Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

アクティブ/パッシブシャーシクラスタの導入

アクティブ/パッシブ シャーシ クラスタの導入について

この場合、クラスタ内の 1 つのデバイスがすべてのトラフィックのルーティングに使用され、もう一方のデバイスは障害が発生した場合にのみ使用されます( 図 1 参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図1:アクティブ/パッシブシャーシクラスタのシナリオ Active/Passive Chassis Cluster Scenario

アクティブ/パッシブ シャーシクラスター は、すべて同じ冗長性グループに割り当てられている冗長イーサネットインターフェイス(reth)を使用することで実現できます。ノード内のアクティブ グループ内のいずれかのインターフェイスに障害が発生した場合、グループは非アクティブと宣言され、グループ内のすべてのインターフェイスがもう一方のノードにフェールオーバーします。

この設定では、クラスタ内の1つのノードだけが常にトラフィックを転送するため、ファブリックリンク上のトラフィックが最小限に抑えられます。

関連項目

例:SRX5800ファイアウォールでのアクティブ/パッシブ シャーシ クラスタの設定

この例では、SRX5800ファイアウォールで基本的なアクティブ/パッシブ シャーシ クラスタリングを設定する方法を示します。

必要条件

始める前に:

  • ハードウェア構成が同じSRX5800ファイアウォールが2つ必要で、オプションでMX480エッジルーターが1つ、エンドツーエンドのデータトラフィックを送信するためのEX9214イーサネットスイッチが1つ必要です。

  • 2台のデバイスを物理的に接続し(ファブリックポートと制御ポートはバックツーバック)、それらが同じモデルであることを確認します。

  • クラスタを形成する前に、各デバイスに制御ポートを設定し、クラスタ ID とノード ID を各デバイスに割り当ててから、再起動する必要があります。システムが起動すると、両方のノードがクラスタとして起動します。

    SRX5400、SRX5600、および SRX5800 ファイアウォールでは、制御ポートの構成が必要です。

これでデバイスがペアになりました。これ以降、クラスタの構成はノード メンバー間で同期され、2 台のデバイスは 1 つのデバイスとして機能します。

概要

この例では、SRXシリーズファイアウォールで基本的なアクティブ/パッシブシャーシクラスタリングを設定する方法を示しています。基本的なアクティブ/パッシブの例は、最も一般的なタイプのシャーシ クラスタです。

基本的なアクティブ/パッシブ シャーシ クラスタは、次の 2 つのデバイスで構成されます。

  • 1台のデバイスが、シャーシ クラスタの制御を維持するとともに、ルーティング、ファイアウォール、NAT、VPN、およびセキュリティ サービスを積極的に提供します。

  • もう一方のデバイスは、アクティブなデバイスが非アクティブになった場合に、クラスタのフェイルオーバー機能のためにその状態を受動的に維持します。

このSRX5800ファイアウォールのアクティブ/パッシブモードの例では、NAT、セキュリティポリシー、VPNの構成方法などの各種設定については詳しく説明していません。これらは、スタンドアロン構成の場合と基本的に同じです。ただし、シャーシ クラスタ設定でプロキシ ARP を実行する場合は、RETH インターフェイスが論理設定を保持するため、メンバー インターフェイスではなく、reth インターフェイスにプロキシ ARP 設定を適用する必要があります。 NAT用プロキシARPの設定(CLI手順)を参照してください。また、SRX5800 ファイアウォールで VLAN およびトランク インターフェイスを使用して、個別の論理インターフェイス構成を構成することもできます。これらの設定は、VLAN とトランク インターフェイスを使用したスタンドアロンの実装と類似しています。

図 2 に、この例で使用するトポロジを示します。

図2:SRXシリーズファイアウォールトポロジーでの基本的なアクティブ/パッシブシャーシクラスタリングの例 Basic Active/Passive Chassis Clustering on an SRX Series Firewall Topology Example

構成

制御ポートの設定とクラスタモードの有効化

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

{プライマリ:ノード0}

(オプション)EX9214コアスイッチを素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを [edit] 階層レベルでCLIにコピー&ペーストして、設定モードから commit を入力します。

EXデバイス上

(オプション)MX480エッジルーターを迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。

MXデバイス上

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。

SRXシリーズファイアウォールでシャーシクラスターを設定するには:

クラスタモードでは、 commit コマンドを実行すると、ノード間の制御リンクを介して設定が同期されます。すべてのコマンドは、コマンドが設定されているデバイスに関係なく、両方のノードに適用されます。

