Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

次世代サービス NAT、ステートフル ファイアウォール、IDS フローのシャーシ間高可用性の概要

次世代サービス向け NAT、ステートフル ファイアウォール、IDS フローのシャーシ間高可用性の概要

キャリアグレードNAT、ステートフルファイアウォール、IDSフローは、デュアルシャーシの冗長データパスで構成できます。AMSインターフェイスを採用することで、MXシリーズデバイスでシャーシ内の高可用性を使用できますが、この方法はサービスPIC障害のみをローカルで処理します。何らかの理由で、ルーターの他の障害によりトラフィックがバックアップルーターに切り替えられた場合、バックアップルーター上のサービスPICとのサービスセッション状態の同期を設定しない限り、サービスPICからのセッション状態は失われます。

シャーシ間の高可用性がこの同期を実現し、冗長ペアのサービスPIC間のスイッチオーバーを制御します。シャーシ間の高可用性は、アクティブ/アクティブクラスターではなく、プライマリセカンダリモデルです。冗長性ペアの 1 つのサービス PIC(現在のプライマリ)のみが、サービス対象のトラフィックを受信します。

NAT、ステートフルファイアウォール、IDSのシャーシ間の高可用性を設定するには、以下を設定します。

  1. ステートフル同期:プライマリ上のプライマリ サービス PIC から他のシャーシのバックアップ サービス PIC にセッション状態を複製します。

  2. シャーシ間サービスの冗長性:監視されたイベントに基づいて、サービスPIC冗長ペアのプライマリロールスイッチオーバーを制御します。ほとんどの事業者は、サービスの冗長性も実装せずにステートフル同期を採用することを望んでいません。

利点

Interchassisの高可用性は、1つのシャーシ上のサービスPICから別のシャーシのサービスPICへの自動スイッチオーバーを提供すると同時に、顧客のトラフィックに中断のないサービスを提供します。

例:NATおよびステートフルファイアウォール(MX-SPC3)向けの次世代サービスシャーシ間ステートフル高可用性

この例では、ステートフルファイアウォールとNATサービスに対して、次世代サービスのシャーシ間高可用性を設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MX-SPC3サービスカードを搭載したMX480ルーター2台

  • Junos OS リリース 19.3R2、19.4R1 以降

概要

シャーシに障害が発生した場合にファイアウォールとNATサービスのステートフルフェイルオーバーを促進するために、2台のMX 3Dルーターが同一に構成されています。

構成

この例でシャーシ間の高可用性を設定するには、次のタスクを実行します。

CLI クイックコンフィギュレーション

この例をルーターで迅速に設定するには、改行を削除してサイト固有のインターフェイス情報を置き換えた後、以下のコマンドをコピーしてルーター端末ウィンドウに貼り付けます。

メモ:

以下の設定はシャーシ1用です。

メモ:

次の設定はシャーシ2用です。NAT、ステートフル ファイアウォール、サービスセット情報は、シャーシ 1 と 2 で同一にする必要があります。

シャーシ1のインターフェイスの設定。

手順

ルーターの各HAペアのインターフェイスは、以下のサービスPICオプションを除いて、同一に設定されます。

  • redundancy-options redundancy-peer ipaddress address

  • unit unit-number family inet address address オプションを含む 0 以外の ip-address-owner service-plane ユニット

インターフェイスを設定するには:

  1. シャーシ1に冗長サービスPICを設定します。

  2. 同期トラフィックのシャーシ間リンクとして使用されるシャーシ1のインターフェイスを設定します。

  3. 必要に応じて残りのインターフェイスを設定します。

結果

シャーシのルーティング情報を設定する 1

手順

この例では、詳細なルーティング設定は含まれていません。ルーティング インスタンスは、次のようにシャーシ間の HA 同期トラフィックに必要です。

  • シャーシ1のルーティングインスタンスを設定します。

結果

シャーシの NAT およびステートフル ファイアウォールの設定 1

手順

両方のルーターでNATとステートフルファイアウォールを同一に設定します。NATおよびステートフルファイアウォールを設定するには:

  1. 必要に応じてNATを設定します。

  2. 必要に応じてステートフルファイアウォールを設定します。

結果

サービス セットの設定

手順

両方のルーターでサービス セットを同一に設定します。サービスセットを設定するには:

  1. サービス セットレプリケーションオプションを設定します。

  2. サービスセットのNATおよびステートフルファイアウォールルールへの参照を設定します。

  3. vms-PICでネクストホップサービスインターフェイスを設定します。

  4. 必要なロギング オプションを設定します。

結果

シャーシのインターフェイスの設定 2

手順

ルーターの各HAペアのインターフェイスは、以下のサービスPICオプションを除いて、同一に設定されます。

  • redundancy-options redundancy-peer ipaddress address

  • unit unit-number family inet address address オプションを含む 0 以外の ip-address-owner service-plane ユニット

  1. シャーシ2に冗長サービスPICを設定します。

    ステートメント redundancy-peer ipaddress を含む、シャーシ1のシャーシ上のvms-4/0/0のユニット(ユニット10)のアドレスを ip-address-owner service-plane ポイントします。

  2. 同期トラフィックのシャーシ間リンクとして使用されるシャーシ 2 のインターフェイスを設定します。

  3. 必要に応じて、シャーシ2の残りのインターフェイスを設定します。

結果

シャーシのルーティング情報を設定する 2

手順

この例では、詳細なルーティング設定は含まれていません。2つのシャーシ間のHA同期トラフィックにはルーティングインスタンスが必要で、ここに含まれています。

  • シャーシ2のルーティングインスタンスを設定します。

    メモ:

    次の設定手順は、シャーシ 1 に示す手順と 同じです

    • NATおよびステートフルファイアウォールの設定

    • サービス セットの設定

結果