Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

付録:テストケース例情報

仮想テストラボ

JVDEのこの付録の例は、vJunosスイッチvMXルーター、vSRX V3.0ファイアウォールで構成される仮想テストラボで評価されています。仮想サービスブロックスイッチのペアは作成しませんでしたが、両方のタイプのWANルーター(ルーターまたはファイアウォール)を冗長ペアとして使用できるようにしました。これは、物理的なハードウェアを使用する必要のあるテストに使用されたラボとは異なります。これを例として使用し、EVE-NGなどの環境で自分で構築できるものを使用して、構成例をテストするための独自のラボを構築することができます。この場合、ファブリックはIP Closとして設定されていました。

L2 Exit with Stretched VLAN

注:

このJVD-Eの以前のバージョンには、拡張VLANを使用したL2出口の設定例が含まれていました。しかし、これは重大な問題を引き起こし、ユーザーが本番環境での使用を意図していないという事実を見落とすことがよくありました。これ以上の混乱を避けるため、この例を完全に削除することにしました。古いドキュメントにはまだ記載されているかもしれませんが、サポートされていない非実稼働グレードのソリューションであることに変わりはありません。

トランスポートVLANを使用したL2出口

注:

キャンパスファブリックでVLANまたはVRFを作成する場合は、次のベストプラクティスに留意してください。スイッチテンプレートにすべてのVLANを作成し、 キャンパスファブリック ダイアログにインポートします。Mist GUIの他の場所にVLANを作成すると、最終的に一貫性が失われ、問題の解決が困難になります。サービスブロック機能を除き、 キャンパスファブリック ダイアログの外部にVRFを作成しないでください。トランスポートVLAN方式では、サービスブロック機能で手動でVRFを作成し、トランスポートVLANとルートをVRFにローカルに追加する必要があります。 キャンパスファブリック ダイアログでVRFやルートを作成しないでください。スイッチテンプレート内にポートプロファイルを作成し、変更がファブリック内のすべてのスイッチで同期されるようにすることをお勧めします。

スイッチテンプレートでトランスポートVLANを定義する場合、サブネット情報は設定しないでください。この情報は、後で各サービスブロック機能の追加IPサブネットとして設定します。 図1 図2および図3を参照してください。

図1:トランスポートVLAN 1A screenshot of a computer Description automatically generatedの空のサブネット設定
図2:トランスポートVLAN 2A screenshot of a computer Description automatically generatedの空のサブネット設定
図3:トランスポートVLAN 3A screenshot of a computer Description automatically generatedの空のサブネット設定

以下のCLI設定は、トランスポートVLANファブリックで使用されるスイッチテンプレートのエクスポートされたバージョンを示しています。これにより、インポート時に設定を確認できます。ご覧のとおり、VRFごとに最低2つのVLANと、VRFごとに追加のトランスポートVLANがあります。

キャンパスファブリック設定ダイアログには、ネットワークの設定というセクションがあります。ここで、スイッチテンプレートから6つのアクセスVLANをインポートします。完了すると、構成は図4に示すようになり、この場合の結果は次のようになります。3 つのトランスポート VLAN はアクセス層に属しないため、サービスブロック機能では定義されません。

図4:キャンパス内VLANへのインポートファブリック設定ダイアログ A screenshot of a computer Description automatically generated

次に、図 5 に示すように、3 つの VRF を作成し、そのうちの 2 つのアクセス ネットワークを各 VRF に接続します。

図5:VRF構成 A screenshot of a computer Description automatically generated

次に、各VRFに移動し、デフォルトルートなしで定義されているアクセスネットワークのみがあることを確認します。トランスポート VLAN とデフォルト ルートについては、後ほどサービス ブロック機能で定義します。 図 6 図 7 図 8 を参照してください。

図6:VRF1—デフォルトルートなしのVLANにアクセス A screenshot of a computer Description automatically generated
図7:VRF2—デフォルトルートなしのVLANへのアクセス A screenshot of a computer Description automatically generated
図8:VRF3—デフォルトルートなしのVLANへのアクセス VRF3—Access VLANs Without Default Routes

Core1およびCore2スイッチの設定

トランスポートVLAN接続の例では、サービスブロック機能は仮想であり、コアスイッチ上に同じ場所に配置されています。そのため、2つのコアスイッチを設定する必要があります。以下の擬似コードは、core1 および core2 スイッチに適用する必要がある設定を表しています。

