EN ESTA PÁGINA
Sincronización de estado entre chasis para NAT de larga duración y flujos de firewall con estado (MS-MPC, MS-MIC) (versión 16.1 y posteriores)
Descripción general de la configuración de redundancia entre chasis de MS-MPC y MS-MIC para NAT y firewall de estado (versión 16.1 y posteriores)
Este tema se aplica a Junos OS versión 16.1 y versiones posteriores. (Para Junos OS versión 15.1 y anteriores, consulte Alta disponibilidad entre chasis para MS-MIC y MS-MPC (versión 15.1 y anteriores)).
Las implementaciones de NAT de grado de operador (CGN) y firewall con estado pueden usar una implementación de doble chasis para proporcionar una ruta de datos redundante y redundancia para componentes clave en el enrutador. Aunque la alta disponibilidad dentro del chasis se puede usar en un dispositivo de la serie MX empleando las interfaces AMS, este método solo se ocupa localmente de la PIC de servicio y de los errores completos de la tarjeta MS-MPC o MS-MIC. Si, por algún motivo, el tráfico se cambia a un enrutador de reserva debido a algún otro error en el enrutador, se pierde el estado de sesión de las PIC de servicio. La alta disponibilidad entre chasis ofrece una solución más sólida al conservar el estado de sesión de NAT y los firewalls con estado de las PIC de servicios. Esta tecnología es un modelo primario-secundario, no un clúster activo-activo. El tráfico al que van a atender las PIC de servicios configuradas para alta disponibilidad entre chasis solo fluye a través del dispositivo serie MX que es actualmente el principal del par.
Para configurar la redundancia entre chasis para NAT y firewall de estado, configure:
Sincronización de estado, que replica el estado de sesión de las PIC de servicios del chasis principal al chasis de reserva. Para obtener más información, consulte Descripción general de la sincronización de estado entre chasis para TDR de larga duración y flujos de firewall con estado (MS-MPC, MS-MIC) (versión 16.1 y posteriores).
El demonio de redundancia de servicio, que permite que se produzca un cambio de rol principal en función de un evento supervisado. La mayoría de los operadores no querrían emplear la sincronización de estado sin implementar también el demonio de redundancia de servicio. Para obtener más información, vea Información general sobre el demonio de redundancia de servicio
Descripción general de la sincronización de estado entre chasis para NAT de larga duración y flujos de firewall con estado (MS-MPC, MS-MIC) (versión 16.1 y posteriores)
Este tema se aplica a Junos OS versión 16.1 y versiones posteriores. (Para Junos OS versión 15.1 y anteriores, consulte Alta disponibilidad entre chasis para MS-MIC y MS-MPC (versión 15.1 y anteriores)).
La sincronización de estado sincroniza las sesiones de larga duración entre el chasis principal y el de respaldo de la serie MX en el par de alta disponibilidad. De forma predeterminada, las sesiones de larga duración son sesiones de firewall, NAT e IDS con estado que han estado activas en la PIC de servicios durante 180 segundos, aunque puede configurarla para que tenga un valor mayor o menor. Las sesiones de firewall con estado, las sesiones NAT y las sesiones IDS son los tipos de sesión que se pueden sincronizar.
La alta disponibilidad entre chasis funciona con interfaces de servicio de ms configuradas en tarjetas de interfaz MS-MIC o MS-MPC. Una unidad de interfaz ms distinta de la unidad 0 debe configurarse con la ip-address-owner service-plane opción.
Los siguientes tipos y sesiones de traducción NAT admiten la sincronización de estado:
BASIC-NAT44
dynamic-nat44
NAPT-44
napt-44 con mapeo independiente del punto final (EIM) o filtros independientes del punto final (EIF)
DNA-44
dos veces NAT
stateful-nat64
Se aplican las siguientes restricciones:
No se admite la replicación de información de estado para las características de asignación de bloques de puertos (PBA), asignación independiente de puntos de conexión (EIM) o filtros independientes de puntos de conexión (EIF).
