シャーシ クラスタ ファブリック インターフェイス
シャーシ クラスタ内のSRXシリーズ デバイスは、セッション同期にファブリック(fab)インターフェイスを使用して、2つのシャーシ間でトラフィックを転送します。ファブリック リンクは、同一 LAN 上の 2 つのイーサネット インターフェイス間の物理的な接続です。両方のインターフェイスが同じメディアタイプである必要があります。詳細については、次のトピックを参照してください。
シャーシ クラスタ ファブリック インターフェイスについて
ファブリックは、クラスタの2つのノード間の物理的な接続であり、イーサネットインターフェイスのペアをバックツーバック(各ノードから1つずつ)接続することによって形成されます。
インターフェイスがシステムによって決定される制御リンクとは異なり、ファブリック データ リンクに使用する物理インターフェイスを設定で指定します。
ファブリックはノード間のデータ リンクであり、シャーシ間のトラフィックの転送に使用されます。別のノードで処理する必要があるノードに到着したトラフィックは、ファブリックデータリンクを介して転送されます。同様に、あるノードで処理されたトラフィックが、他のノードのインターフェイスを経由して出る必要がある場合、ファブリック上で転送されます。
このデータリンクは、ファブリックインターフェイスと呼ばれます。これは、クラスタのパケット転送エンジンが、トランジットトラフィックを送信し、データプレーンソフトウェアの動的なランタイム状態を同期するために使用されます。ファブリックは、認証、NAT(ネットワークアドレス変換)、ALG(アプリケーション層ゲートウェイ)、IPsec(IPセキュリティ)セッションなどの操作によって作成されたセッション状態オブジェクトの同期を提供します。
システムがファブリック インターフェイスを作成すると、ソフトウェアによって、パケット送信に使用する内部的に派生した IP アドレスが割り当てられます。
シャーシ クラスタでファブリック インターフェイスを設定した後、いずれかのノードでファブリック設定を削除すると、冗長グループ0(RG0)セカンダリ ノードが無効状態に移行します。(デバイスを工場出荷時のデフォルト設定にリセットすると、ファブリック設定が削除されるため、RG0セカンダリノードが無効状態に移行します)。ファブリック設定をコミットした後は、どちらのデバイスも工場出荷時のデフォルト設定にリセットしないでください。
- SRXシリーズファイアウォール(SRX300シリーズ、SRX1500、SRX1600、SRX2300、SRX4100/SRX4200、SRX4300、SRX4600、SRX5000シリーズ)でサポートされているファブリックインターフェイスタイプ
- ジャンボ フレームのサポート
- IOC2およびIOC3用のSRX5000ラインデバイス上のファブリックインターフェイスの理解
- セッションRTOの理解
- データ転送について
- ファブリックデータリンクの障害と回復について
SRXシリーズファイアウォール(SRX300シリーズ、SRX1500、SRX1600、SRX2300、SRX4100/SRX4200、SRX4300、SRX4600、SRX5000シリーズ)でサポートされているファブリックインターフェイスタイプ
SRXシリーズシャーシクラスターの場合、ファブリックリンクはクラスターにまたがるイーサネットインターフェイスの任意のペアにすることができます。ファブリック リンクは、ギガビット イーサネット インターフェイスの任意のペアにすることができます。例:
-
SRX300、SRX320、SRX340、SRX345 デバイスの場合、ファブリック リンクはギガビット イーサネット インターフェイスの任意のペアにすることができます。SRX380 デバイスの場合、ファブリック リンクは、ギガビット イーサネット インターフェイスの任意のペア、または 10 ギガビット イーサネット インターフェイスの任意のペアにすることができます。
-
SRX1500およびSRX1600の場合、ファブリックリンクは、クラスタにまたがるイーサネットインターフェイスの任意のペアにすることができます。ファブリック リンクは、ギガビット イーサネット インターフェイスの任意のペア、または 10 ギガビット イーサネット インターフェイスの任意のペアにすることができます。SRX1600でサポートされているインターフェイスのタイプは、以下の通りです。
-
1ギガビットイーサネット(GE)
-
10 ギガビット イーサネット(xe)(10 ギガビット イーサネット インターフェイス SFP+ スロット)
-
25ギガビットイーサネット(et)(25ギガビットイーサネットインターフェイスSFP28)
