Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

机箱间有状态同步,可实现长期 NAT 和有有状态防火墙流(MS-MPC、MS-MIC)(16.1 及更高版本)

为 NAT 和有状态防火墙配置机箱间 MS-MPC 和 MS-MIC 冗余概述(16.1 及更高版本)

注意:

本主题适用于 Junos OS 16.1 及更高版本。

运营商级 NAT (CGN) 和状态防火墙部署可以使用双机箱实施,为路由器中的关键组件提供冗余数据路径和冗余。虽然可以通过使用 AMS 接口在 MX 系列设备中使用机箱内高可用性,但此方法仅在本地处理服务 PIC 和完整的 MS-MPC 或 MS-MIC 卡故障。如果由于任何原因由于路由器中的其他故障而将流量切换到备用路由器,则服务 PIC 的会话状态将丢失。机箱间高可用性通过保留服务 PIC 的 NAT 和有状态防火墙的会话状态,提供更为强大的解决方案。该技术是主-次模型,而不是主动-主动群集。要由为机箱间高可用性配置的服务 PIC 提供服务的流量仅会流经当前作为配对中主设备的 MX 系列设备。

要为 NAT 和有状态防火墙配置机箱间冗余,请配置:

  1. 有状态同步,将会话状态从主机箱上的服务 PIC 复制到备份机箱。有关更多信息,请参阅适用于长期 NAT 和有状态防火墙流的机箱间有状态同步(MS-MPC、MS-MIC)概述(16.1 及更高版本)。

  2. 服务冗余守护程序,它允许根据受监视的事件进行主角色切换。大多数操作员不希望在不实现服务冗余守护程序的情况下采用有状态同步。有关更多信息,请参阅 服务冗余守护程序概述

适用于长期 NAT 和有状态防火墙流的机箱间有状态同步(MS-MPC、MS-MIC)概述(16.1 及更高版本)

注意:

本主题适用于 Junos OS 16.1 及更高版本。

有状态同步可在高可用性对中的主机箱和备用 MX 系列机箱之间同步长期会话。默认情况下,长期会话是在服务 PIC 上处于活动状态的防火墙、NAT 和 IDS 会话,但您可以将其配置为更高或更低的值。有状态防火墙会话、NAT 会话和 IDS 会话是可以同步的会话类型。

机箱间高可用性可与在 MS-MIC 或 MS-MPC 接口卡上配置的 MS 服务接口配合使用。必须为单元 0 以外的 ms- 接口单元配置该 ip-address-owner service-plane 选项。

以下 NAT 转换类型和会话支持有状态同步:

  • 基本 NAT44

  • 动态 NAT44

  • NAPT-44

  • NAPT-44 与端点无关映射 (EIM) 或端点无关过滤器 (EIF)

  • DNAT-44

  • 两次 NAT

  • 状态式 NAT64

以下限制适用:

  • 不支持复制端口块分配 (PBA)、端点无关映射 (EIM) 或端点无关过滤器 (EIF) 功能的状态信息。

  • 为属于有状态同步设置的 NAT 或有状态防火墙配置服务集时,- 服务集的 NAT 和有状态防火墙配置在两台 MX 系列设备上必须相同。

  • 应用层网关 (ALG) 会话不支持有状态同步。

图 1 显示了机箱间高可用性拓扑。

图 1:有状态同步拓扑 Stateful Sync Topology

为长期 NAT 和有状态防火墙流(MS-MPC、MS-MIC)配置机箱间有状态同步(16.1 及更高版本)

注意:

本主题适用于 Junos OS 16.1 及更高版本。

要在 MS-MIC 或 MS-MPC 服务 PIC 上为有状态防火墙和 NAPT44 配置有状态同步机箱间高可用性,请在高可用性对的每个机箱上执行以下配置步骤。

  1. 配置服务 ms- 接口。

    1. 指定本地服务卡的 IPv4 地址。此地址由高可用性对之间的 TCP 通道使用。

      配置另一个机箱时,这是用于 的地址 redundancy-peer ipaddress

    2. 指定远程服务卡的 IPv4 地址。此地址由高可用性对之间的 TCP 通道使用。

      配置另一个机箱时,这是用于 的地址 redundancy-local data-address

    3. 配置流保持活动状态以进行复制的时间长度(以秒为单位)。

    4. 使用该 ip-address-owner service-plane 选项配置 0 以外的单元。

    5. 对于配置了该 ip-address-owner service-plane 选项的设备,请分配使用该选项配置 redundancy-local data-address 的本地服务卡的 IPv4 地址。

