이 페이지의 내용
NAT 및 스테이트풀 방화벽을 위한 섀시 간 MS-MPC 및 MS-MIC 이중화 구성 개요(릴리스 16.1 이상)
장수명 NAT 및 스테이트풀 방화벽 플로우를 위한 섀시 간 스테이트풀 동기화(MS-MPC, MS-MIC) 개요(릴리스 16.1 이상)
장기 네트워크 주소 변환(NAT) 및 스테이트풀 방화벽 플로우(MS-MPC, MS-MIC)를 위한 섀시 간 스테이트풀 방화벽 동기화 구성(릴리스 16.1 이상)
예: 수명이 긴 네트워크 주소 변환(NAT) 및 상태 저장 방화벽 흐름(MS-MIC, MS-MPC)을 위한 섀시 간 스테이트풀 방화벽 동기화(릴리스 16.1 이상)
장기 네트워크 주소 변환(NAT) 및 스테이트풀 방화벽 플로우(MS-MPC, MS-MIC)를 위한 섀시 간 스테이트풀 동기화(릴리스 16.1 이상)
NAT 및 스테이트풀 방화벽을 위한 섀시 간 MS-MPC 및 MS-MIC 이중화 구성 개요(릴리스 16.1 이상)
이 주제는 Junos OS 릴리스 16.1 이상에 적용됩니다.
CGN(Carrier-grade NAT) 및 스테이트풀 방화벽 구축에서는 듀얼 섀시 구현을 사용하여 라우터의 주요 구성 요소에 대한 중복 데이터 경로 및 중복을 제공할 수 있습니다. AMS 인터페이스를 사용하여 MX 시리즈 디바이스에서 섀시 내 고가용성을 사용할 수 있지만, 이 방법은 서비스 PIC 및 전체 MS-MPC 또는 MS-MIC 카드 장애를 로컬에서만 처리합니다. 어떤 이유로든 라우터의 다른 장애로 인해 트래픽이 백업 라우터로 전환되면 서비스 PIC의 세션 상태가 손실됩니다. 섀시 간 고가용성은 서비스 PIC에서 NAT 및 스테이트풀 방화벽의 세션 상태를 보존하여 보다 강력한 솔루션을 제공합니다. 이 기술은 액티브-액티브 클러스터가 아닌 1차-2차 모델입니다. 섀시 간 고가용성을 위해 구성된 서비스 PIC에서 서비스할 트래픽은 현재 쌍의 기본인 MX 시리즈 디바이스를 통해서만 흐릅니다.
네트워크 주소 변환(NAT) 및 스테이트풀 방화벽에 대해 섀시 간 중복을 구성하려면 다음을 구성합니다.
스테이트풀 동기화: 기본 섀시의 서비스 PIC에서 백업 섀시로 세션 상태를 복제합니다. 자세한 내용은 장기 네트워크 주소 변환(NAT) 및 스테이트풀 방화벽 흐름을 위한 섀시 간 스테이트풀 동기화(MS-MPC, MS-MIC) 개요(릴리스 16.1 이상)를 참조하십시오.
모니터링되는 이벤트에 따라 기본 역할 전환이 발생할 수 있도록 허용하는 서비스 중복 데몬입니다. 대부분의 운영자는 서비스 중복 데몬을 구현하지 않고 상태 저장 동기화를 사용하지 않으려고 합니다. 자세한 정보는 서비스 중복 데몬 개요를 참조하십시오
장수명 NAT 및 스테이트풀 방화벽 플로우를 위한 섀시 간 스테이트풀 동기화(MS-MPC, MS-MIC) 개요(릴리스 16.1 이상)
이 주제는 Junos OS 릴리스 16.1 이상에 적용됩니다.
스테이트풀 동기화는 고가용성 쌍에서 기본 및 백업 MX 시리즈 섀시 간의 수명이 긴 세션을 동기화합니다. 기본적으로 수명이 긴 세션은 서비스 PIC에서 180초 동안 활성 상태인 상태 저장 방화벽, 네트워크 주소 변환(NAT) 및 IDS 세션이지만, 이를 더 높거나 낮은 값으로 구성할 수 있습니다. 상태 저장 방화벽 세션, 네트워크 주소 변환(NAT) 세션, IDS 세션은 동기화할 수 있는 세션 유형입니다.
섀시 간 고가용성은 MS-MIC 또는 MS-MPC 인터페이스 카드에 구성된 MS- 서비스 인터페이스에서 작동합니다. 유닛 0 이외의 ms- 인터페이스 유닛은 옵션으로 구성해야 합니다 ip-address-owner service-plane .
다음 네트워크 주소 변환(NAT) 변환 유형 및 세션은 상태 저장 동기화를 지원합니다.
기본 NAT44
동적 NAT44
냅-44
NAPT-44(EIM(엔드포인트 독립 매핑) 또는 EIF(엔드포인트 독립 필터)
DNAT-44
TWICE-NAT
스테이트풀-NAT64
다음과 같은 제한 사항이 적용됩니다.