  1. SRX5000ファイアウォールシャーシクラスター設定は単一の共通設定内に含まれるため、設定の一部の要素を特定のメンバーのみに割り当てるには、グループと呼ばれるJunos OSノード固有の設定方法を使用する必要があります。 set apply-groups ${node} コマンドは、ノード変数を使用して、グループをノードに適用する方法を定義します。各ノードはその番号を認識し、それに応じて構成を受け入れます。また、クラスターの個々のコントロールプレーンに個別のIPアドレスを使用して、SRX5000ファイアウォールのfxp0インターフェイスでアウトオブバンド管理を設定する必要があります。

    バックアップ ルーターの宛先アドレスを x.x.x.0/0 として構成することはできません。

    上記のグループ node0 と node1 の設定はコミットされますが、適用されません。デバイスがクラスタで起動すると、 set apply-groups “${node}”を使用してこれらのコマンドが適用されます。

  2. 次のコマンドを使用して、プライマリであるノード 0 を設定します。ノード構成がコミットされるまで、ノード 1 は到達できません。ノード 0 は、制御ポートを介してノード 1 に設定を自動的に同期するため、ノード 1 を明示的に設定する必要はありません。

  3. 各デバイスの制御ポートを設定し、設定をコミットします。

    設定に従って、両方のノードのSPCカード間に物理制御リンク接続があることを確認します。

    制御ポートはシャーシ内のSPCの位置に基づいて取得され、オフセット値はプラットフォームに基づきます。次の例では、SPC は収益スロット 1 に存在し、SRX5800 のオフセットは 12 であるため、制御ポートは 1, 13 になります。特定のプラットフォームのオフセット値は、シェルモードで “jwhoami -c” コマンドを使用して表示できます。両方のデバイスで次のコマンドを入力する必要があります。例えば:

    • ノード0:

    • ノード1:

  4. 2 つのデバイスをクラスタ モードにします。クラスタ ID とノード ID を設定した後、クラスタ モードに移行するには、再起動が必要です。CLI コマンドラインに reboot パラメータを含めることで、システムを自動的にブートさせることができます。両方のデバイスで動作モードコマンドを入力する必要があります。例えば:

    • ノード0:

    • ノード1:

    クラスタ ID はクラスタ内の両方のデバイスで同じである必要がありますが、一方のデバイスがノード 0 で他方のデバイスがノード 1 であるため、ノード ID は異なっている必要があります。クラスター ID の範囲は 1 から 255 です。クラスター ID を 0 に設定することは、クラスターを無効にすることと同じです。ただし、 set chassis cluster disable を使用してノードをクラスターから切り離すことをお勧めします。

  5. シャーシクラスタリングの冗長性グループを設定します。各ノードには冗長性グループ内のインターフェイスがあり、アクティブな冗長性グループではインターフェイスがアクティブになります(1つの冗長性グループでは複数のアクティブ インターフェイスが存在できます)。冗長グループ0はコントロールプレーンを制御し、冗長グループ1+はデータプレーンを制御し、データプレーンポートを含みます。このアクティブ/パッシブ モードの例では、一度に 1 つのシャーシ クラスタ メンバーのみがアクティブになるため、冗長グループ 0 および 1 のみを定義する必要があります。冗長性グループの他に、以下も定義する必要があります。

    • 冗長イーサネットグループ:システムが適切なリソースを割り当てることができるように、デバイス上でアクティブになる冗長イーサネットインターフェイス(メンバーリンク)の数を設定します。

    • コントロールプレーンとデータプレーンの優先度:コントロールプレーンに対して優先度を設定するデバイス(シャーシクラスターの場合は高優先度が優先)と、データプレーンに対してアクティブにするデバイスを定義します。

      • アクティブ/パッシブモードまたはアクティブ/アクティブモードでは、コントロールプレーン(冗長グループ0)は、データプレーン(冗長グループ1+およびグループ)のシャーシとは異なるシャーシでアクティブにすることができます。ただし、この例では、同じシャーシ メンバー上でコントロール プレーンとデータ プレーンの両方をアクティブにすることを推奨します。トラフィックがファブリック リンクを通過して別のメンバー ノードに移動すると、遅延が発生します(z ライン モード トラフィック)。

      • SRXシリーズファイアウォール(SRX5000回線)では、Zモードのアクティブ/アクティブクラスター設定(つまり、複数のRG1+冗長グループがある場合)でIPsec VPNはサポートされていません。