-
-
SRX4100およびSRX4200デバイスでサポートされているファブリックインターフェイスのタイプは、10ギガビットイーサネット(xe)(10ギガビットイーサネットインターフェイスSFP+スロット)です。
-
SRX2300およびSRX4300の場合、ファブリックリンクはギガビットイーサネットインターフェイスの任意のペアにすることができます。サポートされているファブリックインターフェイスのタイプは次のとおりです。
-
10ギガビットイーサネット(mge)
-
10 ギガビット イーサネット(xe)(10 ギガビット イーサネット インターフェイス SFP+ スロット)
-
25ギガビットイーサネット(et)(25ギガビットイーサネットインターフェイスSFP28)
-
100ギガビットイーサネット(et)(100ギガビットイーサネットインターフェイスQSFP28スロット)
-
-
SRX4600デバイスでサポートされているファブリックインターフェイスのタイプは、40ギガビットイーサネット(et)(40ギガビットイーサネットインターフェイスQSFPスロット)と10ギガビットイーサネット(xe)です。
-
SRX5000シリーズデバイスでサポートされているファブリックインターフェイスのタイプは次のとおりです。
-
ファストイーサネット
-
ギガビットイーサネット
-
10ギガビットイーサネット
-
40ギガビットイーサネット
-
100ギガビットイーサネット
Junos OS リリース 12.1X46-D10 および Junos OS リリース 17.3R1 以降では、SRX5000シリーズ デバイスで 100 ギガビット イーサネット インターフェイスがサポートされます。
Junos OS リリース 19.3R1 以降、SRX5K-IOC4-10G および SRX5K-IOC4-MRAT は、SRX5000シリーズ デバイスで SRX5K-SPC3 とともにサポートされます。SRX5K-IOC4-10GMPICはMACsecをサポートしています。
-
管理、制御、およびファブリックリンクでのポートとインターフェイスの使用法の詳細については、 SRXシリーズシャーシ クラスタ スロットの番号付けと物理ポートと論理インターフェースの名前付けについてを参照してください。
ジャンボ フレームのサポート
ファブリック データ リンクはフラグメント化をサポートしていません。この状態に対応するために、SRXシリーズファイアウォールの最大送信単位(MTU)サイズが9014バイト(ペイロード9000バイト+イーサネットヘッダー用14バイト)のリンクでジャンボフレームサポートがデフォルトで有効になっています。データ リンクを通過するトラフィックがこのサイズを超えないようにするには、他のインターフェイスがファブリック データ リンクの MTU サイズを超えないようにします。
IOC2およびIOC3用のSRX5000ラインデバイス上のファブリックインターフェイスの理解
Junos OS リリース 15.1X49-D10 以降、SRX5K-MPC3-100G10G(IOC3)および SRX5K-MPC3-40G10G(IOC3)が導入されています。
SRX5K-MPC(IOC2)は、SRX5400、SRX5600、SRX5800でサポートされているモジュラーポートコンセントレータ(MPC)です。このインターフェイス カードは、サービス ゲートウェイにイーサネット ポートを追加して、さまざまなネットワーク メディア タイプへの物理的な接続を提供するモジュラー インターフェイス カード(MIC)に対応します。MPCとMICは、シャーシクラスターのファブリックリンクをサポートします。SRX5K-MPCは、ファブリックポートとして10ギガビットイーサネット(10x10GEMIC)、40ギガビットイーサネット、100ギガビットイーサネット、および20x1GEイーサネットポートを提供します。SRX5400デバイスでは、SRX5K-MPC(IOC2)のみがサポートされています。
SRX5K-MPC3-100G10G(IOC3)とSRX5K-MPC3-40G10G(IOC3)は、SRX5400、SRX5600、SRX5800でサポートされているモジュラーポートコンセントレータ(MPC)です。これらのインターフェイス カードは、サービス ゲートウェイにイーサネット ポートを追加して、さまざまなネットワーク メディア タイプへの物理的な接続を提供するMIC(モジュラー インターフェイス カード)に対応しています。MPCとMICは、シャーシクラスターのファブリックリンクをサポートします。
MICが異なるIOC3モジュラーポートコンセントレータ(MPC)は、24x10GE + 6x40GE MPCと2x100GE + 4x10GE MPCの2種類です。
