クラスタ(HA)の設定
開始する前に、以下を実行します。
2台のユニット間でシャーシ クラスタ接続を確立し、両方のデバイスに物理的にアクセスできることを確認します。
2 つのデバイスは別々に設定する必要があります。
もう一方のユニットは、現在のユニットと同じハードウェアおよびソフトウェアバージョンである必要があります。
両方のユニットが消去されて再起動され、その後、既存のデータはすべて取得できないことに注意してください。再起動する前に、設定のバックアップコピーを保存するオプションがあります。
現在地: デバイス管理 > クラスタ管理 > クラスタ構成。
Junos OSは、シャーシクラスタリングを使用して、SRXシリーズファイアウォールで高可用性を提供します。SRXシリーズファイアウォールは、クラスターモードで動作するよう設定できます。このモードでは、1組のデバイスを接続し、単一のノードとして動作するよう設定することができ、デバイス、インターフェイス、サービスレベルの冗長性を提供します。
-
Junos OS リリース 23.4R1以降、J-WebはSRX1600ファイアウォールとSRX2300ファイアウォールをサポートしています。
-
Junos OS リリース 24.2R1 以降、J-Web は SRX4300 ファイアウォールをサポートします。
シャーシクラスタは、以下のモードで設定できます:
-
アクティブ/パッシブ モード:アクティブ/パッシブ モードでは、トランジット トラフィックはプライマリ ノードを通過し、バックアップ ノードは障害発生時にのみ使用されます。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送タスクを引き継ぎます。
-
アクティブ/アクティブ モード:アクティブ/アクティブ モードでは、トランジット トラフィックは常にクラスタの両方のノードを通過します。
J-Webクラスタ(HA)の設定では、アクティブ/パッシブモード(RG1)のみを設定できます。
スタンドアロンのSRXシリーズファイアウォールが工場出荷時のデフォルトである場合、簡易クラスタ(HA)モードウィザードを使用してシャーシクラスタを設定できます。デバイスがすでにネットワーク内にある場合は、[デバイス管理(Device Administration)] > [設定のリセット(Reset Configuration)] から同じウィザードを使用して HA を作成することもできます。
工場出荷時のデフォルト設定では、SRX300、SRX320、SRX320-POE、SRX340、SRX345、SRX380の各デバイスに、2つのノード間のポートを切断するよう求める警告メッセージが表示されます。これは、他のノードの詳細を表示しないようにするためです。
デバイス管理 > クラスタ管理 > クラスタ設定
クラスタ(HA)を設定するには:
- [ Cluster (HA) Setup] を選択します。
手記:
セカンダリ ノードを設定する場合、またはプライマリ ノードとセカンダリ ノードがまだ接続されていない場合は、[ 続行(Proceed)] をクリックします。プライマリノードを設定する場合は、2つのノード間のバックツーバック接続ポートを切断し、[ 更新 ]をクリックしてブラウザをリロードします。
[Setup Chassis Cluster] ウィザード ページが表示されます。このウィザードでは、2ユニットクラスタでのシャーシクラスタの設定について説明します。
単位を選択
ようこそページには、SRXシリーズファイアウォールに設定可能なシャーシクラスター接続が表示されます。プライマリ ユニット(ノード 0)とセカンダリ ユニット(ノード 1)をグラフィカルに表示し、最初にプライマリ ユニット(ノード 0)を設定する手順を説明します。
- [Yes, this is the primary unit (Node 0)]を選択して単位を選択します。
手記:
プライマリ ノードの設定をすでに構成している場合は、[ No, this is the secondary unit (Node 1)] を選択し、ステップ 8 の指示に従います。
- 「 次へ」をクリックします。
- プライマリ ユニットを設定するには、 表 1 のガイドラインに従って設定を完了します。
表 1:プライマリ ユニットの構成 畑
形容
アクション
システム アイデンティティ ノード0クラスタID
クラスタを識別する番号を指定します。
1 から 255 までの数値を入力します。デフォルトでは 1 が割り当てられます。