  6. アクティブ/パッシブ モードで RTO を渡すために使用されるクラスターのファブリック (データ) ポートを構成します。この例では、収益ポートの 1 つを使用します。互いに接続する2つのファブリックインターフェイス(各シャーシに1つずつ)を定義します。

    データプレーンのフェイルオーバーが発生した場合に、他のシャーシクラスタメンバーがシームレスに接続を引き継ぐことができるように、プラットフォーム上のデータインターフェイスを設定します。新しいアクティブ ノードへのシームレスな移行は、データ プレーンのフェールオーバーで行われます。コントロールプレーンのフェイルオーバーの場合、すべてのデーモンが新しいノードで再起動されるため、グレースフルリスタートが可能になり、ピア(ospf、bgp)とのネイバーシップが失われません。これにより、パケットロスが発生することなく、新しいノードへのシームレスな移行が促進されます。

    以下の項目を定義する必要があります。

    • rethインタフェースにメンバーインタフェースの会員情報を定義します。

    • rethインターフェイスが属する冗長性グループを定義します。このアクティブ/パッシブの例では、常に 1 です。

    • インターフェイスのIPアドレスなどのrethインターフェイス情報を定義します。

  7. (オプション)障害発生時のシャーシ クラスタの動作を設定します。SRX5800 ファイアウォールの場合、フェールオーバーのしきい値は 255 に設定されます。重みを変更して、シャーシのフェイルオーバーへの影響を判断できます。制御リンクリカバリも設定する必要があります。回復により、制御リンクに障害が発生した場合、セカンダリ ノードが自動的に再起動し、その後オンラインに戻ります。ノード 0 で次のコマンドを入力します。

    この手順で、SRX5800 Firewallのアクティブ/パッシブモードの例のシャーシクラスター設定部分は完了です。この手順の残りの部分では、ゾーン、仮想ルーター、ルーティング、EX9214コアスイッチ、MX480エッジルーターを構成して、導入シナリオを完了する方法について説明します。

  8. (オプション)reth インターフェイスを設定し、適切なゾーンや仮想ルーターに接続します。この例では、reth0とreth1インターフェイスをデフォルトの仮想ルーターinet.0のままにしておきます。これにより、追加の設定は必要ありません。

  9. trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  10. (オプション)EX9214イーサネットスイッチの場合、以下のコマンドは、このSRX5800ファイアウォールのアクティブ/パッシブモードの例に関連する適用可能な設定の概要のみを提供します。特にVLAN、ルーティング、インターフェイス構成です。

  11. (オプション)MX480エッジルーターの場合、次のコマンドは、SRX5800ファイアウォールのアクティブ/パッシブモードの例に関連する適用可能な構成の概要のみを提供します。特に、スイッチ上の仮想スイッチ インスタンス内で IRB インターフェイスを使用する必要があります。

検証

設定が正常に機能していることを確認します。

シャーシ クラスタ ステータスの確認

目的

シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。

アクション

動作モードから、 show chassis cluster status コマンドを入力します。

シャーシ クラスタ インターフェイスの確認

目的

シャーシ クラスタ インターフェイスに関する情報を検証します。

アクション

動作モードから、 show chassis cluster interfaces コマンドを入力します。

シャーシ クラスタ統計情報の確認

目的

シャーシ クラスタ サービスおよび制御リンク統計情報(送受信したハートビート)、ファブリック リンク統計情報(送受信したプローブ)、サービスで送受信した RTO 数に関する情報を検証します。

アクション

動作モードから、 show chassis cluster statistics コマンドを入力します。

シャーシ クラスタ コントロール プレーン統計情報の確認

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計情報(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから、 show chassis cluster control-plane statistics コマンドを入力します。

シャーシ クラスタ データ プレーン統計情報の確認

目的

サービスで送受信されたRTO数に関する情報を検証します。

アクション

動作モードから、 show chassis cluster data-plane statistics コマンドを入力します。

EXデバイスからのpingの確認

目的

EXデバイスからの接続状態を確認します。

アクション

動作モードから、 ping 172.16.1.254 count 2 コマンドを入力します。

シャーシ クラスタ冗長グループ ステータスの確認

目的

クラスタ内の両ノードの状態と優先度や、プライマリ ノードの事前対応の有無または手動フェイルオーバーの有無に関する情報を検証します。

アクション

動作モードから、 chassis cluster status redundancy-group コマンドを入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、次の show log コマンドを入力します。