    6. 配置下一跳服务集使用的内部和外部接口单元。内部和外部单元使用不同的单元号,不要使用 0 或与该选项一起使用 ip-address-owner service-plane 的单元号。

  2. 配置包含 NAT 规则或状态防火墙规则的下一跃点服务集。在高可用性对的每个机箱上必须以相同的方式配置服务集。还必须在每个机箱上以相同的方式配置 NAT 规则和状态防火墙规则。
  3. 为了便于管理,我们建议创建一个特殊的路由实例 instance-type vrf 来托管 MX 系列高可用性对之间的 高可用性同步流量。然后指定要应用于高可用性对之间的高可用性同步流量的特殊路由实例的名称。
  4. 对高可用性对的其他机箱重复这些步骤。

示例:用于长期 NAT 和有状态防火墙流(MS-MIC、MS-MPC)(16.1 及更高版本)的机箱间有状态同步

此示例说明如何为 NAT 服务配置机箱间高可用性。

要求

此示例使用以下硬件和软件组件:

  • 两台带有 MS-MPC 线卡的 MX480 路由器

  • Junos OS 16.1 或更高版本

概述

两台 MX 系列路由器的配置相同,以便在机箱发生故障时方便 NAT 服务进行有状态故障切换。

配置

要为此示例配置机箱间高可用性,请执行以下作:

CLI 快速配置

要在路由器上快速配置此示例,请在删除换行符并替换特定于您站点的接口信息后,复制以下命令并将其粘贴到路由器终端窗口中。

注意:

以下配置适用于机箱 1。
注意:

以下配置适用于机箱 2。机箱 1 和机箱 2 的 NAT 和服务集信息必须相同。

为机箱 1 配置接口

分步程序

每个 高可用性路由器对的接口配置相同,但以下服务 PIC 选项除外:

  • 每个机箱上的 必须redundancy-options redundancy-peer ipaddress address不同,并且必须指向对等机箱上的。redundancy-options redundancy-local data-address data-address

  • 包含该选项的ip-address-owner service-plane单元(0 除外)的 在unit unit-number family inet address address每个机箱上必须不同。

要配置接口:

  1. 在机箱 1 上配置冗余服务 PIC。

  2. 配置机箱 1 的接口,用作同步流量的机箱间链路。

  3. 根据需要配置其余接口。

结果

为机箱 1 的 MX 系列路由器之间的高可用性同步流量配置路由信息

分步程序

此示例不包含详细的路由配置。机箱之间的高可用性同步流量需要路由实例,如下所示:

要为机箱 1 配置路由实例:

  1. 指定虚拟策略语句。路由实例配置中引用了此语句。

  2. 指定路由实例的选项。

  3. 指定应用服务集的下一跃点流量。

结果

为机箱 1 配置 NAT

分步程序

在两台路由器上以相同的方式配置 NAT。

要配置 NAT,请执行以下作:

  1. 指定 NAT 池和规则信息。

结果

配置服务集

分步程序

在两台路由器上以相同的方式配置服务集。要配置服务集:

  1. (选答)默认情况下会复制服务集。使用以下选项从复制中排除服务集。

  2. 为服务集配置对 NAT 规则的引用。

  3. 在 MS-PIC 上配置下一跃点服务接口。

  4. 配置所需的日志记录选项。

结果

为机箱 2 配置接口

分步程序

每个 高可用性路由器对的接口配置相同,但以下服务 PIC 选项除外:

  • redundancy-options redundancy-peer ipaddress address

  • unit unit-number family inet address address的单元(0 除外)包含选项ip-address-owner service-plane

  1. 在机箱 2 上配置冗余服务 PIC。

    指向 redundancy-peer ipaddressip-address-owner service-plane 箱 1 上机箱上 ms-4/0/0 上包含语句的单元(单元 10)地址。

  2. 配置机箱 2 的接口,用作同步流量的机箱间链路

  3. 根据需要配置机箱 2 的其余接口。

结果

为适用于机箱 2 的 MX 系列路由器之间的高可用性同步流量配置路由信息

分步程序

此示例不包含详细的路由配置。两个机箱之间的高可用性同步流量需要路由实例,此处包含。

  • 为机箱 2 配置路由实例。

    注意:

    以下配置步骤与机箱 1 显示的步骤 相同

    • 配置 NAT

    • 配置服务集

结果