シャーシ クラスタ内の論理システム
シャーシクラスターは、SRXシリーズファイアウォールで高可用性を提供し、2台のデバイスが単一のデバイスとして動作します。シャーシ クラスタには、設定ファイルの同期と、シャーシ クラスタ設定の一部である SRX シリーズ ファイアウォール間の動的ランタイム セッション状態が含まれています。詳細については、以下のトピックを参照してください。
シャーシ クラスタのコンテキストにおける論理システムの理解
論理システムを実行している SRX シリーズ ファイアウォールで構成されるノードを持つ シャーシ クラスタ の動作は、クラスタ内の SRX シリーズ ノードが論理システムを実行していないクラスタの動作と同じです。ノードのフェイルオーバーを引き起こすイベント間に違いはありません。特に、単一の論理システムに関連付けられたリンクに障害が発生した場合、デバイスはクラスタ内の別のノードにフェールオーバーします。
プライマリ管理者は、論理システムを作成および設定する前に、シャーシ クラスタ(プライマリ ノードとセカンダリ ノードの両方を含む)を設定します。クラスター内の各ノードは、論理システムを実行していないクラスター内のノードの場合と同様に、同じ構成になっています。すべての論理システム構成が同期され、クラスター内の両方のノード間で複製されます。
シャーシ クラスタ内で論理システムを実行している SRX シリーズ ファイアウォールを使用する場合、シャーシ クラスタ内の各ノードに同じ数のライセンスを購入してインストールする必要があります。論理システム ライセンスは、クラスタ全体ではなく、シャーシ クラスタ内の単一シャーシ(ノード)に関連します。
Junos OSリリース12.3X48-D50以降では、シャーシクラスタ内の論理システムを設定する際、設定時 commit
にバックアップノード上の論理システムライセンスで不十分な場合、以前のすべてのリリースのプライマリノードと同様に、バックアップノードに必要なライセンス数に関する警告メッセージが表示されます。
「」も参照
例:アクティブ/パッシブ シャーシ クラスタ内の論理システムの設定(プライマリ管理者のみ)
この例では、基本的なアクティブ/パッシブ シャーシ クラスタで論理システムを設定する方法を示しています。
プライマリ管理者はシャーシクラスタを設定し、論理システム(オプションの相互接続論理システムを含む)、管理者、セキュリティプロファイルを作成します。プライマリ管理者またはユーザー論理システム管理者のいずれかが、ユーザー論理システムを設定します。この設定は、クラスタ内のノード間で同期されます。
要件
開始する前に、以下を行います。
同一のハードウェア構成の 2 つの SRX シリーズ ファイアウォールを入手します。 例: SRX5800 デバイスでのアクティブ/パッシブ シャーシ クラスタの設定を参照してください。このシャーシ クラスタ導入シナリオでは、MX240 エッジ ルーターと EX8208 イーサネット スイッチに接続するための SRX シリーズ ファイアウォールの構成が含まれています。
2台のデバイスを物理的に接続し(ファブリックとコントロールポートの場合はバックツーバック)、それらが同じモデルであることを確認します。SRX5000ラインでファブリックポートとコントロールポートの両方を設定できます。SRX1400デバイス、SRX1500デバイス、またはSRX3000ラインでは、ファブリックポートのみを設定できます。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。 シャーシ クラスタを作成するための SRX シリーズ デバイスの接続を参照してください。
各デバイスでシャーシクラスタIDとノードIDを設定し、デバイスを再起動してクラスタリングを有効にします。例 : シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定を参照してください 。
この例では、プライマリ管理者がルート レベルでプライマリ(ノード 0)デバイス上でシャーシ クラスタと論理システム設定を実行しています。プライマリ管理者としてデバイスにログインします。 「プライマリ論理システムとプライマリ管理者ロールについて」を参照してください。
シャーシ クラスタで論理システムを実行している SRX シリーズ ファイアウォールを使用する場合、シャーシ クラスタ内の各ノードに同じ数の論理システム ライセンスを購入してインストールする必要があります。論理システム ライセンスは、クラスタ全体ではなく、シャーシ クラスタ内の単一シャーシまたはノードに関連します。
概要
この例では、基本的なアクティブ/パッシブ シャーシ クラスタは、2 つのデバイスで構成されています。
1台のデバイスが、シャーシクラスタの制御を維持しながら、論理システムを積極的に提供します。
もう一方のデバイスは、アクティブなデバイスが非アクティブになった場合に、クラスタ フェイルオーバー機能の状態を受動的に維持します。
アクティブ/アクティブシャーシクラスタ内の論理システムは、アクティブ/パッシブシャーシクラスタ内の論理システムと同様の方法で設定されます。アクティブ/アクティブシャーシクラスターでは、異なるノードでプライマリにできる複数の冗長性グループを使用できます。
プライマリ管理者は、プライマリデバイス(ノード0)に以下の論理システムを設定します。
プライマリ論理システム — プライマリ管理者は、システムのセキュリティリソースの一部をプライマリ論理システムにプロビジョニングするセキュリティプロファイルを設定し、プライマリ論理システムのリソースを設定します。
ユーザー論理システム LSYS1 および LSYS2 およびその管理者 — 1 次管理者は、システムのセキュリティー・リソースの一部をユーザー論理システムにプロビジョニングするようにセキュリティー・プロファイルを構成します。ユーザー論理システム管理者は、自分の論理システムに割り当てられたインターフェイス、ルーティング、およびセキュリティ リソースを設定できます。
デバイス上の論理システムを接続する相互接続論理システム LSYS0 — プライマリ管理者は、相互接続論理システムと各論理システム間の論理トンネル インターフェイスを設定します。これらのピアインターフェイスは、トンネルの確立を効果的に可能にします。
この例では、論理システムのNAT、IDP、VPNなどの機能の設定については説明しません。論理システムに設定できる機能の詳細については、 SRXシリーズ論理システムプライマリ管理者設定タスクの概要 と ユーザー論理システム構成の概要 を参照してください。
シャーシ クラスタ設定でプロキシ ARP を実行する場合、reth インターフェイスには論理設定が含まれているため、メンバー インターフェイスではなく reth インターフェイスにプロキシ ARP 設定を適用する必要があります。 NAT用プロキシーARPの設定(CLI手順)を参照してください。
構成
シャーシ クラスタ設定(プライマリ管理者)
CLI クイックコンフィギュレーション
論理システムとユーザー論理システム管理者をすばやく作成し、プライマリおよび相互接続論理システムを設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストします。
{プライマリ:node0}で
set chassis cluster control-ports fpc 0 port 0 set chassis cluster control-ports fpc 6 port 0 set interfaces fab0 fabric-options member-interfaces ge-1/1/0 set interfaces fab1 fabric-options member-interfaces ge-7/1/0 set groups node0 system host-name SRX5800-1 set groups node0 interfaces fxp0 unit 0 family inet address 10.157.90.24/9 set groups node0 system backup-router 10.157.64.1 destination 0.0.0.0/0 set groups node1 system host-name SRX5800-2 set groups node1 interfaces fxp0 unit 0 family inet address 10.157.90.23/19 set groups node1 system backup-router 10.157.64.1 destination 0.0.0.0/0 set apply-groups “${node}” set chassis cluster reth-count 5 set chassis cluster redundancy-group 0 node 0 priority 200 set chassis cluster redundancy-group 0 node 1 priority 100 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 100 set interfaces ge-1/0/0 gigether-options redundant-parent reth0 set interfaces ge-1/0/1 gigether-options redundant-parent reth1 set interfaces ge-1/0/2 gigether-options redundant-parent reth2 set interfaces ge-1/0/3 gigether-options redundant-parent reth3 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/2 gigether-options redundant-parent reth2 set interfaces ge-7/0/3 gigether-options redundant-parent reth3 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 95.99.99.1/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth3 redundant-ether-options redundancy-group 1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
シャーシ クラスタを設定するには:
プライマリ デバイス(ノード 0)で次の手順を実行します。コマンドを実行 commit
すると、それらは自動的にセカンダリ デバイス(ノード 1)にコピーされます。
クラスタの制御ポートを設定します。
[edit chass cluster] user@host# set control-ports fpc 0 port 0 user@host# set control-ports fpc 6 port 0
アクティブ/パッシブ モードで RTU を渡すために使用されるクラスタのファブリック(データ)ポートを設定します。
[edit interfaces] user@host# set fab0 fabric-options member-interfaces ge-1/1/0 user@host# set fab1 fabric-options member-interfaces ge-7/1/0
コンフィギュレーションの一部の要素を特定のメンバーに割り当てます。クラスターの個々の制御プレーンに個別の IP アドレスを使用して、SRX サービス ゲートウェイの fxp0 インターフェイスでアウトオブバンド管理を設定します。
[edit] user@host# set groups node0 system host-name SRX5800-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 10.157.90.24/9 user@host# set groups node0 system backup-router 10.157.64.1 destination 0.0.0.0/0 user@host# set groups node1 system host-name SRX5800-2 user@host# set groups node1 interfaces fxp0 unit 0 family inet address 10.157.90.23/19 user@host# set groups node1 system backup-router 10.157.64.1 destination 0.0.0.0/0 user@host# set apply-groups “${node}”
シャーシクラスタリングの冗長性グループを設定します。
[edit chassis cluster] user@host# set reth-count 5 user@host# set redundancy-group 0 node 0 priority 200 user@host# set redundancy-group 0 node 1 priority 100 user@host# set redundancy-group 1 node 0 priority 200 user@host# set redundancy-group 1 node 1 priority 100
データ プレーンのフェイルオーバーが発生した場合、他のシャーシ クラスタ メンバーがシームレスに接続を引き継ぐように、プラットフォーム上のデータ インターフェイスを設定します。
[edit interfaces] user@host# set ge-1/0/0 gigether-options redundant-parent reth0 user@host# set ge-1/0/1 gigether-options redundant-parent reth1 user@host# set ge-1/0/2 gigether-options redundant-parent reth2 user@host# set ge-1/0/3 gigether-options redundant-parent reth3 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/2 gigether-options redundant-parent reth2 user@host# set ge-7/0/3 gigether-options redundant-parent reth3 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 95.99.99.1/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth2 redundant-ether-options redundancy-group 1 user@host# set reth3 redundant-ether-options redundancy-group 1
結果
動作モードから、 コマンドを入力して設定を show configuration
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host> show configuration version ; groups { node0 { system { host-name SRX58001; backup-router 10.157.64.1 destination 0.0.0.0/0; } interfaces { fxp0 { unit 0 { family inet { address 10.157.90.24/9; } } } } } node1 { system { host-name SRX58002; backup-router 10.157.64.1 destination 0.0.0.0/0; } interfaces { fxp0 { unit 0 { family inet { address 10.157.90.23/19; } } } } } } apply-groups "${node}"; chassis { cluster { control-link-recovery; reth-count 5; control-ports { fpc 0 port 0; fpc 6 port 0; } redundancy-group 0 { node 0 priority 200; node 1 priority 100; } redundancy-group 1 { node 0 priority 200; node 1 priority 100; } } } interfaces { ge-1/0/0 { gigether–options { redundant–parent reth0; } } ge-1/0/1 { gigether–options { redundant–parent reth1; } } ge-1/0/2 { gigether–options { redundant–parent reth2; } } ge-1/0/3 { gigether–options { redundant–parent reth3; } } ge-7/0/0 { gigether–options { redundant–parent reth0; } } ge-7/0/1 { gigether–options { redundant–parent reth1; } } ge-7/0/2 { gigether–options { redundant–parent reth2; } } ge-7/0/3 { gigether–options { redundant–parent reth3; } } fab0 { fabric–options { member–interfaces { ge-1/1/0; } } } fab1 { fabric–options { member–interfaces { ge-7/1/0; } } } reth0 { redundant–ether–options { redundancy–group 1; } unit 0 { family inet { address 95.99.99.1/8; } } } reth1 { redundant–ether–options { redundancy–group 1; } } reth2 { redundant–ether–options { redundancy–group 1; } } reth3 { redundant–ether–options { redundancy–group 1; } } }
論理システム設定(プライマリ管理者)
CLI クイックコンフィギュレーション
論理システムとユーザー論理システム管理者をすばやく作成し、プライマリおよび相互接続論理システムを設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストします。
プレーンテキスト パスワードを入力してから再入力するよう求められます。
{プライマリ:node0}で
set logical-systems LSYS1 set logical-systems LSYS2 set logical-systems LSYS0 set system login class lsys1 logical-system LSYS1 set system login class lsys1 permissions all set system login user lsys1admin full-name lsys1-admin set system login user lsys1admin class lsys1 set user lsys1admin authentication plain-text-password set system login class lsys2 logical-system LSYS2 set system login class lsys2 permissions all set system login user lsys2admin full-name lsys2-admin set system login user lsys2admin class lsys2 set system login user lsys2admin authentication plain-text-password set system security-profile SP-root policy maximum 200 set system security-profile SP-root policy reserved 100 set system security-profile SP-root zone maximum 200 set system security-profile SP-root zone reserved 100 set system security-profile SP-root flow-session maximum 200 set system security-profile SP-root flow-session reserved 100 set system security-profile SP-root root-logical-system set system security-profile SP0 logical-system LSYS0 set system security-profile SP1 policy maximum 100 set system security-profile SP1 policy reserved 50 set system security-profile SP1 zone maximum 100 set system security-profile SP1 zone reserved 50 set system security-profile SP1 flow-session maximum 100 set system security-profile SP1 flow-session reserved 50 set system security-profile SP1 logical-system LSYS1 set system security-profile SP2 policy maximum 100 set system security-profile SP2 policy reserved 50 set system security-profile SP2 zone maximum 100 set system security-profile SP2 zone reserved 50 set system security-profile SP2 flow-session maximum 100 set system security-profile SP2 flow-session reserved 50 set system security-profile SP2 logical-system LSYS2 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 0 set interfaces lt-0/0/0 unit 1 family inet address 2.1.1.1/24 set routing-instances vr0 instance-type virtual-router set routing-instances vr0 interface lt-0/0/0.1 set routing-instances vr0 interface reth0.0 set routing-instances vr0 routing-options static route 85.0.0.0/8 next-hop 2.1.1.3 set routing-instances vr0 routing-options static route 75.0.0.0/8 next-hop 2.1.1.3 set routing-instances vr0 routing-options static route 65.0.0.0/8 next-hop 2.1.1.5 set security zones security-zone root-trust host-inbound-traffic system-services all set security zones security-zone root-trust host-inbound-traffic protocols all set security zones security-zone root-trust interfaces reth0.0 set security zones security-zone root-untrust host-inbound-traffic system-services all set security zones security-zone root-untrust host-inbound-traffic protocols all set security zones security-zone root-untrust interfaces lt-0/0/0.1 set