Al configurar un conjunto de servicios para NAT o firewall con estado que pertenece a una configuración de sincronización con estado, las configuraciones de NAT y firewall con estado para el conjunto de servicios deben ser idénticas en ambos dispositivos de la serie MX.
Las sesiones de puerta de enlace de capa de aplicación (ALG) no admiten la sincronización de estado.
La figura 1 muestra la topología de alta disponibilidad entre chasis.
de sincronización con estado
Configuración de la sincronización de estado entre chasis para NAT de larga duración y flujos de firewall con estado (MS-MPC, MS-MIC) (versión 16.1 y posteriores)
Este tema se aplica a Junos OS versión 16.1 y versiones posteriores. (Para Junos OS versión 15.1 y anteriores, consulte Alta disponibilidad entre chasis para MS-MIC y MS-MPC (versión 15.1 y anteriores)).
Para configurar la sincronización con estado entre chasis de alta disponibilidad para firewall con estado y NAPT44 en PIC de servicio MS-MIC o MS-MPC, realice los siguientes pasos de configuración en cada chasis del par de alta disponibilidad.
Ejemplo: sincronización de estado entre chasis para NAT de larga duración y flujos de firewall con estado (MS-MIC, MS-MPC) (versión 16.1 y posteriores)
En este ejemplo se muestra cómo configurar la alta disponibilidad entre chasis para servicios NAT.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Dos enrutadores MX480 con tarjetas de línea MS-MPC
Junos OS versión 16.1 o posterior
Visión general
Dos enrutadores de la serie MX están configurados de manera idéntica para facilitar la conmutación por error con estado para los servicios NAT en caso de que se produzca una falla en el chasis.
Configuración
Para configurar la alta disponibilidad entre chasis para este ejemplo, realice estas tareas:
- Configuración rápida de CLI
- Configuración de interfaces para el chasis 1
- Configurar la información de enrutamiento para el tráfico de sincronización de alta disponibilidad entre enrutadores de la serie MX para el chasis 1
- Configuración de NAT para el chasis 1
- Configuración del conjunto de servicios
- Configuración de interfaces para el chasis 2
- Configurar la información de enrutamiento para el tráfico de sincronización de alta disponibilidad entre enrutadores de la serie MX para el chasis 2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo en los enrutadores, copie los siguientes comandos y péguelos en la ventana terminal del enrutador después de eliminar los saltos de línea y sustituir la información de interfaz específica de su sitio.
La siguiente configuración es para el chasis 1.
[edit] set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.1 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 redundancy-options replication-threshold 180 set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24 set policy-options policy-statement dummy term 1 then reject set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2 set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class nat-logs
La siguiente configuración es para el chasis 2. La información de NAT y del conjunto de servicios debe ser idéntica para los chasis 1 y 2.
set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.2 set interfaces ms-4/0/0 redundancy-options routing-instance HA set interfaces ms-4/0/0 redundancy-options replication-threshold 180 set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 set interfaces ms-4/0/0 unit 20 family inet set interfaces ms-4/0/0 unit 20 service-domain inside set interfaces ms-4/0/0 unit 30 family inet set interfaces ms-4/0/0 unit 30 service-domain outside set interfaces ge-2/0/0 vlan-tagging set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24 set policy-options policy-statement dummy term 1 then reject set routing-instances HA instance-type vrf set routing-instances HA interface ge-2/0/0.0 set routing-instances HA interface ms-4/0/0.10 set routing-instances HA route-distinguisher 1:1 set routing-instances HA vrf-import dummy set routing-instances HA vrf-export dummy set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20 set services nat pool p2 address 32.0.0.0/24 set services nat pool p2 port automatic random-allocation set services nat pool p2 address-allocation round-robin set services nat rule r2 match-direction input set services nat rule r2 term t1 from source-address 129.0.0.0/8 set services nat rule r2 term t1 from source-address 128.0.0.0/8 set services nat rule r2 term t1 then translated source-pool p2 set services nat rule r2 term t1 then translated translation-type napt-44 set services nat rule r2 term t1 then translated address-pooling paired set services nat rule r2 term t1 then syslog set services service-set ss2 nat-rules r2 set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30 set services service-set ss2 syslog host local class session-logs set services service-set ss2 syslog host local class nat-logs
Configuración de interfaces para el chasis 1
Procedimiento paso a paso
Las interfaces para cada par de enrutadores de alta disponibilidad están configuradas de forma idéntica, con la excepción de las siguientes opciones de PIC de servicio:
El
redundancy-options redundancy-peer ipaddress addressdebe ser diferente en cada chasis y debe apuntar alredundancy-options redundancy-local data-address data-addressen el chasis par.El
unit unit-number family inet address addressde una unidad, distinto de 0, que contenga laip-address-owner service-planeopción debe ser diferente en cada chasis.
