Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

액티브/패시브 섀시 클러스터 구축

Active/Passive Chassis 클러스터 구축 이해

이 경우 클러스터의 단일 디바이스는 모든 트래픽을 라우팅하는 데 사용되고 다른 디바이스는 장애가 발생한 경우에만 사용됩니다( 그림 1 참조). 장애가 발생하면 백업 디바이스가 기본 디바이스가 되어 모든 전송을 제어합니다.

그림 1: 액티브/패시브 섀시 클러스터 시나리오 Network topology diagram: High availability setup with Juniper Networks devices, showing EX Series switches, SRX Series firewalls, and redundant Ethernet interfaces in Trust and Untrust zones.

액티브/패시브 섀시 클러스터 는 동일한 중복 그룹에 모두 할당된 중복 이더넷 인터페이스(reth)를 사용하여 달성할 수 있습니다. 노드의 활성 그룹에 있는 인터페이스 중 하나에 장애가 발생하면 그룹은 비활성으로 선언되고 그룹의 모든 인터페이스가 다른 노드로 장애 조치됩니다.

이 구성은 클러스터의 한 노드만 주어진 시간에 트래픽을 전달하기 때문에 패브릭 링크를 통한 트래픽을 최소화합니다.

참조

예: SRX5800 방화벽에서 액티브/패시브 섀시 클러스터 구성

이 예는 SRX5800 방화벽에서 기본 액티브/패시브 섀시 클러스터링을 설정하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

  • 하드웨어 구성이 동일한 SRX5800 방화벽 2개가 필요하며, 선택적으로 종단 간 데이터 트래픽을 전송하기 위한 MX480 에지 라우터 1개와 EX9214 이더넷 스위치 1개가 필요합니다.

  • 두 디바이스를 물리적으로 연결하고(패브릭 및 제어 포트에 대해 백투백) 동일한 모델인지 확인합니다.

  • 클러스터가 형성되기 전에 각 디바이스에 대한 제어 포트를 구성하고 각 디바이스에 클러스터 ID와 노드 ID를 할당한 다음 재부팅해야 합니다. 시스템이 부팅되면 두 노드가 모두 클러스터로 나타납니다.

    제어 포트 구성은 SRX5400, SRX5600 및 SRX5800 방화벽에 필요합니다.

이제 장치가 한 쌍입니다. 이 시점부터 클러스터 구성이 노드 구성원 간에 동기화되고 두 개의 개별 장치가 하나의 장치로 작동합니다.

개요

이 예시는 SRX 시리즈 방화벽에서 기본 액티브/패시브 섀시 클러스터링을 설정하는 방법을 보여줍니다. 기본 액티브/패시브 예는 가장 일반적인 유형의 섀시 클러스터입니다.

기본 액티브/패시브 섀시 클러스터는 두 개의 디바이스로 구성됩니다.

  • 하나의 디바이스로 라우팅, 방화벽, 네트워크 주소 변환(NAT), VPN 및 보안 서비스를 능동적으로 제공할 뿐만 아니라 섀시 클러스터에 대한 제어를 유지할 수 있습니다.

  • 다른 장치는 활성 장치가 비활성 상태가 될 경우 클러스터 장애 조치 기능에 대한 상태를 수동적으로 유지합니다.

SRX5800 방화벽에 대한 이 액티브/패시브 모드 예에서는 네트워크 주소 변환(NAT), 보안 정책 또는 VPN을 구성하는 방법과 같은 기타 구성에 대해 자세히 설명하지 않습니다. 기본적으로 독립 실행형 구성의 경우와 동일합니다. 그러나 섀시 클러스터 구성에서 프록시 ARP를 수행하는 경우, 멤버 인터페이스가 아닌 RETH 인터페이스에 프록시 ARP 구성을 적용해야 합니다. NAT용 프록시 ARP 구성(CLI 절차)을 참조하십시오. 또한 SRX5800 방화벽에서 VLAN 및 트렁크 인터페이스를 사용하여 별도의 논리적 인터페이스 구성을 구성할 수도 있습니다. 이러한 구성은 VLAN 및 트렁크 인터페이스를 사용하는 독립형 구현과 유사합니다.

그림 2 는 이 예에서 사용되는 토폴로지를 보여줍니다.