関連項目

例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(SRX1500 または SRX1600)

この例では、SRX1500またはSRX1600デバイスに対してアクティブ/パッシブ シャーシ クラスタリングを設定する方法を示します。

必要条件

始める前に:

  1. デバイスのペアを物理的に接続し、それらが同じモデルであることを確認します。

  2. 一方のデバイス上のギガビット イーサネット インターフェイスを他方のデバイス上の別のギガビット イーサネット インターフェイスに接続することによって、ファブリック リンクを作成します。

  3. 2つのSRX1500デバイスの制御ポートを接続して、制御リンクを作成します。

  4. コンソール ポートを使用して、いずれかのデバイスに接続します。(これはクラスターを形成するノードです)。をクリックし、クラスタ ID とノード番号を設定します。

  5. コンソール ポートを使用して他のデバイスに接続し、クラスタ ID とノード番号を設定します。

概要

この例では、クラスタ内の 1 つのデバイスがすべてのトラフィックのルーティングに使用され、もう一方のデバイスは障害が発生した場合にのみ使用されます。( 図 3 を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図3:アクティブ/パッシブシャーシクラスタトポロジ Active/Passive Chassis Cluster Topology

すべて同じ冗長性グループに割り当てられた冗長イーサネットインターフェイス(reth)を設定することで、アクティブ/パッシブシャーシクラスターを作成できます。この設定では、クラスタ内の1つのノードだけが常にトラフィックを転送するため、ファブリックリンク上のトラフィックが最小限に抑えられます。

この例では、グループ( apply-groups コマンドで設定を適用)とシャーシ クラスタ情報を設定します。次に、セキュリティゾーンとセキュリティポリシーを設定します。 表 1 から 表 4 を参照してください。

表 1: グループおよびシャーシ クラスタの設定パラメータ

特徴

名前

設定パラメータ

グループ

ノード0

  • ホスト名:srx1500-A

  • インターフェイス: fxp0

    • ユニット0

    • 192.0.2.110/24

ノード1

  • ホスト名:srx1500-B

  • インターフェイス: fxp0

    • ユニット0

    • 192.0.2.111/24
表 2: シャーシ クラスタ設定パラメータ

特徴

名前

設定パラメータ

ファブリックリンク

fab0

インターフェイス: ge-0/0/1

fab1

インターフェイス: ge-7/0/1

ハートビート間隔

1000

ハートビートしきい値

3

冗長性グループ

0

  • 優先権:

    • ノード 0: 254

    • ノード 1: 1

1

  • 優先権:

    • ノード 0: 254

    • ノード 1: 1

インターフェイス監視

  • ge-0/0/4

  • ge-7/0/4

  • ge-0/0/5

  • ge-7/0/5

冗長イーサネットインターフェイスの数

2

インターフェイス

ge-0/0/4

冗長な親: reth0

ge-7/0/4

冗長な親: reth0

ge-0/0/5

冗長な親: reth1

ge-7/0/5

冗長な親: reth1

reth0

冗長グループ:1

  • ユニット0

  • 198.51.100.1/24

レス1

冗長グループ:1

  • ユニット0

  • 203.0.113.233/24
表 3: セキュリティ ゾーンの設定パラメータ

名前

設定パラメータ

信託

reth1.0インターフェイスは、このゾーンにバインドされています。

信頼できない

reth0.0インターフェイスは、このゾーンにバインドされています。
表 4: セキュリティ ポリシー設定パラメータ

目的

名前

設定パラメータ

このセキュリティ ポリシーは、trust ゾーンから untrust ゾーンへのトラフィックを許可します。

任意

  • 一致条件:

    • 送信元アドレス any

    • 宛先アドレス any

    • アプリケーション 任意

  • アクション: 許可

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手順

アクティブ/パッシブシャーシクラスターを設定するには:

  1. 管理インターフェイスを設定します。

  2. ファブリックインターフェイスを設定します。

  3. ハートビート設定を構成します。

  4. 冗長性グループを設定します。

  5. 冗長イーサネットインターフェイスを設定します。

  6. セキュリティ ゾーンを構成します。

  7. セキュリティ ポリシーを構成します。

業績

設定モードから、 show configuration コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