Para configurar interfaces:
Configure la PIC de servicio redundante en el chasis 1.
[edit interfaces} user@host# set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 redundancy-options replication-threshold 180 user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
Configure las interfaces para el chasis 1 que se utilizan como vínculos entre chasis para el tráfico de sincronización.
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
Configure las interfaces restantes según sea necesario.
Resultados
user@host# show interfaces
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.1/24;
}
}
}
ms-4/0/0 {
redundancy-options {
redundancy-peer {
address 5.5.5.2;
}
redundancy-local {
data-address 5.5.5.1;
}
routing-instance HA;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.1/32;
}
}
unit 20 {
family inet;
family inet6;
service-domain inside;
}
unit 30 {
family inet;
family inet6;
service-domain outside;
}
}
Configurar la información de enrutamiento para el tráfico de sincronización de alta disponibilidad entre enrutadores de la serie MX para el chasis 1
Procedimiento paso a paso
En este ejemplo, no se incluye una configuración de enrutamiento detallada. Se requiere una instancia de enrutamiento para el tráfico de sincronización de alta disponibilidad entre el chasis de la siguiente manera:
Para configurar las instancias de enrutamiento para el chasis 1:
Especifique una instrucción de política ficticia. Se hace referencia a esta instrucción en la configuración de la instancia de enrutamiento.
user@host# set policy-options policy-statement dummy term 1 then reject
Especifique las opciones para la instancia de enrutamiento.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy @user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop 20.1.1.2
Especifique el tráfico del próximo salto al que se aplica el conjunto de servicios.
user@host# set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20
Resultados
@user@host# show routing-instances
HA {
instance-type vrf;
interface ge-2/0/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.1/32 next-hop ms-4/0/0.10;
route 5.5.5.2/32 next-hop 20.1.1.2;
}
}
}
Configuración de NAT para el chasis 1
Procedimiento paso a paso
Configure NAT de forma idéntica en ambos enrutadores.
Para configurar NAT:
Especifique la información del grupo NAT y de la regla.
user@host# set services nat pool p2 address 32.0.0.0/24 user@host# set services nat pool p2 port automatic random-allocation user@host# set services nat pool p2 address-allocation round-robin user@host# set services nat rule r2 match-direction input user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8 user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8 user@host# set services nat rule r2 term t1 then translated source-pool p2 user@host# set services nat rule r2 term t1 then translated translation-type napt-44 user@host# set services nat rule r2 term t1 then translated address-pooling paired user@host# set services nat rule r2 term t1 then syslog
Resultados
user@host# show services nat
nat {
pool p2 {
address 32.0.0.0/24;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule r2 {
match-direction input;
term t1 {
from {
source-address {
129.0.0.0/8;
128.0.0.0/8;
}
}
then {
translated {
source-pool p2;
translation-type {
napt-44;
}
address-pooling paired;
}
syslog;
}
}
}
}
Configuración del conjunto de servicios
Procedimiento paso a paso
Configure el conjunto de servicios de forma idéntica en ambos enrutadores. Para configurar el conjunto de servicios:
(Opcional) Los conjuntos de servicios se replican de forma predeterminada. Para excluir un conjunto de servicios de la replicación mediante la siguiente opción.
user@host# set services service-set ss2 replicate-services disable-replication-capability
Configure las referencias a las reglas NAT para el conjunto de servicios.
