Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

マルチノード高可用性サービス

マルチノード高可用性は、データプレーンのアクティブ/アクティブモードとコントロールプレーンサービスのアクティブ/バックアップモードをサポートします。次のセクションでは、コントロールプレーンのステートレスサービスとステートフルサービスについて説明します。

コントロールプレーンステートレスサービス

SRG0は、アプリケーションセキュリティ、IDP、コンテンツセキュリティ、ファイアウォール、NAT、ポリシー、ALGなどのコントロールプレーン状態なしにサービスを管理します。これらのサービスのフェイルオーバーは、データプレーンレベルでのみ必要であり、これらのサービスの一部はパススルーされます(NAT、ファイアウォール認証を除き、デバイスで終端しません)。

SRG0 は両方のノードでアクティブな状態を維持し、両方のノードからのトラフィックを転送します。これらの機能は、マルチノードの高可用性において、両方のSRXシリーズファイアウォールで独立して動作します。

コントロールプレーンのステートレスサービスを設定するには:

  • スタンドアロンのSRXシリーズファイアウォールで設定する際に機能を設定します。
  • 参加するセキュリティデバイスに同じバージョンのJunos OSをインストールする(Junos OSリリース22.3R1以降)
  • 両方のノードに同じライセンスをインストールします
  • 同じバージョンのアプリケーションシグネチャパッケージまたはIPSパッケージを両方のノードにダウンロードしてインストールします(アプリケーションセキュリティとIDPを使用している場合)
  • 要件に応じて、条件付きルートアドバタイズ、ルーティングポリシー、スタティックルートを設定します。
  • マルチノード高可用性では、デフォルトでは構成の同期は行われません。アプリケーションをグループの一部として構成し、 peer synchronization オプションを使用して構成を同期するか、各ノードで個別に構成を管理する必要があります。

ネットワークアドレス変換

ファイアウォール、ALG、NATなどのサービスには、コントロールプレーンの状態はありません。このようなサービスでは、ノード間でデータプレーンの状態のみを同期する必要があります。

マルチノードの高可用性設定では、一度に 1 つのデバイスが NAT セッションを処理し、フェイルオーバーが発生するともう一方のデバイスがアクティブなロールを引き継ぎます。そのため、1つのデバイスではセッションがアクティブなままで、もう一方のデバイスでは、フェイルオーバーが発生するまでセッションがウォーム(スタンバイ)状態になります。

ノード間でNATセッションとALG状態オブジェクトが同期されます。1 つのノードに障害が発生した場合、2 番目のノードは、障害が発生したデバイスからの同期セッションのトラフィック(NAT 変換を含む)の処理を続行します。

両方のSRXシリーズファイアウォールで、同じパラメーターを持つNATルールとプールを作成する必要があります。NATトラフィック(宛てのNATプールIPアドレス)の応答パスを正しいSRXシリーズファイアウォール(アクティブデバイス)に誘導するには、アクティブ/バックアップデバイスの両方に必要なルーティング設定が必要です。つまり、ルーティングプロトコルを介して隣接するルーティングデバイスにアドバタイズするルートを指定する必要があります。したがって、ポリシーオプションとルート設定も設定する必要があります。

両方のデバイスでNAT固有の運用コマンドを実行すると、同じ出力が表示されます。ただし、NATルール/プールの内部数値IDがノード間で異なる場合があります。異なる数値IDは、フェイルオーバー時のセッション同期/NAT変換に影響を与えません。

ファイアウォールユーザー認証

ファイアウォール認証を使用すると、ユーザーを個別またはグループで制限または許可できます。ユーザーは、ローカルパスワードデータベースまたは外部パスワードデータベースを使用して認証できます。

マルチノード高可用性は、以下の認証方法をサポートします。

  • パススルー認証
  • Webリダイレクト認証によるパススルー
  • ウェブ認証

ファイアウォールユーザー認証は、アクティブなコントロールプレーン状態を持つサービスであり、ノード間でコントロールプレーンとデータプレーンの状態を同期させる必要があります。マルチノード高可用性セットアップで作業している間、ファイアウォールユーザー認証機能は両方のSRXシリーズファイアウォールで独立して動作し、ノード間で認証テーブルを同期します。ユーザーの認証に成功すると、認証エントリーはもう一方のノードに同期され、showコマンド(例: show security firewall-authentication users )を実行すると両方のノードに表示されます。

注:

ノード間で設定を同期する際、両方のノードで認証、ポリシー、送信元ゾーン、宛先ゾーンの詳細が一致していることを確認します。設定の順序を同じに保つことで、両方のノード間で認証エントリーの同期が正常に行われます。

clear security user-identification local-認証-tableステートメントを使用して1つのノードの認証エントリをクリアする場合は、もう一方のノードでも認証エントリをクリアしてください。

