サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

close
keyboard_arrow_left
list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

MS-MIC および MS-MPC のシャーシ間高可用性(リリース 15.1 以前)

date_range 18-Dec-23
メモ:

このトピックは、Junos OSリリース15.1以前に適用されます。(Junos OS リリース 16.1 以降については、 長寿命 NAT およびステートフル ファイアウォール フロー(MS-MPC、MS-MIC)のためのシャーシ間ステートフル同期の概要(リリース 16.1 以降)を参照してください)。

シャーシ間の高可用性は、異なるシャーシ上のバックアップサービスPICへのスイッチオーバーを利用して、サービスのステートフル同期をサポートします。このトピックは、Junos OSリリース15.1以前に適用されます。(Junos OS リリース 16.1 以降については、 長寿命 NAT およびステートフル ファイアウォール フロー(MS-MPC、MS-MIC)のためのシャーシ間ステートフル同期の概要(リリース 16.1 以降)を参照してください)。この機能については、次のトピックで説明します。

ステートフルファイアウォールのためのシャーシ間高可用性とNAPT44の概要(MS-MIC、MS-MPC)

キャリアグレードNAT(CGN)の導入では、デュアルシャーシ実装を使用して、ルーターの主要コンポーネントに冗長データパスと冗長性を提供できます。シャーシ内高可用性はデュアルシャーシ環境で使用できますが、対処するのはサービスPICの障害のみです。ルーターのその他の障害が原因でトラフィックがバックアップ ルーターに切り替えられた場合、状態は失われます。シャーシ間の高可用性は、状態を維持し、シャーシ内の高可用性よりも少ないサービスPICで冗長性を提供します。高可用性ペアのプライマリ シャーシとバックアップ シャーシ間で同期されるのは、存続期間の長いフローのみです。サービスPICは、明示的なCLIコマンドを発行して状態のレプリケーションを開始または停止するまで、 request services redundancy (synchronize | no-synchronize)状態をレプリケートしません。ステートフルファイアウォール、NAPT44、APPの状態情報を同期できます。

メモ:

プライマリPICとバックアップPICの両方が立ち上がっている場合、 が発行された直後に request services redundancy command レプリケーションが開始されます。

シャーシ間の高可用性を使用するには、ネクストホップ サービス インターフェイス用に設定されたサービス セットを使用する必要があります。シャーシ間の高可用性は、MS-MICまたはMS-MPCインターフェイスカードで設定されたMSサービスインターフェイスで動作します。ユニット0以外のユニットは、オプションで ip-address-owner service-plane 設定する必要があります。

次の制限が適用されます。

  • サポートされている変換タイプは NAPT44 だけです。

  • チェックポイントは、ALG、PBA ポート ブロック割り当て (PBA)、エンドポイント非依存マッピング (EIM)、またはエンドポイント非依存フィルター (EIF) ではサポートされていません。

図 1 に、シャーシ間の高可用性トポロジーを示します。

図 1: シャーシ間の高可用性トポロジ Inter-Chassis High Availability Topology

ステートフルファイアウォールとNAPT44(MS-MPC、MS-MIC)のためのシャーシ間高可用性の設定

MS-MIC または MS-MPC サービス PIC でステートフルファイアウォールと NAPT44 のシャーシ間可用性を設定するには、高可用性ペアの各シャーシで以下の設定手順を実行します。

  1. [edit interfaces interface-name redundancy-options]階層レベルで、 の redundancy-peerを設定しますipaddress。このIPv4アドレスは、リモートPICのホストされているIPアドレスの1つを指定します。このアドレスは、HA ペア間の TCP チャネルによって使用されます。
    content_copy zoom_out_map
    [edit interfaces interface-name redundancy-options]
    user@host# set redundancy-peer ipaddress ipaddress
    
    メモ:

    階層レベルで ステートメント[edit interfaces interface-name]を使用してredundancy-options redundancy-peer ipaddress addressプライマリおよびバックアップ適応サービスPICを設定または削除することにより、MS-MICまたはMS-MPCの高可用性を有効または無効にすると、設定変更は、階層レベルで影響を受けるインターフェイス[edit services service-set name interface-service service-interface interface-name]を参照する各サービスセットの致命的なイベントとして扱われます。サービス セット レベルで致命的なイベントが発生すると、サービス セットが非アクティブ化され、変更が適用されてから、サービス セットが再アクティブ化されます。