次の4つの画像は、以前の擬似コードから得られたMist GUI構成を示しており、各トランスポートVLANにローカルIPアドレスを割り当てるために必要な追加IP構成から始まります。

図9:トランスポートVLANの追加IP設定 A screenshot of a computer Description automatically generated
図10:VLAN trans1の設定 A screenshot of a computer Description automatically generated
図11:VLAN trans2の設定 A screenshot of a computer Description automatically generated
図12:VLAN trans3の設定 A screenshot of a computer Description automatically generated

次に、アップリンクに使用する ポートプロファイル を定義します。トランクネットワーク定義にはトランスポートVLANのみを含めることが重要です。これらのVLANのみが使用され、WANルーターから見えるためです。

図13:トランスポートVLANA screenshot of a computer Description automatically generatedを使用してルーター WAN接続するためのポートプロファイル

次に、各アップリンクポートにポートプロファイルを割り当てます。

図14:トランスポートVLANアタッチA screenshot of a computer Description automatically generatedのポートプロファイル割り当て

図15は、最初のWANルーターへの最初のアップリンクの設定を示しています。

図15:最初のWANルーターへの最初のアップリンクのポート設定 A screenshot of a computer Description automatically generated

図16は、最初のWANルーターへの2番目のアップリンクの設定を示しています。

図16:第1 WANルーターへの第2アップリンクのポート設定 A screenshot of a computer Description automatically generated
注:

各サービスブロック機能の AEインデックス が、同じWANルーターに向けて相互に同期していることを確認し、それぞれを ESI-LAGとして定義する必要があります。また、ファブリックサービスブロックの他の場所ですでに定義されているAEインデックスを再利用しないようにする必要があります。

次に、ローカルVRFを作成および変更します。 これは、トランスポートVLANの終了方法のみの例外であることに注意してください。通常、ファブリックは VRF を自動的に作成します。この場合、VRF設定でサイト/テンプレート設定を上書きするチェックボックスを有効にする必要があります。 図17は、Mist GUIで必要な設定を示しています。

図17:トランスポートVLANの終了A screenshot of a computer Description automatically generatedのテンプレート設定を上書きする

次に、3 つの VRS インスタンスのそれぞれで次の 3 つの設定を実行する必要があります。

  • テンプレート定義のVRFインスタンスの上書きを有効にするチェックボックス
  • トランスポートVLANを、事前に入力済みのアクセスVLANリストに追加します
  • ゲートウェイIPアドレスがWANルーターのVRRP-VIPアドレスであるデフォルトルートを追加します。
  • 図18 図19および図20は、3つのVRFのそれぞれのオーバーライド設定を示しています。
図18:VRF1のオーバーライド設定A screenshot of a computer Description automatically generated
図19:VRF2オーバーライド設定 VRF2 Override Configuration
図20:VRF3オーバーライド設定 A screenshot of a computer Description automatically generated

ここで、ファブリック内のトラフィックの過剰なヘアピンルーティングを回避するために、VGA設定を使用するようトランスポートVLANを変更するために追加のCLIを設定する必要があります。各サービスブロック機能スイッチのスイッチ設定で、Mist GUIの CLI設定 セクションを見つけます。必要な設定を 図21に示すフィールドに貼り付ける必要があります。

図21:追加CLIコマンドフィールドA screenshot of a computer Description automatically generatedの場所

core1スイッチのCLI設定例を次のコードブロックに示します。静的IPアドレスを仮想ゲートウェイIPアドレス+ 1(10.99.1.2)として設定しました。

core2スイッチでは、トランスポートVLANの静的IPアドレスのみが仮想ゲートウェイIPアドレス+ 2(10.88.1.3)に変更されます。

注:

なお、ジュニパーのテストラボでは、仮想EX9214スイッチをコアスイッチとして使用しました。ほとんどの実稼働環境では、EX92xxスイッチは使用しません。そのため、前の設定スニペットでコメントアウトされた2行のコメントを解除する必要があります。
注:

サービスブロック VRF ごとに使用する各トランスポート VLAN に対して、IRB インターフェイスで使用される仮想ゲートウェイ アドレスの MACアドレスを手動で設定する必要があります。この例では、デバッグが簡単であるため、トランスポートVLANごとに異なるMACアドレスを使用しました。