security policies from-zone root-trust to-zone root-untrust policy root-Trust_to_root-Untrust match source-address any set security policies from-zone root-trust to-zone root-untrust policy root-Trust_to_root-Untrust match destination-address any set security policies from-zone root-trust to-zone root-untrust policy root-Trust_to_root-Untrust match application any set security policies from-zone root-trust to-zone root-untrust policy root-Trust_to_root-Untrust then permit set security policies from-zone root-untrust to-zone root-trust policy root-Untrust_to_root-Trust match source-address any set security policies from-zone root-untrust to-zone root-trust policy root-Untrust_to_root-Trust match destination-address any set security policies from-zone root-untrust to-zone root-trust policy root-Untrust_to_root-Trust match application any set security policies from-zone root-untrust to-zone root-trust policy root-Untrust_to_root-Trust then permit set security policies from-zone root-untrust to-zone root-untrust policy root-Untrust_to_root-Untrust match source-address any set security policies from-zone root-untrust to-zone root-untrust policy root-Untrust_to_root-Untrust match destination-address any set security policies from-zone root-untrust to-zone root-untrust policy root-Untrust_to_root-Untrust match application any set security policies from-zone root-untrust to-zone root-untrust policy root-Untrust_to_root-Untrust then permit set security policies from-zone root-trust to-zone root-trust policy root-Trust_to_root-Trust match source-address any set security policies from-zone root-trust to-zone root-trust policy root-Trust_to_root-Trust match destination-address any set security policies from-zone root-trust to-zone root-trust policy root-Trust_to_root-Trust match application any set security policies from-zone root-trust to-zone root-trust policy root-Trust_to_root-Trust then permit set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 peer-unit 3 set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 peer-unit 5 set logical-systems LSYS0 routing-instances vr instance-type vpls set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.0 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.2 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.4 set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 peer-unit 2 set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 family inet address 2.1.1.3/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 peer-unit 4 set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 family inet address 2.1.1.5/24
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
論理システムとユーザー論理システム管理者を作成し、プライマリおよび相互接続論理システムを設定するには:
相互接続システムとユーザー論理システムを作成します。
[edit logical-systems] user@host# set LSYS0 user@host# set LSYS1 user@host# set LSYS2
ユーザー論理システム管理者を設定します。
手順
-
LSYS1 のユーザー論理システム管理者を設定します。
[edit system login] user@host# set class lsys1 logical-system LSYS1 user@host# set class lsys1 permissions all user@host# set user lsys1admin full-name lsys1-admin user@host# set user lsys1admin class lsys1 user@host# set user lsys1admin authentication plain-text-password
-
LSYS2 のユーザー論理システム管理者を設定します。
[edit system login] user@host# set class lsys2 logical-system LSYS2 user@host# set class lsys2 permissions all user@host# set user lsys2admin full-name lsys2-admin user@host# set user lsys2admin class lsys2 user@host# set user lsys2admin authentication plain-text-password
-
セキュリティプロファイルを設定し、論理システムに割り当てます。
手順
-
セキュリティプロファイルを設定し、ルート論理システムに割り当てます。
[edit system security-profile] user@host# set SP-root policy maximum 200 user@host# set SP-root policy reserved 100 user@host# set SP-root zone maximum 200 user@host# set SP-root zone reserved 100 user@host# set SP-root flow-session maximum 200 user@host# set SP-root flow-session reserved 100 user@host# set SP-root root-logical-system
-
相互接続論理システム LSYS0 にリソースのないダミー セキュリティー プロファイルを割り当てます。
[edit system security-profile] user@host# set SP0 logical-system LSYS0
-
セキュリティー・プロファイルを構成し、LSYS1 に割り当てます。
[edit system security-profile] user@host# set SP1 policy maximum 100 user@host# set SP1 policy reserved 50 user@host# set SP1 zone maximum 100 user@host# set SP1 zone reserved 50 user@host# set SP1 flow-session maximum 100 user@host# set SP1 flow-session reserved 50 user@host# set SP1 logical-system LSYS1
-
セキュリティー・プロファイルを構成し、LSYS2 に割り当てます。
[edit system security-profile] user@host# set SP2 policy maximum 100 user@host# set SP2 policy reserved 50 user@host# set SP2 zone maximum 100 user@host# set SP2 zone reserved 50 user@host# set SP2 flow-session maximum 100 user@host# set SP2 flow-session reserved 50 user@host# set SP2 logical-system LSYS2
-
プライマリ論理システムを設定します。
手順
-
論理トンネル インターフェイスを設定します。
[edit interfaces] user@host# set lt-0/0/0 unit 1 encapsulation ethernet user@host# set lt-0/0/0 unit 1 peer-unit 0 user@host# set lt-0/0/0 unit 1 family inet address 2.1.1.1/24
-
ルーティングインスタンスを設定します。
[edit routing-instances] user@host# set vr0 instance-type virtual-router user@host# set vr0 interface lt-0/0/0.1 user@host# set vr0 interface reth0.0 user@host# set vr0 routing-options static route 85.0.0.0/8 next-hop 2.1.1.3 user@host# set vr0 routing-options static route 75.0.0.0/8 next-hop 2.1.1.3 user@host# set vr0 routing-options static route 65.0.0.0/8 next-hop 2.1.1.5
-
ゾーンを設定します。
[edit security zones] user@host# set security-zone root-trust host-inbound-traffic system-services all user@host# set security-zone root-trust host-inbound-traffic protocols all user@host# set security-zone root-trust interfaces reth0.0 user@host# set security-zone root-untrust host-inbound-traffic system-services all user@host# set security-zone root-untrust host-inbound-traffic protocols all user@host# set security-zone root-untrust interfaces lt-0/0/0.1
-
セキュリティポリシーを設定します。
[edit security policies from-zone root-trust to-zone root-untrust] user@host# set policy root-Trust_to_root-Untrust match source-address any user@host# set policy root-Trust_to_root-Untrust match destination-address any user@host# set policy root-Trust_to_root-Untrust match application any user@host# set policy root-Trust_to_root-Untrust then permit
[edit security policies from-zone root-untrust to-zone root-trust] user@host# set policy root-Untrust_to_root-Trust match source-address any user@host# set policy root-Untrust_to_root-Trust match destination-address any user@host# set policy root-Untrust_to_root-Trust match application any user@host# set policy root-Untrust_to_root-Trust then permit
[edit security policies from-zone root-untrust to-zone root-untrust] user@host# set policy root-Untrust_to_root-Untrust match source-address any user@host# set policy root-Untrust_to_root-Untrust match destination-address any user@host# set policy root-Untrust_to_root-Untrust match application any user@host# set policy root-Untrust_to_root-Untrust then permit
[edit security policies from-zone root-trust to-zone root-trust] user@host# set policy root-Trust_to_root-Trust match source-address any user@host# set policy root-Trust_to_root-Trust match destination-address any user@host# set policy root-Trust_to_root-Trust match application any user@host# set policy root-Trust_to_root-Trust then permit
-
相互接続論理システムを設定します。
手順
-
論理トンネル インターフェイスを設定します。
[edit logical-systems LSYS0 interfaces] user@host# set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 0 peer-unit 1 user@host# set lt-0/0/0 unit 2 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 2 peer-unit 3 user@host# set lt-0/0/0 unit 4 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 4 peer-unit 5
-
VPLSルーティングインスタンスを設定します。
[edit logical-systems LSYS0 routing-instances] user@host# set vr instance-type vpls user@host# set vr interface lt-0/0/0.0 user@host# set vr interface lt-0/0/0.2 user@host# set vr interface lt-0/0/0.4
-
ユーザー論理システムの論理トンネルインターフェイスを設定します。
手順
-
LSYS1 の論理トンネル インターフェイスを設定します。
[edit logical-systems LSYS1 interfaces ] user@host# set lt-0/0/0 unit 3 encapsulation ethernet user@host# set lt-0/0/0 unit 3 peer-unit 2 user@host# set lt-0/0/0 unit 3 family inet address 2.1.1.3/24
-
LSYS2 の論理トンネル インターフェイスを設定します。
[edit logical-systems LSYS2 interfaces ] user@host# set lt-0/0/0 unit 5 encapsulation ethernet user@host# set lt-0/0/0 unit 5 peer-unit 4 user@host# set lt-0/0/0 unit 5 family inet address 2.1.1.5/24
-
結果
設定モードから、 コマンドを入力してLSYS0の設定を show logical-systems LSYS0
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show logical-systems LSYS0 interfaces { lt-0/0/0 { unit 0 { encapsulation ethernet-vpls; peer-unit 1; } unit 2 { encapsulation ethernet-vpls; peer-unit 3; } unit 4 { encapsulation ethernet-vpls; peer-unit 5; } } } routing-instances { vr { instance-type vpls; interface lt-0/0/0.0; interface lt-0/0/0.2; interface lt-0/0/0.4; } }
設定モードから、 、 show routing-instances
show security
および コマンドを入力して、プライマリ論理システムの設定をshow interfaces
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show interfaces lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 0; family inet { address 2.1.1.1/24; } } } ge-1/0/0 { gigether-options { redundant-parent reth0; } } ge-1/0/1 { gigether-options { redundant-parent reth1; } } ge-1/0/2 { gigether-options { redundant-parent reth2; } } ge-1/0/3 { gigether-options { redundant-parent reth3; } } ge-7/0/0 { gigether-options { redundant-parent reth0; } } ge-7/0/1 { gigether-options { redundant-parent reth1; } } ge-7/0/2 { gigether-options { redundant-parent reth2; } } ge-7/0/3 { gigether-options { redundant-parent reth3; } } fab0 { fabric-options { member-interfaces { ge-1/1/0; } } } fab1 { fabric-options { member-interfaces { ge-7/1/0; } } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 95.99.99.1/8; } } } reth1 { redundant-ether-options { redundancy-group 1; } } reth2 { redundant-ether-options { redundancy-group 1; } } reth3 { redundant-ether-options { redundancy-group 1; } } [edit] user@host# show routing-instances vr0 { instance-type virtual-router; interface lt-0/0/0.1; interface reth0.0; routing-options { static { route 85.0.0.0/8 next-hop 2.1.1.3; route 75.0.0.0/8 next-hop 2.1.1.3; route 65.0.0.0/8 next-hop 2.1.1.5; } } } [edit] user@host# show security policies { from-zone root-trust to-zone root-untrust { policy root-Trust_to_root-Untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone root-untrust to-zone root-trust { policy root-Untrust_to_root-Trust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone root-untrust to-zone root-untrust { policy root-Untrust_to_root-Untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone root-trust to-zone root-trust { policy root-Trust_to_root-Trust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone root-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } } security-zone root-untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.1; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
ユーザー論理システム設定(ユーザー論理システム管理者)
CLI クイックコンフィギュレーション
ユーザー論理システムを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルのCLIにコマンドを [edit]
コピーアンドペーストします。
LSYS1 のユーザー論理システム管理者としてログインしている間、以下のコマンドを入力します。