シャーシ クラスタ ステータスの検証

目的

シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。

アクション

動作モードから、 show chassis cluster status コマンドを入力します。

シャーシ クラスタ インターフェイスの検証

目的

シャーシ クラスタ インターフェイスに関する情報を検証します。

アクション

動作モードから、 show chassis cluster interfaces コマンドを入力します。

シャーシ クラスタ統計情報の検証

目的

同期するさまざまなオブジェクトの統計情報、ファブリックと制御インターフェイスHello、クラスタ内の監視対象インターフェイスのステータスに関する情報を検証します。

アクション

動作モードから、 show chassis cluster statistics コマンドを入力します。

シャーシ クラスタ コントロール プレーン統計情報の検証

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計情報(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから、 show chassis cluster control-plane statistics コマンドを入力します。

シャーシ クラスタ データ プレーン統計情報の検証

目的

サービスで送受信されたRTO数に関する情報を検証します。

アクション

動作モードから、 show chassis cluster data-plane statistics コマンドを入力します。

シャーシ クラスタ冗長グループ ステータスの検証

目的

クラスタ内の両ノードの状態と優先度や、プライマリ ノードの事前対応の有無または手動フェイルオーバーの有無に関する情報を検証します。

アクション

動作モードから、 chassis cluster status redundancy-group コマンドを入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、次の show コマンドを入力します。

関連項目

例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(J-Web)

  1. クラスタリングを有効にします。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 1 を参照してください。

  2. 管理インターフェイスを設定します。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 2 を参照してください。

  3. ファブリックインターフェイスを設定します。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 3 を参照してください。

  4. 冗長性グループを設定します。

    • [ Configure>Chassis Cluster] を選択します。

    • 次の情報を入力し、[ Apply] をクリックします。

      1. 冗長イーサネットインターフェイス数: 2

      2. ハートビート間隔: 1000

      3. ハートビートしきい値: 3

      4. ノード: 0

      5. グループ番号: 0

      6. 優先 順位: 100

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 0

      2. グループ番号: 1

      3. 優先 順位: 1

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 1

      2. グループ番号: 0

      3. 優先 順位: 100

  5. 冗長イーサネットインターフェイスを設定します。

    • [ Configure>Chassis Cluster] を選択します。

    • [ ge-0/0/4] を選択します。

    • [冗長な親] ボックスに「 reth1 」と入力します。

    • [ Apply] をクリックします。

    • [ ge-7/0/4] を選択します。

    • [冗長な親] ボックスに「 reth1 」と入力します。

    • [ Apply] をクリックします。

    • [ ge-0/0/5] を選択します。

    • [冗長な親] ボックスに「 reth0 」と入力します。

    • [ Apply] をクリックします。

    • [ ge-7/0/5] を選択します。

    • [冗長な親] ボックスに「 reth0 」と入力します。

    • [ Apply] をクリックします。

    • 最後の 4 つの構成設定については、 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI) のステップ 5 を参照してください。

  6. セキュリティ ゾーンを設定します。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 6 を参照してください。

  7. セキュリティ ポリシーを構成します。 例:アクティブ/パッシブ シャーシ クラスタ ペアの設定(CLI)のステップ 7 を参照してください。

関連項目

IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタの導入について

この場合、クラスタ内の 1 つのデバイスが IPsec トンネルで終端してすべてのトラフィックを処理し、もう一方のデバイスは障害が発生した場合のみ使用されます( 図 4 参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図4: IPsecトンネルを備えたアクティブ/パッシブシャーシクラスタのシナリオ(SRXシリーズファイアウォール) Active/Passive Chassis Cluster with IPsec Tunnel Scenario (SRX Series Firewalls)

アクティブ/パッシブ シャーシクラスター は、すべて同じ冗長性グループに割り当てられている冗長イーサネットインターフェイス(reth)を使用することで実現できます。ノード内のアクティブ グループ内のいずれかのインターフェイスに障害が発生した場合、グループは非アクティブと宣言され、グループ内のすべてのインターフェイスがもう一方のノードにフェールオーバーします。

この設定は、冗長イーサネット インターフェイスがトンネル エンドポイントとして使用されるアクティブ/パッシブ クラスタでサイト間 IPsec トンネルを終端する方法を提供します。障害が発生した場合、バックアップSRXシリーズファイアウォールの冗長イーサネットインターフェイスがアクティブになり、トンネルは新しいアクティブなSRXシリーズファイアウォールでエンドポイントが終了するように強制的に変更されます。トンネル キーとセッション情報はシャーシ クラスタのメンバー間で同期されるため、フェイルオーバー時にトンネルを再ネゴシエートする必要はなく、確立されたすべてのセッションが維持されます。