ノード0の優先度
VRRP グループのプライマリ デバイスとして選出されるデバイスの優先度を指定します。
1 から 255 までの数値を入力します。デフォルトでは、200が割り当てられます。
ノード 1 の優先度
VRRP グループのプライマリ デバイスとして選出されるデバイスの優先度を指定します。
1 から 255 までの数値を入力します。デフォルトでは、100が割り当てられます。
ノード0のホスト名
ノード 0 の装置ホスト名を指定します。
デフォルトでは、ホスト名が割り当てられます。たとえば、SRX1500-01 などです。
ノード1のホスト名
ノード 1 の装置ホスト名を指定します。
デフォルトでは、ホスト名が割り当てられます。たとえば、SRX1500-02 などです。
rootユーザーのSSHログインを許可する
- ユーザーが SSH 経由でデバイスに root としてログインすることを許可します。
このオプションを有効にします。
管理インターフェイス IPv4アドレス 手記:設定をコミットした後、設定にアクセスするために必要なので、IPv4アドレスをメモしておいてください。
ノード0管理IPv4
ノード 0 の管理 IPv4 アドレスを指定します。
管理インターフェイスの有効な IPv4 アドレスを入力します。
ノード0のサブネットマスク
IPv4アドレスのサブネットマスクを指定します。
IPv4 アドレスのサブネットマスクを入力します。
ノード 1 管理 IPv4
ノード 1 の管理 IPv4 アドレスを指定します。
管理インターフェイスの有効な IPv4 アドレスを入力します。
ノード1のサブネットマスク
IPv4アドレスのサブネットマスクを指定します。
IPv4 アドレスのサブネットマスクを入力します。
スタティックルート IP
他のネットワーク デバイスへのルーティング方法を定義します。
静的ルートの IPv4 アドレスを入力します。
静的ルートサブネット
静的ルートIPv4アドレスのサブネットを指定します。
静的ルートIPv4アドレスのサブネットマスクを入力します。
ネクスト ホップ IPv4
IPv4 アドレスのネクストホップゲートウェイを指定します。
ネクストホップの有効なIPv4アドレスを入力します。
IPv6アドレス(オプション) ノード0管理IPv6
ノード 0 の管理 IPv6 アドレスを指定します。
管理インターフェイスの有効な IPv6 アドレスを入力します。
ノード0サブネットプレフィックス
IPv6 アドレスのサブネット プレフィックスを指定します。
IPv6 アドレスのサブネットプレフィックスを入力します。
ノード 1 管理 IPv6
ノード 1 の管理 IPv6 アドレスを指定します。
管理インターフェイスの有効な IPv6 アドレスを入力します。
ノード 1 サブネット プレフィックス
IPv6 アドレスのサブネット プレフィックスを指定します。
IPv6 アドレスのサブネットプレフィックスを入力します。
スタティックルートIPv6
他のネットワーク デバイスへのルーティング方法を定義します。
静的ルートの IPv6 アドレスを入力します。
スタティック ルート サブネット プレフィックス(Static Route Subnet Prefix)
静的ルート IPv6 アドレスのサブネット プレフィックスを指定します。
静的ルートIPv6アドレスのサブネットプレフィックスを入力します。
ネクスト ホップ IPv6
IPv6 アドレスのネクストホップゲートウェイを指定します。
ネクストホップの有効なIPv6アドレスを入力します。
デバイスパスワード rootパスワード
デバイスのrootパスワードを指定します。
デバイスにまだ設定されていない場合は、ルートパスワードを入力します。
パスワードを再入力
-
root パスワードを再入力します。
制御ポート 手記:このオプションは、SRX5600およびSRX5800デバイスでのみ使用できます。
デュアルリンク
フェールオーバー用の冗長リンクを提供します。
デフォルトでは、このオプションは無効になっています。
このオプションを有効にすると、次のフィールドが表示されます。
リンク1
[ノード 0 FPC(Node 0 FPC)]:リストからオプションを選択します。
[ノード 0 ポート(Node 0 Port)]:リストからオプションを選択します。
ノード1 FPC。
ノード 1 ポート。
リンク2(オプション)