set interfaces reth1 unit 0 family inet address 85.88.88.1/8 set interfaces reth2 unit 0 family inet address 75.77.77.1/8 set routing-instances vr11 instance-type virtual-router set routing-instances vr11 interface lt-0/0/0.3 set routing-instances vr11 interface reth1.0 set routing-instances vr11 routing-options static route 65.0.0.0/8 next-hop 2.1.1.5 set routing-instances vr11 routing-options static route 95.0.0.0/8 next-hop 2.1.1.1 set routing-instances vr12 instance-type virtual-router set routing-instances vr12 interface reth2.0 set routing-instances vr12 routing-options interface-routes rib-group inet vr11vr12v4 set routing-instances vr12 routing-options static route 85.0.0.0/8 next-table vr11.inet.0 set routing-instances vr12 routing-options static route 95.0.0.0/8 next-table vr11.inet.0 set routing-instances vr12 routing-options static route 65.0.0.0/8 next-table vr11.inet.0 set routing-instances vr12 routing-options static route 2.1.1.0/24 next-table vr11.inet.0 set routing-options rib-groups vr11vr12v4 import-rib vr11.inet.0 set routing-options rib-groups vr11vr12v4 import-rib vr12.inet.0 set security zones security-zone lsys1-trust host-inbound-traffic system-services all set security zones security-zone lsys1-trust host-inbound-traffic protocols all set security zones security-zone lsys1-trust interfaces reth1.0 set security zones security-zone lsys1-trust interfaces lt-0/0/0.3 set security zones security-zone lsys1-untrust host-inbound-traffic system-services all set security zones security-zone lsys1-untrust host-inbound-traffic protocols all set security zones security-zone lsys1-untrust interfaces reth2.0 set security policies from-zone lsys1-trust to-zone lsys1-untrust policy lsys1trust-to-lsys1untrust match source-address any set security policies from-zone lsys1-trust to-zone lsys1-untrust policy lsys1trust-to-lsys1untrust match destination-address any set security policies from-zone lsys1-trust to-zone lsys1-untrust policy lsys1trust-to-lsys1untrust match application any set security policies from-zone lsys1-trust to-zone lsys1-untrust policy lsys1trust-to-lsys1untrust then permit set security policies from-zone lsys1-untrust to-zone lsys1-trust policy lsys1untrust-to-lsys1trust match source-address any set security policies from-zone lsys1-untrust to-zone lsys1-trust policy lsys1untrust-to-lsys1trust match destination-address any set security policies from-zone lsys1-untrust to-zone lsys1-trust policy lsys1untrust-to-lsys1trust match application any set security policies from-zone lsys1-untrust to-zone lsys1-trust policy lsys1untrust-to-lsys1trust then permit set security policies from-zone lsys1-untrust to-zone lsys1-untrust policy lsys1untrust-to-lsys1untrust match source-address any set security policies from-zone lsys1-untrust to-zone lsys1-untrust policy lsys1untrust-to-lsys1untrust match destination-address any set security policies from-zone lsys1-untrust to-zone lsys1-untrust policy lsys1untrust-to-lsys1untrust match application any set security policies from-zone lsys1-untrust to-zone lsys1-untrust policy lsys1untrust-to-lsys1untrust then permit set security policies from-zone lsys1-trust to-zone lsys1-trust policy lsys1trust-to-lsys1trust match source-address any set security policies from-zone lsys1-trust to-zone lsys1-trust policy lsys1trust-to-lsys1trust match destination-address any set security policies from-zone lsys1-trust to-zone lsys1-trust policy lsys1trust-to-lsys1trust match application any set security policies from-zone lsys1-trust to-zone lsys1-trust policy lsys1trust-to-lsys1trust then permit
LSYS2 のユーザー論理システム管理者としてログインしている間、以下のコマンドを入力します。
set interfaces reth3 unit 0 family inet address 65.66.66.1/8 set routing-instances vr2 instance-type virtual-router set routing-instances vr2 interface lt-0/0/0.5 set routing-instances vr2 interface reth3.0 set routing-instances vr2 routing-options static route 75.0.0.0/8 next-hop 2.1.1.3 set routing-instances vr2 routing-options static route 85.0.0.0/8 next-hop 2.1.1.3 set routing-instances vr2 routing-options static route 95.0.0.0/8 next-hop 2.1.1.1 set security zones security-zone lsys2-trust host-inbound-traffic system-services all set security zones security-zone lsys2-trust host-inbound-traffic protocols all set security zones security-zone lsys2-trust interfaces reth3.0 set security zones security-zone lsys2-untrust host-inbound-traffic system-services all set security zones security-zone lsys2-untrust host-inbound-traffic protocols all set security zones security-zone lsys2-untrust interfaces lt-0/0/0.5 set security policies from-zone lsys2-trust to-zone lsys2-untrust policy lsys2trust-to-lsys2untrust match source-address any set security policies from-zone lsys2-trust to-zone lsys2-untrust policy lsys2trust-to-lsys2untrust match destination-address any set security policies from-zone lsys2-trust to-zone lsys2-untrust policy lsys2trust-to-lsys2untrust match application any set security policies from-zone lsys2-trust to-zone lsys2-untrust policy lsys2trust-to-lsys2untrust then permit set security policies from-zone lsys2-untrust to-zone lsys2-trust policy lsys2untrust-to-lsys2trust match source-address any set security policies from-zone lsys2-untrust to-zone lsys2-trust policy lsys2untrust-to-lsys2trust match destination-address any set security policies from-zone lsys2-untrust to-zone lsys2-trust policy lsys2untrust-to-lsys2trust match application any set security policies from-zone lsys2-untrust to-zone lsys2-trust policy lsys2untrust-to-lsys2trust then permit set security policies from-zone lsys2-untrust to-zone lsys2-untrust policy lsys2untrust-to-lsys2untrust match source-address any set security policies from-zone lsys2-untrust to-zone lsys2-untrust policy lsys2untrust-to-lsys2untrust match destination-address any set security policies from-zone lsys2-untrust to-zone lsys2-untrust policy lsys2untrust-to-lsys2untrust match application any set security policies from-zone lsys2-untrust to-zone lsys2-untrust policy lsys2untrust-to-lsys2untrust then permit set security policies from-zone lsys2-trust to-zone lsys2-trust policy lsys2trust-to-lsys2trust match source-address any set security policies from-zone lsys2-trust to-zone lsys2-trust policy lsys2trust-to-lsys2trust match destination-address any set security policies from-zone lsys2-trust to-zone lsys2-trust policy lsys2trust-to-lsys2trust match application any set security policies from-zone lsys2-trust to-zone lsys2-trust policy lsys2trust-to-lsys2trust then permit
手順
ユーザー論理システム管理者は、ユーザー論理システムにログインしながら、以下の設定を実行します。プライマリ管理者は、[edit logical-systems logical-system
]階層レベルでユーザー論理システムを設定することもできます。
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
LSYS1ユーザー論理システムを設定するには:
インターフェイスを設定します。
[edit interfaces] lsys1-admin@host:LSYS1# set reth1 unit 0 family inet address 85.88.88.1/8 lsys1-admin@host:LSYS1# set reth2 unit 0 family inet address 75.77.77.1/8
ルーティングを設定します。
[edit routing-instances] lsys1-admin@host:LSYS1# set vr11 instance-type virtual-router lsys1-admin@host:LSYS1# set vr11 interface lt-0/0/0.3 lsys1-admin@host:LSYS1# set vr11 interface reth1.0 lsys1-admin@host:LSYS1# set vr11 routing-options static route 65.0.0.0/8 next-hop 2.1.1.5 lsys1-admin@host:LSYS1# set vr11 routing-options static route 95.0.0.0/8 next-hop 2.1.1.1 lsys1-admin@host:LSYS1# set vr12 instance-type virtual-router lsys1-admin@host:LSYS1# set vr12 interface reth2.0 lsys1-admin@host:LSYS1# set vr12 routing-options interface-routes rib-group inet vr11vr12v4 lsys1-admin@host:LSYS1# set vr12 routing-options static route 85.0.0.0/8 next-table vr11.inet.0 lsys1-admin@host:LSYS1# set vr12 routing-options static route 95.0.0.0/8 next-table vr11.inet.0 lsys1-admin@host:LSYS1# set vr12 routing-options static route 65.0.0.0/8 next-table vr11.inet.0 lsys1-admin@host:LSYS1# set vr12 routing-options static route 2.1.1.0/24 next-table vr11.inet.0
[edit routing-options] lsys1-admin@host:LSYS1# set rib-groups vr11vr12v4 import-rib vr11.inet.0 lsys1-admin@host:LSYS1# set rib-groups vr11vr12v4 import-rib vr12.inet.0
ゾーンとセキュリティポリシーを設定します。
[edit security zones] lsys1-admin@host:LSYS1# set security-zone lsys1-trust host-inbound-traffic system-services all lsys1-admin@host:LSYS1# set security-zone lsys1-trust host-inbound-traffic protocols all lsys1-admin@host:LSYS1# set security-zone lsys1-trust interfaces reth1.0 lsys1-admin@host:LSYS1# set security-zone lsys1-trust interfaces lt-0/0/0.3 lsys1-admin@host:LSYS1# set security-zone lsys1-untrust host-inbound-traffic system-services all lsys1-admin@host:LSYS1# set security-zone lsys1-untrust host-inbound-traffic protocols all lsys1-admin@host:LSYS1# set security-zone lsys1-untrust interfaces reth2.0
[edit security policies from-zone lsys1-trust to-zone lsys1-untrust] lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1untrust match source-address any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1untrust match destination-address any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1untrust match application any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1untrust then permit
[edit security policies from-zone lsys1-untrust to-zone lsys1-trust] lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1trust match source-address any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1trust match destination-address any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1trust match application any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1trust then permit
[edit security policies from-zone lsys1-untrust to-zone lsys1-untrust] lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1untrust match source-address any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1untrust match destination-address any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1untrust match application any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1untrust then permit
[edit security policies from-zone lsys1-trust to-zone lsys1-trust] lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1trust match source-address any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1trust match destination-address any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1trust match application any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1trust then permit
手順
LSYS2ユーザー論理システムを設定するには:
インターフェイスを設定します。
[edit interfaces] lsys2-admin@host:LSYS2# set reth3 unit 0 family inet address 65.66.66.1/8
ルーティングを設定します。
[edit routing-instances] lsys2-admin@host:LSYS2# set vr2 instance-type virtual-router lsys2-admin@host:LSYS2# set vr2 interface lt-0/0/0.5 lsys2-admin@host:LSYS2# set vr2 interface reth3.0 lsys2-admin@host:LSYS2# set vr2 routing-options static route 75.0.0.0/8 next-hop 2.1.1.3 lsys2-admin@host:LSYS2# set vr2 routing-options static route 85.0.0.0/8 next-hop 2.1.1.3 lsys2-admin@host:LSYS2# set vr2 routing-options static route 95.0.0.0/8 next-hop 2.1.1.1
ゾーンとセキュリティポリシーを設定します。
[edit security zones] lsys2-admin@host:LSYS2# set security-zone lsys2-trust host-inbound-traffic system-services all lsys2-admin@host:LSYS2# set security-zone lsys2-trust host-inbound-traffic protocols all lsys2-admin@host:LSYS2# set security-zone lsys2-trust interfaces reth3.0 lsys2-admin@host:LSYS2# set security zones security-zone lsys2-untrust host-inbound-traffic system-services all lsys2-admin@host:LSYS2# set security-zone lsys2-untrust host-inbound-traffic protocols all lsys2-admin@host:LSYS2# set security-zone lsys2-untrust interfaces lt-0/0/0.5
