単一のMXシリーズルーターでのステートフルファイアウォールトラフィックフロー(ECMPベースの一貫性のあるハッシュ)とスケールアウトされたSRXシリーズファイアウォール(スタンドアロン)

トポロジーについては 、図 1 を参照してください。このトポロジーでは、次のことを行う必要があります。

• TRUSTおよびUNTRUSTルーティングインスタンス用に2つのインターフェイスを持つ単一のMXシリーズルーターを設定します。
• 各インターフェイスで外部BGP(EBGP)または双方向フォワーディング検出(BFD)を設定します。
• 転送テーブルで、ルート 0/0 のソース ハッシュを使用してロードバランシング ポリシーを設定します。
• 転送テーブル内のクライアントプレフィックスルートの宛先ハッシュを使用して、ロードバランシングポリシーを設定します。

図 1 は、トラフィック フローを順を追って示しています。

MXシリーズルーターは、複数の論理インターフェイスで設定された単一のデバイスであり、TRUSTおよびUNTRUST VR方向でスケールアウトされたSRXシリーズファイアウォールに向けて行われます。

1. SRXシリーズファイアウォールは、UNTRUST側で0/0ルートを受信し、TRUST側でEBGPを使用してMXシリーズルーターにアドバタイズします。MXシリーズルーターは、ECMPベースの一貫性のあるハッシュポリシーを使用して、TRUST側でこれらのルートをインポートします。
2. SRXシリーズファイアウォールは、TRUST側でクライアントプレフィックスルートを受信し、UNTRUST側でEBGPを使用してMXシリーズルーターにアドバタイズします。MXシリーズルーターは、ECMPベースの一貫性のあるハッシュポリシーを使用して、UNTRUST側でこれらのルートをインポートします。
3. TRUST側のMXシリーズルーターには、0/0ルート用のECMPルートがあり、UNTRUST側にはクライアントプレフィックスルート用のECMPルートがあります。
4. クライアントからサーバーへの転送トラフィックフローは、TRUSTインスタンス上のMXシリーズルーターに到達し、ルート0/0ルートと一致して、ソースIPアドレスハッシュ値に基づいて、任意の1つのECMPネクストホップをSRXシリーズファイアウォールに取得します。
5. SRXシリーズファイアウォールは、ステートフルファイアウォールフローセッションを作成し、サーバーに向かうUNTRUST方向でパケットをMXシリーズルーターにルーティングします。
6. サーバーからクライアントへのリバース トラフィック フローは、UNTRUST インスタンス上の MXシリーズ ルーターに到達し、クライアント プレフィックス ルートと一致し、計算された宛先 IP ベースのハッシュ値に基づいて同じ ECMP ネクストホップを使用します。
7. ステートフルファイアウォールセッションの送信元と宛先のIPアドレスは変更されません。計算されたハッシュ値は変わらず、順方向と逆方向のフローで同じECMPネクストホップのSRXシリーズファイアウォールを使用します。これにより、SRXシリーズファイアウォールで対称性が維持されます。
8. SRXシリーズファイアウォールがダウンした場合、MXシリーズルーター上の一貫したハッシュにより、他のSRXシリーズファイアウォール上のセッションが妨げられることなく、影響を受けたSRXシリーズファイアウォール上のセッションのみが再配布されるようにすることができます。ただし、ファイアウォールがスタンドアロン モードで展開されているため、アプリケーションがセッションを再開する可能性があります。