WANルーターとしてのジュニパーMX

次の CLI スニペットの例には、最初の WAN ルーターのインターフェイスの設定、VRRP ゲートウェイの冗長性、および静的ルートが含まれています。設定を完了するために、デフォルトのルートとインターフェイスを追加する必要がある場合があります。

2 番目の WAN ルーターでは、AE キーとインデックス、静的 IP アドレスが設定に大きく変更されています。

172.16.19x.0の範囲の静的ルートについて疑問に思うかもしれません。IP Closはエニーキャストファブリックであることを忘れないでください。そのため、DHCPリレーがファブリックオーバーレイでIPアドレスを使用する場合に備えて、スタティックルートを用意しておく必要があります。定義例については、図22を参照してください

図22:VRFサブネットA screenshot of a computer Description automatically generatedごとのループバック

オーバーレイループバックIPは、スイッチ上の各VRFに/24の範囲として割り当てられます。 図23に示すように、ファブリックアクセススイッチを見れば理解できます。したがって、必要な到達可能性を実現するには、VRFに接続された他の追加VLANと同様に、これらをマッピングし直す必要があります。

図23:VRFループバックIPアドレスA screenshot of a computer Description automatically generated

以下のコマンドは、WAN ルーター 1 上の接続をデバッグするのに役立ちます。

次のコマンドは、WANルーター2上の接続をデバッグするのに役立ちます。

eBGPルーティングプロトコルを使用したL3出口

注:

キャンパスファブリックでVLANまたはVRFの作成を作成するときは、次のベストプラクティスを覚えておいてください。
  • スイッチテンプレートですべてのVLANを作成し、 キャンパスファブリックダイアログにインポートします。Mist GUIの他の場所にVLANを作成すると、最終的に一貫性が失われ、問題の解決が困難になります。
  • 必要に応じて、ファブリックは必要なVRFを作成します。Mist GUIの他の場所にVRFを手動で作成しないでください。
  • スイッチテンプレート内にポートプロファイルを作成し、変更がファブリック内のすべてのスイッチで同期されるようにすることをお勧めします。

開始する前に、次の計画が必要です。

  • ルーティングプロトコルとルート交換の実装方法
  • P2Pリンクの設定方法
  • VRFの識別に間接的に使用されるVLAN割り当てを分散する方法

VRFがすでにファブリック内の他の場所(IP Closのアクセススイッチ上など)存在する場合でも、L3の出口を実行すると、すべてのサービスブロック機能で自動的に再作成されます。

サービスブロック機能でVRFを自動的に作成するために、各WANルーターでVRF上のVLAN名を再利用する必要があります。ローカルP2Pリンクを定義してVLANを再利用する場合、それらの定義は純粋にローカルであるため、オーバーレイVLAN定義と矛盾しないことに注意してください。また、ここで特別なトランスポートVLANを定義する必要はありません。ただし、ニーズに合えば、P2Pリンクに特別なトランスポートVLANを使用して定義することもできます。

P2Pリンクを定義する際には、ファブリックで使用されているアドレス範囲外であることを確認する必要があります。これらのリンクに対してファブリックが使用するデフォルト範囲は 10.255.240.0/20 です。/31 ネットマスクを使用することをお勧めします。このプランでは、WAN ルーター側には偶数の IP アドレス、ファブリック側には奇数の IP アドレスを使用できます。

システムでは、物理ケーブル上の各P2PリンクにVLANを使用する必要があります。これにより、1本のアップリンクケーブルで複数のVRFを多重化できます。VLANは内部的にVRFを参照していることに注意してください。

eBGPでは、ピアリング用に独自のプライベートASNも定義する必要があります。ハードコードされたデフォルトでは、ファブリックはEVPNコントロールプレーンに65000 ASNを使用し、65001で設定可能なASNの割り当てを開始します。その後、ノードごとに 1 桁進みます。そのため、システム割り当てASNとの競合を避けるために、65000未満のASN値を使用することを推奨します。QFXスイッチでは、16のローカルASNしか許可されません。そのため、すべてのVRF間で共有ASNを使用することをお勧めします。しかし、この例では、WANルーターごとに異なるASNを使用することにしました。

