Juniper SRX Branchへの移行

スポンサーリンク
スポンサーリンク

SRXの冗長構成

SRXはコントロールプレーンとデータプレーンが明確に別れています。冗長構成のためのグループとしてRG(Redundancy Group)が用意されていて、最低でもRG0(コントロールプレーン)とRG1(データプレーン)という2つの冗長グループを使います。

それぞれ独立してPrimary/Secondaryを形成するので、障害が発生した際はRG0のPrimaryがnode0でRG1のPrimaryがnode1となる事もあります。

Active/Active構成の場合、RG2以上を作成してRG1のPrimaryはNode1、RG2のPrimaryはNode0といった感じで運用することができます。もちろん、その逆も可能です。

自発通信可能な機器はRG0のPrimary機

SRXはSSGで利用できたManaged IPというものが存在しません。個別にIPアドレスを持つことができるのは管理インタフェース(fxp0)のみです。

自発もしくは自着通信はすべてRG0のPrimaryとなります。唯一、管理インタフェースのみ個別にIPアドレスを持つことができるため、管理インタフェースはRG0のPrimary/Secondaryに関係なく自発・自着通信ができます。

NTP通信について

SRXの仕様から、考慮するべきはNTP通信です。DMZやUntrustの先にあるNTPサーバーと同期させることは可能ですが、それはRG0のPrimaryだけです。

RG0のSecondaryでNTP同期させるためには、管理インタフェース(fxp0)が接続しているセグメントもしくはそのセグメントを経由してNTPサーバーへ到達できる必要があります。セグメントを超える場合はバックアップルーターの設定を忘れずに。RG0のSecondaryはルーティングテーブルを持つことができないため、バックアップルーターの設定が必須です。

RG0のSecondaryはntpdを起動できないため、手動同期をおこないます。SRXの場合、「set date ntp」というコマンドにあたります。このコマンドを定期的に実行させるために、以下の様な設定をおこないます。

set event-options generate-event ntp-sync time-of-day “05:00:00 +0900”
set event-options policy Policy1 events ntp-sync
set event-options policy Policy1 then execute-commands commands “set date ntp”
set event-options policy Policy1 then execute-commands output-filename ntp-sync
set event-options policy Policy1 then execute-commands destination local-directory
set event-options destinations local-directory archive-sites /var/tmp/

この設定は毎日朝5時に「set date ntp」でnode0とnode1をNTPサーバと時刻同期させています。もちろん、ntpサーバの設定は別途必要です。

NTPサーバーの設定

set system ntp server x.x.x.x prefer
set system ntp server y.y.y.y

優先させたいNTPサーバーがあれば「prefer」を付けます。

バックアップルーターの設定

set groups node0 system backup-router 192.168.2.1 destination 8.8.8.8/32
set groups node1 system backup-router 192.168.2.1 destination 8.8.8.8/32

node0とnode1で個別にバックアップルーターを設定します。RG0のSecondaryはルーティングテーブルを持つことができないので、node0とnode1のどちらがSecondaryとなってもいいように必ず両方にバックアップルーターを設定します。

バックアップルーターはスタティックルーティング設定とは別物なので注意してください。

コントロールリンクは自動切り戻りがオススメ

基本的にコントロールリンクは直結ですから考慮する必要は無いとは思うのですが、コントロールリンク(fxp1)がダウンした場合、RG0のSecondary機はDisabled状態になって使い物にならなくなります。

コントロールリンクが再びリンクアップすると初期設定ではDisabled状態から抜けることができず、再起動しなければDisabled状態から復旧しません。

このような事態を避けるためには、コントロールリンクが復旧した際に自動的にコントロールリンクの状態を復旧させる設定を入れる必要があります。SRXの設計をする場合は以下の設定を適用することをオススメします。

set chassis cluster control-link-recovery

この設定を入れると、コントロールリンクが復旧した際にDisabled状態であった機器が自動的に再起動してコントロールリンクを復旧させます。

ファブリックリンクのモニタリングは無効にしておく

ファブリックリンクも初期設定ではリンクダウンするとRG0のSecondaryがDisabled状態になって使い物にならなくなります。

ファブリックリンクはARPテーブルやセッションテーブルの同期に使われていて、仮にリンクのダウンやアップがあったところで既存通信に大して影響はありません。

ファブリックリンクもコントロールリンク同様、基本的に直結ですのでリンクダウンすることは無いとは思うのですが、万が一のことを考えてモニタリング設定を無効にしておくことをオススメします。これはJuniper推奨設定です。

set chassis cluster no-fabric-monitoring

この設定を入れると、ファブリックリンクがリンクダウンしてもリンクアップしても何も起きなくなります。

運用メモ

モードについて

SRXはオペレーションモードとコンフィグレーションモード、それとシェルモードがあります。

rootユーザーでログインすると最初はシェルモードですから、cliコマンドでオペレーションモードへ移行したり、オペレーションモードからconfigureコマンドでコンフィグレーションモードへ移行することができます。

SRXはFreeBSDをベースにしているので、シェルモードでは愛しのBSDが使えます。特にログファイルの確認や転送、通信確認などのコマンドはサーバと同じ感覚で使えるので、普段からUnixコマンドに慣れているのであれば、とても便利に感じるはずです。

冗長構成の切り替え

自動切り戻りを設定していない場合、手動で切り替えを実施したい場合があります。切り替えは次のコマンドで実行します。切り替えはRG0のPrimaryで実行します。

request chassis cluster failover redundancy-group <グループ番号> node <ノード番号>

複数のRGを切り替える場合、RG0も切り替えるのであればRG0は最後に切り替えます。

クラスタの組み方

SRXでChassis Cluster(略してCC)を組む手順について。バージョンが完全に一致していないとクラスタを組むことができません。

設定初期化

オペレーションモードで初期化します。以後の操作はすべてコンソール接続によるものを想定しています。

root> request system zeroize

このコマンドを実行すると自動的に再起動します。

Chassis Cluster有効化

コントロールリンクを結線しておくことをオススメします。

Primaryとなる機器での操作

root@% cli
root> configure shared
root# delete interfaces
root# delete vlans
root# delete security
root# set system root-authentication plain-text-password
root# commit
root# exit
root> set chassis cluster cluster-id 1 node 0 reboot

Secondaryとなる機器での操作

root@% cli
root> configure shared
root# delete interfaces
root# delete vlans
root# delete security
root# set system root-authentication plain-text-password
root# commit
root# exit
root> set chassis cluster cluster-id 1 node 1 reboot

スポンサーリンク
スポンサーリンク

フォローする

スポンサーリンク
スポンサーリンク