■vSRXでSRXを評価する方式を検討する。
SRX100HとSRX240は10倍位の価格差があるので軽々しく購入することは出来ない。
「JUNOSはモデル共通だが、
ScreenOSを統合したモジュールが同じだとは言ってない」
という感じで、
「fxp0、fxp1は固定、fab{0,1}は任意」は共通だけど、
「fe/ge」の差とは思えないほど、
割り当てられるポートはモデル毎に大きく異なる。
SRX シャーシクラスター《ブランチ編》
http://www.juniper.net/assets/jp/jp/local/pdf/others/br_chassis-clustering.pdf
■基本的なvSRXの扱い方とHA構成方法は以下でやった。
vmplayerでvSRXを試す。
http://labunix.hateblo.jp/entry/20150412/1428767862
vSRXのシャーシクラスタ(HA構成/A-P)を試してみる。
http://labunix.hateblo.jp/entry/20150919/1442600451
■ターゲットをSRX240として、FGT-HAに接続する想定だと
下記のような構成になる。
$ cat SRX240-HA.sh
echo "[Untrust-Term0],\
[Untrust-Term5] -- eth0 --> \
[10.2.0.0/16\nreth1-Untrust0],\
[10.2.5.0/16\nreth2-Untrust5] -- "ge-{0,5}/0/{3,4}" --> \
[SRX240-HA] -- "ge-{0,5}/0/{5,0,1,2}" --> \
[172.31.31.5/24\nreth0-Trust],\
[172.31.31.{3,4}/24\nmanage-link fxp0],\
[control-link fxp1],[fablic-link fab{0,1}] -- "port{1,2}" --> \
[172.31.31.254/24\nNAT-GW-A],\
[172.31.31.254/24\nNAT-GW-P] -- "wan1/LAN{1,2}" --> \
[192.168.1.1/29\nRouter] -- WAN --> \
[The Internet]"| \
graph-easy --dot | \
awk '!a[$0]++ && \
!/fxp0.*ge-....[125]/ && \
!/Trust.*ge-....[012]/ && \
!/Untrust0.*[24]/ && \
!/Untrust5.*3/ && \
!/fxp1.*ge-....[025]/ && \
!/fab.*ge-....[015]/ && \
!/[cl]-link.*NAT-GW/ && \
!/NAT-GW-A.*LAN2/ && \
!/NAT-GW-P.*LAN1/ && \
!/Term0.*Untrust5/ && \
!/Term5.*Untrust0/ && \
!/link.*port1/ && \
!/Trust.*port2/' | \
sed -e 's/\([cl]-link.* color=.\)#000000/\1#cc0000/g' \
-e 's/\(e-link.* color=.\)#000000/\1#00cc00/g' | \
dot -Tpng -o SRX240-HA.png
■ターゲットをSRX100Hとして、FGT-HAに接続する想定だと
以下のようになる。
$ cat SRX100H-HA.sh
echo "[Untrust-Term0],\
[Untrust-Term5] -- eth0 --> \
[10.2.0.0/16\nreth1-Untrust0],\
[10.2.5.0/16\nreth2-Untrust5] -- "ge-{0,5}/0/{3,4}" --> \
[SRX240-HA] -- "ge-{0,5}/0/{5,0,1,2}" --> \
[172.31.31.5/24\nreth0-Trust],\
[172.31.31.{3,4}/24\nmanage-link fxp0],\
[control-link fxp1],[fablic-link fab{0,1}] -- "port{1,2}" --> \
[172.31.31.254/24\nNAT-GW-A],\
[172.31.31.254/24\nNAT-GW-P] -- "wan1/LAN{1,2}" --> \
[192.168.1.1/29\nRouter] -- WAN --> \
[The Internet]"| \
graph-easy --dot | \
awk '!a[$0]++ && \
!/fxp0.*ge-....[125]/ && \
!/Trust.*ge-....[012]/ && \
!/Untrust0.*[24]/ && \
!/Untrust5.*3/ && \
!/fxp1.*ge-....[025]/ && \
!/fab.*ge-....[015]/ && \
!/[cl]-link.*NAT-GW/ && \
!/NAT-GW-A.*LAN2/ && \
!/NAT-GW-P.*LAN1/ && \
!/Term0.*Untrust5/ && \
!/Term5.*Untrust0/ && \
!/link.*port1/ && \
!/Trust.*port2/' | \
sed -e 's/\([cl]-link.* color=.\)#000000/\1#cc0000/g' \
-e 's/\(e-link.* color=.\)#000000/\1#00cc00/g' | \
sed -e 's%ge-0/0/0%fe-0/0/6%g' \
-e 's%ge-5/0/0%fe-1/0/6%g' \
-e 's%ge-0/0/1%fe-0/0/7%g' \
-e 's%ge-5/0/1%fe-1/0/7%g' \
-e 's%ge-0/0/%fe-0/0/%g' \
-e 's%ge-5/0/%fe-1/0/%g' \
-e 's%SRX240%SRX100H%g' | \
dot -Tpng -o SRX100H-HA.png
■ターゲットをvSRXとして、gns3のCiscoのL3SWに接続する想定だと
以下のようになる。
※FGT-HAを構成するには組み込みの評価ライセンスではなく、
きちんと評価ライセンスなり正規ライセンスを払い出してもらう必要がある。
実際にはSRXの評価段階なので、
FGTの代わりにCiscoのL3SWでポートチャネルを構成する方式を考えた。
なお、実機ならFGT-HAを評価用に構成するだけの機器は所有している。
$ cat vSRX.sh
echo "[Untrust-Term0],\
[Untrust-Term5] -- eth0 --> \
[10.2.0.0/16\nreth1-Untrust0],\
[10.2.5.0/16\nreth2-Untrust5] -- "ge-{0,7}/0/{3,4}" --> \
[vSRX-HA] -- "ge-{0,7}/0/{5,0,1,2}" --> \
[172.31.31.5/24\nreth0-Trust],\
[172.31.31.{3,4}/24\nmanage-link fxp0],\
[control-link fxp1],[fablic-link fab{0,1}] -- "po{1,2}" --> \
[172.31.31.254/24\nCisco L3-Po] -- "ge-0/0/0" --> \
[192.168.1.1/29\nRouter] -- WAN --> \
[The Internet]"| \
graph-easy --dot | \
awk '!a[$0]++ && \
!/fxp0.*ge-....[125]/ && \
!/Trust.*ge-....[012]/ && \
!/Untrust0.*[24]/ && \
!/Untrust5.*3/ && \
!/fxp1.*ge-....[025]/ && \
!/fab.*ge-....[015]/ && \
!/[cl]-link.*NAT-GW/ && \
!/NAT-GW-A.*LAN2/ && \
!/NAT-GW-P.*LAN1/ && \
!/Term0.*Untrust5/ && \
!/Term5.*Untrust0/ && \
!/[cl]-link.*po[12]/ && \
!/e-link.*po2/ && \
!/Trust.*po1/' | \
sed -e 's/\([cl]-link.* color=.\)#000000/\1#cc0000/g' \
-e 's/\(e-link.* color=.\)#000000/\1#00cc00/g' | \
dot -Tpng -o vSRX-HA.png