Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

高度なセキュリティとデータセンターの相互接続構成

これらの例を使用して、集約されたスパインデータセンターアーキテクチャで高度なセキュリティとDCIを設定します。

テナント間トラフィックの高度なセキュリティの設定

SRXシリーズは、テナント間トラフィックに高度なセキュリティサービスを提供できる次世代ファイアウォールです。このセクションを使用して、SRXシャーシクラスターを介してDC1のJNPR_1とJNPR_2間のテナント間トラフィックをルーティングします。

必要条件

概要

シャーシクラスター内のSRXシリーズファイアウォールは、単一のデバイスとして動作し、デバイス、インターフェイス、およびサービスレベルの冗長性を提供します。このセクションでは、シャーシ クラスタをゾーンに分割し、正しいトラフィックがセキュリティ デバイスを介してルーティングされるようにルーティング ポリシーを設定します。

位相幾何学

図 1に示すように、両方のスパインスイッチが両方のSRXノードに物理的に接続されています。

図1:SRXクラスターPhysical Topology of SRX Clusterの物理トポロジー
手記:

この例は、SRX345デバイスに基づいています。HAクラスタに配置されると、ノード1のインターフェイスはFPCスロット5に関連付けられます。つまり、ノード1に示されているge-0/0/11インターフェイスは、クラスターが形成されると、実際にはge-5-0/11として設定されます。HAクラスタ内のノード1のFPC番号は、SRXモデルのタイプによって異なる場合があります。

Reth1は、SRXクラスター内の論理インターフェイスです。これは、SRXクラスターのノードの1つでアクティブです。SRXデバイスとスパインスイッチ間のプライマリノードまたは相互接続リンクに障害が発生した場合、Reth1はセカンダリノードにフェイルオーバーします。 図 2 は、SRX デバイスとスパイン スイッチ間の論理インターフェイスを示しています。

図2:SRXクラスターOverlay Topology of SRX Clusterのオーバーレイトポロジー

図3に示すように、各スパインスイッチは、各ルーティング インスタンスまたはテナントのSRXクラスターと個別のEBGPピアリングを確立します。たとえば、スパイン1には、SRXクラスターとのピアリングが2つあり、各ルーティング インスタンスに1つずつあります(JNPR_1とJNPR_2)。Reth1.991は、スパインスイッチ上のJNPR_1ルーティング インスタンスとピアリングし、JNPR_1セキュリティゾーンに属します。Reth1.992は、スパインスイッチ上のJNPR_2ルーティング インスタンスとピアリングし、JNPR_2セキュリティゾーンに属します。

SRXシリーズファイアウォールは、すべてのプレフィックス(例えば、192.168.0.0/16)をカバーするサマリールートをアドバタイズします。スパインスイッチは、各ルーティング インスタンスで特定のサブネットをアドバタイズします。

図3:EBGPピアリングTopology of SRX Cluster with EBGP Peeringを持つSRXクラスターのトポロジー

インターフェイスの設定

SRXデバイスを設定する

手順

  1. SRX デバイス上の論理インターフェイスのグループを設定します。

  2. 論理インターフェイスを設定します。Reth1は、SRXクラスター上のタグ付きレイヤー3インターフェイスです。Reth1.991は、スパインスイッチ上のJNPR_1ルーティング インスタンスとピアリングします。Reth1.992は、スパインスイッチ上のJNPR_2ルーティング インスタンスとピアリングします。

  3. 論理インターフェイスを個別のセキュリティゾーンに配置します。Reth1.991 は JNPR_1 セキュリティ ゾーンに属し、Reth1.992 は JNPR_2 セキュリティ ゾーンに属します。