  2. 高可用性ペア間の HA 同期トラフィックに適用する特別なルーティングインスタンス(VRF)の名前を指定します。
    content_copy zoom_out_map
    [edit interfaces interface-name redundancy-options]
    user@host# set routing-instance instance-name
    
  3. 高可用性ペアのメンバーであるインターフェースを定義するサービス・セットの場合、 オプションを使用して replicate-services サービス複製オプションを構成します。
    content_copy zoom_out_map
    [edit services service-set service-set-name  replicate-services]
    user@host# set replication-threshold threshold-value
    stateful-firewall
    nat
    

例:NAT およびステートフル ファイアウォール(MS-MIC、MS-MPC)向けのシャーシ間ステートフル高可用性

この例では、ステートフルファイアウォールとNATサービス用のシャーシ間の高可用性を設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MS-MPCラインカードを搭載した2つのMX480ルーター

  • Junos OS リリース 13.3 以降

概要

2台のMX 3Dルーターは、シャーシ障害が発生した場合にファイアウォールとNATサービスのステートフルフェイルオーバーを容易にするために、同じ構成になっています。

構成

この例でシャーシ間の高可用性を設定するには、次のタスクを実行します。

CLIクイック構成

ルーターでこの例をすばやく設定するには、改行を削除し、サイトに固有のインターフェイス情報を置き換えた後、次のコマンドをコピーしてルーター端末ウィンドウに貼り付けます。

メモ:

次の設定はシャーシ 1 用です。

content_copy zoom_out_map
[edit]
set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2
set interfaces ms-4/0/0 redundancy-options routing-instance HA
set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane
set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32
set interfaces ms-4/0/0 unit 20 family inet
set interfaces ms-4/0/0 unit 20 service-domain inside
set interfaces ms-4/0/0 unit 30 family inet
set interfaces ms-4/0/0 unit 30 service-domain outside
set interfaces ge-2/0/0 vlan-tagging
set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
set routing-instances HA instance-type vrf
set routing-instances HA interface ge-2/0/0.0
set routing-instances HA interface ms-4/0/0.10
set routing-instances HA route-distinguisher 1:1
set policy-options policy-statement dummy term 1 then reject 
set routing-instances HA vrf-import dummy
set routing-instances HA vrf-export dummy
set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10
set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2
set services nat pool p2 address 32.0.0.0/24
set services nat pool p2 port automatic random-allocation
set services nat pool p2 address-allocation round-robin
set services nat rule r2 match-direction input
set services nat rule r2 term t1 from source-address 129.0.0.0/8
set services nat rule r2 term t1 from source-address 128.0.0.0/8
set services nat rule r2 term t1 then translated source-pool p2
set services nat rule r2 term t1 then translated translation-type napt-44
set services nat rule r2 term t1 then translated address-pooling paired
set services nat rule r2 term t1 then syslog
set services stateful-firewall rule r2 match-direction input
set services stateful-firewall rule r2 term t1 from source-address any-unicast
set services stateful-firewall rule r2 term t1 then accept
set services stateful-firewall rule r2 term t1 then syslog
set services service-set ss2 replicate-services replication-threshold 180
set services service-set ss2 replicate-services stateful-firewall
set services service-set ss2 replicate-services nat
set services service-set ss2 stateful-firewall-rules r2
set services service-set ss2 nat-rules r2
set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20
set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
set services service-set ss2 syslog host local class session-logs
set services service-set ss2 syslog host local class stateful-firewall-logs
set services service-set ss2 syslog host local class nat-logs
メモ:

次の設定はシャーシ 2 用です。NAT、ステートフル ファイアウォール、およびサービス セットの情報は、シャーシ 1 および 2 で同一である必要があります。

content_copy zoom_out_map
set interfaces ms-4/0/0 redundancy-options routing-instance HA
set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane
set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32
set interfaces ms-4/0/0 unit 20 family inet
set interfaces ms-4/0/0 unit 20 service-domain inside
set interfaces ms-4/0/0 unit 30 family inet
set interfaces ms-4/0/0 unit 30 service-domain outside
set interfaces ge-2/0/0 vlan-tagging
set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
set routing-instances HA instance-type vrf
set routing-instances HA interface ge-2/0/0.0
set routing-instances HA interface ms-4/0/0.10
set routing-instances HA route-distinguisher 1:1
set routing-instances HA vrf-import dummy
set routing-instances HA vrf-export dummy
set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10
set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1
set services nat pool p2 address 32.0.0.0/24
set services nat pool p2 port automatic random-allocation
set services nat pool p2 address-allocation round-robin
set services nat rule r2 match-direction input
set services nat rule r2 term t1 from source-address 129.0.0.0/8
set services nat rule r2 term t1 from source-address 128.0.0.0/8
set services nat rule r2 term t1 then translated source-pool p2
set services nat rule r2 term t1 then translated translation-type napt-44
set services nat rule r2 term t1 then translated address-pooling paired
set services nat rule r2 term t1 then syslog
set services stateful-firewall rule r2 match-direction input
set services stateful-firewall rule r2 term t1 from source-address any-unicast
set services stateful-firewall rule r2 term t1 then accept
set services stateful-firewall rule r2 term t1 then syslog
set services service-set ss2 replicate-services replication-threshold 180
set services service-set ss2 replicate-services stateful-firewall
set services service-set ss2 replicate-services nat
set services service-set ss2 stateful-firewall-rules r2
set services service-set ss2 nat-rules r2
set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20
set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
set services service-set ss2 syslog host local class session-logs
set services service-set ss2 syslog host local class stateful-firewall-logs
set services service-set ss2 syslog host local class nat-logs

シャーシ 1 のインターフェイスの設定

手順

各 HA ペアのルーターのインターフェイスは、次のサービス PIC オプションを除き、同じように設定されます。

  • redundancy-options redundancy-peer ipaddress address

  • unit unit-number family inet address address オプションを含む ip-address-owner service-plane 0以外のユニットの

インターフェイスを設定するには:

  1. シャーシ1で冗長サービスPICを設定します。

    content_copy zoom_out_map
    [edit interfaces}
    user@host# set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.2
    user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA
    user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane
    user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.1/32
    user@host# set interfaces ms-4/0/0 unit 20 family inet
    user@host# set interfaces ms-4/0/0 unit 20 service-domain inside
    user@host# set interfaces ms-4/0/0 unit 30 family inet
    user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
    
  2. 同期トラフィックのシャーシ間リンクとして使用されるシャーシ1のインターフェイスを設定します。

    content_copy zoom_out_map
    user@host# set interfaces ge-2/0/0 vlan-tagging
    user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.1/24
    
  3. 必要に応じて、残りのインターフェイスを設定します。

結果
content_copy zoom_out_map
user@host# show interfaces
ge-2/0/0 {
                vlan-tagging;
        unit 0 {
            vlan-id 100;
            family inet {
                 address 20.1.1.1/24;
            }
        }
            }
ms-4/0/0 {
        redundancy-options {
            redundancy-peer {
                ipaddress 5.5.5.2;
            }
            routing-instance HA;
        }
        unit 10 {
            ip-address-owner service-plane;
            family inet {
                address 5.5.5.1/32;
            }
        }
        unit 20 {
            family inet;
            family inet6;
            service-domain inside;
        }
        unit 30 {
            family inet;
            family inet6;
            service-domain outside;
        }
            }
}

シャーシ 1 のルーティング情報の設定

手順

この例では、詳細なルーティング設定は含まれていません。ルーティングインスタンスは、以下のシャーシ間の HA 同期トラフィックに必要です。

  • シャーシ 1 のルーティング インスタンスを設定します。

    content_copy zoom_out_map
    user@host# set routing-instances HA instance-type vrf
    user@host# set routing-instances HA interface ge-2/0/0.0
    user@host# set routing-instances HA interface ms-4/0/0.10
    user@host# set routing-instances HA route-distinguisher 1:1
    user@host# set policy-options policy-statement dummy term 1 then reject
    user@host# set routing-instances HA vrf-import dummy
    user@host# set routing-instances HA vrf-export dummy
    user@host# set routing-instances HA routing-options static route route 5.5.5.1/32 next-hop ms-4/0/0.10
    user@host# set routing-instances HA routing-options static route route 5.5.5.2/32 next-hop 20.1.1.2
    