[edit security policies from-zone lsys2-trust to-zone lsys2-untrust] lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2untrust match source-address any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2untrust match destination-address any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2untrust match application any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2untrust then permit
[edit security policies from-zone from-zone lsys2-untrust to-zone lsys2-trust] lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2trust match source-address any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2trust match destination-address any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2trust match application any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2trust then permit
[edit security policies from-zone lsys2-untrust to-zone lsys2-untrust] lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2untrust match source-address any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2untrust match destination-address any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2untrust match application any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2untrust then permit
[edit security policies from-zone lsys2-trust to-zone lsys2-trust] lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2trust match source-address any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2trust match destination-address any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2trust match application any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2trust then permit
結果
設定モードから、 、show routing-instances
show routing-options
および show security
のコマンドを入力して、LSYS1 の設定をshow interfaces
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] lsys1-admin@host:LSYS1# show interfaces interfaces { lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 2; family inet { address 2.1.1.3/24; } } } reth1 { unit 0 { family inet { address 85.88.88.1/8; } } } reth2 { unit 0 { family inet { address 75.77.77.1/8; } } } } [edit] lsys1-admin@host:LSYS1# show routing-instances routing-instances { vr11 { instance-type virtual-router; interface lt-0/0/0.3; interface reth1.0; routing-options { static { route 65.0.0.0/8 next-hop 2.1.1.5; route 95.0.0.0/8 next-hop 2.1.1.1; } } } vr12 { instance-type virtual-router; interface reth2.0; routing-options { interface-routes { rib-group inet vr11vr12v4; } static { route 85.0.0.0/8 next-table vr11.inet.0; route 95.0.0.0/8 next-table vr11.inet.0; route 65.0.0.0/8 next-table vr11.inet.0; route 2.1.1.0/24 next-table vr11.inet.0; } } } } [edit] lsys1-admin@host:LSYS1# show routing-options rib-groups { vr11vr12v4 { import-rib [ vr11.inet.0 vr12.inet.0 ]; } } [edit] lsys1-admin@host:LSYS1# show security security { policies { from-zone lsys1-trust to-zone lsys1-untrust { policy lsys1trust-to-lsys1untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys1-untrust to-zone lsys1-trust { policy lsys1untrust-to-lsys1trust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys1-untrust to-zone lsys1-untrust { policy lsys1untrust-to-lsys1untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys1-trust to-zone lsys1-trust { policy lsys1trust-to-lsys1trust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone lsys1-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; lt-0/0/0.3; } } security-zone lsys1-untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth2.0; } } } }
設定モードから、 、 show routing-instances
show security
、 コマンドを入力して、LSYS2の設定をshow interfaces
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
lsys2-admin@host:LSYS2# show interfaces [edit] interfaces { lt-0/0/0 { unit 5 { encapsulation ethernet; peer-unit 4; family inet { address 2.1.1.5/24; } } } reth3 { unit 0 { family inet { address 65.66.66.1/8; } } } } [edit] lsys2-admin@host:LSYS2# show routing-instances routing-instances { vr2 { instance-type virtual-router; interface lt-0/0/0.5; interface reth3.0; routing-options { static { route 75.0.0.0/8 next-hop 2.1.1.3; route 85.0.0.0/8 next-hop 2.1.1.3; route 95.0.0.0/8 next-hop 2.1.1.1; } } } } [edit] lsys2-admin@host:LSYS2# show security security { policies { from-zone lsys2-trust to-zone lsys2-untrust { policy lsys2trust-to-lsys2untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys2-untrust to-zone lsys2-trust { policy lsys2untrust-to-lsys2trust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys2-untrust to-zone lsys2-untrust { policy lsys2untrust-to-lsys2untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys2-trust to-zone lsys2-trust { policy lsys2trust-to-lsys2trust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone lsys2-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth3.0; } } security-zone lsys2-untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.5; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正しく機能していることを確認します。
- シャーシ クラスタ ステータスの検証
- ログを使用したシャーシ クラスタのトラブルシューティング
- 論理システム ライセンスの検証
- 論理システム ライセンス使用の検証
- 論理システム上の論理システム内トラフィックの検証
- すべての論理システム内の論理システム内トラフィックの検証
- ユーザー論理システム間のトラフィック検証
シャーシ クラスタ ステータスの検証
目的
シャーシ クラスタのステータス、フェイルオーバー ステータス、冗長性グループの情報を確認します。
アクション
動作モードから、 コマンドを show chassis cluster status
入力します。
{primary:node0} show chassis cluster status Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 200 primary no no node1 100 secondary no no Redundancy group: 1 , Failover count: 1 node0 200 primary no no node1 100 secondary no no
ログを使用したシャーシ クラスタのトラブルシューティング
目的
両方のノードのログを調べることで、シャーシ クラスタの問題を特定します。
アクション
動作モードから、これらのコマンドを show log
入力します。
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
論理システム ライセンスの検証
目的
論理システム ライセンスに関する情報を検証します。
アクション
動作モードから、 コマンドを show system license status logical-system all
入力します。
{primary:node0} user@host> show system license status logical-system all node0: -------------------------------------------------------------------------- Logical system license status: logical system name license status root-logical-system enabled LSYS0 enabled LSYS1 enabled LSYS2 enabled
論理システム ライセンス使用の検証
目的
論理システム ライセンスの使用に関する情報を検証します。
実際に使用されたライセンス数は、プライマリ ノードでのみ表示されます。
アクション
動作モードから、 コマンドを show system license
入力します。
{primary:node0} user@host> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 25 0 permanent Licenses installed: License identifier: JUNOS305013 License version: 2 Valid for device: JN110B54BAGB Features: logical-system-25 - Logical System Capacity permanent
論理システム上の論理システム内トラフィックの検証
目的
論理システム内で現在アクティブなセキュリティ セッションに関する情報を検証します。
アクション
動作モードから、 コマンドを show security flow session logical-system LSYS1
入力します。
{primary:node0} user@host> show security flow session logical-system LSYS1 node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Session ID: 90000114, Policy name: lsys1trust-to-lsys1untrust/8, State: Active, Timeout: 1782, Valid In: 85.88.88.2/34538 --> 75.77.77.2/23;tcp, If: reth1.0, Pkts: 33, Bytes: 1881 Out: 75.77.77.2/23 --> 85.88.88.2/34538;tcp, If: reth2.0, Pkts: 28, Bytes: 2329 Total sessions: 1 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Session ID: 90000001, Policy name: lsys1trust-to-lsys1untrust/8, State: Backup, Timeout: 14388, Valid In: 85.88.88.2/34538 --> 75.77.77.2/23;tcp, If: reth1.0, Pkts: 0, Bytes: 0 Out: 75.77.77.2/23 --> 85.88.88.2/34538;tcp, If: reth2.0, Pkts: 0, Bytes: 0 Total sessions: 1
すべての論理システム内の論理システム内トラフィックの検証
目的
すべての論理システムで現在アクティブなセキュリティ セッションに関する情報を検証します。
アクション
動作モードから、 コマンドを show security flow session logical-system all
入力します。
{primary:node0} user@host> show security flow session logical-system all node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Session ID: 90000114, Policy name: lsys1trust-to-lsys1untrust/8, State: Active, Timeout: 1776, Valid Logical system: LSYS1 In: 85.88.88.2/34538 --> 75.77.77.2/23;tcp, If: reth1.0, Pkts: 33, Bytes: 1881 Out: 75.77.77.2/23 --> 85.88.88.2/34538;tcp, If: reth2.0, Pkts: 28, Bytes: 2329 Total sessions: 1 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Session ID: 90000001, Policy name: lsys1trust-to-lsys1untrust/8, State: Backup, Timeout: 14382, Valid Logical system: LSYS1 In: 85.88.88.2/34538 --> 75.77.77.2/23;tcp, If: reth1.0, Pkts: 0, Bytes: 0 Out: 75.77.77.2/23 --> 85.88.88.2/34538;tcp, If: reth2.0, Pkts: 0, Bytes: 0 Total sessions: 1
ユーザー論理システム間のトラフィック検証
目的
論理システム間で現在アクティブなセキュリティ セッションに関する情報を検証します。
アクション
動作モードから、 コマンドを show security flow session logical-system logical-system-name
入力します。
{primary:node0} user@host> show security flow session logical-system LSYS1 node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Session ID: 10000094, Policy name: root-Untrust_to_root-Trust/5, State: Active, Timeout: 1768, Valid In: 75.77.77.2/34590 --> 95.99.99.2/23;tcp, If: lt-0/0/0.1, Pkts: 23, Bytes: 1351 Out: 95.99.99.2/23 --> 75.77.77.2/34590;tcp, If: reth0.0, Pkts: 22, Bytes: 1880 Total sessions: 1 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Total sessions: 0 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Session ID: 10000002, Policy name: root-Untrust_to_root-Trust/5, State: Backup, Timeout: 14384, Valid In: 75.77.77.2/34590 --> 95.99.99.2/23;tcp, If: lt-0/0/0.1, Pkts: 0, Bytes: 0 Out: 95.99.99.2/23 --> 75.77.77.2/34590;tcp, If: reth0.0, Pkts: 0, Bytes: 0 Total sessions: 1 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Total sessions: 0
{primary:node0} user@host> show security flow session logical-system LSYS2 node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000089, Policy name: lsys2untrust-to-lsys2trust/13, State: Active, Timeout: 1790, Valid In: 85.88.88.2/34539 --> 65.66.66.2/23;tcp, If: lt-0/0/0.5, Pkts: 40, Bytes: 2252 Out: 65.66.66.2/23 --> 85.88.88.2/34539;tcp, If: reth3.0, Pkts: 32, Bytes: 2114 Total sessions: 1 Flow Sessions on FPC2 PIC1: Total sessions: 0 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000002, Policy name: lsys2untrust-to-lsys2trust/13, State: Backup, Timeout: 14398, Valid In: 85.88.88.2/34539 --> 65.66.66.2/23;tcp, If: lt-0/0/0.5, Pkts: 0, Bytes: 0 Out: 65.66.66.2/23 --> 85.88.88.2/34539;tcp, If: reth3.0, Pkts: 0, Bytes: 0 Total sessions: 1 Flow Sessions on FPC2 PIC1: Total sessions: 0
{primary:node0} user@host> show security flow session logical-system all node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000088, Policy name: lsys1trust-to-lsys1trust/11, State: Active, Timeout: 1782, Valid Logical system: LSYS1 In: 85.88.88.2/34539 --> 65.66.66.2/23;tcp, If: reth1.0, Pkts: 40, Bytes: 2252 Out: 65.66.66.2/23 --> 85.88.88.2/34539;tcp, If: lt-0/0/0.3, Pkts: 32, Bytes: 2114 Session ID: 80000089, Policy name: lsys2untrust-to-lsys2trust/13, State: Active, Timeout: 1782, Valid Logical system: LSYS2 In: 85.88.88.2/34539 --> 65.66.66.2/23;tcp, If: lt-0/0/0.5, Pkts: 40, Bytes: 2252 Out: 65.66.66.2/23 --> 85.88.88.2/34539;tcp, If: reth3.0, Pkts: 32, Bytes: 2114 Total sessions: 2 Flow Sessions on FPC2 PIC1: Total sessions: 0 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000001, Policy name: lsys1trust-to-lsys1trust/11, State: Backup, Timeout: 14382, Valid Logical system: LSYS1 In: 85.88.88.2/34539 --> 65.66.66.2/23;tcp, If: reth1.0, Pkts: 0, Bytes: 0 Out: 65.66.66.2/23 --> 85.88.88.2/34539;tcp, If: lt-0/0/0.3, Pkts: 0, Bytes: 0 Session ID: 80000002, Policy name: lsys2untrust-to-lsys2trust/13, State: Backup, Timeout: 14390, Valid Logical system: LSYS2 In: 85.88.88.2/34539 --> 65.66.66.2/23;tcp, If: lt-0/0/0.5, Pkts: 0, Bytes: 0 Out: 65.66.66.2/23 --> 85.88.88.2/34539;tcp, If: reth3.0, Pkts: 0, Bytes: 0 Total sessions: 2 Flow Sessions on FPC2 PIC1: Total sessions: 0
例:アクティブ/パッシブシャーシクラスタ(IPv6)の論理システムの設定(プライマリ管理者のみ)