RG0(ルーティング エンジン)に障害が発生した場合、ルーティング プロトコルは新しいプライマリ ノードで再確立する必要があります。VPN監視またはデッドピア検出が設定されており、ルーティングが新しいRG0プライマリに再コンバージェンスする前にそのタイマーが期限切れになった場合、VPNトンネルはダウンし、再ネゴシエートされます。

動的トンネルは、異なるSPC間でロードバランシングを行うことはできません。

関連項目

例:IPsec トンネルを備えたアクティブ/パッシブ シャーシ クラスタ ペアの設定

この例では、SRXシリーズファイアウォール用のIPsecトンネルを使用してアクティブ/パッシブシャーシクラスタリングを設定する方法を示しています。

必要条件

始める前に:

  • 同一のハードウェア構成を持つ2つのSRX5000モデル、1つのSRX1500またはSRX1600デバイス、および4つのEXシリーズイーサネットスイッチを入手してください。

  • 2台のデバイスを物理的に接続し(ファブリックポートと制御ポートはバックツーバック)、それらが同じモデルであることを確認します。SRX5000ラインでは、ファブリックポートと制御ポートの両方を設定できます。

  • 2台のデバイスをクラスタ モードに設定し、デバイスを再起動します。たとえば以下のように、両方のデバイスに動作モードコマンドを入力する必要があります。

    • ノード0:

    • ノード1:

    クラスタ ID は両方のデバイスで同じですが、一方のデバイスがノード 0 で、もう一方のデバイスがノード 1 であるため、ノード ID は異なっている必要があります。クラスター ID の範囲は 1 から 255 です。クラスター ID を 0 に設定することは、クラスターを無効にすることと同じです。

    15 より大きいクラスタ ID は、ファブリックと制御リンク インターフェイスが背中合わせに接続されている場合にのみ設定できます。

  • 同一のハードウェア構成を持つ2つのSRX5000モデル、1つのSRX1500エッジルーター、4つのEXシリーズイーサネットスイッチを入手してください。

  • 2台のデバイスを物理的に接続し(ファブリックポートと制御ポートはバックツーバック)、それらが同じモデルであることを確認します。SRX5000ラインでは、ファブリックポートと制御ポートの両方を設定できます。

これ以降、ノード メンバー間のクラスタ設定は同期され、2台のデバイスは1台のデバイスとして機能します。メンバー固有の設定(各メンバーの管理ポートの IP アドレスなど)は、設定グループを使用して入力されます。

概要

この例では、クラスタ内の 1 つのデバイスが IPsec トンネルで終端してすべてのトラフィックを処理し、もう一方のデバイスは障害が発生した場合のみ使用されます。( 図 5 を参照)。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送を制御します。

図5:IPsecトンネルトポロジーを備えたアクティブ/パッシブシャーシクラスタ(SRXシリーズファイアウォール) Active/Passive Chassis Cluster with IPsec Tunnel Topology (SRX Series Firewalls)

この例では、グループ( apply-groups コマンドで設定を適用)とシャーシ クラスタ情報を設定します。次に、IKE、IPsec、静的ルート、セキュリティゾーン、およびセキュリティポリシーのパラメータを設定します。 表 5 から 表 11 を参照してください。

表 5: グループおよびシャーシ クラスタの設定パラメータ

特徴

名前

設定パラメータ

グループ

ノード0

  • ホスト名: SRX5800-1

  • インターフェイス: fxp0

    • ユニット0

    • 172.19.100.50/24

ノード1

  • ホスト名: SRX5800-2

  • インターフェイス: fxp0

    • ユニット0

    • 172.19.100.51/24
表 6: シャーシ クラスタ設定パラメータ

特徴

名前

設定パラメータ

ファブリックリンク

fab0

インターフェイス: xe-5/3/0

fab1

インターフェイス:xe-17/3/0

冗長イーサネットインターフェイスの数

2

ハートビート間隔

1000

ハートビートしきい値

3

冗長性グループ

0

  • 優先権:

    • ノード 0: 254

    • ノード 1: 1

1

  • 優先権:

    • ノード 0: 254

    • ノード 1: 1

インターフェイス監視

  • xe-5/0/0

  • xe-5/1/0

  • xe-17/0/0

  • xe-17/1/0

インターフェイス

xe-5/1/0

冗長な親: reth1

xe-5/1/0

冗長な親: reth1

xe-5/0/0

冗長な親: reth0

xe-17/0/0

冗長な親: reth0

reth0

冗長グループ:1

  • ユニット0

  • 10.1.1.60/16

レス1

冗長グループ:1

  • マルチポイント

  • ユニット0

  • 10.10.1.1/30

st0

  • ユニット0

  • 10.10.1.1/30
表 7: IKE 設定パラメータ

特徴

名前

設定パラメータ

建議

プロポーザルセット標準

-

政策

事前共有

  • モード:メイン

  • プロポーザル リファレンス: プロポーザル セット標準

  • IKEフェーズ1ポリシー認証方法:事前共有キーASCIIテキスト

ゲートウェイ

SRX1500-1

  • IKE ポリシー リファレンス: パーシェア

  • 外部インターフェイス: reth0.0

  • ゲートウェイ アドレス: 10.1.1.90

手記:

SRXシャーシクラスタリングでは、IKE外部インターフェイス設定でrethおよびlo0インターフェイスのみがサポートされています。他のインターフェイスタイプも設定できますが、IPsec VPNは動作しない可能性があります。lo0 論理インターフェイスを IKE ゲートウェイの外部インターフェイスとして使用する場合、RG0 で設定することはできません。
表 8: IPsec 設定パラメータ

特徴

名前

設定パラメータ

建議

プロポーザルセット標準

政策

標準

VPN

SRX1500-1

  • IKE ゲートウェイ リファレンス: SRX1500-1

  • IPsecポリシー リファレンス:標準

  • インターフェイスへのバインド: st0.0

  • VPN監視:VPNモニター最適化

  • 確立されたトンネル:すぐにトンネルを確立します

手記:

手動 VPN 名とサイト間ゲートウェイ名を同じにすることはできません。
手記:

st0.16000からst0.16385までのセキュアトンネルインターフェイス(st0)は、マルチノード高可用性とシャーシクラスターでのHA制御リンク暗号化のために予約されています。これらのインターフェイスは、ユーザー設定可能なインターフェイスではありません。st0.0からst0.15999までのインターフェイスのみを使用できます。
表 9: スタティック ルート設定パラメータ

名前

設定パラメータ

0.0.0.0/0

次ホップ: 10.2.1.1

10.3.0.0/16

次ホップ: 10.10.1.2
表 10: セキュリティ ゾーンの設定パラメータ

名前

設定パラメータ

信託

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • reth0.0インターフェイスは、このゾーンにバインドされています。

信頼できない

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • reth1.0インターフェイスは、このゾーンにバインドされています。

VPN

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • st0.0インターフェイスは、このゾーンにバインドされています。
表 11: セキュリティ ポリシー設定パラメータ

目的

名前

設定パラメータ

このセキュリティ ポリシーは、trust ゾーンから untrust ゾーンへのトラフィックを許可します。

任意

  • 一致条件:

    • 送信元アドレス any

    • 宛先アドレス any

    • アプリケーション 任意

  • アクション: 許可

このセキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。

vpn-any

  • 一致条件:

    • 送信元アドレス any

    • 宛先アドレス any

    • アプリケーション 任意

  • アクション: 許可

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手順

IPsec トンネルを持つアクティブ/パッシブ シャーシ クラスタのペアを設定するには、次の手順に従います。

  1. 制御ポートを設定します。

  2. 管理インターフェイスを設定します。

  3. ファブリックインターフェイスを設定します。

  4. 冗長性グループを設定します。

  5. 冗長イーサネットインターフェイスを設定します。

  6. IPsecパラメータを設定します。

  7. スタティックルートを設定します。

  8. セキュリティ ゾーンを構成します。

  9. セキュリティ ポリシーを構成します。

業績

動作モードから、 show configuration コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

シャーシ クラスタ ステータスの検証

目的

シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。

アクション

動作モードから、 show chassis cluster status コマンドを入力します。

シャーシ クラスタ インターフェイスの検証

目的

シャーシ クラスタ インターフェイスを検証します。

アクション

動作モードから、 show chassis cluster interfaces コマンドを入力します。

シャーシ クラスタ統計情報の検証

目的

シャーシ クラスタ サービスおよび制御リンク統計情報(送受信したハートビート)、ファブリック リンク統計情報(送受信したプローブ)、サービスで送受信した RTO 数に関する情報を検証します。