結果
content_copy zoom_out_map
user@host# show routing-instances
HA {
        instance-type vrf;
        interface ge-2/0/0.0;
        interface ms-4/0/0.10;
        route-distinguisher 1:1;
        vrf-import dummy;
        vrf-export dummy;
        routing-options {
            static {
                route 5.5.5.1/32 next-hop ms-4/0/0.10;
                route 5.5.5.2/32 next-hop 20.1.1.2;
                            }
        }
    }

シャーシ 1 の NAT およびステートフル ファイアウォールの設定

手順

両方のルーターでNATとステートフルファイアウォールを同じように設定します。NATとステートフルファイアウォールを設定するには:

  1. 必要に応じて NAT を設定します。

    content_copy zoom_out_map
    user@host# set services nat pool p2 address 32.0.0.0/24
    user@host# set services nat pool p2 port automatic random-allocation
    user@host# set services nat pool p2 address-allocation round-robin
    user@host# set services nat rule r2 match-direction input
    user@host# set services nat rule r2 term t1 from source-address 129.0.0.0/8
    user@host# set services nat rule r2 term t1 from source-address 128.0.0.0/8
    user@host# set services nat rule r2 term t1 then translated source-pool p2
    user@host# set services nat rule r2 term t1 then translated translation-type napt-44
    user@host# set services nat rule r2 term t1 then translated address-pooling paired
    user@host# set services nat rule r2 term t1 then syslog
    
  2. 必要に応じてステートフルファイアウォールを設定します。

    content_copy zoom_out_map
    user@host# set services stateful-firewall rule r2 match-direction input
    user@host# set services stateful-firewall rule r2 term t1 from source-address any-unicast
    user@host# set services stateful-firewall rule r2 term t1 then accept
    user@host# set services stateful-firewall rule r2 term t1 then syslog
    
結果
content_copy zoom_out_map
user@host# show services nat
nat {
        pool p2 {
            address 32.0.0.0/24;
            port {
                automatic {
                    random-allocation;
                }
            }
            address-allocation round-robin;
        }
        rule r2 {
            match-direction input;
            term t1 {
                from {
                    source-address {
                        129.0.0.0/8;
                        128.0.0.0/8;
                    }
                }
                then {
                    translated {
                        source-pool p2;
                        translation-type {
                            napt-44;
                        }
                        address-pooling paired;
                    }
                    syslog;
                }
            }
        }
    }
}
content_copy zoom_out_map
user@host show services stateful-firewell
rule r2 {
    match-direction input;
    term t1 {
        from {
            source-address {
                any-unicast;
            }
        }
        then {
            accept;
            syslog;
        }
    }
}

サービスセットの設定

手順

両方のルーターでサービス セットを同じように設定します。サービスセットを設定するには:

  1. サービス セットのレプリケーション オプションを構成します。

    content_copy zoom_out_map
    user@host# set services service-set ss2 replicate-services replication-threshold 180
    user@host# set services service-set ss2 replicate-services stateful-firewall
    user@host# set services service-set ss2 replicate-services nat
    
  2. サービス セットの NAT およびステートフル ファイアウォール ルールへの参照を構成します。

    content_copy zoom_out_map
    user@host# set services service-set ss2 stateful-firewall-rules r2
    user@host# set services service-set ss2 nat-rules r2
    
  3. MS-PICでネクストホップサービスインターフェイスを設定します。

    content_copy zoom_out_map
    user@host# set services service-set ss2 next-hop-service inside-service-interface ms-4/0/0.20
    user@host# set services service-set ss2 next-hop-service outside-service-interface ms-4/0/0.30
    
  4. 必要なログ オプションを設定します。

    content_copy zoom_out_map
    user@host# set services service-set ss2 syslog host local class session-logs
    user@host# set services service-set ss2 syslog host local class stateful-firewall-logs
    user@host# set services service-set ss2 syslog host local class nat-logs
    
結果
content_copy zoom_out_map
user@host# show services service-set ss2
syslog {
            host local {
                class {
                    session-logs;
                    inactive: stateful-firewall-logs;
                    nat-logs;
                }
            }
        }
        replicate-services {
            replication-threshold 180;
            stateful-firewall;
            nat;
        }
        stateful-firewall-rules r2;
        inactive: nat-rules r2;
        next-hop-service {
            inside-service-interface ms-3/0/0.20;
            outside-service-interface ms-3/0/0.30;
        }
    }