この例では、IPv6アドレスを持つ基本的なアクティブ/パッシブシャーシクラスタ内の論理システムを設定する方法を示しています。
プライマリ管理者はシャーシクラスタを設定し、論理システム(オプションの相互接続論理システムを含む)、管理者、セキュリティプロファイルを作成します。プライマリ管理者またはユーザー論理システム管理者のいずれかが、ユーザー論理システムを設定します。この設定は、クラスタ内のノード間で同期されます。
要件
開始する前に、以下を行います。
同一のハードウェア構成の 2 つの SRX シリーズ ファイアウォールを入手します。 例: SRX5800 デバイスでのアクティブ/パッシブ シャーシ クラスタの設定を参照してください。このシャーシ クラスタ導入シナリオでは、MX240 エッジ ルーターと EX8208 イーサネット スイッチに接続するための SRX シリーズ ファイアウォールの構成が含まれています。
2台のデバイスを物理的に接続し(ファブリックとコントロールポートの場合はバックツーバック)、それらが同じモデルであることを確認します。SRX5000ラインでファブリックポートとコントロールポートの両方を設定できます。SRX1400デバイス、SRX1500デバイス、またはSRX3000ラインでは、ファブリックポートのみを設定できます。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。
各デバイスでシャーシクラスタIDとノードIDを設定し、デバイスを再起動してクラスタリングを有効にします。例 : シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定を参照してください 。
この例では、プライマリ管理者がルート レベルでプライマリ(ノード 0)デバイス上でシャーシ クラスタと論理システム設定を実行しています。プライマリ管理者としてデバイスにログインします。 「プライマリ論理システムとプライマリ管理者ロールについて」を参照してください。
シャーシ クラスタで論理システムを実行している SRX シリーズ ファイアウォールを使用する場合、シャーシ クラスタ内の各ノードに同じ数の論理システム ライセンスを購入してインストールする必要があります。論理システム ライセンスは、クラスタ全体ではなく、シャーシ クラスタ内の単一シャーシまたはノードに関連します。
概要
この例では、基本的なアクティブ/パッシブ シャーシ クラスタは、2 つのデバイスで構成されています。
1台のデバイスが、シャーシクラスタの制御を維持しながら、論理システムを積極的に提供します。
もう一方のデバイスは、アクティブなデバイスが非アクティブになった場合に、クラスタ フェイルオーバー機能の状態を受動的に維持します。
アクティブ/アクティブシャーシクラスタ内の論理システムは、アクティブ/パッシブシャーシクラスタ内の論理システムと同様の方法で設定されます。アクティブ/アクティブシャーシクラスターでは、異なるノードでプライマリにできる複数の冗長性グループを使用できます。
プライマリ管理者は、プライマリデバイス(ノード0)に以下の論理システムを設定します。
プライマリ論理システム — プライマリ管理者は、システムのセキュリティリソースの一部をプライマリ論理システムにプロビジョニングするセキュリティプロファイルを設定し、プライマリ論理システムのリソースを設定します。
ユーザー論理システム LSYS1 および LSYS2 およびその管理者 — 1 次管理者は、システムのセキュリティー・リソースの一部をユーザー論理システムにプロビジョニングするようにセキュリティー・プロファイルを構成します。ユーザー論理システム管理者は、自分の論理システムに割り当てられたインターフェイス、ルーティング、およびセキュリティ リソースを設定できます。
デバイス上の論理システムを接続する相互接続論理システム LSYS0 — プライマリ管理者は、相互接続論理システムと各論理システム間の論理トンネル インターフェイスを設定します。これらのピアインターフェイスは、トンネルの確立を効果的に可能にします。
この例では、論理システムのNAT、IDP、VPNなどの機能の設定については説明しません。論理システムに設定できる機能の詳細については、 SRXシリーズ論理システムプライマリ管理者設定タスクの概要 と ユーザー論理システム構成の概要 を参照してください。
シャーシ クラスタ設定でプロキシ ARP を実行する場合、reth インターフェイスには論理設定が含まれているため、メンバー インターフェイスではなく reth インターフェイスにプロキシ ARP 設定を適用する必要があります。 NAT用プロキシーARPの設定(CLI手順)を参照してください。
構成
- IPv6アドレスを使用したシャーシクラスタ設定(プライマリ管理者)
- IPv6 アドレスを持つ論理システム設定(プライマリ管理者)
- IPv6を使用したユーザー論理システム設定(ユーザー論理システム管理者)
IPv6アドレスを使用したシャーシクラスタ設定(プライマリ管理者)
CLI クイックコンフィギュレーション
論理システムとユーザー論理システム管理者をすばやく作成し、プライマリおよび相互接続論理システムを設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストします。
{プライマリ:node0}で
set chassis cluster control-ports fpc 0 port 0 set chassis cluster control-ports fpc 6 port 0 set interfaces fab0 fabric-options member-interfaces ge-1/1/0 set interfaces fab1 fabric-options member-interfaces ge-7/1/0 set groups node0 system host-name SRX5800-1 set groups node0 interfaces fxp0 unit 0 family inet address 10.157.90.24/9 set groups node0 system backup-router 10.157.64.1 destination 0.0.0.0/0 set groups node1 system host-name SRX5800-2 set groups node1 interfaces fxp0 unit 0 family inet address 10.157.90.23/19 set groups node1 system backup-router 10.157.64.1 destination 0.0.0.0/0 set apply-groups “${node}” set chassis cluster reth-count 5 set chassis cluster redundancy-group 0 node 0 priority 200 set chassis cluster redundancy-group 0 node 1 priority 100 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 100 set interfaces ge-1/0/0 gigether-options redundant-parent reth0 set interfaces ge-1/0/1 gigether-options redundant-parent reth1 set interfaces ge-1/0/2 gigether-options redundant-parent reth2 set interfaces ge-1/0/3 gigether-options redundant-parent reth3 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/2 gigether-options redundant-parent reth2 set interfaces ge-7/0/3 gigether-options redundant-parent reth3 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet6 address 9995::1/64 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth3 redundant-ether-options redundancy-group 1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
シャーシ クラスタを設定するには:
プライマリ デバイス(ノード 0)で次の手順を実行します。コマンドを実行 commit
すると、それらは自動的にセカンダリ デバイス(ノード 1)にコピーされます。
クラスタの制御ポートを設定します。
[edit chassis cluster] user@host# set control-ports fpc 0 port 0 user@host# set control-ports fpc 6 port 0
アクティブ/パッシブ モードで RTU を渡すために使用されるクラスタのファブリック(データ)ポートを設定します。
[edit interfaces] user@host# set fab0 fabric-options member-interfaces ge-1/1/0 user@host# set fab1 fabric-options member-interfaces ge-7/1/0
コンフィギュレーションの一部の要素を特定のメンバーに割り当てます。クラスターの個々の制御プレーンに個別の IP アドレスを使用して、SRX サービス ゲートウェイの fxp0 インターフェイスでアウトオブバンド管理を設定します。
[edit] user@host# set groups node0 system host-name SRX5800-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 10.157.90.24/9 user@host# set groups node0 system backup-router 10.157.64.1 destination 0.0.0.0/0 user@host# set groups node1 system host-name SRX5800-2 user@host# set groups node1 interfaces fxp0 unit 0 family inet address 10.157.90.23/19 user@host# set groups node1 system backup-router 10.157.64.1 destination 0.0.0.0/0 user@host# set apply-groups “${node}”
シャーシクラスタリングの冗長性グループを設定します。
[edit chassis cluster] user@host# set reth-count 5 user@host# set redundancy-group 0 node 0 priority 200 user@host# set redundancy-group 0 node 1 priority 100 user@host# set redundancy-group 1 node 0 priority 200 user@host# set redundancy-group 1 node 1 priority 100
データ プレーンのフェイルオーバーが発生した場合、他のシャーシ クラスタ メンバーがシームレスに接続を引き継ぐように、プラットフォーム上のデータ インターフェイスを設定します。
[edit interfaces] user@host# set ge-1/0/0 gigether-options redundant-parent reth0 user@host# set ge-1/0/1 gigether-options redundant-parent reth1 user@host# set ge-1/0/2 gigether-options redundant-parent reth2 user@host# set ge-1/0/3 gigether-options redundant-parent reth3 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/2 gigether-options redundant-parent reth2 user@host# set ge-7/0/3 gigether-options redundant-parent reth3 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet6 address 9995::1/64 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth2 redundant-ether-options redundancy-group 1 user@host# set reth3 redundant-ether-options redundancy-group 1
結果
動作モードから、 コマンドを入力して設定を show configuration
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host> show configuration version ; groups { node0 { system { host-name SRX58001; backup-router 10.157.64.1 destination 0.0.0.0/0; } interfaces { fxp0 { unit 0 { family inet { address 10.157.90.24/9; } } } } } node1 { system { host-name SRX58002; backup-router 10.157.64.1 destination 0.0.0.0/0; } interfaces { fxp0 { unit 0 { family inet { address 10.157.90.23/19; } } } } } } apply-groups "${node}"; chassis { cluster { control-link-recovery; reth-count 5; control-ports { fpc 0 port 0; fpc 6 port 0; } redundancy-group 0 { node 0 priority 200; node 1 priority 100; } redundancy-group 1 { node 0 priority 200; node 1 priority 100; } } } interfaces { ge-1/0/0 { gigether–options { redundant–parent reth0; } } ge-1/0/1 { gigether–options { redundant–parent reth1; } } ge-1/0/2 { gigether–options { redundant–parent reth2; } } ge-1/0/3 { gigether–options { redundant–parent reth3; } } ge-7/0/0 { gigether–options { redundant–parent reth0; } } ge-7/0/1 { gigether–options { redundant–parent reth1; } } ge-7/0/2 { gigether–options { redundant–parent reth2; } } ge-7/0/3 { gigether–options { redundant–parent reth3; } } fab0 { fabric–options { member–interfaces { ge-1/1/0; } } } fab1 { fabric–options { member–interfaces { ge-7/1/0; } } } reth0 { redundant–ether–options { redundancy–group 1; } unit 0 { family inet6 { address 9995::1/64; } } } reth1 { redundant–ether–options { redundancy–group 1; } } reth2 { redundant–ether–options { redundancy–group 1; } } reth3 { redundant–ether–options { redundancy–group 1; } } }
IPv6 アドレスを持つ論理システム設定(プライマリ管理者)
CLI クイックコンフィギュレーション
論理システムとユーザー論理システム管理者をすばやく作成し、プライマリおよび相互接続論理システムを設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストします。
プレーンテキスト パスワードを入力してから再入力するよう求められます。
{プライマリ:node0}で
set logical-systems LSYS1 set logical-systems LSYS2 set logical-systems LSYS0 set system login class lsys1 logical-system LSYS1 set system login class lsys1 permissions all set system login user lsys1admin full-name lsys1-admin set system login user lsys1admin class lsys1 set user lsys1admin authentication plain-text-password set system login class lsys2 logical-system LSYS2 set system login class lsys2 permissions all set system login user lsys2admin full-name lsys2-admin set system login user lsys2admin class lsys2 set system login user lsys2admin authentication plain-text-password set system security-profile SP-root policy maximum 200 set system security-profile SP-root policy reserved 100 set system security-profile SP-root zone maximum 200 set system security-profile SP-root zone reserved 100 set system security-profile SP-root flow-session maximum 200 set system security-profile SP-root flow-session reserved 100 set system security-profile SP-root root-logical-system set system security-profile SP0 logical-system LSYS0 set system security-profile SP1 policy maximum 100 set system security-profile SP1 policy reserved 50 set system security-profile SP1 zone maximum 100 set system security-profile SP1 zone reserved 50 set system security-profile SP1 flow-session maximum 100 set system security-profile SP1 flow-session reserved 50 set system security-profile SP1 logical-system LSYS1 set system security-profile SP2 policy maximum 100 set system security-profile SP2 policy reserved 50 set system security-profile SP2 zone maximum 100 set system security-profile SP2 zone reserved 50 set system security-profile SP2 flow-session maximum 100 set system security-profile SP2 flow-session reserved 50 set system security-profile SP2 logical-system LSYS2 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 0 set interfaces lt-0/0/0 unit 1 family inet6 address 2111::1/64 set routing-instances vr0 instance-type virtual-router set routing-instances vr0 interface lt-0/0/0.1 set routing-instances vr0 interface reth0.0 set routing-instances vr0 routing-options rib vr0.inet6.0 static route 8885::/64 next-hop 2111::3 set routing-instances vr0 routing-options rib vr0.inet6.0 static route 7775::/64 next-hop 2111::3 set routing-instances vr0 routing-options rib vr0.inet6.0 static route 6665::/64 next-hop 2111::5 set security zones security-zone root-trust host-inbound-traffic system-services all set security zones security-zone root-trust host-inbound-traffic protocols all set security zones security-zone root-trust interfaces reth0.0 set security zones security-zone root-untrust host-inbound-traffic system-services all set security zones security-zone root-untrust host-inbound-traffic protocols all set security zones security-zone root-untrust interfaces lt-0/0/0.1 set security policies from-zone root-trust to-zone root-untrust policy root-Trust_to_root-Untrust match source-address any set security policies from-zone root-trust to-zone root-untrust policy root-Trust_to_root-Untrust match destination-address any set security policies from-zone root-trust to-zone root-untrust policy root-Trust_to_root-Untrust match application any set security policies from-zone root-trust to-zone root-untrust policy root-Trust_to_root-Untrust then permit set security policies from-zone root-untrust to-zone root-trust policy root-Untrust_to_root-Trust match source-address any set security policies from-zone root-untrust to-zone root-trust policy root-Untrust_to_root-Trust match destination-address any set security policies from-zone root-untrust to-zone root-trust