaces vms-4/0/0 unit 30 family inet set interfaces vms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface vms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set policy-options policy-statement dummy term 1 then reject set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop vms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services stateful-firewall rule r2 match-direction input set services stateful-firewall rule r2 term t1 from source-address any-unicast set services stateful-firewall rule r2 term t1 then accept set services stateful-firewall rule r2 term t1 then syslog set services service-set ss2 replicate-services replication-threshold 180 set services service-set ss2 replicate-services stateful-firewall set services service-set ss2 replicate-services nat set services service-set ss2 stateful-firewall-rules r2 set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class stateful-firewall-logs set services service-set ss2 syslog host local class nat-logs
シャーシ1のインターフェイスの設定。
手順
ルーターの各HAペアのインターフェイスは、以下のサービスPICオプションを除いて、同一に設定されます。
redundancy-options redundancy-peer ipaddress address
unit unit-number family inet address address
オプションを含む 0 以外のip-address-owner service-plane
ユニット
インターフェイスを設定するには:
シャーシ1に冗長サービスPICを設定します。
[edit interfaces} user@host# set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces vms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces vms-4/0/0 unit 20 family inet user@host# set interfaces vms-4/0/0 unit 20 service-domain inside user@host# set interfaces vms-4/0/0 unit 30 family inet user@host# set interfaces vms-4/0/0 unit 30 service-domain outside
同期トラフィックのシャーシ間リンクとして使用されるシャーシ1のインターフェイスを設定します。
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
必要に応じて残りのインターフェイスを設定します。
結果
user@host# show interfaces ge-2/0/0 { vlan-tagging; unit 0 { vlan-id 100; family inet { address 20.1.1.1/24; } } } vms-4/0/0 { redundancy-options { redundancy-peer { ipaddress 5.5.5.2; } routing-instance HA; } unit 10 { ip-address-owner service-plane; family inet { address 5.5.5.1/32; } } unit 20 { family inet; family inet6; service-domain inside; } unit 30 { family inet; family inet6; service-domain outside; } } }
シャーシのルーティング情報を設定する 1
手順
この例では、詳細なルーティング設定は含まれていません。ルーティング インスタンスは、次のようにシャーシ間の HA 同期トラフィックに必要です。
シャーシ1のルーティングインスタンスを設定します。
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface vms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop vms-4/0/0.10 user@host# set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2
結果
user@host# show routing-instances HA { instance-type vrf; interface ge-2/0/0.0; interface vms-4/0/0.10; route-distinguisher 1:1; vrf-import dummy; vrf-export dummy; routing-options { static { route 5.5.5.1/32 next-hop vms-4/0/0.10; route 5.5.5.2/32 next-hop 20.1.1.2; } } }
シャーシの NAT およびステートフル ファイアウォールの設定 1
手順
両方のルーターでNATとステートフルファイアウォールを同一に設定します。NATおよびステートフルファイアウォールを設定するには:
必要に応じてNATを設定します。
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
必要に応じてステートフルファイアウォールを設定します。
user@host# set services stateful-firewall rule r2 match-direction input user@host# set services stateful-firewall rule r2 term t1 from source-address any-unicast user@host# set services stateful-firewall rule r2 term t1 then accept user@host# set services stateful-firewall rule r2 term t1 then syslog
結果
user@host# show services nat nat { pool p2 { address 32.0.0.0/24; port { automatic { random-allocation; } } address-allocation round-robin; } rule r2 { match-direction input; term t1 { from { source-address { 129.0.0.0/8; 128.0.0.0/8; } } then { translated { source-pool p2; translation-type { napt-44; } address-pooling paired; } syslog; } } } } }
user@host show services stateful-firewell rule r2 { match-direction input; term t1 { from { source-address { any-unicast; } } then { accept; syslog; } } }
サービス セットの設定
手順
両方のルーターでサービス セットを同一に設定します。サービスセットを設定するには:
サービス セットレプリケーションオプションを設定します。
user@host# set services service-set ss2 replicate-services replication-threshold 180 user@host# set services service-set ss2 replicate-services stateful-firewall user@host# set services service-set ss2 replicate-services nat
サービスセットのNATおよびステートフルファイアウォールルールへの参照を設定します。
user@host# set services service-set ss2 stateful-firewall-rules r2 user@host# set services service-set ss2 nat-rules r2
vms-PICでネクストホップサービスインターフェイスを設定します。
user@host# set services service-set ss2 next-hop-service inside-service-interface vms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface vms-4/0/0.30
必要なロギング オプションを設定します。
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class stateful-firewall-logs user@host# set services service-set ss2 syslog host local class nat-logs
結果
user@host# show services service-set ss2 syslog { host local { class { session-logs; inactive: stateful-firewall-logs; nat-logs; } } } replicate-services { replication-threshold 180; stateful-firewall; nat; } stateful-firewall-rules r2; inactive: nat-rules r2; next-hop-service { inside-service-interface vms-3/0/0.20; outside-service-interface vms-3/0/0.30; } }
シャーシのインターフェイスの設定 2
手順
ルーターの各HAペアのインターフェイスは、以下のサービスPICオプションを除いて、同一に設定されます。
redundancy-options redundancy-peer ipaddress address
unit unit-number family inet address address
オプションを含む 0 以外のip-address-owner service-plane
ユニット
シャーシ2に冗長サービスPICを設定します。
ステートメント
redundancy-peer ipaddress
を含む、シャーシ1のシャーシ上のvms-4/0/0のユニット(ユニット10)のアドレスをip-address-owner service-plane
ポイントします。[edit interfaces} set interfaces vms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces vms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces vms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces vms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces vms-4/0/0 unit 20 family inet user@host# set interfaces vms-4/0/0 unit 20 service-domain inside user@host# set interfaces vms-4/0/0 unit 30 family inet user@host# set interfaces vms-4/0/0 unit 30 service-domain outside
同期トラフィックのシャーシ間リンクとして使用されるシャーシ 2 のインターフェイスを設定します。
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
必要に応じて、シャーシ2の残りのインターフェイスを設定します。
結果
user@host# show interfaces vms-4/0/0 { redundancy-options { redundancy-peer { ipaddress 5.5.5.1; } routing-instance HA; } unit 0 { family inet; } unit 10 { ip-address-owner service-plane; family inet { address 5.5.5.2/32; } } ge-2/0/0 { vlan-tagging; unit 0 { vlan-id 100; family inet { address 20.1.1.2/24; } } unit 10 { vlan-id 10; family inet { address 2.10.1.2/24; }
シャーシのルーティング情報を設定する 2
手順
この例では、詳細なルーティング設定は含まれていません。2つのシャーシ間のHA同期トラフィックにはルーティングインスタンスが必要で、ここに含まれています。
シャーシ2のルーティングインスタンスを設定します。
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface vms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop vms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1
メモ:次の設定手順は、シャーシ 1 に示す手順と 同じです 。
NATおよびステートフルファイアウォールの設定
サービス セットの設定
結果
user@host# show services routing-instances HA { instance-type vrf; interface xe-2/2/0.0; interface vms-4/0/0.10; route-distinguisher 1:1; vrf-import dummy; vrf-export dummy; routing-options { static { route 5.5.5.2/32 next-hop vms-4/0/0.10; route 5.5.5.1/32 next-hop 20.1.1.1; } }