[ノード 0 FPC(Node 0 FPC)]:リストからオプションを選択します。
[ノード 0 ポート(Node 0 Port)]:リストからオプションを選択します。
ノード1 FPC。
ノード 1 ポート。
ノード0 FPC
制御ポートを設定するFPCスロット番号を指定します。
リストからオプションを選択します。
ノード0ポート
制御ポートを設定するポート番号を指定します。
リストからオプションを選択します。
ノード1 FPC
随意。制御ポートを設定するFPCスロット番号を指定します。
リストからオプションを選択します。
ノード 1 ポート
随意。制御ポートを設定するポート番号を指定します。
リストからオプションを選択します。
バックアップの保存(オプション) バックアップの保存(クライアントへ)
現在の設定のバックアップをクライアントのローカルマシンに保存します。
手記:プライマリ ユニットを再起動すると、J-Web は既存の設定を削除してシャーシ クラスタを設定します。そのため、新しい設定をコミットする前に、現在の設定のバックアップ ファイルを保存することをお勧めします。
設定のバックアップファイルを保存するオプションを有効にします。
- [Reboot and Continue] をクリックしてプライマリ ユニットを再起動し、シャーシ クラスタを設定します。
- プライマリ ユニット(ノード 0)を再起動した後、セカンダリ ユニットの管理ポートに接続してセカンダリ ユニットに切り替えます。
- セカンダリ ユニットの管理 IP アドレスが既存のデバイスのデフォルト IP アドレスと同じ場合は、[ 更新(Refresh )] をクリックします。そうでない場合は、新しいセカンダリ デバイスの IP アドレスで新しいブラウザーを開きます。
- セカンダリ装置を設定するには、 表 2 に示すガイドラインに従って設定を完了します。
表 2:セカンダリ ユニットの構成 畑
形容
アクション
セカンダリ ユニット情報 クラスタ ID
クラスタを識別する番号を指定します。
手記:クラスタ ID は、プライマリ ユニットとセカンダリ ユニットの両方で同じである必要があります。
1 から 255 までの数値を入力します。デフォルトでは 1 が割り当てられます。
デバイスパスワード rootパスワード
デバイスのrootパスワードを指定します。
新しい root パスワードを入力します。
パスワードを再入力
-
root パスワードを再入力します。
制御ポート 手記:このオプションは、SRX5600およびSRX5800デバイスでのみ使用できます。
デュアルリンク
フェールオーバー用の冗長リンクを提供します。
デフォルトでは、このオプションは無効になっています。
デュアルリンクオプションを有効にすると、次のフィールドが表示されます。
リンク1
[ノード 0 FPC(Node 0 FPC)]:リストからオプションを選択します。
[ノード 0 ポート(Node 0 Port)]:リストからオプションを選択します。
ノード1 FPC。
ノード 1 ポート。
リンク2(オプション)
[ノード 0 FPC(Node 0 FPC)]:リストからオプションを選択します。
[ノード 0 ポート(Node 0 Port)]:リストからオプションを選択します。
ノード1 FPC。
ノード 1 ポート。
ノード0 FPC
制御ポートを設定するFPCスロット番号を指定します。
リストからオプションを選択します。
ノード0ポート
制御ポートを設定するポート番号を指定します。
リストからオプションを選択します。
ノード1 FPC
随意。制御ポートを設定するFPCスロット番号を指定します。
リストからオプションを選択します。
ノード 1 ポート
随意。制御ポートを設定するポート番号を指定します。
リストからオプションを選択します。
バックアップの保存(オプション) バックアップの保存(クライアントへ)
現在の設定のバックアップをクライアントのローカルマシンに保存します。
手記:セカンダリ ユニットを再起動すると、J-Web はシャーシ クラスタを設定するための既存の設定を削除します。そのため、新しい設定をコミットする前に、現在の設定のバックアップ ファイルを保存することをお勧めします。
設定のバックアップファイルを保存するオプションを有効にします。
- [Reboot and Continue] をクリックしてセカンダリ ユニットを再起動し、シャーシ クラスタを設定します。
- セカンダリ ユニット(ノード 1)を再起動した後、プライマリ ユニット管理 IP アドレスを使用して J-Web UI を起動します。