電力と熱の制約により、24x10GE + 6x40GEの4つのPICすべてに電源を入れることはできません。最大2つのPICを同時に電源を入れることができます。
set chassis fpc <slot> pic <pic> power offコマンドを使用して、電源をオンにするPICを選択します。
シャーシ クラスタ内のSRX5400、SRX5600、およびSRX5800デバイスで、SRX5K-MPC3-40G10G(IOC3)上のファブリック リンクを含むPICの電源をオフにして代替PICをオンにする場合は、必ず次のことを確認してください。
-
新しいファブリックリンクは、オンにした新しいPICで設定されます。RTOの損失を最小限に抑えるには、少なくとも1つのファブリックリンクが存在し、オンラインである必要があります。
-
代替リンクがオンラインになると、シャーシクラスタはアクティブ/パッシブモードになり、RTO損失が最小限に抑えられます。
-
オンになっているPICに代替ファブリックリンクが設定されていない場合、ファブリックリンクが欠落しているため、2つのノード間のRTO同期通信は停止し、シャーシクラスタセッション状態はバックアップされません。
show chassis cluster interfacesコマンドを使用して、シャーシ クラスタの状態不良を示すこのシナリオの CLI 出力を表示できます。
セッションRTOの理解
アクティブ/アクティブモードで動作するデータプレーンソフトウェアは、フロー処理とセッション状態の冗長性を管理し、トランジットトラフィックを処理します。特定のセッションに属するすべてのパケットは、同じノードで処理され、同じセキュリティ処理が適用されるようにします。システムは、セッションがアクティブになっているノードを識別し、そのパケットを処理のためにそのノードに転送します。(パケットが処理された後、パケット転送エンジンは、エグレスインターフェイスが存在するノードがローカルノードでない場合、そのノードにパケットを送信します)。
セッション(またはフロー)の冗長性を確保するために、データプレーンソフトウェアは、ランタイムオブジェクト(RTO)と呼ばれる特別なペイロードパケットをファブリックデータリンクを介してあるノードから別のノードに送信することで、その状態を同期します。RTOは、ノード間でセッションに関する情報を送信することで、フェイルオーバーが発生した場合にセッションの一貫性と安定性を確保し、既存のセッションに属するトラフィックをシステムが処理し続けることを可能にします。2つのノード間でセッション情報が常に同期されるように、データプレーンソフトウェアはRTOにトランジットトラフィックよりも送信の優先度を与えます。
データプレーンソフトウェアは、UDPおよびTCPセッションのRTOを作成し、状態の変化を追跡します。また、GRE(Generic Routing Encapsulation)やIPsecなどのIPv4パススループロトコルのトラフィックも同期します。
セッションを同期させるためのRTOには、次のものが含まれます。
-
最初のパケットのセッション作成RTO
-
セッションの削除とエージングアウト RTO
-
以下を含む変更関連のRTO:
-
TCP 状態の変更
-
タイムアウト同期要求と応答メッセージ
-
ファイアウォールの一時的な開口部(ピンホール)と子セッションのピンホールを作成および削除するためのRTO
-
データ転送について
Junos OS の場合、フロー処理は、そのフローのセッションが確立され、アクティブである単一ノードで発生します。このアプローチにより、セッションに属するすべてのパケットに同じセキュリティ対策が適用されます。
シャーシ クラスタは、1つのノード上のインターフェイスでトラフィックを受信し、別のノード上のインターフェイスに送信できます。(アクティブ/アクティブ モードでは、トラフィックのイングレス インターフェイスが 1 つのノードに存在し、そのエグレス インターフェイスがもう 1 つのノードに存在する場合があります。)
このトラバーサルは、次の状況で必要です。
-
パケットが1つのノードで処理されたが、別のノードのエグレスインターフェイスから転送する必要がある場合
-
パケットが一方のノードのインターフェイスに到着したが、もう一方のノードで処理する必要がある場合
パケットのイングレスおよびエグレスインターフェイスが1つのノード上にあるが、セッションが確立されたため、パケットを他のノードで処理する必要がある場合、データリンクを2回通過する必要があります。これは、Voice-over-IP(VoIP)セッションなどの一部の複雑なメディアセッションに当てはまる場合があります。
