単一のMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトされたSRXシリーズファイアウォール(スタンドアロン)におけるステートフルファイアウォールのトラフィックフロー
このトピックでは、スタンドアロンのSRXシリーズファイアウォールを使用したECMPベースのコンシステントハッシュロードバランシングを使用して、単一のMXシリーズでステートフルファイアウォールトラフィックがどのようにフローするかについて説明します。
このトポロジでは、次のことを行う必要があります。
- TRUSTおよびUNTRUSTルーティングインスタンス用の2つのインターフェイスを備えた単一のMXシリーズを設定します。
- 各インターフェイスで eBGP/BFD を設定します。
- 転送テーブルにルート 0/0 の送信元ハッシュを使用してロード バランシング ポリシーを設定します。
- 転送テーブル内のクライアントプレフィックスルートの宛先ハッシュを使用して、ロードバランシングポリシーを設定します。
図 1 に、トラフィックのフローを順を追った図を示します。
図1:単一のMXシリーズ(ECMPベースのコンシステントハッシュ)とスケールアウトされたSRXシリーズファイアウォール(スタンドアロン)を使用したステートフルファイアウォールのトラフィックフロー
![Stateful Firewall Traffic Flow with Single MX Series (ECMP based Consistent Hashing) and Scaled-Out SRX Series Firewalls (Standalone)](/documentation/us/en/software/connected-security-distributed-services/csds-deploy/images/jn-000883.png)
MXシリーズは、TRUSTおよびUNTRUST VR方向にスケールアウトされたSRXシリーズファイアウォールに向けて、複数の論理インターフェイスで構成された単一のルーターです。
- SRXシリーズのファイアウォールは、UNTRUST側で0/0ルートを受信し、TRUST側ではeBGPを使用してMXシリーズにアドバタイズします。MXシリーズは、ECMPベースの一貫性のあるハッシュポリシーを使用して、これらのルートをTRUST側にインポートします。
- SRXシリーズファイアウォールは、TRUST側でクライアントプレフィックスルートを受信し、UNTRUST側でeBGPを使用してMXシリーズにアドバタイズします。MX シリーズは、ECMP ベースの一貫性のあるハッシュ ポリシーを使用して、UNTRUST 側でこれらのルートをインポートします。
- MXシリーズTRUST側には0/0ルート用のECMPルートがあり、UNTRUST側にはクライアントプレフィックスルート用のECMPルートがあります。
- クライアントからサーバーへの転送トラフィックフローは、TRUSTインスタンス上のMXシリーズルーターに到達してルート0/0ルートを照合し、送信元IPアドレスハッシュ値に基づいて、任意の1つのECMPネクストホップをSRXシリーズファイアウォールに取り込みます。
- SRXシリーズファイアウォールは、ステートフルファイアウォールフローセッションを作成し、サーバーに向かってUNTRUST方向でパケットをMXシリーズにルーティングします。
- サーバーからクライアントへのリバース トラフィック フローは、UNTRUST インスタンスで MX シリーズに到達し、クライアント プレフィックス ルートと一致し、計算された宛先 IP ベースのハッシュ値に基づいて同じ ECMP ネクストホップを取得します。
- ステートフルファイアウォールセッションの送信元と宛先のIPアドレスは変更されません。計算されたハッシュ値は同じままで、順方向と逆方向のフローで同じ ECMP ネクストホップ SRX シリーズ ファイアウォールを使用します。これにより、SRXシリーズファイアウォールの対称性が維持されます。
- SRXシリーズのファイアウォールがダウンした場合、MXシリーズルーターのコンシステントハッシュにより、他のSRXシリーズのファイアウォールのセッションが妨害されず、影響を受けるSRXシリーズのファイアウォールのセッションのみが再配布されます。ただし、ファイアウォールがスタンドアロン モードで展開されると、アプリケーションがセッションを再開する場合があります。