  4. シャーシ クラスタのステータスを確認します。

スパイン1の設定

手順

  1. スパイン1でSRXシリーズファイアウォールの相互接続されたインターフェイスを設定します。

  2. IRBインターフェイスを設定します。

  3. VLAN を構成します。

  4. VNI を EVPN MP-BGP ドメインの一部として構成します。

スパイン2の設定

手順

  1. スパイン2でSRXシリーズファイアウォールの相互接続されたインターフェイスを設定します。

  2. IRBインターフェイスを設定します。

  3. VLAN を構成します。

  4. VNI を EVPN MP-BGP ドメインの一部として構成します。

EBGPを設定します

SRXデバイスを設定する

手順

  1. EBGPインターコネクトを設定します。

  2. ルーティングオプションを設定します。

  3. ポリシーオプションを設定します。

スパイン1の設定

手順

  1. JNPR_1ルーティング インスタンスでEBGPピアリングを設定します。

  2. JNPR_2ルーティング インスタンスでEBGPピアリングを設定します。

  3. SRX デバイスとの相互接続のためのインポートおよびエクスポートポリシーを設定します。

スパイン2の設定

手順

  1. JNPR_1ルーティング インスタンスでEBGPピアリングを設定します。

  2. JNPR_2ルーティング インスタンスでEBGPピアリングを設定します。

  3. SRX デバイスとの相互接続のためのインポートおよびエクスポートポリシーを設定します。

SRXシリーズファイアウォールセキュリティポリシーを設定します

手順

  1. ゾーン 1 で JNPR_1 用にセキュリティ ポリシーを構成します。

  2. ゾーン 1 で JNPR_2 のセキュリティ ポリシーを構成します。

SRXシャーシクラスタでBGPを検証する

手順

  1. スパインスイッチとのすべてのBGPピアリングセッションが確立されていることを確認します。

  2. SRXシリーズファイアウォールがJNPR_1テナントからBGPルートを受信したことを確認します。

  3. SRXシリーズファイアウォールがJNPR_2テナントからBGPルートを受信したことを確認します。

  4. SRXシャーシクラスターがスパインデバイスへのサマリールートをアドバタイズしていることを確認します。

  5. SRXシャーシクラスターを介してテナント間トラフィックを検証します。

    この例では、エンドポイント 12 は VLAN 212 とテナント JNPR_2 の一部です。 図 4 に示すように、エンドポイント 12 は、VLAN 201 とテナント JNPR_1 の一部であるエンドポイント 2 に ping を実行します。これはテナント間トラフィックであるため、SRXシャーシクラスターのアクティブメンバーを経由します。SRX-Node0 は SRX シャーシ クラスタのアクティブ メンバーで、SRX-Node1 はパッシブ メンバーです。

    図4:SRXクラスターInter-Tenant Traffic Through the SRX Clusterを経由するテナント間トラフィック

    SRXシリーズファイアウォールのフローテーブルに、このトラフィックがSRXシャーシクラスターを通過していることが表示されていることを確認します。

    データセンターに高度なセキュリティを設定し、テナント間トラフィックがSRXシャーシクラスターを介してルーティングされることを確認しました。

データセンターの相互接続(DCI)の設定

概要

両方のデータセンターに集約されたスパインアーキテクチャを設定し、DC1に高度なセキュリティを追加したので、次はDCI(データセンターの相互接続)を使用してDC1とDC2を接続します。

位相幾何学

この例では、データセンター間でレイヤー2を拡張する必要はありません。データセンター間の通信は、 図5に示すように、DC1のSRXシャーシクラスターを介してルーティングされます。スパインスイッチにはそれぞれWANルーティング インスタンスがあり、データセンター間のWANに接続されています。スパインスイッチは、レイヤー3ルートをWANルーターにハンドオフします(この図には示されていません)。

SRXチャシッククラスターは、192.168.0.0/16サブネットをアドバタイズしています。DC2 スパイン スイッチのスパイン 3 とスパイン 4 は、192.168.221.0/24 および 192.168.222.0/24 の 2 つのサブネットをアドバタイズしています。

図 5: データセンターの相互接続 トポロジー Data Center Interconnect Topology

各SRXシリーズファイアウォールは、JNPR_1、JNPR_2、WANルーティングインスタンスに対応する3つのゾーンで構成されています。JNPR_1とJNPR_2間のすべてのテナント間トラフィックは、SRXシャーシクラスターを介してルーティングされます。DC1とDC2間のすべてのトラフィックは、WANルーティング インスタンスを使用してSRXシャーシ クラスターを介してルーティングされます。各SRXシリーズファイアウォールには、各ルーティングインスタンスにスパイン1およびスパイン2との個別のEBGPピアリングがあります。 図6 は、DC1のスパインスイッチとSRXシャーシクラスター間のEBGPピアリングを示しています。

図6:SRXシャーシクラスターEBGPピアリングトポロジSRX Chassis Cluster EBGP Peering Topology

構成

SRXデバイスを設定する

手順

各SRXシリーズファイアウォールは、3つのルーティングインスタンス(JNPR_1、JNPR_2、WAN)に対応する3つのゾーンに分割する必要があります。JNPR_1ゾーンとJNPR_2ゾーンは、「 テナント間トラフィックの高度なセキュリティの設定」ですでに作成済みです。

  1. WANインターコネクト用にReth1に新しいサブインターフェイスを追加します。

  2. WANセキュリティゾーンを設定します。

  3. WANセキュリティゾーンにEBGPを設定します。

  4. セキュリティポリシーを設定します。わかりやすくするために、この例のセキュリティポリシーはオープンです。設定で、必要に応じてセキュリティポリシーを変更します。

スパインスイッチの設定

手順

  1. スパイン 1 でルーティング インスタンスと irb インターフェイスを設定します。

  2. スパイン2でルーティングインスタンスを設定します。

  3. スパイン3でEBGPを設定します。

  4. スパイン4でEBGPを設定します。

DCI ルートの検証

手順

  1. SRXシャーシ クラスタのルートを確認します。SRXは、異なるサブネットの特定のルートをすべて学習する必要があります。

  2. スパイン1とスパイン2のルートを確認します。SRXクラスターは、すべてのVRF上のスパインデバイスに192.168.0.0/16サマリールートをアドバタイズします。すべてのVRF間トラフィックとDCIトラフィックは、SRXシャーシクラスターを経由します。

  3. スパイン3とスパイン4のルートを確認します。DC2スパインデバイスは、DC1スパインデバイス上のWAN VRFから集約ルートを受信します。2つのデータセンター間のすべてのトラフィックは、SRXシャーシクラスターを介してルーティングされます。

    これで、崩壊したスパインデータセンターネットワークがDCIに接続されました。