그림 2: SRX 시리즈 방화벽 토폴로지의 기본 액티브/패시브 섀시 클러스터링 예 Network topology diagram with Juniper devices: Internet cloud to MX480 router, SRX5800 firewalls, and EX9214 switch. High-availability setup.

구성

제어 포트 구성 및 클러스터 모드 활성화

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

{primary:node0}에서

(선택 사항) EX9214 코어 스위치를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드의 을(를) 입력합니다 commit .

EX 디바이스에서

(선택 사항)MX480 에지 라우터를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드의 을(를) 입력합니다 commit .

MX 디바이스에서

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다.

SRX 시리즈 방화벽에서 섀시 클러스터를 구성하려면 다음을 수행합니다.

클러스터 모드에서는 명령을 실행할 때 노드 간의 제어 링크를 통해 구성이 동기화됩니다 commit . 모든 명령은 명령이 구성된 디바이스에 관계없이 두 노드에 모두 적용됩니다.

  1. SRX5000 방화벽 섀시 클러스터 구성이 하나의 공통된 구성 내에 포함되어 있기 때문에 구성의 일부 요소를 특정 멤버에게만 할당하려면 groups라고 하는 Junos OS 노드별 구성 방법을 사용해야 합니다. set apply-groups ${node} 명령은 노드 변수를 사용하여 그룹이 노드에 적용되는 방법을 정의합니다. 각 노드는 해당 번호를 인식하고 그에 따라 구성을 수락합니다. 또한 클러스터의 개별 컨트롤 플레인에 대해 별도의 IP 주소를 사용하여 SRX5000 방화벽의 fxp0 인터페이스에서 대역 외 관리를 구성해야 합니다.

    백업 라우터 대상 주소를 x.x.x.0/0으로 구성하는 것은 허용되지 않습니다.

    위의 그룹 node0 및 node1 구성이 커밋되지만 적용되지 않습니다. 디바이스가 클러스터에 있으면 이러한 명령은 을(를) 사용하여 set apply-groups “${node}”적용됩니다.

  2. 다음 명령을 사용하여 기본인 노드 0을 구성합니다. 노드 구성이 커밋될 때까지 노드 1에 연결할 수 없습니다. 노드 0은 제어 포트를 통해 구성을 노드 1에 자동으로 동기화하며 노드 1을 명시적으로 구성할 필요가 없습니다.

  3. 각 디바이스에 대한 제어 포트를 구성하고 구성을 커밋합니다.

    구성에 따라 두 노드의 SPC 카드 간에 물리적 제어 링크 연결이 있는지 확인합니다.

    제어 포트는 섀시 내 SPC 위치를 기반으로 파생되며 오프셋 값은 플랫폼을 기반으로 합니다. 아래 예에서 SPC는 수익 슬롯 1에 있으며 SRX5800의 오프셋이 12이므로 제어 포트는 1, 13입니다. 셸 모드에서 명령을 사용하여 “jwhoami -c” 특정 플랫폼에 대한 오프셋 값을 볼 수 있습니다. 두 디바이스 모두에 다음 명령을 입력해야 합니다. 예를 들어:

    • 노드 0에서:

    • 노드 1에서:

  4. 두 장치를 클러스터 모드로 설정합니다. cluster ID와 노드 ID를 설정한 후 클러스터 모드로 들어가려면 재부팅해야 합니다. CLI 명령줄에서 매개 변수를 포함하여 reboot 시스템이 자동으로 부팅되도록 할 수 있습니다. 두 디바이스 모두에서 작동 모드 명령을 입력해야 합니다. 예를 들어:

    • 노드 0에서:

    • 노드 1에서:

    클러스터 ID는 클러스터의 두 디바이스에서 동일해야 하지만, 한 디바이스는 노드 0이고 다른 디바이스는 노드 1이므로 노드 ID는 달라야 합니다. 클러스터 ID의 범위는 1에서 255까지입니다. cluster ID를 0으로 설정하는 것은 클러스터를 비활성화하는 것과 같습니다. 그러나 클러스터에서 노드를 분리하는 데 사용하는 set chassis cluster disable 것이 좋습니다.