- [Cluster Management > Cluster (HA) Setup] に移動します。
[Cluster Wizard] ページが開き、[Cluster Status] ステップが表示されます。
手記:J-Webは、
show chassis cluster statusを使用して制御リンクのステータスを確認します。リンクの番号は、シングルリンク(1)かデュアルリンク(2)かを示します。コントロールとファブリックのリンクステータスの色は次のとおりです。
緑:リンクがアップしていることを示します。
赤:リンクがダウンしていることを示します。
オレンジ—デュアルリンクの1つが稼働していることを示します。
灰色—ファブリックリンクが設定されていないことを示します。
シャーシ クラスタが接続されていない場合、接続は失敗し、考えられるすべての障害の理由が表示されます。トラブルシューティングのヒントについては、 ジュニパーのナレッジ検索を参照してください。
ファブリックリンクは、シャーシクラスタが形成された後にのみ設定できます。初回設定では、シャーシのステータスが
The fabric ports links is not yet configuredと表示されます。
- ファブリック リンクを設定するには、 表 3 のガイドラインに従って設定を完了します。
表 3:ファブリック リンク構成 畑
形容
アクション
ファブリックリンクの詳細 デュアルリンク
フェールオーバー用の冗長リンクを提供します。
このオプションを有効にします。
リンク1 ファブリック 0
ノード 0 のファブリック ポート リンクを指定します。
リストからインターフェイスを選択します。
ファブリック1
ノード 1 のファブリック ポート リンクを指定します。
-
リンク2(オプション) ファブリック 0
ノード0のセカンダリファブリックポートリンクを指定します。
リストからインターフェイスを選択します。
ファブリック1
ノード 1 のセカンダリ ファブリック ポート リンクを指定します。
-
- 「リンクの構成」をクリックします。
- 「 次へ」をクリックします。
- reth(冗長イーサネット)インターフェイスを追加するには、[ + ] をクリックし、 表 4 のガイドラインに従って設定を完了します。
手記:
また、鉛筆アイコンを使用してrethインターフェイスを編集し、削除アイコンを使用してrethインターフェイスを削除することもできます。
表 4:Reth インターフェイスの追加 畑
形容
アクション
RETH 名
reth インターフェイス名を指定します。
reth インターフェイスの名前を入力します。
ノード 0 インターフェイス
ノード 0 インターフェイスのリストを指定します。
[使用可能(Available)] 列からインターフェイスを選択し、[選択済み(Selected)] 列に移動します。
ノード1
ノード 0 インターフェイスに基づいてノード 1 インターフェイスを指定します。
-
詳細設定 LACPの設定
随意。リンクアグリゲーション制御プロトコル(LACP)の設定
-
LACP モード
随意。LACP モードを指定します。
使用可能なオプションは次のとおりです。
active—LACP パケットの送信を開始します。
パッシブ—LACP パケットに応答します。
periodic—LACPパケットの定期送信の間隔。
リストからオプションを選択します。
周期性
随意。リンクのリモート側のインターフェイスが、リンクアグリゲーション制御プロトコルデータユニット(PDU)を送信する間隔を指定します。
使用可能なオプションは次のとおりです。
fast—リンク アグリゲーション制御 PDU を毎秒送信します。
slow—リンク アグリゲーション制御 PDU を 30 秒ごとに送信します。
リストからオプションを選択します。
形容
随意。LACPの説明を指定します。
説明を入力します。
VLAN Tagging
随意。VLAN タギングを有効にするかどうかを指定します。
このオプションを有効にします。
リダンダンシーグループ
reth インターフェイスが属する冗長性グループの番号を指定します。
-
- 「 保存」をクリックします。
仮想rethインターフェイスが作成されます。
- 新しい仮想 reth インターフェイスに論理インターフェイスを追加するには、 表 5 のガイドラインに従って設定を完了します。
表 5:Reth 論理インターフェースを追加する 畑
