マルチノードの高可用性導入に向けた環境の準備
このトピックでは、マルチノード高可用性導入のための環境を準備するための詳細を説明します。
デバイスモデル
マルチノード高可用性では、ノードと同じSRXシリーズファイアウォールモデルを使用する必要があります。例えば、SRX5600を1つのノードとして使用する場合、もう一方のノードとして別のSRX5600を使用する必要があります
SRX5000シリーズのデバイスの場合、SPC、NPC、IOCのスロット配置とタイプが同じであることを確認します。
サポートされている機能とプラットフォームの完全なリストについては、機能エクスプローラーのマルチノード高可用性を参照してください。
ソフトウェアバージョン
対象セキュリティデバイスに互換性のあるバージョンのJunos OSをインストールします。
最新のJunos IKEパッケージ
マルチノード高可用性ソリューションでICL暗号化を有効にするには、IKEパッケージをインストールする必要があります。
デフォルトでは、SRXシリーズファイアウォールが起動すると、従来のIKEアーキテクチャが実行されます。新しい IKE アーキテクチャを有効にするには、新しい Junos IKE パッケージをインストールする必要があります。これは、Junos OSソフトウェアダウンロードイメージに含まれるオプションのパッケージです。
次のコマンドを使用して、IKE パッケージをインストールします。
user@host> request system software add optional://junos-ike.tgz
Junos IKE パッケージをインストールすると、インスタンスの後続のソフトウェア アップグレードでは、デバイスにインストールされている新しい Junos OS リリースから Junos IKE パッケージが自動的にアップグレードされます。
ソフトウェアライセンス
マルチノード高可用性機能に特定のライセンスは必要ありません。ただし、ライセンスはSRXシリーズごとに固有であり、マルチノード高可用性設定のノード間で共有することはできません。そのため、両方のノードで同一のライセンスを使用する必要があります。両方のSRXシリーズファイアウォールに同一のライセンスセットがない場合、システムは導入の準備ができていません。
ネットワークアクセシビリティ
マルチノード高可用性設定の両方のノードが、ICLパスを使用して相互に到達できる必要があります。このパスは、(ICLが暗号化されているかどうかにかかわらず)IPアドレス、プロトコル、ポートの詳細を使用します。ファイアウォールやその他の検査が実施されている場合は、ノード間でこの通信が許可されていることを確認する必要があります。
各ノードに使用するフローティングIPアドレスは、ネットワーク全体でルーティング可能なIP(論理ルーティングパス)である必要があります。
ICLをループバックインターフェイス(lo0)または集約イーサネットインターフェイス(ae0)にバインドし、複数の物理リンク(LAG/LACP)を設けて、パスの多様性を確保して最高の耐障害性を確保することを推奨します。SRXシリーズファイアウォールの収益イーサネットポートを使用して、ICL接続を設定することもできます。収益インターフェイスのトランジットトラフィックを、高可用性(HA)トラフィックから分離してください。
IPアドレスの考慮事項
表1は 、マルチノード高可用性導入におけるIPv4およびIPv6アドレスサポートの詳細を示しています。
| MNHAの導入タイプ | レイヤー3ネットワーク(両端にルーター)、 | ハイブリッドネットワーク(一方の端にルーター、もう一方の端にスイッチ)、 | デフォルトゲートウェイ(両端にスイッチ) |
|---|---|---|---|
| IP 監視用の IPv4 および IPv6 アドレス |
はい | はい | はい |
| アクティビティプローブ用のIPv4およびIPv6アドレス |
はい | はい | はい |
| 仮想IPv4およびIPv6アドレス |
適用外 | はい | はい |
MNHA設定のservices-冗長性グループ設定にあるアクティブ信号ルート、バックアップ信号ルート、および障害ルートオプションのインストールのIPv6アドレスの設定でサポートできます。
マルチノード高可用性セットアップでは、論理インターフェイス(IFL)ごとに1つのVIPのみを設定します。複数のVIPまたはデュアルスタックの使用はサポートできません。
マルチノード高可用性設定でのIPアドレスプールの使用
マルチノード高可用性で複数のSRG(アクティブ-アクティブモード)を設定する場合は、アクセスプロファイルでSRGが使用するアドレスプールが重複しないようにしてください。また、異なるSRGに接続されているホストのRADIUSサーバーに設定されているアドレスとアドレスプールが一意であることを確認してください。
例:以下のサンプルは、SRG1とSRG2のそれぞれアクセスプロファイル localpool と localpool2 を使用したアドレスプール設定を示しています。
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
この例では、サービス冗長性グループ(SRG1 と SRG2)は同じネットワーク(192.0.2.0/24)内にあります。ただし、アドレスプール内のIPアドレスは重複を避けるために分散されています(SRG1の場合は192.0.2.1/24—192.0.2.127、SRG2の場合は192.0.2.128—192.0.2.255)。
同様に、RADIUSサーバーのユーザー設定には一意のIPアドレスとアドレスプールを使用する必要があります。
2つのSRGのホストに同じアドレスを割り当てた場合、マルチノード高可用性は新しいホストを削除し、次のメッセージでIKEネゴシエーションを停止します。
AUTHENTICATION_FAILED as the AUTH response
システムログには、次のメッセージが表示されます。
Duplicate assigned IPv4 received, delete new peer
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。