  5. 섀시 클러스터링을 위한 중복 그룹을 구성합니다. 각 노드는 인터페이스가 활성 중복 그룹에서 활성화되는 중복 그룹의 인터페이스를 가지고 있습니다(여러 활성 인터페이스가 하나의 중복 그룹에 존재할 수 있음). 중복 그룹 0은 컨트롤 플레인을 제어하고 중복 그룹 1+는 데이터 플레인을 제어하며 데이터 플레인 포트를 포함합니다. 이 액티브/패시브 모드 예에서는 한 번에 하나의 섀시 클러스터 멤버만 활성화되므로 중복 그룹 0과 1만 정의해야 합니다. 중복 그룹 외에도 다음을 정의해야 합니다.

    • 중복 이더넷 그룹 - 시스템이 적절한 리소스를 할당할 수 있도록 디바이스에서 활성화될 중복 이더넷 인터페이스(멤버 링크)의 수를 구성합니다.

    • 컨트롤 플레인 및 데이터 플레인 우선 순위—컨트롤 플레인에 대한 우선 순위(섀시 클러스터의 경우 높은 우선 순위가 선호됨)를 가진 디바이스와 데이터 플레인에 대해 활성화를 선호하는 디바이스를 정의합니다.

      • 액티브/패시브 또는 액티브/액티브 모드에서 컨트롤 플레인(중복 그룹 0)은 데이터 플레인(중복 그룹 1+ 및 그룹) 섀시와 다른 섀시에서 활성화될 수 있습니다. 그러나 이 예에서는 컨트롤 플레인과 데이터 플레인을 모두 동일한 섀시 멤버에서 활성화하는 것이 좋습니다. 트래픽이 다른 멤버 노드로 이동하기 위해 패브릭 링크를 통과하면 지연이 발생합니다(z 라인 모드 트래픽).

      • SRX 시리즈 방화벽(SRX5000 라인)에서 IPsec VPN은 Z 모드의 active/active 섀시 클러스터 구성(즉, 여러 RG1+ 이중화 그룹이 있는 경우)에서 지원되지 않습니다.

  6. 액티브/패시브 모드에서 RTO를 전달하는 데 사용되는 클러스터의 패브릭(데이터) 포트를 구성합니다. 이 예에서는 수익 포트 중 하나를 사용합니다. 함께 연결할 두 개의 패브릭 인터페이스를 각 섀시에 하나씩 정의합니다.

    데이터 플레인 페일오버 발생 시 다른 섀시 클러스터 멤버가 연결을 원활하게 이어받을 수 있도록 플랫폼에 데이터 인터페이스를 구성합니다. 새로운 액티브 노드로의 원활한 전환은 데이터 플레인 페일오버를 통해 발생합니다. 컨트롤 플레인 페일오버의 경우 모든 데몬이 새 노드에서 다시 시작되므로 피어(ospf, bgp)와의 인접 연결이 손실되지 않도록 그레이스풀 재시작이 가능합니다. 이는 패킷 손실 없이 새로운 노드로 원활하게 전환할 수 있도록 도와줍니다.

    다음 항목을 정의해야 합니다.

    • reth 인터페이스에 대한 멤버 인터페이스의 멤버십 정보를 정의합니다.

    • reth 인터페이스가 어떤 중복 그룹의 구성원인지 정의합니다. 이 액티브/패시브 예제의 경우 항상 1입니다.

    • 인터페이스의 IP 주소와 같은 reth 인터페이스 정보를 정의합니다.

  7. (선택 사항) 장애 발생 시 섀시 클러스터 동작을 구성합니다. SRX5800 방화벽의 경우 장애 조치 임계값은 255로 설정됩니다. 가중치를 변경하여 섀시 페일오버에 미치는 영향을 확인할 수 있습니다. 또한 제어 링크 복구도 구성해야 합니다. 복구 시 제어 링크가 실패할 경우 보조 노드가 자동으로 재부팅된 다음 다시 온라인으로 전환됩니다. 노드 0에서 다음 명령을 입력합니다.

    이 단계는 SRX5800 방화벽에 대한 액티브/패시브 모드 예시의 섀시 클러스터 구성 부분을 완료합니다. 이 절차의 나머지 부분에서는 구축 시나리오를 완료하기 위해 영역, 가상 라우터, 라우팅, EX9214 코어 스위치 및 MX480 에지 라우터를 구성하는 방법에 대해 설명합니다.

