デュアルMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトSRXシリーズファイアウォール(マルチノードHA)におけるステートフルファイアウォールとNATトラフィックフロー

図1 は、ECMPベースのコンシステントハッシュを備えたデュアルMXシリーズと、マルチノードHAを使用したスケールアウトSRXシリーズファイアウォールのトポロジーを示しています。

図1:デュアルMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトSRXシリーズファイアウォール(マルチノードHA)

このトポロジーでは:

• アクティブ/スタンバイモードでHAのMXシリーズペアを設定します。
• セッション同期を使用するアクティブ/バックアップモードで、マルチノードHAペアのSRXシリーズファイアウォールを設定します。SRX1-ACT1とSRX2-ACT2はMNHAペアにあります。SRX1-STA1とSRX2-STA2はMNHAペアになっています。SRX1-ACT1 と SRX1-STA1 はステートフル同期で、SRX1-ACT2 と SRX1-STA2 はステートフル同期です。
• SRXシリーズファイアウォールをマルチノードHAペアに導入する場合、セッション同期はトラフィックの受信場所に応じて両方向に行われます。
• MXシリーズHAペアのユーザー管理用に、サービス冗長デーモン(SRD)冗長性を使用してMXシリーズペアを設定します。 サービス冗長性デーモンを参照してください。
• MXシリーズペアは、TRUSTおよびインターネットゲートウェイルーター向けのリンク、およびMXシリーズとSRXシリーズのファイアウォール間のリンクを監視します。SRDは、いずれかのリンクに障害が発生した場合、他のMXシリーズへの自動スイッチオーバーをトリガーします。フェイルオーバーは、プライマリMXシリーズがダウンしている場合でも発生します。
• MXシリーズには、4x100GインターフェイスがAEバンドルとしてSRXシリーズファイアウォールに接続されており、3つのVLAN(信頼、信頼解除、HA管理)が含まれています。
• プライマリ MX シリーズはプライマリ ECMP パスとして残り、セカンダリ MX シリーズはスタンバイ ECMP パスとして残ります。
• MXシリーズの冗長性にSRDを使用し、プライマリMXシリーズの状態遷移を制御します。
• SRDは、優先ルートアドバタイズに使用されるシグナルルートをプライマリMXシリーズにインストールします。
• プライマリMXシリーズはそのままルートをアドバタイズしますが、スタンバイMXシリーズはas-path-preendを付けてルートをアドバタイズします。ASパスを拡張すると、短いASパスが長く見えるため、BGPにはあまり適していません。 BGP ASパスへのAS番号の付加についてを参照してください。
• SRXシリーズファイアウォール向けのプライマリMXシリーズとSRXシリーズファイアウォール向けのセカンダリMXシリーズのインターフェイスは、同様のI/Oカード(IOC)を備えた同様のインターフェイス番号を使用してプロビジョニングする必要があります。これは、両方のMXシリーズルーターで同じユニリストのネクストホップ順序を維持するのに役立ちます。
• ユニリストのネクストホップの順序は、論理インターフェイス(ifl)インデックス番号(論理インターフェイス(ifl)番号の昇順)に基づいてRPDによって決定されます。
• ユニリストのネクストホップの順序は両方のMXシリーズルーターで同じであるため、MXシリーズのスイッチオーバー後のハッシュ(送信元または宛先)に問題はありません。

図 2 は、マルチノード HA ペアでのステートフル同期を示しています。ここでは、SRX1-ACT1 と SRX1-STA1 はステートフル同期で、SRX1-ACT2 と SRX1-STA2 はステートフル同期です。

図2:デュアルMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトSRXシリーズファイアウォール(マルチノードHA)、ステートフル同期フロー

図 3 に、NAT トラフィックのフローを示します。

図3:デュアルMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトSRXシリーズファイアウォール(マルチノードHA) におけるNATトラフィックフロー

図 4 に、ステートフル ファイアウォールのトラフィック フローを示します。

図4:デュアルMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトSRXシリーズファイアウォール(マルチノードHA) におけるステートフルファイアウォールのトラフィックフロー