policy root-Untrust_to_root-Trust match application any set security policies from-zone root-untrust to-zone root-trust policy root-Untrust_to_root-Trust then permit set security policies from-zone root-untrust to-zone root-untrust policy root-Untrust_to_root-Untrust match source-address any set security policies from-zone root-untrust to-zone root-untrust policy root-Untrust_to_root-Untrust match destination-address any set security policies from-zone root-untrust to-zone root-untrust policy root-Untrust_to_root-Untrust match application any set security policies from-zone root-untrust to-zone root-untrust policy root-Untrust_to_root-Untrust then permit set security policies from-zone root-trust to-zone root-trust policy root-Trust_to_root-Trust match source-address any set security policies from-zone root-trust to-zone root-trust policy root-Trust_to_root-Trust match destination-address any set security policies from-zone root-trust to-zone root-trust policy root-Trust_to_root-Trust match application any set security policies from-zone root-trust to-zone root-trust policy root-Trust_to_root-Trust then permit set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 peer-unit 3 set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 peer-unit 5 set logical-systems LSYS0 routing-instances vr instance-type vpls set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.0 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.2 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.4 set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 peer-unit 2 set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 family inet6 address 2111::3/64 set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 peer-unit 4 set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 family inet6 address 2111::5/64
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
論理システムとユーザー論理システム管理者を作成し、プライマリおよび相互接続論理システムを設定するには:
相互接続システムとユーザー論理システムを作成します。
[edit logical-systems] user@host# set LSYS0 user@host# set LSYS1 user@host# set LSYS2
ユーザー論理システム管理者を設定します。
手順
-
LSYS1 のユーザー論理システム管理者を設定します。
[edit system login] user@host# set class lsys1 logical-system LSYS1 user@host# set class lsys1 permissions all user@host# set user lsys1admin full-name lsys1-admin user@host# set user lsys1admin class lsys1 user@host# set user lsys1admin authentication plain-text-password
-
LSYS2 のユーザー論理システム管理者を設定します。
[edit system login] user@host# set class lsys2 logical-system LSYS2 user@host# set class lsys2 permissions all user@host# set user lsys2admin full-name lsys2-admin user@host# set user lsys2admin class lsys2 user@host# set user lsys2admin authentication plain-text-password
-
セキュリティプロファイルを設定し、論理システムに割り当てます。
手順
-
セキュリティプロファイルを設定し、ルート論理システムに割り当てます。
[edit system security-profile] user@host# set SP-root policy maximum 200 user@host# set SP-root policy reserved 100 user@host# set SP-root zone maximum 200 user@host# set SP-root zone reserved 100 user@host# set SP-root flow-session maximum 200 user@host# set SP-root flow-session reserved 100 user@host# set SP-root root-logical-system
-
相互接続論理システム LSYS0 にリソースのないダミー セキュリティー プロファイルを割り当てます。
[edit system security-profile] user@host# set SP0 logical-system LSYS0
-
セキュリティー・プロファイルを構成し、LSYS1 に割り当てます。
[edit system security-profile] user@host# set SP1 policy maximum 100 user@host# set SP1 policy reserved 50 user@host# set SP1 zone maximum 100 user@host# set SP1 zone reserved 50 user@host# set SP1 flow-session maximum 100 user@host# set SP1 flow-session reserved 50 user@host# set SP1 logical-system LSYS1
-
セキュリティー・プロファイルを構成し、LSYS2 に割り当てます。
[edit system security-profile] user@host# set SP2 policy maximum 100 user@host# set SP2 policy reserved 50 user@host# set SP2 zone maximum 100 user@host# set SP2 zone reserved 50 user@host# set SP2 flow-session maximum 100 user@host# set SP2 flow-session reserved 50 user@host# set SP2 logical-system LSYS2
-
プライマリ論理システムを設定します。
手順
論理トンネル インターフェイスを設定します。
[edit interfaces] user@host# set lt-0/0/0 unit 1 encapsulation ethernet user@host# set lt-0/0/0 unit 1 peer-unit 0 user@host# set lt-0/0/0 unit 1 family inet6 address 2111::1/64
ルーティングインスタンスを設定します。
[edit routing-instances] user@host# set vr0 instance-type virtual-router user@host# set vr0 interface lt-0/0/0.1 user@host# set vr0 interface reth0.0 user@host# set vr0 routing-options rib vr0.inet6.0 static route 8885::/64 next-hop 2111::3 user@host# set vr0 routing-options rib vr0.inet6.0 static route 7775::/64 next-hop 2111::3 user@host# set vr0 routing-options rib vr0.inet6.0 static route 6665::/64 next-hop 2111::5
ゾーンを設定します。
[edit security zones] user@host# set security-zone root-trust host-inbound-traffic system-services all user@host# set security-zone root-trust host-inbound-traffic protocols all user@host# set security-zone root-trust interfaces reth0.0 user@host# set security-zone root-untrust host-inbound-traffic system-services all user@host# set security-zone root-untrust host-inbound-traffic protocols all user@host# set security-zone root-untrust interfaces lt-0/0/0.1
セキュリティポリシーを設定します。
[edit security policies from-zone root-trust to-zone root-untrust] user@host# set policy root-Trust_to_root-Untrust match source-address any user@host# set policy root-Trust_to_root-Untrust match destination-address any user@host# set policy root-Trust_to_root-Untrust match application any user@host# set policy root-Trust_to_root-Untrust then permit
[edit security policies from-zone root-untrust to-zone root-trust] user@host# set policy root-Untrust_to_root-Trust match source-address any user@host# set policy root-Untrust_to_root-Trust match destination-address any user@host# set policy root-Untrust_to_root-Trust match application any user@host# set policy root-Untrust_to_root-Trust then permit
[edit security policies from-zone root-untrust to-zone root-untrust] user@host# set policy root-Untrust_to_root-Untrust match source-address any user@host# set policy root-Untrust_to_root-Untrust match destination-address any user@host# set policy root-Untrust_to_root-Untrust match application any user@host# set policy root-Untrust_to_root-Untrust then permit
[edit security policies from-zone root-trust to-zone root-trust] user@host# set policy root-Trust_to_root-Trust match source-address any user@host# set policy root-Trust_to_root-Trust match destination-address any user@host# set policy root-Trust_to_root-Trust match application any user@host# set policy root-Trust_to_root-Trust then permit
相互接続論理システムを設定します。
手順
-
論理トンネル インターフェイスを設定します。
[edit logical-systems LSYS0 interfaces] user@host# set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 0 peer-unit 1 user@host# set lt-0/0/0 unit 2 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 2 peer-unit 3 user@host# set lt-0/0/0 unit 4 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 4 peer-unit 5
-
VPLSルーティングインスタンスを設定します。
[edit logical-systems LSYS0 routing-instances] user@host# set vr instance-type vpls user@host# set vr interface lt-0/0/0.0 user@host# set vr interface lt-0/0/0.2 user@host# set vr interface lt-0/0/0.4
-
ユーザー論理システムの論理トンネルインターフェイスを設定します。
手順
-
LSYS1 の論理トンネル インターフェイスを設定します。
[edit logical-systems LSYS1 interfaces ] user@host# set lt-0/0/0 unit 3 encapsulation ethernet user@host# set lt-0/0/0 unit 3 peer-unit 2 user@host# set lt-0/0/0 unit 3 family inet6 address 2111::3/64
-
LSYS2 の論理トンネル インターフェイスを設定します。
[edit logical-systems LSYS2 interfaces ] user@host# set lt-0/0/0 unit 5 encapsulation ethernet user@host# set lt-0/0/0 unit 5 peer-unit 4 user@host# set lt-0/0/0 unit 5 family inet6 address 2111::5/64
-
結果
設定モードから、 コマンドを入力してLSYS0の設定を show logical-systems LSYS0
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show logical-systems LSYS0 interfaces { lt-0/0/0 { unit 0 { encapsulation ethernet-vpls; peer-unit 1; } unit 2 { encapsulation ethernet-vpls; peer-unit 3; } unit 4 { encapsulation ethernet-vpls; peer-unit 5; } } } routing-instances { vr { instance-type vpls; interface lt-0/0/0.0; interface lt-0/0/0.2; interface lt-0/0/0.4; } }
設定モードから、 、 show routing-instances
show security
および コマンドを入力して、プライマリ論理システムの設定をshow interfaces
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show interfaces lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 0; family inet6 { address 2111::1/64; } } } ge-1/0/0 { gigether-options { redundant-parent reth0; } } ge-1/0/1 { gigether-options { redundant-parent reth1; } } ge-1/0/2 { gigether-options { redundant-parent reth2; } } ge-1/0/3 { gigether-options { redundant-parent reth3; } } ge-7/0/0 { gigether-options { redundant-parent reth0; } } ge-7/0/1 { gigether-options { redundant-parent reth1; } } ge-7/0/2 { gigether-options { redundant-parent reth2; } } ge-7/0/3 { gigether-options { redundant-parent reth3; } } fab0 { fabric-options { member-interfaces { ge-1/1/0; } } } fab1 { fabric-options { member-interfaces { ge-7/1/0; } } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet6 { address 9995::1/64; } } } reth1 { redundant-ether-options { redundancy-group 1; } } reth2 { redundant-ether-options { redundancy-group 1; } } reth3 { redundant-ether-options { redundancy-group 1; } } [edit] user@host# show routing-instances vr0 { instance-type virtual-router; interface lt-0/0/0.1; interface reth0.0; routing-options { rib vr0.inet6.0 { static { route 8885::/64 next-hop 2111::3; route 7775::/64 next-hop 2111::3; route 6665::/64 next-hop 2111::5; } } } } [edit] user@host# show security policies { from-zone root-trust to-zone root-untrust { policy root-Trust_to_root-Untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone root-untrust to-zone root-trust { policy root-Untrust_to_root-Trust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone root-untrust to-zone root-untrust { policy root-Untrust_to_root-Untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone root-trust to-zone root-trust { policy root-Trust_to_root-Trust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone root-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } } security-zone root-untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.1; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
IPv6を使用したユーザー論理システム設定(ユーザー論理システム管理者)
CLI クイックコンフィギュレーション
ユーザー論理システムを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルのCLIにコマンドを [edit]
コピーアンドペーストします。
LSYS1 のユーザー論理システム管理者としてログインしている間、以下のコマンドを入力します。