  8. (선택 사항) reth 인터페이스를 구성하고 적절한 영역 및 가상 라우터에 연결합니다. 이 예시에서는 추가 구성이 필요 없는 기본 가상 라우터 inet.0에 reth0 및 reth1 인터페이스를 그대로 둡니다.

  9. 트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책을 구축합니다.

  10. (선택 사항) EX9214 이더넷 스위치의 경우 다음 명령은 SRX5800 방화벽에 대한 이 액티브/패시브 모드 예와 관련된 적용 가능한 구성의 개요만 제공합니다. 가장 주목할 만한 것은 VLAN, 라우팅 및 인터페이스 구성입니다.

  11. (선택 사항) MX480 에지 라우터의 경우, 다음 명령은 SRX5800 방화벽에 대한 이 액티브/패시브 모드 예와 관련된 적용 가능한 구성의 개요만 제공합니다. 특히 스위치의 가상 스위치 인스턴스 내에서 IRB 인터페이스를 사용해야 합니다.

확인

구성이 올바르게 작동하고 있는지 확인합니다.

섀시 클러스터 상태 확인

목적

섀시 클러스터 상태, 장애 조치 상태 및 중복 그룹 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster status .

섀시 클러스터 인터페이스 확인

목적

섀시 클러스터 인터페이스에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster interfaces .

섀시 클러스터 통계 확인

목적

섀시 클러스터 서비스 및 제어 링크 통계(전송 및 수신된 하트비트), 패브릭 링크 통계(전송 및 수신된 프로브) 및 서비스에 대해 전송 및 수신된 RTO 수에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster statistics .

섀시 클러스터 컨트롤 플레인 통계 확인

목적

섀시 클러스터 컨트롤 플레인 통계(송수신된 하트비트) 및 패브릭 링크 통계(송수신된 프로브)에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster control-plane statistics .

섀시 클러스터 데이터 플레인 통계 확인

목적

서비스에 대해 보내고 받은 RTO 수에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster data-plane statistics .

EX 디바이스에서 Ping 확인

목적

EX 디바이스에서 연결 상태를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 ping 172.16.1.254 count 2 .

섀시 클러스터 이중화 그룹 상태 확인

목적

클러스터에 있는 두 노드의 상태 및 우선 순위를 확인하고 기본 노드가 선점되었는지 또는 수동 장애 조치(failover)가 있었는지 여부에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 chassis cluster status redundancy-group .

로그를 통한 문제 해결

목적

이 로그를 사용하여 섀시 클러스터 문제를 식별합니다. 이러한 로그는 두 노드에서 모두 실행해야 합니다.

행동

운영 모드에서 다음 show log 명령을 입력합니다.

참조

예: 액티브/패시브 섀시 클러스터 페어 구성(SRX1500 또는 SRX1600)

이 예는 SRX1500 또는 SRX1600 디바이스에 대한 액티브/패시브 섀시 클러스터링을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

  1. 한 쌍의 디바이스를 물리적으로 연결하여 동일한 모델인지 확인합니다.

  2. 한 디바이스의 기가비트 이더넷 인터페이스를 다른 디바이스의 다른 기가비트 이더넷 인터페이스에 연결하여 패브릭 링크를 생성합니다.

  3. 두 SRX1500 디바이스의 제어 포트를 연결하여 제어 링크를 생성합니다.

  4. 콘솔 포트를 사용하여 디바이스 중 하나에 연결합니다. (클러스터를 형성하는 노드입니다.) 을 클릭하고 클러스터 ID와 노드 번호를 설정합니다.

  5. 콘솔 포트를 사용하여 다른 디바이스에 연결하고 클러스터 ID와 노드 번호를 설정합니다.

개요

이 예에서는 클러스터의 단일 디바이스를 사용하여 모든 트래픽을 라우팅하고 다른 디바이스는 장애 발생 시에만 사용합니다. ( 그림 3 참조) 장애가 발생하면 백업 디바이스가 기본 디바이스가 되어 모든 전송을 제어합니다.