ファブリックデータリンクの障害と回復について
侵入検出および防止(IDP)サービスはフェイルオーバーをサポートしていません。このため、IDP サービスは、フェイルオーバー前に存在していたセッションには適用されません。IDPサービスは、新しいプライマリノードで作成された新しいセッションに適用されます。
ファブリックデータリンクは、シャーシクラスターにとって不可欠です。リンクが利用できない場合、トラフィック転送とRTO同期に影響し、トラフィックの損失や予測不能なシステム動作が発生する可能性があります。
この可能性を排除するために、Junos OSはファブリック監視を使用して、ファブリックリンク上でプローブを定期的に送信することにより、ファブリックリンク(またはデュアルファブリックリンク構成の場合は2つのファブリックリンク)が稼働しているかどうかを確認します。Junos OSがファブリックの障害を検出すると、セカンダリノードのRG1+ステータスが不適格に変わります。ファブリック プローブが受信されず、ファブリック インターフェイスがアクティブである場合、ファブリック障害が発生したと判断します。この状態から回復するには、両方のファブリック リンクがオンライン状態に戻り、プローブの交換を開始する必要があります。これが発生するとすぐに、以前に不適格だったノード上のすべてのFPCがリセットされます。その後、オンライン状態になり、クラスターに再参加します。
セカンダリ ノードが無効になっているときに設定を変更した場合は、ノードのリブート後に commit コマンドを実行して設定を同期します。設定を変更しなかった場合、構成ファイルはプライマリ ノードの同期されたままになります。
Junos OS リリース 12.1X47-D10およびJunos OS リリース 17.3R1以降、ファブリック監視機能は、SRX5800、SRX5600、およびSRX5400デバイスでデフォルトで有効になっています。
Junos OS リリース 12.1X47-D10 および Junos OS リリース 17.3R1 以降では、ファブリック リンクのリカバリと同期が自動的に行われます。
プライマリ ノードとセカンダリ ノードの両方が正常な(つまり、障害がない)状態でファブリック リンクがダウンした場合、セカンダリ ノード上の RG1+ 冗長性グループは対象外になります。ノードの 1 つが異常な場合(つまり、障害がある場合)、このノード(プライマリ ノードまたはセカンダリ ノード)の RG1+ 冗長性グループは不適格になります。両方のノードが異常でファブリック リンクがダウンした場合、セカンダリ ノードの RG1+ 冗長性グループは対象外になります。ファブリックリンクが立ち上がると、RG1+が不適格になったノードは、すべてのサービス処理ユニットでコールド同期を実行し、アクティブスタンバイに移行します。
-
RG0 が異常なノードのプライマリである場合、RG0 は異常なノードから正常なノードにフェールオーバーします。たとえば、ノード 0 が RG0+ のプライマリであり、ノード 0 が異常になった場合、ファブリック リンクに障害が発生してから 66 秒後にノード 0 の RG1+ は不適格に移行し、RG0+ は正常なノードであるノード 1 にフェールオーバーします。
-
RG1+のみが不適格な状態に移行します。RG0 は、プライマリまたはセカンダリの状態のままです。
show chassis cluster interfaces CLI コマンドを使用して、ファブリック リンクのステータスを確認します。
参照
例:シャーシ クラスタ ファブリック インターフェイスの設定
この例では、シャーシ クラスタ ファブリックを設定する方法を示しています。ファブリックは、クラスタ内のノード間のバックツーバックのデータ接続です。一方のノードのトラフィックで処理する必要があるか、もう一方のノードのインターフェイスを経由して出る必要があるものは、ファブリック上を通過します。セッション状態情報もファブリック上を渡されます。
必要条件
開始する前に、シャーシ クラスタ ID とシャーシ クラスタ ノード ID を設定します。 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定 を参照してください。
概要
シャーシクラスター内のほとんどのSRXシリーズファイアウォールでは、ノード間のファブリックとして機能するギガビットイーサネットインターフェイスの任意のペア、または10ギガビットインターフェイスの任意のペアを設定できます。