set interfaces reth1 unit 0 family inet6 address 8885::1/64 set interfaces reth2 unit 0 family inet6 address 7775::1/64 set routing-instances vr11 instance-type virtual-router set routing-instances vr11 interface lt-0/0/0.3 set routing-instances vr11 interface reth1.0 set routing-instances vr11 routing-options rib vr11.inet6.0 static route 6665::/64 next-hop 2111::5 set routing-instances vr11 routing-options rib vr11.inet6.0 static route 9995::/64 next-hop 2111::1 set routing-instances vr12 instance-type virtual-router set routing-instances vr12 interface reth2.0 set routing-instances vr12 routing-options interface-routes rib-group inet6 vr11vr12v6 set routing-instances vr12 rrouting-options rib vr12.inet6.0 static route 8885::/64 next-table vr11.inet6.0 set routing-instances vr12 routing-options rib vr12.inet6.0 static route 9995::/64 next-table vr11.inet6.0 set routing-instances vr12 routing-options rib vr12.inet6.0 static route 6665::/64 next-table vr11.inet6.0 set routing-instances vr12 routing-options rib vr12.inet6.0 static route 2111::/64 next-table vr11.inet6.0 set routing-options rib-groups vr11vr12v6 import-rib vr11.inet6.0 set routing-options rib-groups vr11vr12v6 import-rib vr12.inet6.0 set security zones security-zone lsys1-trust host-inbound-traffic system-services all set security zones security-zone lsys1-trust host-inbound-traffic protocols all set security zones security-zone lsys1-trust interfaces reth1.0 set security zones security-zone lsys1-trust interfaces lt-0/0/0.3 set security zones security-zone lsys1-untrust host-inbound-traffic system-services all set security zones security-zone lsys1-untrust host-inbound-traffic protocols all set security zones security-zone lsys1-untrust interfaces reth2.0 set security policies from-zone lsys1-trust to-zone lsys1-untrust policy lsys1trust-to-lsys1untrust match source-address any set security policies from-zone lsys1-trust to-zone lsys1-untrust policy lsys1trust-to-lsys1untrust match destination-address any set security policies from-zone lsys1-trust to-zone lsys1-untrust policy lsys1trust-to-lsys1untrust match application any set security policies from-zone lsys1-trust to-zone lsys1-untrust policy lsys1trust-to-lsys1untrust then permit set security policies from-zone lsys1-untrust to-zone lsys1-trust policy lsys1untrust-to-lsys1trust match source-address any set security policies from-zone lsys1-untrust to-zone lsys1-trust policy lsys1untrust-to-lsys1trust match destination-address any set security policies from-zone lsys1-untrust to-zone lsys1-trust policy lsys1untrust-to-lsys1trust match application any set security policies from-zone lsys1-untrust to-zone lsys1-trust policy lsys1untrust-to-lsys1trust then permit set security policies from-zone lsys1-untrust to-zone lsys1-untrust policy lsys1untrust-to-lsys1untrust match source-address any set security policies from-zone lsys1-untrust to-zone lsys1-untrust policy lsys1untrust-to-lsys1untrust match destination-address any set security policies from-zone lsys1-untrust to-zone lsys1-untrust policy lsys1untrust-to-lsys1untrust match application any set security policies from-zone lsys1-untrust to-zone lsys1-untrust policy lsys1untrust-to-lsys1untrust then permit set security policies from-zone lsys1-trust to-zone lsys1-trust policy lsys1trust-to-lsys1trust match source-address any set security policies from-zone lsys1-trust to-zone lsys1-trust policy lsys1trust-to-lsys1trust match destination-address any set security policies from-zone lsys1-trust to-zone lsys1-trust policy lsys1trust-to-lsys1trust match application any set security policies from-zone lsys1-trust to-zone lsys1-trust policy lsys1trust-to-lsys1trust then permit
LSYS2 のユーザー論理システム管理者としてログインしている間、以下のコマンドを入力します。
set interfaces reth3 unit 0 family inet6 address 6665::1/64 set routing-instances vr2 instance-type virtual-router set routing-instances vr2 interface lt-0/0/0.5 set routing-instances vr2 interface reth3.0 set routing-instances vr2 routing-options rib vr2.inet6.0 static route 7775::/64 next-hop 2111::3 set routing-instances vr2 routing-options rib vr2.inet6.0 static route 8885::/64 next-hop 2111::3 set routing-instances vr2 routing-options rib vr2.inet6.0 static route 9995::/64 next-hop 2111::1 set security zones security-zone lsys2-trust host-inbound-traffic system-services all set security zones security-zone lsys2-trust host-inbound-traffic protocols all set security zones security-zone lsys2-trust interfaces reth3.0 set security zones security-zone lsys2-untrust host-inbound-traffic system-services all set security zones security-zone lsys2-untrust host-inbound-traffic protocols all set security zones security-zone lsys2-untrust interfaces lt-0/0/0.5 set security policies from-zone lsys2-trust to-zone lsys2-untrust policy lsys2trust-to-lsys2untrust match source-address any set security policies from-zone lsys2-trust to-zone lsys2-untrust policy lsys2trust-to-lsys2untrust match destination-address any set security policies from-zone lsys2-trust to-zone lsys2-untrust policy lsys2trust-to-lsys2untrust match application any set security policies from-zone lsys2-trust to-zone lsys2-untrust policy lsys2trust-to-lsys2untrust then permit set security policies from-zone lsys2-untrust to-zone lsys2-trust policy lsys2untrust-to-lsys2trust match source-address any set security policies from-zone lsys2-untrust to-zone lsys2-trust policy lsys2untrust-to-lsys2trust match destination-address any set security policies from-zone lsys2-untrust to-zone lsys2-trust policy lsys2untrust-to-lsys2trust match application any set security policies from-zone lsys2-untrust to-zone lsys2-trust policy lsys2untrust-to-lsys2trust then permit set security policies from-zone lsys2-untrust to-zone lsys2-untrust policy lsys2untrust-to-lsys2untrust match source-address any set security policies from-zone lsys2-untrust to-zone lsys2-untrust policy lsys2untrust-to-lsys2untrust match destination-address any set security policies from-zone lsys2-untrust to-zone lsys2-untrust policy lsys2untrust-to-lsys2untrust match application any set security policies from-zone lsys2-untrust to-zone lsys2-untrust policy lsys2untrust-to-lsys2untrust then permit set security policies from-zone lsys2-trust to-zone lsys2-trust policy lsys2trust-to-lsys2trust match source-address any set security policies from-zone lsys2-trust to-zone lsys2-trust policy lsys2trust-to-lsys2trust match destination-address any set security policies from-zone lsys2-trust to-zone lsys2-trust policy lsys2trust-to-lsys2trust match application any set security policies from-zone lsys2-trust to-zone lsys2-trust policy lsys2trust-to-lsys2trust then permit
手順
ユーザー論理システム管理者は、ユーザー論理システムにログインしながら、以下の設定を実行します。プライマリ管理者は、[edit logical-systems logical-system
]階層レベルでユーザー論理システムを設定することもできます。
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
LSYS1ユーザー論理システムを設定するには:
インターフェイスを設定します。
[edit interfaces] lsys1-admin@host:LSYS1# set reth1 unit 0 family inet6 address 8885::1/64 lsys1-admin@host:LSYS1# set reth2 unit 0 family inet6 address 7775::1/64
ルーティングを設定します。
[edit routing-instances] lsys1-admin@host:LSYS1# set vr11 instance-type virtual-router lsys1-admin@host:LSYS1# set vr11 interface lt-0/0/0.3 lsys1-admin@host:LSYS1# set vr11 interface reth1.0 lsys1-admin@host:LSYS1# set vr11 routing-options rib vr11.inet6.0 static route 6665::/64 next-hop 2111::5 lsys1-admin@host:LSYS1# set vr11 routing-options rib vr11.inet6.0 static route 9995::/64 next-hop 2111::1 lsys1-admin@host:LSYS1# set vr12 instance-type virtual-router lsys1-admin@host:LSYS1# set vr12 interface reth2.0 lsys1-admin@host:LSYS1# set vr12 routing-options interface-routes rib-group inet6 vr11vr12v6 lsys1-admin@host:LSYS1# set vr12 routing-options rib vr12.inet6.0 static route 8885::/64 next-table vr11.inet6.0 lsys1-admin@host:LSYS1# set vr12 routing-options rib vr12.inet6.0 static route 9995::/64 next-table vr11.inet6.0 lsys1-admin@host:LSYS1# set vr12 routing-options rib vr12.inet6.0 static route 6665::/64 next-table vr11.inet6.0 lsys1-admin@host:LSYS1# set vr12 routing-options rib vr12.inet6.0 static route 2111::/64 next-table vr11.inet6.0
[edit routing-options] lsys1-admin@host:LSYS1# set rib-groups vr11vr12v6 import-rib vr11.inet6.0 lsys1-admin@host:LSYS1# set rib-groups vr11vr12v6 import-rib vr12.inet6.0
ゾーンとセキュリティポリシーを設定します。
[edit security zones] lsys1-admin@host:LSYS1# set security-zone lsys1-trust host-inbound-traffic system-services all lsys1-admin@host:LSYS1# set security-zone lsys1-trust host-inbound-traffic protocols all lsys1-admin@host:LSYS1# set security-zone lsys1-trust interfaces reth1.0 lsys1-admin@host:LSYS1# set security-zone lsys1-trust interfaces lt-0/0/0.3 lsys1-admin@host:LSYS1# set security-zone lsys1-untrust host-inbound-traffic system-services all lsys1-admin@host:LSYS1# set security-zone lsys1-untrust host-inbound-traffic protocols all lsys1-admin@host:LSYS1# set security-zone lsys1-untrust interfaces reth2.0
[edit security policies from-zone lsys1-trust to-zone lsys1-untrust] lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1untrust match source-address any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1untrust match destination-address any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1untrust match application any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1untrust then permit
[edit security policies from-zone lsys1-untrust to-zone lsys1-trust] lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1trust match source-address any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1trust match destination-address any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1trust match application any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1trust then permit
[edit security policies from-zone lsys1-untrust to-zone lsys1-untrust] lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1untrust match source-address any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1untrust match destination-address any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1untrust match application any lsys1-admin@host:LSYS1# set policy lsys1untrust-to-lsys1untrust then permit
[edit security policies from-zone lsys1-trust to-zone lsys1-trust] lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1trust match source-address any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1trust match destination-address any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1trust match application any lsys1-admin@host:LSYS1# set policy lsys1trust-to-lsys1trust then permit
手順
LSYS2ユーザー論理システムを設定するには:
インターフェイスを設定します。
[edit interfaces] lsys2-admin@host:LSYS2# set reth3 unit 0 family inet6 address 6665::1/64
ルーティングを設定します。
[edit routing-instances] lsys2-admin@host:LSYS2# set vr2 instance-type virtual-router lsys2-admin@host:LSYS2# set vr2 interface lt-0/0/0.5 lsys2-admin@host:LSYS2# set vr2 interface reth3.0 lsys2-admin@host:LSYS2# set vr2 routing-options rib vr2.inet6.0 static route 7775::/64 next-hop 2111::3 lsys2-admin@host:LSYS2# set vr2 routing-options rib vr2.inet6.0 static route 8885::/64 next-hop 2111::3 lsys2-admin@host:LSYS2# set vr2 routing-options rib vr2.inet6.0 static route 9995::/64 next-hop 2111::1
ゾーンとセキュリティポリシーを設定します。
[edit security zones] lsys2-admin@host:LSYS2# set security-zone lsys2-trust host-inbound-traffic system-services all lsys2-admin@host:LSYS2# set security-zone lsys2-trust host-inbound-traffic protocols all lsys2-admin@host:LSYS2# set security-zone lsys2-trust interfaces reth3.0 lsys2-admin@host:LSYS2# set security zones security-zone lsys2-untrust host-inbound-traffic system-services all lsys2-admin@host:LSYS2# set security-zone lsys2-untrust host-inbound-traffic protocols all lsys2-admin@host:LSYS2# set security-zone lsys2-untrust interfaces lt-0/0/0.5
[edit security policies from-zone lsys2-trust to-zone lsys2-untrust] lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2untrust match source-address any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2untrust match destination-address any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2untrust match application any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2untrust then permit