그림 3: 액티브/패시브 섀시 클러스터 토폴로지 Active/Passive Chassis Cluster Topology

동일한 중복 그룹에 모두 할당된 중복 이더넷 인터페이스(RETH)를 구성하여 액티브/패시브 섀시 클러스터를 생성할 수 있습니다. 이 구성은 클러스터의 한 노드만 주어진 시간에 트래픽을 전달하기 때문에 패브릭 링크를 통한 트래픽을 최소화합니다.

이 예에서는 그룹(명령으로 apply-groups 구성 적용) 및 섀시 클러스터 정보를 구성합니다. 그런 다음 보안 영역과 보안 정책을 구성합니다. 표 1 - 표 4를 참조하십시오.

표 1: 그룹 및 섀시 클러스터 구성 매개 변수

특징

이름

구성 매개 변수

그룹

노드 0

  • 호스트 이름: srx1500-A

  • 인터페이스: fxp0

    • 유닛 0

    • 192.0.2.110/24

노드 1

  • 호스트 이름: srx1500-B

  • 인터페이스: fxp0

    • 유닛 0

    • 192.0.2.111/24
표 2: 섀시 클러스터 구성 매개변수

특징

이름

구성 매개 변수

패브릭 링크

팹0

인터페이스: ge-0/0/1

팹1

인터페이스: ge-7/0/1

하트비트 간격

1000

하트비트 임계값

3

이중화 그룹

0

  • 우선권:

    • 노드 0: 254

    • 노드 1: 1

1

  • 우선권:

    • 노드 0: 254

    • 노드 1: 1

인터페이스 모니터링

  • ge-0/0/4

  • ge-7/0/4

  • ge-0/0/5

  • ge-7/0/5

중복 이더넷 인터페이스 수

2

인터페이스

ge-0/0/4

중복 상위: reth0

ge-7/0/4

중복 상위: reth0

ge-0/0/5

중복 상위: reth1

ge-7/0/5

중복 상위: reth1

reth0

이중화 그룹: 1

  • 유닛 0

  • 198.51.100.1/24

reth1

이중화 그룹: 1

  • 유닛 0

  • 203.0.113.233/24
표 3: 보안 영역 구성 매개 변수

이름

구성 매개 변수

트러스트

reth1.0 인터페이스는 이 영역에 결합됩니다.

불신(untrust)

reth0.0 인터페이스는 이 영역에 결합됩니다.
표 4: 보안 정책 구성 매개 변수

목적

이름

구성 매개 변수

이 보안 정책은 트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용합니다.

어떤

  • 일치 기준:

    • 모든 source-address

    • 모든 destination-address

    • 모든 애플리케이션

  • 작업: 허용

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

액티브/패시브 섀시 클러스터 구성:

  1. 관리 인터페이스를 구성합니다.

  2. 패브릭 인터페이스를 구성합니다.

  3. 하트비트 설정을 구성합니다.

  4. 중복 그룹을 구성합니다.

  5. 중복 이더넷 인터페이스를 구성합니다.

  6. 보안 영역을 구성합니다.

  7. 보안 정책을 구성합니다.

결과

구성 모드에서 명령을 입력하여 show configuration 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

간결성을 위해 이 show 명령 출력은 이 예와 관련된 구성만 포함합니다. 시스템의 다른 구성은 생략 부호(...)로 대체되었습니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

섀시 클러스터 상태 확인

목적

섀시 클러스터 상태, 장애 조치 상태 및 중복 그룹 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster status .

섀시 클러스터 인터페이스 확인

목적

섀시 클러스터 인터페이스에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster interfaces .

섀시 클러스터 통계 확인

목적

동기화되는 다양한 개체의 통계, 패브릭 및 제어 인터페이스 Hello, 클러스터에서 모니터링되는 인터페이스의 상태에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster statistics .

섀시 클러스터 컨트롤 플레인 통계 확인

목적

섀시 클러스터 컨트롤 플레인 통계(송수신된 하트비트) 및 패브릭 링크 통계(송수신된 프로브)에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster control-plane statistics .

섀시 클러스터 데이터 플레인 통계 확인

목적

서비스에 대해 보내고 받은 RTO 수에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster data-plane statistics .