図24は、ファブリックの2つのサービスブロック機能が最初のWANルーターにどのように接続するかを示しています。

図24:WANルーター1の接続L3 eBGP-Based Fabric to WAN Router1 AttachへのL3 eBGPベースのファブリック

図25は、ファブリックの2つのサービスブロック機能が2番目のWANルーターにどのように接続するかを示しています。各 VRF の VLAN の 2 番目のブロックが使用されていることに注意してください。

図25:ルーター2の接続L3 eBGP-Based Fabric to WAN Router2 AttachをWANするL3 eBGPベースのファブリック

表1は、サービスブロック機能としてのコア1スイッチとコア2スイッチ、および2台のWANルーター間の完全な構成を示しています。eBGPに選択したASNも確認できます。

表1:eBGP出口用のMX WANルーターとコアスイッチの設定の概要
スイッチ スイッチAS VRF コアP2P IP コアIF WANルーター WANルーターP2P IP WANルーターAS WANルーターのIF VLAN ID
コア1 64911 カスタマーA 10.255.224.1/31 ge-0/0/3.1091 WANルーター1 10.255.224.0/31 64901 ge-0/0/1.1091 1091
コア1 64911 カスタマーB 10.255.224.3/31 ge-0/0/3.1081 WANルーター1 10.255.224.2/31 64901 ge-0/0/1.1081 1081
コア1 64911 デバイス 10.255.224.5/31 ge-0/0/3.1031 WANルーター1 10.255.224.4/31 64901 ge-0/0/1.1031 1031
コア1 64911 カスタマーA 10.255.225.1/31 ge-0/0/4.1099 WANルーター2 10.255.225.0/31 64902 ge-0/0/1.1099 1099
コア1 64911 カスタマーB 10.255.225.3/31 ge-0/0/4.1088 WANルーター2 10.255.225.2/31 64902 ge-0/0/1.1088 1088
コア1 64911 デバイス 10.255.225.5/31 ge-0/0/4.1033 WANルーター2 10.255.225.4/31 64902 ge-0/0/1.1033 1033
コア2 64911 カスタマーA 10.255.226.1/31 ge-0/0/3.1091 WANルーター1 10.255.226.0/31 64901 ge-0/0/2.1091 1091
コア2 64911 カスタマーB 10.255.226.3/31 ge-0/0/3.1081 WANルーター1 10.255.226.2/31 64901 ge-0/0/2.1081 1081
コア2 64911 デバイス 10.255.226.5/31 ge-0/0/3.1031 WANルーター1 10.255.226.4/31 64901 ge-0/0/2.1031 1031
コア2 64911 カスタマーA 10.255.227.1/31 ge-0/0/4.1099 WANルーター2 10.255.227.0/31 64902 ge-0/0/2.1099 1099
コア2 64911 カスタマーB 10.255.227.3/31 ge-0/0/4.1088 WANルーター2 10.255.227.2/31 64902 ge-0/0/2.1088 1088
コア2 64911 デバイス 10.255.227.5/31 ge-0/0/4.1033 WANルーター2 10.255.227.4/31 64902 ge-0/0/2.1033 1033

以下のコードブロックは、このファブリックで使用されるスイッチテンプレートのエクスポートされたバージョンを示しています。これにより、インポート時に設定を確認できます。ご覧のとおり、VRFごとに最低2つのVLANがあります。L3出口モデルでは、WANルーターとVRFごとに1つのVLANが必要であることに留意してください)。

キャンパスファブリック設定ダイアログ内に、ネットワークの設定というページがあります。ここで、スイッチテンプレートから6つのVLANをインポートします。その結果、設定を次の図に示します。

図26:ネットワークおよびその他のIP設定 Network and Other IP Configuration
図27:VRFインスタンスを3つ作成し、各A screenshot of a computer Description automatically generatedに2つのネットワークを接続する

次に、各VRFに移動して、手動ルートをすべて削除します。後でVRFを識別するため、各VRFに少なくとも2つのVLANが接続されていることを確認してください。

図28:VRF1 2つのVLANを設定し、余分なルートをすべて削除する A screenshot of a computer Description automatically generated
図29:VRF2 2つのVLANを設定し、余分なルートをすべて削除 A screenshot of a computer Description automatically generated
図30:VRF3 2つのVLANを設定し、余分なルートをすべて削除 A screenshot of a computer Description automatically generated

Core1 スイッチの設定

この例では、サービスブロック機能は仮想であり、コアスイッチ上に同じ場所に配置されています。そのため、2つのコアスイッチを設定する必要があります。以下の疑似コードブロックは、core1スイッチで設定する必要がある内容を説明しています。