形容
アクション
全般 Reth インターフェイス名
reth インターフェイスの名前を指定します。
reth インターフェイスの名前を入力します。
論理インターフェースユニット
論理インターフェイスユニットを指定します。
論理インターフェイスユニットを入力します。
形容
reth インターフェイスの記述を指定します。
説明を入力します。
VLAN ID
随意。VLAN ID を指定します。
VLAN ID を入力します。
IPv4アドレス IPv4アドレス
IPv4 アドレスを指定します。
[+] をクリックし、有効な IP アドレスを入力します。
サブネットマスク
IPv4 アドレスのサブネットマスクを指定します。
有効なサブネットマスクを入力します。
IPv6アドレス(オプション) IPv6 アドレス
IPv6 アドレスを指定します。
有効な IP アドレスを入力します。
プレフィックス長(Prefix Length)
サブネットマスクに設定するビット数を指定します。
プレフィックス長を入力します。
- [ OK] をクリックします。
- ゾーンを設定するには、 表 6 のガイドラインに従って設定を完了します。
手記:
工場出荷時のデフォルト設定では、trustゾーンとuntrustゾーンがデフォルトで表示されます。
セキュリティ ゾーンを編集したり、新しいゾーンを追加したり、新しく追加されたゾーンを削除したりできます。デフォルトゾーンを削除しようとすると、コミット中にエラーメッセージが表示されます。これは、既定のゾーンがセキュリティ ポリシーで参照されるためです。
ゾーンの説明、アプリケーション トラッキング、送信元アイデンティティ ログ、インターフェイス、システム サービス、プロトコル、トラフィック制御オプションを編集することもできます。
表 6: ゾーンの作成 畑
形容
アクション
一般情報 名前
ゾーンの名前を指定します。
ゾーンの名前を入力します。
形容
ゾーンの説明を指定します。
ゾーンの説明を入力します。
アプリケーション追跡
アプリケーション トラッキング (AppTrack) を有効にして、デバイス上のアプリケーションの使用状況とセッションの終了時の統計を収集します
このオプションを有効にします。
送信元アイデンティティ ログ
ゾーンがセキュリティー・ポリシーの送信元ゾーン (from-zone) として使用されている場合に、そのゾーンがユーザー・アイデンティティー・ロギングをトリガーできるようにするために、ゾーンの構成の一部として source-identity-log パラメーターを指定します。
このオプションを有効にします。
インターフェイス インターフェイス
使用可能なrethインターフェイスのリストを指定します。
[使用可能(Available)] 列からインターフェイスを選択し、[選択済み(Selected)] 列に移動します。
システムサービス 除く
選択したサービスをドロップします。
選択したサービスをドロップする場合は、このオプションを有効にします。
サービス
ゾーン内のすべてのインターフェイスのデバイスに到達できる受信システムサービストラフィックのタイプを指定します。
「使用可能」列からサービスを選択し、「選択済み」列に移動します。
プロトコル 除く
選択したプロトコルをドロップします。
選択したプロトコルを削除する場合は、このオプションを有効にします。
プロトコル
デバイスに到達できるルーティングプロトコルトラフィックのタイプをインターフェイス単位で指定します。
[使用可能(Available)] 列からプロトコルを選択し、[選択済み(Selected)] 列に移動します。
トラフィック制御オプション TCPリセット
SYN 以外のフラグが設定された、既存のセッションに属していない TCP セグメントに応答して、RST (リセット) フラグが 1 に設定された TCP セグメントを送信するデバイスを指定します。
このオプションを有効にします。
- [ OK] をクリックします。
- 「 終了」をクリックします。
クラスタ設定の成功メッセージが表示されます。
[Cluster (HA) Setup] メニューをもう一度クリックすると、クラスタ設定の成功メッセージが表示され、[ Cluster Configuration ] をクリックしてシャーシ クラスタ設定を表示および編集できます。
手記:[Finish]をクリックした後にシャーシ クラスタの設定に失敗した場合は、必要に応じて設定を編集し、変更を再度コミットします。