アクション

動作モードから、 show chassis cluster statistics コマンドを入力します。

シャーシ クラスタ コントロール プレーン統計情報の検証

目的

シャーシ クラスタ コントロール プレーン統計情報(送受信したハートビート)とファブリック リンク統計情報(送受信したプローブ)に関する情報を検証します。

アクション

動作モードから、 show chassis cluster control-panel statistics コマンドを入力します。

シャーシ クラスタ データ プレーン統計情報の検証

目的

サービスで送受信されたRTO数に関する情報を検証します。

アクション

動作モードから、 show chassis cluster data-plane statistics コマンドを入力します。

シャーシ クラスタ冗長グループ ステータスの検証

目的

クラスタ内の両ノードの状態と優先度や、プライマリ ノードの事前対応の有無または手動フェイルオーバーの有無に関する情報を検証します。

アクション

動作モードから、 chassis cluster status redundancy-group コマンドを入力します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、シャーシ クラスタの問題を特定します。これらのログは、両方のノードで実行する必要があります。

アクション

動作モードから、次の show コマンドを入力します。

例:IPsecトンネルを備えたアクティブ/パッシブ シャーシ クラスタ ペアの設定(J-Web)

  1. クラスターを有効にします。 例:IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタ ペアの設定のステップ 1 を参照してください。

  2. 管理インターフェイスを設定します。 例:IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタ ペアの設定のステップ 2 を参照してください。

  3. ファブリックインターフェイスを設定します。 例:IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタ ペアの設定のステップ 3 を参照してください。

  4. 冗長性グループを設定します。

    • [ Configure>System Properties>Chassis Cluster] を選択します。

    • 次の情報を入力し、[ Apply] をクリックします。

      1. 冗長イーサネットインターフェイス数: 2

      2. ハートビート間隔: 1000

      3. ハートビートしきい値: 3

      4. ノード: 0

      5. グループ番号: 0

      6. 優先 順位: 254

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 0

      2. グループ番号: 1

      3. 優先 順位: 254

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 1

      2. グループ番号: 0

      3. 優先 順位: 1

    • 次の情報を入力し、[ Apply] をクリックします。

      1. ノード: 1

      2. グループ番号: 1

      3. 優先 順位: 1

      4. プリエンプト: チェック ボックスをオンにします。

      5. インターフェイス モニタ—インターフェイス: xe-5/0/0

      6. インターフェイスモニター—重量: 255

      7. インターフェイス モニタ—インターフェイス: xe-5/1/0

      8. インターフェイスモニター—重量: 255

      9. インターフェイス モニタ—インターフェイス: xe-17/0/0

      10. インターフェイスモニター—重量: 255

      11. インターフェイス モニタ—インターフェイス: xe-17/1/0

      12. インターフェイスモニター—重量: 255

  5. 冗長イーサネットインターフェイスを設定します。

    • [ Configure>System Properties>Chassis Cluster] を選択します。

    • [ xe-5/1/0] を選択します。

    • [冗長な親] ボックスに「 reth1 」と入力します。

    • [ Apply] をクリックします。

    • [ xe-17/1/0] を選択します。

    • [冗長な親] ボックスに「 reth1 」と入力します。

    • [ Apply] をクリックします。

    • [ xe-5/0/0] を選択します。

    • [冗長な親] ボックスに「 reth0 」と入力します。

    • [ Apply] をクリックします。

    • [ xe-17/0/0] を選択します。

    • [冗長な親] ボックスに「 reth0 」と入力します。

    • [ Apply] をクリックします。

    • 例:IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタ ペアの設定のステップ 5 を参照してください。

  6. IPsec 設定を構成します。 例:IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタ ペアの設定のステップ 6 を参照してください。

  7. スタティックルートを設定します。

    • [ Configure>Routing>Static Routing] を選択します。

    • [ Add] をクリックします。

    • 次の情報を入力し、[ Apply] をクリックします。

      1. スタティック ルート アドレス: 0.0.0.0/0

      2. ネクストホップ アドレス: 10.2.1.1

    • 次の情報を入力し、[ Apply] をクリックします。

      1. スタティック ルート アドレス: 10.3.0.0/16

      2. ネクストホップ アドレス: 10.10.1.2

  8. セキュリティ ゾーンを設定します。 例:IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタ ペアの設定のステップ 8 を参照してください。

  9. セキュリティ ポリシーを構成します。 例:IPsec トンネルを使用したアクティブ/パッシブ シャーシ クラスタ ペアの設定のステップ 9 を参照してください。

関連ドキュメント