次のスクリーンショットは、以前の設定をMist GUIに変換したものです。まず、追加の IP 設定から始めます。VLAN の IP アドレスが、これらの VLAN が元々オーバーレイに含まれていた IP アドレスと一致しないことに注意してください。これは仕様によるものです。VRFへの参照として常にVLANを用意する必要があります。

図31:追加のIP設定 A screenshot of a computer Description automatically generated
図32:A screenshot of a computer Description automatically generatedを設定する6つのVLANのうちの1つ

ポート設定ウィンドウで、L3サブインターフェイスを有効にし、定義された最初の3つのサブインターフェイスを割り当てる必要があります。

A screenshot of a computer Description automatically generated

2番目の ポート設定 ウィンドウで、もう一方のWANルーターに向けて、定義された2番目の3つのサブインターフェイスを割り当てます。

A screenshot of a computer Description automatically generated

次に、6つのピアすべて(3つのVRFと2つのWANルーター)を含むeBGP設定全体を入力する必要があります。完了すると、概要ページは図33のようになります。

図33:完全なeBGP設定A screenshot of a computer Description automatically generated

まず、2つのルーティングポリシーを定義し、その概要を上の表に示します。

図34:ルーティングポリシーの概要 A screenshot of a computer AI-generated content may be incorrect.

この例では、エクスポート ルート ポリシーに次の条件が含まれています。

  • Term=fabric-all-no-hosts — 設定されたすべてのVRFとそのVLANからファブリックのすべてのルートを自動的にエクスポートするために使用されます。潜在的なP2Pリンクとシングルホストルートを削除します。これを実現するために、プレフィックス「0.0.0.0/0-30」を使用します。プレフィックスに「0-30」を使用することは、Junos OSで「orlonger」を定義する方法です。
  • Term=overlaylo0 — 通常はlo0.xに個別に割り当てられるオーバーレイループバックIPアドレス(DHCPリレー使用の場合)をホストIPレベルまでエクスポートするために使用されます。これを実現するには、172.16.192.0/24-32 を使用します。ここではホストレベルに移動する必要がありますが、上記のステートメントでは行いません。

A screenshot of a computer AI-generated content may be incorrect.

必要に応じて、「0.0.0.0/0-32」などの単一の用語を使用してルールセットを簡素化できます。この用語では、ホストIPアドレスで表されるファブリック内の個々のクライアントのルートを含む、すべてのルートがエクスポートされます。このアプローチはデバッグにも役立ちます。WAN ルーターの AS パス情報を調べると、どの EVPN ファブリック スイッチが特定のホスト IP を通知しているかが明らかになるためです。

ただし欠点は、このアプローチでは大量のルートがWANルーターと交換される可能性があるのに対し、デフォルト設定の「0.0.0.0/0-30」では、ルート共有が設定されたVLANにのみ関連付けられたプレフィックスに制限される可能性があることです。

インポートポリシーは、WANルーターからデフォルトルートをインポートします。

A screenshot of a computer Description automatically generated

図35 は、必要なエントリが呼び出された単一のBGPピアリングエントリの設定を示しています。

図35:ピアリングエントリExample BGP Peering EntryBGP例

また、WAN ルーターを BGP ネイバーとして定義する必要があります。

A screenshot of a computer Description automatically generated

図 36 に示すように警告メッセージが表示される場合があります。それらは無視しても問題ありません。

図36:潜在的な警告メッセージ Potential Warning Message
  • 上記のメッセージが表示されるのは、すでにVRFに割り当てられているオーバーレイVLANをWANルーターとのアンダーレイBGPピアリングに再利用しているためです。これは、ファブリックの VRF 設定に含まれていない BGP ピアリング専用 VLAN を使用することで回避できます。そのためには、「トランスポートVLANを使用したL2出口」アプローチと同様のローカルVRF設定が必要です。これには、標準ファブリック設定ダイアログで設定されたオーバーレイVLANとともに、各VRFにBGPピアリングVLANを手動で追加する必要があります。
  • この方法では誤検知のエラーメッセージを排除できますが、トレードオフがあります。新しいVLANがファブリックに追加されるたびに、各サービスブロックを手動で更新して、カスタムローカルVRF設定に新しいVLANを含める必要があります。
  • 対照的に、このJVD-Eで採用されている方法では、このようなエラーが発生しやすい再設定を回避できます。新しいVLANをスイッチテンプレートに追加し、ファブリックダイアログで設定するだけです。サービスブロックの設定は変更されず、上記のエクスポートフィルター設定に基づいて新しいVLANのルートを自動的にエクスポートします。