user@host# set services service-set ss2 nat-rules r2
Configure la interfaz de servicio del próximo salto en MS-PIC.
user@host# set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20 user@host# set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
Configure las opciones de registro deseadas.
user@host# set services service-set ss2 syslog host local class session-logs user@host# set services service-set ss2 syslog host local class nat-logs
Resultados
user@host# show services service-set ss2
syslog {
host local {
class {
session-logs;
inactive:
nat-logs;
}
}
replicate-services {
replication-threshold 180;
inactive: disable-replication-capability;
}
nat-rules r2;
next-hop-service {
inside-service-interface ms-3/0/0.20;
outside-service-interface ms-3/0/0.30;
}
}
Configuración de interfaces para el chasis 2
Procedimiento paso a paso
Las interfaces para cada par de enrutadores de alta disponibilidad están configuradas de forma idéntica, con la excepción de las siguientes opciones de PIC de servicio:
redundancy-options redundancy-peer ipaddress addressunit unit-number family inet address addressde una unidad, distinta de 0, que contenga laip-address-owner service-planeopción
Configure la PIC de servicio redundante en el chasis 2.
El
redundancy-peer ipaddressapunta a la dirección de la unidad (unidad 10) en ms-4/0/0 en el chasis del chasis 1 que contiene laip-address-owner service-planeinstrucción.[edit interfaces} set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 user@host# set interfaces ms-4/0/0 redundancy-options redundancy-local data-address 5.5.5.2 user@host# set interfaces ms-4/0/0 redundancy-options replication-threshold 180 user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32 user@host# set interfaces ms-4/0/0 unit 20 family inet user@host# set interfaces ms-4/0/0 unit 20 service-domain inside user@host# set interfaces ms-4/0/0 unit 30 family inet user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
Configurar las interfaces para el chasis 2 que se utilizan como vínculos entre chasis para el tráfico de sincronización
user@host# set interfaces ge-2/0/0 vlan-tagging user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
Configure las interfaces restantes para el chasis 2 según sea necesario.
Resultados
user@host# show interfaces
ms-4/0/0 {
redundancy-options {
redundancy-peer {
address 5.5.5.1;
}
redundancy-local {
data-address 5.5.5.2;
}
routing-instance HA;
}
unit 0 {
family inet;
}
unit 10 {
ip-address-owner service-plane;
family inet {
address 5.5.5.2/32;
}
}
}
ge-2/0/0 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 20.1.1.2/24;
}
}
unit 10 {
vlan-id 10;
family inet {
address 2.10.1.2/24;
}
}
}
Configurar la información de enrutamiento para el tráfico de sincronización de alta disponibilidad entre enrutadores de la serie MX para el chasis 2
Procedimiento paso a paso
En este ejemplo, no se incluye una configuración de enrutamiento detallada. Se requiere una instancia de enrutamiento para el tráfico de sincronización de alta disponibilidad entre los dos chasis, que se incluye aquí.
Configure instancias de enrutamiento para el chasis 2.
user@host# set routing-instances HA instance-type vrf user@host# set routing-instances HA interface ge-2/0/0.0 user@host# set routing-instances HA interface ms-4/0/0.10 user@host# set routing-instances HA route-distinguisher 1:1 user@host# set policy-options policy-statement dummy term 1 then reject user@host# set routing-instances HA vrf-import dummy user@host# set routing-instances HA vrf-export dummy user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10 user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1 user@host# set routing-options static-route 100.100.100.0/24 next-hop ms-4/0/0.20
Nota:Los siguientes pasos de configuración son idénticos a los que se muestran para el chasis 1.
Configuración de NAT
Configuración del conjunto de servicios
Resultados
@user@host# show services routing-instances
HA {
instance-type vrf;
interface xe-2/2/0.0;
interface ms-4/0/0.10;
route-distinguisher 1:1;
vrf-import dummy;
vrf-export dummy;
routing-options {
static {
route 5.5.5.2/32 next-hop ms-4/0/0.10;
route 5.5.5.1/32 next-hop 20.1.1.1;
}
}
}