Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NFX250デバイス上のシャーシクラスタ

シャーシクラスタリングでは、2つのデバイス間でコンフィギュレーションファイルと動的なランタイムセッション状態の同期が行われます。これらはシャーシクラスタ設定の一部です。NFX250では、2つのデバイス上のvSRX仮想ファイアウォールインスタンスがクラスターにグループ化され、高可用性(HA)を提供します。

NFX250シャーシクラスタの概要

NFX250デバイスをクラスタモードで動作するように設定するには、各デバイス上のvSRX仮想ファイアウォールインスタンスを接続して、単一のノードのように動作するように設定し、デバイス、インターフェイス、サービスレベルで冗長性を提供します。

2 つのデバイスがシャーシ クラスタとして動作するように設定されている場合、各デバイスはその クラスタのノードになります。2つのノードが互いにバックアップし、1つのノードがプライマリ デバイスとして動作し、もう1つのノードがセカンダリ デバイスとして機能するため、システムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフル フェイルオーバーが保証されます。プライマリデバイスに障害が発生した場合、セカンダリデバイスがトラフィックの処理を引き継ぎます。

クラスタのノードは、制御リンクとファブリックリンクと呼ばれる2つのリンクを介して相互に接続されます。シャーシ クラスタ内のデバイスは、クラスタ全体の設定、カーネル、PFE セッション状態を同期させ、高可用性、ステートフル サービスのフェイルオーバー、ロード バランシングを促進します。

  • 制御リンク:ノード間で設定を同期します。クラスタに設定ステートメントを送信すると、設定は制御インターフェイスを介して自動的に同期されます。

    vSRX 仮想ファイアウォールクラスター制御リンクのデータパスを作成するには、1 つのノードの ge-0/0/0 インターフェイスを 2 番目のノードの ge-0/0/0 インターフェイスに接続します。

    メモ:

    制御リンクを作成するには、ge-0/0/0インターフェイスのみを使用できます。

  • ファブリックリンク(データリンク):ノード間でトラフィックを転送します。他のノードで処理する必要があるノードに到着したトラフィックは、ファブリック リンクを介して転送されます。同様に、他のノードのインターフェイスを介して終了する必要があるノードで処理されたトラフィックは、ファブリックリンクを介して転送されます。

    ge-0/0/0以外の任意のインターフェイスを使用して、ファブリックリンクを作成できます。

シャーシ クラスタ モード

シャーシ クラスタは、アクティブ/パッシブ モードまたはアクティブ/アクティブ モードで設定できます。

  • Active/passive mode- アクティブ/パッシブ モードでは、トランジット トラフィックはプライマリ ノードを通過しますが、バックアップ ノードは障害発生時のみ使用されます。障害が発生すると、バックアップ デバイスがプライマリ デバイスとなり、すべての転送タスクを引き継ぎます。

  • Active/active mode- アクティブ/アクティブ モードでは、トランジット トラフィックは常に両方のノードを通過します。

シャーシ クラスタ インターフェイス

シャーシ クラスタ インターフェイスには次のものが含まれます。

  • 冗長イーサネット(reth)インターフェイス—クラスターの各ノードからの物理インターフェイスを含む疑似インターフェイス。アクティブ ノードの reth インターフェイスは、シャーシ クラスタ設定でトラフィックを渡す役割を担います。

    rethインターフェイスには、少なくとも、ファストイーサネットインターフェイスのペア、または冗長イーサネットインターフェイス(冗長親)の子インターフェイスと呼ばれるギガビットイーサネットインターフェイスのペアが含まれている必要があります。各ノードの2つ以上の子インターフェイスが冗長イーサネットインターフェイスに割り当てられている場合、冗長イーサネットインターフェイスリンクアグリゲーショングループを形成することができます。

    メモ:

    NFX250デバイスでは最大128個のrethインターフェイスを設定できます。

  • 制御インターフェイス—クラスタ内の2つのノード間の制御リンクを提供するインターフェイス。このインターフェイスは、ルーティングの更新や、ノードのフェイルオーバーをトリガーするハートビートやしきい値情報などのコントロール プレーンの信号トラフィックに使用されます。

  • ファブリック インターフェイス:クラスタの 2 つのノード間の物理的な接続を提供するインターフェイス。ファブリック インターフェイスは、1 組のイーサネット インターフェイスを背中合わせ(各ノードから 1 つずつ)接続することで形成されます。クラスタのパケット転送エンジンは、このインターフェイスを使用してトランジットトラフィックを送信し、データプレーンソフトウェアのランタイム状態を同期します。設定でファブリックインターフェイスに使用する物理インターフェイスを指定する必要があります。

メモ:

シャーシクラスターは、2つの別々のNFX250デバイスで実行されているvSRX仮想ファイアウォール2.0 VNFインスタンス上で有効です。

シャーシ クラスタの制限

同一ノードのrethメンバーインターフェイスの冗長LAG(RGAG)はサポートされていません。ノードごとに複数の子インターフェイスを持つrethインターフェイスは、RLAGと呼ばれます。

例:NFX250 デバイスでのシャーシ クラスタの設定

この例では、NFX250デバイスでシャーシクラスタリングを設定する方法を示しています。

要件

始める前に:

  • 2台のデバイスを物理的に接続し、それらが同じNFX250モデルであることを確認します。

  • 両方のデバイスで同じJunos OSバージョンが実行されていることを確認します

  • (オプション)両方のノードで、制御ポート ge-0/0/0 のすべてのインターフェイス マッピングを削除します。

  • ノード 0 の制御ポート ge-0/0/0 をノード 1 の ge-0/0/0 ポートに接続します。

  • ノード 0 のファブリック ポートをノード 1 のファブリック ポートに接続します。

概要

この例では、基本的なアクティブ/パッシブ シャーシ クラスタリングの設定方法を示します。1台のデバイスがシャーシクラスターの制御をアクティブに維持します。もう一方のデバイスは、アクティブなデバイスが非アクティブになった場合に、クラスタのフェイルオーバー機能のためにその状態を受動的に維持します。

メモ:

この例では、セキュリティ機能の設定方法などの各種設定については詳しく説明しません。これらは、スタンドアロン構成の場合と基本的に同じです。

構成

NFX250デバイスへのvSRX仮想ファイアウォール2.0 VNFの展開

手順
  1. vSRX仮想ファイアウォール2.0 VNFイメージを/ var/third-party/images/ フォルダにコピーします。

  2. ホストOS VLANを定義します。

  3. NFX250にvSRX仮想ファイアウォールVNFを展開します。

JCP データパスの設定

手順
  1. イーサネットスイッチングファミリーのフロントパネルポートを設定し、VLANにマッピングします。

VNF HA シャーシクラスターの作成

手順
  1. VNFにアクセスします。

  2. モードをシャーシ クラスタに変更します。

  3. クラスタモードで生成される VNF を設定します。

シャーシ クラスタの設定

手順
  1. 両方のノードでクラスタ ID を設定し、デバイスを再起動します。クラスタ ID とノード ID を設定した後、クラスタ モードに移行するには、再起動が必要です。

    メモ:

    両方のデバイスでコマンドを発行するには、動作モードに入る必要があります。

    クラスタ ID は両方のデバイスで同じですが、一方のデバイスがノード 0 で、もう一方のデバイスがノード 1 であるため、ノード ID は異なっている必要があります。cluster-id の範囲は 0 から 255 で、0 に設定すると、クラスターモードを無効にすることと同じです。

  2. シャーシ クラスタが正常に設定されていることを確認します。

    シャーシ クラスタが設定されたら、設定モードに入り、プライマリ ノードである node0 ですべての設定を実行できます。

  3. ノード 0 および 1 のホスト名と帯域外管理 IP アドレスを構成します。

    アウトオブバンド管理用に設定されたサブネット以外のサブネットからデバイスにアクセスする場合は、スタティックルートを設定します。

  4. アウトオブバンド管理のために外部ネットワークからルーターにアクセスするようにバックアップルーターを設定します

ファブリックインターフェイスの設定

手順

ge-0/0/0インターフェイスは、事前に定義された制御リンクです。したがって、デバイス上の他のインターフェイスを選択して、ファブリックインターフェイスを設定する必要があります。例えば、以下の設定では、ge-0/0/1がファブリックインターフェイスとして使用されています。

  1. イーサネット ケーブルの一端を NFX250NG-1 デバイスの ge-0/0/1 に接続し、ケーブルのもう一方の端を NFX250NG-2 デバイスの ge-0/0/1 に接続します。

  2. 物理LANを仮想WANポートにマッピング:

  3. ファブリックインターフェイスに対応するフロントパネル(L2)インターフェイスを設定します。

  4. L3 インターフェイスをファブリック メンバーとして構成します。

  5. ファブリックインターフェイスのデータパスを設定します。

  6. ファブリックとrethメンバーのポートピアリングを設定します。ポートピアリングにより、レイヤー2データプレーン(FPC0)によって制御されるLANインターフェイスに障害が発生した場合、レイヤー3データプレーン(FPC1)上の対応するインターフェイスがマークダウンされ、その逆も同様に処理されます。これは、対応する冗長グループのセカンダリノードへのフェイルオーバーに役立ちます。

冗長グループと冗長インターフェイスの設定

手順
  1. 冗長グループ1および2を設定します。 redundancy-group 1 データ redundancy-group 2 プレーンとコントロールの両方を行い、データプレーンポートを含めます。各ノードには、冗長性グループ内のインターフェイスがあります。冗長性グループの設定の一環として、コントロールプレーンとデータプレーンの優先度(コントロールプレーンにはどのデバイスを優先するか、データプレーンにはどのデバイスを優先するか)も定義する必要があります。シャーシクラスタリングでは、より高い優先度が優先されます。大きい方の番号が優先されます。

    この構成では、 は に関連付けられているアクティブノードredundancy-group 1です。reth0 は のメンバーであり、 node 0 reth1 は のメンバー redundancy-group 1 redundancy-group 2です。クラスタ内のすべての変更は、ノード 0 を介して設定する必要があります。ノード 0 に障害が発生した場合、ノード 1 がアクティブ ノードになります。

  2. rethインターフェイスに対応するフロントパネル(L2)インターフェイスを設定します。

  3. WAN(L3)インターフェイスをrethメンバーとして設定します。

  4. reth インターフェイスを設定します。

    • reth0 を設定します。

    • reth1 を設定します。

  5. rethインターフェイスメンバーのインターフェイス監視を設定します。

  6. LAN から WAN へ、および WAN から LAN へのトラフィックを許可するセキュリティ ポリシーを構成します。

検証

シャーシ クラスタ ステータスの検証

目的

シャーシ クラスタとそのインターフェイスのステータスを確認します。

アクション

動作モードから、以下のコマンドを発行します。

  • クラスターの状態を確認します。

  • 冗長性グループのステータスを検証します。

  • インターフェイスのステータスを確認します。

  • ポートピアリング インターフェイスのステータスを検証します。