Core2 スイッチの設定

以下の擬似コードは、core2 スイッチに適用する必要がある設定を表しています。

P2PサブネットとBGPネイバーを除き、core2スイッチの設定はcore1スイッチの設定と同じです。

図37:Core2スイッチの追加IP設定 A screenshot of a computer Description automatically generated
図38:Core2スイッチBGPネイバー設定 Core2 Switch BGP Neighbor Configuration

WANルーターとしてのジュニパーMX

以下のいくつかのコードブロックは、P2PインターフェイスのJunos OS CLI設定、すべてのBGPネイバーを含むeBGP設定全体、各WANルーターのすべてのインポートおよびエクスポートルートポリシーを示しています。ファブリックに信号を送る必要があるため、設定を完了するためにデフォルトのルートとインターフェイスを追加する必要がある場合がありますが、デバイスがどのようにしてそれらを知るようになるかは不明です。

最初の WAN ルーターの CLI 設定:

2台目のWANルーターの設定:

以下のCLIコマンドを使用して、WANルーター1でのデバッグを支援できます。

以下のCLIコマンドを使用して、WANルーター2でのデバッグを支援できます。

WANルーターとしてのジュニパーSRXシリーズファイアウォール

以下の表と構成例は、クラスターモードでSRXシリーズファイアウォールを使用する場合と、MXルーターをWANルーターとして使用する場合の違いを示しています。ファブリック側では、MXルーターの設定から変更されるのはSRXクラスターのインターフェイス名だけです。SRXシリーズファイアウォールはアクティブ/アクティブクラスターモードで実行されるため、考慮すべきWANルーター設定とASNは1つだけです。この単一の構成には、同様のMXルーターベースの構成にはないクラスター管理コマンドとトラストゾーン管理コマンドも含まれています。

このSRXシリーズファイアウォールベースのアプローチは、MXルーターで冗長イーサネット(reth)インターフェイスやリンクアグリゲーショングループ(LAG)を設定するよりも複雑ではありません。さらに、仮想ゲートウェイなどを挿入するために、ファブリック側に追加のCLIが必要になります。

ASパスの先頭付加による潜在的な非対称ルートの問題の防止

ステートフルファイアウォールがファブリックに接続されている場合、非対称ルーティングの潜在的なリスクが存在します。以下のシナリオを考えてみましょう。ファブリック外のクライアントが、WANルーターを介してファブリック内のクライアントへのTCP接続を開始します。最初の TCPスリーウェイハンドシェイクの間、SYNパケットは最初のWANルーターによって処理されます。ただし、ファブリッククライアントからのSYN-ACK応答は、どちらのルーターもファブリックに同じデフォルトルートをアドバタイズするため、2番目のWANルーターで処理される場合があります。ファブリックは、好みを認識することなく、ECMPロードバランシングまたはその他の内部メカニズムにより、2番目のWANルーターを選択する場合があります。ステートフルファイアウォール(WANルーターとして機能する)がセッション状態を共有しない場合、2番目のWANルーターは、最初のWANルーターで開始されたセッションの記録がないため、リターンパケットを破棄する可能性があります。

この問題を回避するには、2番目のWANルーターによってアドバタイズされるデフォルトルートの優先度を下げ、通常の条件下ではリターントラフィックが最初のWANルーターに送信されるようにすることができます。BGPでは、これは通常、 ASパスの先頭に付加することで実現されるため、2番目のWANルーターへのルートの魅力が低下します。以下に示すSRXクラスター設定では、ファブリックに対して2つのエクスポートフィルターを使用します。そのうちの1つは、デフォルトルートの先頭にASパスを追加します。次に、これらのフィルターが、優先度の低いWANルーターに基づいてファブリックネイバーに適用されます。

ファブリックとのBGPピアリングが確立されると、ファブリックが受信したデフォルトルートを確認できます。以下の例では、core1-switch がサービスブロック関数として機能します。