[edit security policies from-zone from-zone lsys2-untrust to-zone lsys2-trust] lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2trust match source-address any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2trust match destination-address any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2trust match application any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2trust then permit
[edit security policies from-zone lsys2-untrust to-zone lsys2-untrust] lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2untrust match source-address any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2untrust match destination-address any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2untrust match application any lsys2-admin@host:LSYS2# set policy lsys2untrust-to-lsys2untrust then permit
[edit security policies from-zone lsys2-trust to-zone lsys2-trust] lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2trust match source-address any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2trust match destination-address any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2trust match application any lsys2-admin@host:LSYS2# set policy lsys2trust-to-lsys2trust then permit
結果
設定モードから、 、show routing-instances
show routing-options
および show security
のコマンドを入力して、LSYS1 の設定をshow interfaces
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] lsys1-admin@host:LSYS1# show interfaces interfaces { lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 2; family inet6 { address 2111::3/64; } } } reth1 { unit 0 { family inet6 { address 8885::1/64; } } } reth2 { unit 0 { family inet6 { address 7775::1/64; } } } } [edit] lsys1-admin@host:LSYS1# show routing-instances routing-instances { vr11 { instance-type virtual-router; interface lt-0/0/0.3; interface reth1.0; routing-options { rib vr11.inet6.0 { static { route 6665::/64 next-hop 2111::5; route 9995::/64 next-hop 2111::1; } } } } vr12 { instance-type virtual-router; interface reth2.0; routing-options { interface-routes { rib-group inet6 vr11vr12v6; } rib vr12.inet6.0 { static { route 8885::/64 next-table vr11.inet6.0; route 9995::/64 next-table vr11.inet6.0; route 6665::/64 next-table vr11.inet6.0; route 2111::/64 next-table vr11.inet6.0; } } } } } [edit] lsys1-admin@host:LSYS1# show routing-options rib-groups { vr11vr12v6 { import-rib [ vr11.inet6.0 vr12.inet6.0 ]; } } [edit] lsys1-admin@host:LSYS1# show security security { policies { from-zone lsys1-trust to-zone lsys1-untrust { policy lsys1trust-to-lsys1untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys1-untrust to-zone lsys1-trust { policy lsys1untrust-to-lsys1trust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys1-untrust to-zone lsys1-untrust { policy lsys1untrust-to-lsys1untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys1-trust to-zone lsys1-trust { policy lsys1trust-to-lsys1trust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone lsys1-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; lt-0/0/0.3; } } security-zone lsys1-untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth2.0; } } } }
設定モードから、 、 show routing-instances
show security
、 コマンドを入力して、LSYS2の設定をshow interfaces
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] lsys2-admin@host:LSYS2# show interfaces interfaces { lt-0/0/0 { unit 5 { encapsulation ethernet; peer-unit 4; family inet6 { address 2111::5/64; } } } reth3 { unit 0 { family inet6 { address 6665::1/64; } } } } [edit] lsys2-admin@host:LSYS2# show routing-instances routing-instances { vr2 { instance-type virtual-router; interface lt-0/0/0.5; interface reth3.0; routing-options { rib vr2.inet6.0 { static { route 7775::/64 next-hop 2111::3; route 8885::/64 next-hop 2111::3; route 9995::/64 next-hop 2111::1; } } } } } [edit] lsys2-admin@host:LSYS2# show security security { policies { from-zone lsys2-trust to-zone lsys2-untrust { policy lsys2trust-to-lsys2untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys2-untrust to-zone lsys2-trust { policy lsys2untrust-to-lsys2trust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys2-untrust to-zone lsys2-untrust { policy lsys2untrust-to-lsys2untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lsys2-trust to-zone lsys2-trust { policy lsys2trust-to-lsys2trust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone lsys2-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth3.0; } } security-zone lsys2-untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.5; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正しく機能していることを確認します。
- シャーシ クラスタ ステータスの検証(IPv6)
- ログを使用したシャーシ クラスタのトラブルシューティング(IPv6)
- 論理システム ライセンスの検証(IPv6)
- 論理システム ライセンス使用の検証(IPv6)
- 論理システム上の論理システム内トラフィックの検証(IPv6)
- すべての論理システム内の論理システム内トラフィックの検証(IPv6)
- ユーザー論理システム間のトラフィック検証(IPv6)
シャーシ クラスタ ステータスの検証(IPv6)
目的
シャーシ クラスタのステータス、フェイルオーバー ステータス、冗長性グループの情報を確認します。
アクション
動作モードから、 コマンドを show chassis cluster status
入力します。
{primary:node0} show chassis cluster status Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 200 primary no no node1 100 secondary no no Redundancy group: 1 , Failover count: 1 node0 200 primary no no node1 100 secondary no no
ログを使用したシャーシ クラスタのトラブルシューティング(IPv6)
目的
これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。
アクション
動作モードから、これらのコマンドを show log
入力します。
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
論理システム ライセンスの検証(IPv6)
目的
論理システム ライセンスに関する情報を検証します。
アクション
動作モードから、 コマンドを show system license status logical-system all
入力します。
{primary:node0} user@host> show system license status logical-system all node0: -------------------------------------------------------------------------- Logical system license status: logical system name license status root-logical-system enabled LSYS0 enabled LSYS1 enabled LSYS2 enabled
論理システム ライセンス使用の検証(IPv6)
目的
論理システム ライセンスの使用に関する情報を検証します。
実際に使用されたライセンス数は、プライマリ ノードでのみ表示されます。
アクション
動作モードから、 コマンドを show system license
入力します。
{primary:node0} user@host> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 25 0 permanent Licenses installed: License identifier: JUNOS305013 License version: 2 Valid for device: JN110B54BAGB Features: logical-system-25 - Logical System Capacity permanent
論理システム上の論理システム内トラフィックの検証(IPv6)
目的
論理システム内で現在アクティブなセキュリティ セッションに関する情報を検証します。
アクション
動作モードから、 コマンドを show security flow session logical-system LSYS1
入力します。
{primary:node0} user@host> show security flow session logical-system LSYS1 node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Session ID: 10000115, Policy name: lsys1trust-to-lsys1untrust/8, State: Active, Timeout: 1784, Valid In: 8885::2/34564 --> 7775::2/23;tcp, If: reth1.0, Pkts: 22, Bytes: 1745 Out: 7775::2/23 --> 8885::2/34564;tcp, If: reth2.0, Pkts: 19, Bytes: 2108 Total sessions: 1 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Total sessions: 0 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Session ID: 10000006, Policy name: lsys1trust-to-lsys1untrust/8, State: Backup, Timeout: 14392, Valid In: 8885::2/34564 --> 7775::2/23;tcp, If: reth1.0, Pkts: 0, Bytes: 0 Out: 7775::2/23 --> 8885::2/34564;tcp, If: reth2.0, Pkts: 0, Bytes: 0 Total sessions: 1 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Total sessions: 0
すべての論理システム内の論理システム内トラフィックの検証(IPv6)
目的
すべての論理システムで現在アクティブなセキュリティ セッションに関する情報を検証します。
アクション
動作モードから、 コマンドを show security flow session logical-system all
入力します。
{primary:node0} user@host> show security flow session logical-system all node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Session ID: 10000115, Policy name: lsys1trust-to-lsys1untrust/8, State: Active, Timeout: 1776, Valid Logical system: LSYS1 In: 8885::2/34564 --> 7775::2/23;tcp, If: reth1.0, Pkts: 22, Bytes: 1745 Out: 7775::2/23 --> 8885::2/34564;tcp, If: reth2.0, Pkts: 19, Bytes: 2108 Total sessions: 1 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Total sessions: 0 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Session ID: 10000006, Policy name: lsys1trust-to-lsys1untrust/8, State: Backup, Timeout: 14384, Valid Logical system: LSYS1 In: 8885::2/34564 --> 7775::2/23;tcp, If: reth1.0, Pkts: 0, Bytes: 0 Out: 7775::2/23 --> 8885::2/34564;tcp, If: reth2.0, Pkts: 0, Bytes: 0 Total sessions: 1 Flow Sessions on FPC2 PIC0: Total sessions: 0 Flow Sessions on FPC2 PIC1: Total sessions: 0
ユーザー論理システム間のトラフィック検証(IPv6)
目的
論理システム間で現在アクティブなセキュリティ セッションに関する情報を検証します。
アクション
動作モードから、 コマンドを show security flow session logical-system logical-system-name
入力します。
{primary:node0} user@host> show security flow session logical-system LSYS1 node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000118, Policy name: lsys1trust-to-lsys1trust/11, State: Active, Timeout: 1792, Valid In: 8885::2/34565 --> 6665::2/23;tcp, If: reth1.0, Pkts: 91, Bytes: 6802 Out: 6665::2/23 --> 8885::2/34565;tcp, If: lt-0/0/0.3, Pkts: 65, Bytes: 6701 Total sessions: 1 Flow Sessions on FPC2 PIC1: Total sessions: 0 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000010, Policy name: lsys1trust-to-lsys1trust/11, State: Backup, Timeout: 14388, Valid In: 8885::2/34565 --> 6665::2/23;tcp, If: reth1.0, Pkts: 0, Bytes: 0 Out: 6665::2/23 --> 8885::2/34565;tcp, If: lt-0/0/0.3, Pkts: 0, Bytes: 0 Total sessions: 1 Flow Sessions on FPC2 PIC1: Total sessions: 0
{primary:node0} user@host> show security flow session logical-system LSYS2 node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000119, Policy name: lsys2untrust-to-lsys2trust/13, State: Active, Timeout: 1788, Valid In: 8885::2/34565 --> 6665::2/23;tcp, If: lt-0/0/0.5, Pkts: 91, Bytes: 6802 Out: 6665::2/23 --> 8885::2/34565;tcp, If: reth3.0, Pkts: 65, Bytes: 6701 Total sessions: 1 Flow Sessions on FPC2 PIC1: Total sessions: 0 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000011, Policy name: lsys2untrust-to-lsys2trust/13, State: Backup, Timeout: 14380, Valid In: 8885::2/34565 --> 6665::2/23;tcp, If: lt-0/0/0.5, Pkts: 0, Bytes: 0 Out: 6665::2/23 --> 8885::2/34565;tcp, If: reth3.0, Pkts: 0, Bytes: 0 Total sessions: 1 Flow Sessions on FPC2 PIC1: Total sessions: 0
{primary:node0} user@host> show security flow session logical-system all node0: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000118, Policy name: lsys1trust-to-lsys1trust/11, State: Active, Timeout: 1784, Valid Logical system: LSYS1 In: 8885::2/34565 --> 6665::2/23;tcp, If: reth1.0, Pkts: 91, Bytes: 6802 Out: 6665::2/23 --> 8885::2/34565;tcp, If: lt-0/0/0.3, Pkts: 65, Bytes: 6701 Session ID: 80000119, Policy name: lsys2untrust-to-lsys2trust/13, State: Active, Timeout: 1784, Valid Logical system: LSYS2 In: 8885::2/34565 --> 6665::2/23;tcp, If: lt-0/0/0.5, Pkts: 91, Bytes: 6802 Out: 6665::2/23 --> 8885::2/34565;tcp, If: reth3.0, Pkts: 65, Bytes: 6701 Total sessions: 2 Flow Sessions on FPC2 PIC1: Total sessions: 0 node1: -------------------------------------------------------------------------- Flow Sessions on FPC0 PIC1: Total sessions: 0 Flow Sessions on FPC2 PIC0: Session ID: 80000010, Policy name: lsys1trust-to-lsys1trust/11, State: Backup, Timeout: 14378, Valid Logical system: LSYS1 In: 8885::2/34565 --> 6665::2/23;tcp, If: reth1.0, Pkts: 0, Bytes: 0 Out: 6665::2/23 --> 8885::2/34565;tcp, If: lt-0/0/0.3, Pkts: 0, Bytes: 0 Session ID: 80000011, Policy name: lsys2untrust-to-lsys2trust/13, State: Backup, Timeout: 14376, Valid Logical system: LSYS2 In: 8885::2/34565 --> 6665::2/23;tcp, If: lt-0/0/0.5, Pkts: 0, Bytes: 0 Out: 6665::2/23 --> 8885::2/34565;tcp, If: reth3.0, Pkts: 0, Bytes: 0 Total sessions: 2 Flow Sessions on FPC2 PIC1: Total sessions: 0
commit
にバックアップノード上の論理システムライセンスで不十分な場合、以前のすべてのリリースのプライマリノードと同様に、バックアップノードに必要なライセンス数に関する警告メッセージが表示されます。