シャーシ2のインターフェイスの設定

手順

各 HA ペアのルーターのインターフェイスは、次のサービス PIC オプションを除き、同じように設定されます。

  • redundancy-options redundancy-peer ipaddress address

  • unit unit-number family inet address address オプションを含む ip-address-owner service-plane 0以外のユニットの

  1. シャーシ2で冗長サービスPICを設定します。

    redundancy-peer ipaddress 、 ステートメントを含む ip-address-owner service-plane シャーシ1のシャーシ上のms-4/0/0のユニット(ユニット10)のアドレスを指します。

    content_copy zoom_out_map
    [edit interfaces}
    set interfaces ms-4/0/0 redundancy-options redundancy-peer ipaddress 5.5.5.1 
    user@host# set interfaces ms-4/0/0 redundancy-options routing-instance HA
    user@host# set interfaces ms-4/0/0 unit 10 ip-address-owner service-plane
    user@host# set interfaces ms-4/0/0 unit 10 family inet address 5.5.5.2/32
    user@host# set interfaces ms-4/0/0 unit 20 family inet
    user@host# set interfaces ms-4/0/0 unit 20 service-domain inside
    user@host# set interfaces ms-4/0/0 unit 30 family inet
    user@host# set interfaces ms-4/0/0 unit 30 service-domain outside
    
  2. 同期トラフィックのシャーシ間リンクとして使用されるシャーシ2のインターフェイスを設定します

    content_copy zoom_out_map
    user@host# set interfaces ge-2/0/0 vlan-tagging
    user@host# set interfaces ge-2/0/0 unit 0 vlan-id 100 family inet address 20.1.1.2/24
    
  3. 必要に応じて、シャーシ 2 の残りのインターフェイスを設定します。

結果
content_copy zoom_out_map
user@host# show interfaces
ms-4/0/0 {
        redundancy-options {
            redundancy-peer {
                ipaddress 5.5.5.1;
            }
            routing-instance HA;
        }
        unit 0 {
            family inet;
        }
        unit 10 {
            ip-address-owner service-plane;
            family inet {
                address 5.5.5.2/32;
            }
        }
ge-2/0/0 {
        vlan-tagging;
        unit 0 {
            vlan-id 100;
            family inet {
                 address 20.1.1.2/24;
            }
        }
        unit 10 {
            vlan-id 10;
            family inet {
                address 2.10.1.2/24;
            }

シャーシ 2 のルーティング情報の設定

手順

この例では、詳細なルーティング設定は含まれていません。ルーティングインスタンスは、2 つのシャーシ間の HA 同期トラフィックに必要であり、ここに含まれています。

  • シャーシ 2 のルーティング インスタンスを設定します。

    content_copy zoom_out_map
    user@host# set routing-instances HA instance-type vrf
    user@host# set routing-instances HA interface ge-2/0/0.0
    user@host# set routing-instances HA interface ms-4/0/0.10
    user@host# set routing-instances HA route-distinguisher 1:1
    user@host# set policy-options policy-statement dummy term 1 then reject 
    user@host# set routing-instances HA vrf-import dummy
    user@host# set routing-instances HA vrf-export dummy
    user@host# set routing-instances HA routing-options static route 5.5.5.2/32 next-hop ms-4/0/0.10
    user@host# set routing-instances HA routing-options static route 5.5.5.1/32 next-hop 20.1.1.1
    
    メモ:

    次の設定手順は、シャーシ 1 で示した手順 と同じです

    • NAT とステートフル ファイアウォールの設定

    • サービスセットの設定

結果
content_copy zoom_out_map
user@host# show services routing-instances
HA {
        instance-type vrf;
        interface xe-2/2/0.0;
        interface ms-4/0/0.10;
        route-distinguisher 1:1;
        vrf-import dummy;
        vrf-export dummy;
        routing-options {
            static {
                route 5.5.5.2/32 next-hop ms-4/0/0.10;
                route 5.5.5.1/32 next-hop 20.1.1.1;
            }
        }
external-footer-nav