PBA(포트 블록 할당), EIM(엔드포인트 독립 매핑) 또는 EIF(엔드포인트 독립 필터) 기능에 대한 상태 정보 복제는 지원되지 않습니다.
상태 저장 동기화 설정에 속하는 네트워크 주소 변환(NAT) 또는 상태 저장 방화벽에 대한 서비스 세트를 구성할 때, 서비스 세트에 대한 네트워크 주소 변환(NAT) 및 상태 저장 방화벽 구성은 두 MX 시리즈 디바이스에서 동일해야 합니다.
애플리케이션 레이어 게이트웨이(ALG) 세션은 상태 저장 동기화를 지원하지 않습니다.
그림 1 은 섀시 간 고가용성 토폴로지를 보여줍니다.
장기 네트워크 주소 변환(NAT) 및 스테이트풀 방화벽 플로우(MS-MPC, MS-MIC)를 위한 섀시 간 스테이트풀 방화벽 동기화 구성(릴리스 16.1 이상)
이 주제는 Junos OS 릴리스 16.1 이상에 적용됩니다.
MS-MIC 또는 MS-MPC 서비스 PIC에서 스테이트풀 방화벽 및 NAPT44에 대한 스테이트풀 동기화 섀시 간 고가용성을 구성하기 위해 고가용성 쌍의 각 섀시에서 다음 구성 단계를 수행합니다.
예: 수명이 긴 네트워크 주소 변환(NAT) 및 상태 저장 방화벽 흐름(MS-MIC, MS-MPC)을 위한 섀시 간 스테이트풀 방화벽 동기화(릴리스 16.1 이상)
이 예에서는 네트워크 주소 변환(NAT) 서비스에 대해 섀시 간 고가용성을 구성하는 방법을 보여 줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MS-MPC 라인 카드가 있는 MX480 라우터 2개
Junos OS 릴리스 16.1 이상
개요
섀시 장애 시 NAT 서비스에 대한 스테이트풀 페일오버를 용이하게 하도록 2개의 MX 시리즈 라우터가 동일하게 구성됩니다.
구성
이 예에서 섀시 간 고가용성을 구성하려면 다음 작업을 수행하십시오.
- CLI 빠른 구성
- 섀시 1에 대한 인터페이스 구성
- 섀시 1용 MX 시리즈 라우터 간의 고가용성(HA) 동기화 트래픽을 위한 라우팅 정보 구성
- 섀시 1에 대한 네트워크 주소 변환(NAT) 구성
- 서비스 집합 구성
- 섀시 2에 대한 인터페이스 구성
- 섀시 2용 MX 시리즈 라우터 간 고가용성(HA) 동기화 트래픽을 위한 라우팅 정보 구성
CLI 빠른 구성
라우터에서 이 예를 빠르게 구성하려면 줄 바꿈을 제거하고 사이트와 관련된 인터페이스 정보를 대체한 후 다음 명령을 복사하여 라우터 터미널 창에 붙여넣습니다.
다음 구성은 섀시 1용입니다.
[edit] set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.1 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 redundancy-options replication-threshold 180 set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set policy-options policy-statement dummy term 1 then reject set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class nat-logs
다음 구성은 섀시 2에 대한 것입니다. NAT 및 서비스 집합 정보는 섀시 1과 2에 대해 동일해야 합니다.
set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.2 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 redundancy-options replication-threshold 180 set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set policy-options policy-statement dummy term 1 then reject set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class nat-logs
섀시 1에 대한 인터페이스 구성
단계별 절차
각 HA 라우터 쌍의 인터페이스는 다음 서비스 PIC 옵션을 제외하고는 동일하게 구성됩니다.
는
redundancy-options redundancy-peer ipaddress address각 섀시에서 달라야 하며 피어 섀시의 를 가redundancy-options redundancy-local data-address data-address리켜야 합니다.옵션을 포함하는
ip-address-owner service-plane0 이외의 유닛의 는unit unit-number family inet address address섀시마다 달라야 합니다.
인터페이스 구성 방법:
섀시 1에서 중복 서비스 PIC를 구성합니다.
[edit interfaces} user@host# set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 redundancy-options replication-threshold 180 user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
동기화 트래픽을 위한 섀시 간 링크로 사용되는 섀시 1의 인터페이스를 구성합니다.
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
필요에 따라 나머지 인터페이스를 구성합니다.
결과
user@host# show interfaces
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.1/24;
}
}
}
ms-4/0/0 {
redundancy-options {
redundancy-peer {
address 5.5.5.2;
}
redundancy-local {
data-address 5.5.5.1;
}
routing-instance HA;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.1/32;
}
}
unit 20 {
family inet;
family inet6;
service-domain inside;
}
unit 30 {
family inet;
family inet6;
service-domain outside;
}
}
섀시 1용 MX 시리즈 라우터 간의 고가용성(HA) 동기화 트래픽을 위한 라우팅 정보 구성
단계별 절차
이 예에는 자세한 라우팅 구성이 포함되지 않습니다. 라우팅 인스턴스는 다음과 같이 섀시 간의 HA 동기화 트래픽에 필요합니다.
