例:SRX5000回線でのIP監視の構成
この例では、シャーシ クラスタを有効にして SRX シリーズ ファイアウォールを監視する方法を示します。
要件
同一のハードウェア構成を持つ2つのSRX5800サービスゲートウェイ、1つのSRXシリーズファイアウォールと1つのEX8208イーサネットスイッチが必要です。
2台のSRX5800デバイスを物理的に接続し(ファブリックポートと制御ポートはバックツーバック)、それらが同じモデルであることを確認します。クラスタ内のこれら2つのデバイスを設定/追加します。
概要
IPアドレス監視は、設定されたIPアドレスのエンドツーエンドの到達可能性をチェックし、冗長イーサネットインターフェイス(rethと呼ばれる)インターフェイスの子リンクを介して到達できない場合、冗長グループが自動的にフェイルオーバーできるようにします。クラスタ内の両方のデバイスの冗長性グループを設定して、特定のIPアドレスを監視し、ネットワーク内のアップストリーム機器が到達可能かどうかを判断できます。
シャーシ クラスタ設定で reth インターフェイスに複数の IP アドレスを設定する場合、IP 監視では、プライマリ ノードでその reth インターフェイスに設定された IP アドレスのリストから最初の IP アドレスと、バックアップ ノードでその reth インターフェイスに設定されたセカンダリ IP アドレスのリストから最初の IP アドレスが使用されます。最初の IP アドレスは、プレフィックス (ネットマスク) が最小の IP アドレスです。
この例では、SRXシリーズファイアウォールでIP監視を設定する方法を示しています。
IP 監視は、NP-IOC カードではサポートされていません。
IP監視は、SRXシリーズファイアウォールでMICオンライン/オフラインステータスをサポートしていません。
トポロジー
図 1 この例で使用されているトポロジーを示しています。
この例では、シャーシクラスター内の2つのSRX5800デバイスが、EX8208イーサネットスイッチを介してSRX1500デバイスに接続されています。この例では、クラスタ内のいずれかのノードで、冗長イーサネットインターフェイスを介して到達可能な主要なアップストリームリソースを監視するために、冗長性グループを設定する方法を示しています。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる詳細を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set chassis cluster reth-count 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 199 set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80 set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 set chassis cluster redundancy-group 1 ip-monitoring retry-count 10 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-4/0/1 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3
SRXシリーズファイアウォールでのIP監視の設定
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイドの設定モードでCLIエディターを使用するを参照してください。
SRXシリーズファイアウォールでIP監視を設定するには:
冗長イーサネットインターフェイスの数を指定します。
{primary:node0}[edit] user@host# set chassis cluster reth-count 1クラスターの各ノードでの優位性に対する冗長グループの優先順位を指定します。大きい方の番号が優先されます。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 200 user@host# set chassis cluster redundancy-group 1 node 1 priority 199冗長イーサネットインターフェイスを冗長グループ1に設定します。
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 192.0.2.1/24ノード 0 とノード 1 の冗長イーサネット インターフェイスに子インターフェイスを割り当てます。
{primary:node0}[edit] user@host# set interfaces ge-0/0/1 gigether-options redundant-parent reth0 user@host# set interfaces ge-4/0/1 gigether-options redundant-parent reth0監視対象のIPアドレスへの静的ルートを設定します。
{primary:node0}[edit] user@host# set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3グローバル重みとグローバルしきい値を使用して、冗長グループ1でIP監視を設定します。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80再試行間隔を指定します。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3再試行回数を指定します。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10監視対象の IP アドレスに重みを割り当て、監視対象の IP を追跡するためにセカンダリ ノードから ICMP パケットを送信するために使用されるセカンダリ IP アドレスを設定します。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2注:冗長イーサネット(reth0)IPアドレス 192.0.2.1/24は、ノード0からICMPパケットを送信し、監視対象IPの到達可能性を確認するために使用されます。
セカンダリIPアドレス 192.0.2.2は、reth0 IPアドレスと同じネットワークに属している必要があります。
セカンダリ IP アドレスは、ノード 1 から ICMP パケットを送信し、監視対象 IP の到達可能性を確認するために使用されます。
検証
設定が正常に機能していることを確認します。
- シャーシ クラスタ ステータスの検証 - フェイルオーバー前
- シャーシ クラスタ IP 監視ステータスの検証 - フェールオーバー前
- シャーシ クラスタ ステータスの検証 - フェイルオーバー後
- シャーシ クラスタ IP 監視ステータスの検証 - フェイルオーバー後
シャーシ クラスタ ステータスの検証 - フェイルオーバー前
目的
フェイルオーバーする前に、シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。
アクション
動作モードからshow chassis cluster statusコマンドを入力します。
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 0 node0 200 primary no no node1 199 secondary no no
シャーシ クラスタ IP 監視ステータスの検証 - フェールオーバー前
目的
フェールオーバーする前に、両方のノードから監視されている IP 状態と、両方のノードのフェールオーバー カウントを確認します。
アクション
動作モードからshow chassis cluster ip-monitoring status redundancy-group 1コマンドを入力します。
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a
シャーシ クラスタ ステータスの検証 - フェイルオーバー後
目的
フェイルオーバー後に、シャーシ クラスタ ステータス、フェイルオーバー ステータス、冗長グループ情報を検証します。
IPアドレスに到達できない場合は、以下の出力が表示されます。
アクション
動作モードからshow chassis cluster statusコマンドを入力します。
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 0 secondary no no node1 199 primary no no
シャーシ クラスタ IP 監視ステータスの検証 - フェイルオーバー後
目的
両方のノードから監視されている IP 状態と、フェールオーバー後の両方のノードのフェールオーバー数を確認します。
アクション
動作モードからshow chassis cluster ip-monitoring status redundancy-group 1コマンドを入力します。
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 unreachable 1 unknown node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a