シャーシ クラスタ HA 制御リンク暗号化
ノード0とノード1の専用制御ポートを接続します。ユーザー定義の製造ポートをノード0とノード1に接続します。クラスタ モードで 2 つのシャーシを設定するには、次の手順に従います。
両方のノードでシャーシ クラスタ モードを有効にします。 『 SRXシリーズ シャーシ クラスタ設定の概要』を参照してください。
- シャーシクラスターを有効にした後、デバイス 1 で、以下の設定例に示すように HA リンク暗号化を設定し、コミットして再起動します。コミットと再起動の前に、デバイス 1 にノード 0 とノード 1 の両方の HA リンク暗号化設定を設定する必要があります。
[edit] user@host# set groups node0 security ike proposal HA authentication-method pre-shared-keys user@host# set groups node0 security ike proposal HA dh-group group20 user@host# set groups node0 security ike proposal HA authentication-algorithm sha-256 user@host# set groups node0 security ike proposal HA encryption-algorithm aes-256-cbc user@host# set groups node0 security ike policy HA proposals HA user@host# prompt groups node0 security ike policy HA pre-shared-key ascii-text This Should Be A Strong And Secure Key Retype This Should Be A Strong And Secure Key user@host# set groups node0 security ike gateway HA ike-policy HA user@host# set groups node0 security ike gateway HA version v2-only user@host# set groups node0 security ipsec proposal HA protocol esp user@host# set groups node0 security ipsec proposal HA authentication-algorithm hmac-sha1-96 user@host# set groups node0 security ipsec proposal HA encryption-algorithm aes-256-cbc user@host# set groups node0 security ipsec policy HA perfect-forward-secrecy keys group20 user@host# set groups node0 security ipsec policy HA proposal HA user@host# set groups node0 security ipsec vpn HA ha-link-encryption user@host# set groups node0 security ipsec vpn HA ike gateway HA user@host# set groups node0 security ipsec vpn HA ike ipsec-policy HA user@host# set groups node1 security ike proposal HA authentication-method pre-shared-keys user@host# set groups node1 security ike proposal HA dh-group group20 user@host# set groups node1 security ike proposal HA authentication-algorithm sha-256 user@host# set groups node1 security ike proposal HA encryption-algorithm aes-256-cbc user@host# set groups node1 security ike policy HA proposals HA user@host# prompt groups node1 security ike policy HA pre-shared-key ascii-text New ascii-text(secret): juniper Retype This Should Be A Strong And Secure Key user@host# set groups node1 security ike gateway HA ike-policy HA user@host# set groups node1 security ike gateway HA version v2-only user@host# set groups node1 security ipsec proposal HA protocol esp user@host# set groups node1 security ipsec proposal HA authentication-algorithm hmac-sha1-96 user@host# set groups node1 security ipsec proposal HA encryption-algorithm aes-256-cbc user@host# set groups node1 security ipsec policy HA perfect-forward-secrecy keys group20 user@host# set groups node1 security ipsec policy HA proposals HA user@host# set groups node1 security ipsec vpn HA ha-link-encryption user@host# set groups node1 security ipsec vpn HA ike gateway HA user@host# set groups node1 security ipsec vpn HA ike ipsec-policy HA user@host# commit user@host> request system reboot - デバイス 2 の設定とコミットをさらに進めるには、デバイス 1 とデバイス 2 が相互に到達できないようにする必要があります。これを実現する 1 つの方法は、この時点でデバイス 1 の電源をオフにすることです。
- デバイス 2 が起動したら、デバイス 2 で以下の構成例に示すように HA リンク暗号化を設定します。デバイス 2 は、ノード 0 とノード 1 の両方の HA リンク暗号化設定で設定する必要があります。ノード1(デバイス2)でコミットし、最後にノード1(デバイス2)を再起動します。
[edit] user@host# set groups node0 security ike proposal HA authentication-method pre-shared-keys user@host# set groups node0 security ike proposal HA dh-group group20 user@host# set groups node0 security ike proposal HA authentication-algorithm sha-256 user@host# set groups node0 security ike proposal HA encryption-algorithm aes-256-cbc user@host# set groups node0 security ike policy HA proposals HA user@host# prompt groups node0 security ike policy HA pre-shared-key ascii-text This Should Be A Strong And Secure Key Retype This Should Be A Strong And Secure Key user@host# set groups node0 security ike gateway HA ike-policy HA user@host# set groups node0 security ike gateway HA version v2-only user@host# set groups node0 security ipsec proposal HA protocol esp user@host# set groups node0 security ipsec proposal HA authentication-algorithm hmac-sha1-96 user@host# set groups node0 security ipsec proposal HA encryption-algorithm aes-256-cbc user@host# set groups node0 security ipsec policy HA perfect-forward-secrecy keys group20 user@host# set groups node0 security ipsec policy HA proposal HA user@host# set groups node0 security ipsec vpn HA ha-link-encryption user@host# set groups node0 security ipsec vpn HA ike gateway HA user@host# set groups node0 security ipsec vpn HA ike ipsec-policy HA user@host# set groups node1 security ike proposal HA authentication-method pre-shared-keys user@host# set groups node1 security ike proposal HA dh-group group20 user@host# set groups node1 security ike proposal HA authentication-algorithm sha-256 user@host# set groups node1 security ike proposal HA encryption-algorithm aes-256-cbc user@host# set groups node1 security ike policy HA proposals HA user@host# prompt groups node1 security ike policy HA pre-shared-key ascii-text New ascii-text(secret): juniper Retype This Should Be A Strong And Secure Key user@host# set groups node1 security ike gateway HA ike-policy HA user@host# set groups node1 security ike gateway HA version v2-only user@host# set groups node1 security ipsec proposal HA protocol esp user@host# set groups node1 security ipsec proposal HA authentication-algorithm hmac-sha1-96 user@host# set groups node1 security ipsec proposal HA encryption-algorithm aes-256-cbc user@host# set groups node1 security ipsec policy HA perfect-forward-secrecy keys group20 user@host# set groups node1 security ipsec policy HA proposals HA user@host# set groups node1 security ipsec vpn HA ha-link-encryption user@host# set groups node1 security ipsec vpn HA ike gateway HA user@host# set groups node1 security ipsec vpn HA ike ipsec-policy HA user@host# commit user@host> request system reboot注: ステップ 3 でノード 1 で HA リンク暗号化を有効にするには、コミットを完了するためにもう一方のノードが失われた状態である必要があります。したがって、このタイミングはユーザーが注意する必要があり、それ以外の場合は、ノード1コミットでHAリンク暗号化を有効にするまでステップ3をやり直す必要があります。