섀시 1에 대한 라우팅 인스턴스를 구성하려면 다음을 수행합니다.
더미 정책 문을 지정합니다. 이 문은 라우팅 인스턴스 구성에서 참조됩니다.
user@host# set policy-options policy-statement dummy term 1 then reject
라우팅 인스턴스에 대한 옵션을 지정합니다.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy @user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop 20.1.1.2
서비스 집합이 적용되는 다음 홉 트래픽을 지정합니다.
user@host# set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20
결과
@user@host# show routing-instances
HA {
instance-type vrf;
interface ge-2/0/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.1/32 next-hop ms-4/0/0.10;
route 5.5.5.2/32 next-hop 20.1.1.2;
}
}
}
섀시 1에 대한 네트워크 주소 변환(NAT) 구성
단계별 절차
두 라우터에서 동일하게 네트워크 주소 변환(NAT)을 구성합니다.
네트워크 주소 변환(NAT) 구성:
네트워크 주소 변환(NAT) 풀 및 규칙 정보를 지정합니다.
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
결과
user@host# show services nat
nat {
pool p2 {
address 32.0.0.0/24;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule r2 {
match-direction input;
term t1 {
from {
source-address {
129.0.0.0/8;
128.0.0.0/8;
}
}
then {
translated {
source-pool p2;
translation-type {
napt-44;
}
address-pooling paired;
}
syslog;
}
}
}
}
서비스 집합 구성
단계별 절차
두 라우터에서 서비스 세트를 동일하게 구성합니다. 서비스 집합을 구성하려면 다음을 수행합니다.
(선택 사항) 서비스 집합은 기본적으로 복제됩니다. 다음 옵션을 사용하여 복제에서 서비스 세트를 제외합니다.
user@host# set services service-set ss2 replicate-services disable-replication-capability
서비스 집합에 대한 네트워크 주소 변환(NAT) 규칙에 대한 참조를 구성합니다.
user@host# set services service-set ss2 nat-rules r2
MS-PIC에서 다음 홉 서비스 인터페이스를 구성합니다.
user@host# set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
원하는 로깅 옵션을 구성합니다.
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class nat-logs
결과
user@host# show services service-set ss2
syslog {
host local {
class {
session-logs;
inactive:
nat-logs;
}
}
replicate-services {
replication-threshold 180;
inactive: disable-replication-capability;
}
nat-rules r2;
next-hop-service {
inside-service-interface ms-3/0/0.20;
outside-service-interface ms-3/0/0.30;
}
}
섀시 2에 대한 인터페이스 구성
단계별 절차
각 HA 라우터 쌍의 인터페이스는 다음 서비스 PIC 옵션을 제외하고는 동일하게 구성됩니다.
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address address옵션을 포함하는ip-address-owner service-plane0 이외의 단위
섀시 2에서 중복 서비스 PIC를 구성합니다.
명령
redundancy-peer ipaddress문이 포함된 섀시 1의 섀시에 있는 ms-4/0/0에 있는 유닛(유닛 10)의 주소를 가리킵니다ip-address-owner service-plane.[edit interfaces} set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options replication-threshold 180 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
동기화 트래픽을 위한 섀시 간 링크로 사용되는 섀시 2의 인터페이스를 구성합니다
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
필요에 따라 섀시 2에 대한 나머지 인터페이스를 구성합니다.
결과
user@host# show interfaces
ms-4/0/0 {
redundancy-options {
redundancy-peer {
address 5.5.5.1;
}
redundancy-local {
data-address 5.5.5.2;
}
routing-instance HA;
}
unit 0 {
family inet;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.2/32;
}
}
}
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.2/24;
}
}
unit 10 {
vlan-id 10;
family inet {
address 2.10.1.2/24;
}
}
}
섀시 2용 MX 시리즈 라우터 간 고가용성(HA) 동기화 트래픽을 위한 라우팅 정보 구성
단계별 절차
이 예에는 자세한 라우팅 구성이 포함되지 않습니다. 라우팅 인스턴스는 두 섀시 간의 HA 동기화 트래픽에 필요하며 여기에 포함됩니다.
섀시 2에 대한 라우팅 인스턴스를 구성합니다.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 user@host# set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20
참고:다음 구성 단계는 섀시 1에 표시된 단계와 동일 합니다.
네트워크 주소 변환(NAT) 구성
서비스 집합 구성
결과
@user@host# show services routing-instances
HA {
instance-type vrf;
interface xe-2/2/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.2/32 next-hop ms-4/0/0.10;
route 5.5.5.1/32 next-hop 20.1.1.1;
}
}
}