ファブリックインターフェイスでフィルター、ポリシー、またはサービスを設定することはできません。フラグメント化はファブリック リンクではサポートされていません。ファブリック インターフェイスの最大 MTU サイズは 9014 バイトで、その他のインターフェイスの最大 MTU サイズは 8900 バイトです。メンバーリンクでのジャンボフレームサポートは、デフォルトで有効になっています。
この例では、ファブリック リンクの設定方法を示しています。
ファブリックの子として設定できるのは同じタイプのインターフェイスのみであり、 fab0 と fab1に同数の子リンクを設定する必要があります。
スイッチを介して各ファブリック リンクを接続する場合は、対応するスイッチ ポートでジャンボ フレーム機能を有効にする必要があります。両方のファブリック リンクが同じスイッチを介して接続されている場合、RTO とプローブのペアは 1 つの仮想 LAN(VLAN)に、データ ペアは別の VLAN に存在する必要があります。ここでも、対応するスイッチポートでジャンボフレーム機能を有効にする必要があります。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
{primary:node0}[edit]
set interfaces fab0 fabric-options member-interfaces ge-0/0/1
set interfaces fab1 fabric-options member-interfaces ge-7/0/1
手順
シャーシ クラスタ ファブリックを設定するには、次の手順に従います。
ファブリックインターフェイスを指定します。
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 {primary:node0}[edit] user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1
業績
設定モードから、 show interfaces コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
{primary:node0}[edit]
user@host# show interfaces
...
fab0 {
fabric-options {
member-interfaces {
ge-0/0/1;
}
}
}
fab1 {
fabric-options {
member-interfaces {
ge-7/0/1;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
シャーシ クラスタ ファブリックの検証
目的
シャーシ クラスタ ファブリックを確認します。
アクション
動作モードから show interfaces terse | match fab コマンドを入力します。
{primary:node0}
user@host> show interfaces terse | match fab
ge-0/0/1.0 up up aenet --> fab0.0
ge-7/0/1.0 up up aenet --> fab1.0
fab0 up up
fab0.0 up up inet 30.17.0.200/24
fab1 up up
fab1.0 up up inet 30.18.0.200/24
シャーシ クラスタ データ プレーン インターフェイスの検証
シャーシ クラスタ データ プレーン統計情報の表示
目的
シャーシ クラスタ データ プレーンの統計情報を表示します。
アクション
CLIから、 show chassis cluster data-plane statistics コマンドを入力します。
{primary:node1}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
Session create 0 0
Session close 0 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RTSP ALG 0 0
シャーシ クラスタ データ プレーン統計情報の消去
表示されているシャーシ クラスタ データ プレーン統計情報を消去するには、CLI から clear chassis cluster data-plane statistics コマンドを入力します。
{primary:node1}
user@host> clear chassis cluster data-plane statistics
Cleared data-plane statistics
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。