非対称トラフィック設定の場合も同じ手順に従います。

マルチノード高可用性は、ユーザーID情報を取得するためのジュニパー Identity Management Service(JIMS)をサポートします。各ノードは、JIMSサーバーから認証エントリを取得し、個別に処理します。このため、ファイアウォールユーザー認証コマンドをノードごとに個別に実行する必要があります。例えば、showコマンドを使用して認証エントリーを表示すると、各ノードは現在処理している認証エントリーのみを表示します(スタンドアロンモードで独立して動作しているかのように)。

Express Pathのサポート

MNHA(SRG0とSRG1+の両方)のExpress Path(以前は サービスオフローディングと呼ばれていました)は、フェイルオーバー後のシームレスなパケット転送を確保して遅延を削減します。この機能は、アクティブノードが動作している間に、もう一方のノードにステートフルおよびスタティックSOFセッションをインストールし、コントロールプレーンメッセージによって即時のフェイルオーバー準備を確保します。

このシステムは、他のノードでSOFセッションが早期にエージングするのを防ぎ、セッションの整合性を維持し、プライマリロールの移行中の最初のパケット処理をシームレスに処理します。さらに、SOFセッションの削除と再インストールを選択して最新の管理を確保することで、障害が発生した新しいノードでのセッション処理にも対処します。

この機能のサポートは、レイヤー3(ルーティング)モードで動作するマルチノード高可用性システムで利用できます。Express Pathの詳細については、「 Express Pathの概要」を参照してください。

マルチノード高可用性ノード間の設定同期

マルチノード高可用性では、2つのSRXシリーズファイアウォールが独立したデバイスとして機能します。これらのデバイスは、fxp0インターフェイスに一意のホスト名とIPアドレスを持っています。これらのデバイスでは、ALG、ファイアウォール、NATなどのコントロールプレーンのステートレスサービスを個別に設定できます。ノード固有のパケットは、常にそれぞれのノードで処理されます。

以下のパケット/サービスは、マルチノード高可用性のノード固有(ローカル)です。

  • ルーティングプロトコルパケットをルーティングエンジンに送信

  • SNMPなどの管理サービス、および操作コマンド(showrequest)

  • RADIUSおよびLDAPサーバーと統合された、認証サービスプロセス(authd)などのプロセス

  • ICL暗号化に特化したトンネル制御とデータパケット

マルチノード高可用性の設定同期は、デフォルトでは有効になっていません。特定の設定を他のノードと同期させる場合は、以下のことを行う必要があります。

  • groupsの一部として機能を構成する
  • [edit system commit peers-synchronize]オプションを使用して設定を同期します

マルチノード高可用性の両方のデバイスで構成の同期を( peers-synchronize オプションを使用して)有効にすると、[groups]の下の一方のピアで構成した構成設定は、 コミット アクション時にもう一方のピアに自動的に同期されます。

peers-synchronizeステートメントを有効にしたローカルピアは、その設定をリモートピアにコピーして読み込みます。次に、各ピアはコミットするコンフィギュレーション・ファイルに対して構文チェックを実行します。エラーが見つからない場合、コンフィギュレーションが有効になり、両ピアの現在の運用コンフィギュレーションになります。

設定例については、 例:Junos OS設定グループを使用したマルチノード高可用性の設定を参照してください。

以下の設定スニペットは、host-mnha-01の avpn_config_group でのVPN設定を示しています。他のピアデバイスhost-mnha-02に設定を同期します。

  1. 参加ピアデバイス(host-mnha-02)のホスト名とIPアドレスを設定し、詳細を認証し、 peers-synchronization ステートメントを含めます。

  2. グループ(avpn_config_group)を設定し、適用条件を指定します(ピアがhost-mnha-01およびhost-mnha-02の場合)

  3. 設定のルートで apply-groups コマンドを使用します。

    設定をコミットすると、Junos はコマンドをチェックし、ノード名に一致するように正しいグループをマージします。

  4. 動作モードから show configuration system コマンドを使用して、同期ステータスを確認します。

    コマンド出力は、 peers オプションの下にピアSRXシリーズファイアウォールの詳細を表示します。

注:

設定の同期は動的に行われ、使用可能なノードが 1 つしかない場合、またはノード間の接続が切断されたときに設定が変更された場合は、もう 1 つのコミットを発行して、もう一方のノードに設定を同期させる必要があります。そうしないと、アプリケーションのノード間で設定の一貫性が失われます。
注:
  • マルチノード高可用性を機能させるために、構成の同期は必須ではありません。ただし、設定の同期を容易にするために、一方向(ノード 0 からノード 1 など)にjunos groups設定で set system commit peers-synchronize ステートメントを使用することをお勧めします。
  • 共通の設定を管理するには、マルチノード高可用性ノード間の設定同期フォームに帯域外管理(fxp0)接続を使用することをお勧めします。
  • IPsecのユースケースでは、設定の同期が有効になっていない場合、最初にバックアップノードで設定をコミットし、次にアクティブノードで設定をコミットする必要があります。

関連ドキュメント