アップリンクトラフィックが一貫して1つのWANルーターを優先するようにするために、ファブリック構成にも同様のアプローチをお勧めします。これは、ASパスを先頭に付加して、2番目のWANルーターにアドバタイズされるルートの魅力を低くすることで実現されます。上記のMXルーターの例では共有の「export-vrfs」フィルターを使用しますが、 図39に示すように、「export-vrfs0」と「export-vrfs1」の2つの別々のフィルターを使用します

図39:1つのA screenshot of a computer AI-generated content may be incorrect.ではなく2つのエクスポートフィルター

見た目は同じかもしれませんが、「export-vrfs1」のすべてのステートメントには、 図40のように先頭にAP-Pathが設定されています。

図40:セカンドフィルタールールには、常にAPパスの先頭にSecond Filter Rules Always Contain AP-Path Prependingが含まれます

SRXクラスターとのBGPピアリングが確立されたら、以下の例に示すように、ファブリック内のASパスの先頭に付加されたSRXクラスターが表示されていることを確認します。まず、ファブリックのサービスブロック機能(ここではcore1-switch)の設定を確認します。

次に、以下の例のように、SRXクラスター上の設定に従ってルートを受信することも確認します。

表2は、サービスブロック機能としてのコア1スイッチとコア2スイッチの設定情報と、SRXクラスターのWANルーターの設定を示しています。 表1 (MX WANルーター用の場合)に関して変更点をマークしています。

表2:SRXシリーズファイアウォールWANルーターとコアスイッチの構成概要
スイッチ スイッチAS VRF コアP2P IP コアIF WANルーター WANルーターP2P IP WANルーターAS WANルーターのIF VLAN ID
コア1 64911 カスタマーA 10.255.224.1/31 ge-0/0/5.1091 ノード0 10.255.224.0/31 64901 ge-0/0/2.1091 1091
コア1 64911 カスタマーB 10.255.224.3/31 ge-0/0/5.1081 ノード0 10.255.224.2/31 64901 ge-0/0/2.1081 1081
コア1 64911 デバイス 10.255.224.5/31 ge-0/0/5.1031 ノード0 10.255.224.4/31 64901 ge-0/0/2.1031 1031
コア1 64911 カスタマーA 10.255.225.1/31 ge-0/0/6.1099 ノード1 10.255.225.0/31 64901 ge-7/0/2.1099 1099
コア1 64911 カスタマーB 10.255.225.3/31 ge-0/0/6.1088 ノード1 10.255.225.2/31 64901 ge-7/0/2.1088 1088
コア1 64911 デバイス 10.255.225.5/31 ge-0/0/6.1033 ノード1 10.255.225.4/31 64901 ge-7/0/2.1033 1033
コア2 64911 カスタマーA 10.255.226.1/31 ge-0/0/5.1091 ノード0 10.255.226.0/31 64901 ge-0/0/3.1091 1091
コア2 64911 カスタマーB 10.255.226.3/31 ge-0/0/5.1081 ノード0 10.255.226.2/31 64901 ge-0/0/3.1081 1081
コア2 64911 デバイス 10.255.226.5/31 ge-0/0/5.1031 ノード0 10.255.226.4/31 64901 ge-0/0/3.1031 1031
コア2 64911 カスタマーA 10.255.227.1/31 ge-0/0/6.1099 ノード1 10.255.227.0/31 64901 ge-7/0/3.1099 1099
コア2 64911 カスタマーB 10.255.227.3/31 ge-0/0/6.1088 ノード1 10.255.227.2/31 64901 ge-7/0/3.1088 1088
コア2 64911 デバイス 10.255.227.5/31 ge-0/0/6.1033 ノード1 10.255.227.4/31 64901 ge-7/0/3.1033 1033

以下の擬似コードは、この例で core1 スイッチで設定する必要がある内容を説明しています。

以下の擬似コードは、この例で core2 スイッチで設定する必要がある内容を説明しています。

個々のサービスブロック機能(ここではcore1スイッチとcore2スイッチ)の設定が完了すると、概要表は図41のようになります。

図41は、コア1スイッチとコア2スイッチの個々のサービスブロック機能を設定した後のBGPがどのように見えるかの概要を示しています。

図41:SRXシリーズファイアウォールをWANルーターA screenshot of a logistic AI-generated content may be incorrect.としたBGP設定の概要

次のJunos OS CLIは、この例でシリーズファイアウォールクラスターに必要な設定全体を表しています。