섀시 클러스터 이중화 그룹 상태 확인

목적

클러스터에 있는 두 노드의 상태 및 우선 순위를 확인하고 기본 노드가 선점되었는지 또는 수동 장애 조치(failover)가 있었는지 여부에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 chassis cluster status redundancy-group .

로그를 통한 문제 해결

목적

이 로그를 사용하여 섀시 클러스터 문제를 식별합니다. 이러한 로그는 두 노드에서 모두 실행해야 합니다.

행동

운영 모드에서 다음 show 명령을 입력합니다.

참조

예: J-Web(Active/Passive Chassis Cluster Pair) 구성

  1. 클러스터링을 활성화합니다. 예: 액티브/패시브 섀시 클러스터 페어(CLI) 구성의 1단계를 참조하십시오.

  2. 관리 인터페이스를 구성합니다. 예제: 액티브/패시브 섀시 클러스터 페어(CLI) 구성의 2단계를 참조하십시오.

  3. 패브릭 인터페이스를 구성합니다. 예제: 액티브/패시브 섀시 클러스터 페어(CLI) 구성의 3단계를 참조하십시오.

  4. 중복 그룹을 구성합니다.

    • 을 선택합니다 Configure>Chassis Cluster.

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 중복 ether-interface 수: 2

      2. 하트비트 간격: 1000

      3. 하트비트 임계값: 3

      4. 노드: 0

      5. 그룹 번호: 0

      6. 우선 순위: 100

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 노드: 0

      2. 그룹 번호: 1

      3. 우선 순위: 1

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 노드: 1

      2. 그룹 번호: 0

      3. 우선 순위: 100

  5. 중복 이더넷 인터페이스를 구성합니다.

    • 을 선택합니다 Configure>Chassis Cluster.

    • 을 선택합니다 ge-0/0/4.

    • Redundant Parent(중복 부모) 상자에 을 입력합니다 reth1 .

    • 을 누르십시오 Apply.

    • 을 선택합니다 ge-7/0/4.

    • Redundant Parent(중복 부모) 상자에 을 입력합니다 reth1 .

    • 을 누르십시오 Apply.

    • 을 선택합니다 ge-0/0/5.

    • Redundant Parent(중복 부모) 상자에 을 입력합니다 reth0 .

    • 을 누르십시오 Apply.

    • 을 선택합니다 ge-7/0/5.

    • Redundant Parent(중복 부모) 상자에 을 입력합니다 reth0 .

    • 을 누르십시오 Apply.

    • 마지막 4개의 구성 설정은 예: 액티브/패시브 섀시 클러스터 페어(CLI) 구성 의 5단계를 참조하십시오.

  6. 보안 영역을 구성합니다. 예제: 액티브/패시브 섀시 클러스터 페어(CLI) 구성의 6단계를 참조하십시오.

  7. 보안 정책을 구성합니다. 예제: 액티브/패시브 섀시 클러스터 페어(CLI) 구성의 7단계를 참조하십시오.

  8. 을(를) 클릭하여 OK 구성을 확인하고 후보 구성으로 저장한 다음 >Commit를 클릭합니다Commit Options.

참조

IPsec 터널을 사용한 액티브/패시브 섀시 클러스터 구축 이해

이 경우 클러스터의 단일 디바이스는 IPsec 터널에서 종료되어 모든 트래픽을 처리하는 데 사용되는 반면 다른 디바이스는 장애가 발생한 경우에만 사용됩니다( 그림 4 참조). 장애가 발생하면 백업 디바이스가 기본 디바이스가 되어 모든 전송을 제어합니다.

그림 4: IPsec 터널이 있는 액티브/패시브 섀시 클러스터 시나리오(SRX 시리즈 방화벽) Network topology with SRX5000 firewalls in high availability setup using reth interfaces for redundancy and EX Series switches in trust and untrust zones. An SRX1500 firewall adds security in the untrust zone.

액티브/패시브 섀시 클러스터 는 동일한 중복 그룹에 모두 할당된 중복 이더넷 인터페이스(reth)를 사용하여 달성할 수 있습니다. 노드의 활성 그룹에 있는 인터페이스 중 하나에 장애가 발생하면 그룹은 비활성으로 선언되고 그룹의 모든 인터페이스가 다른 노드로 장애 조치됩니다.

이 구성은 중복 이더넷 인터페이스가 터널 엔드포인트로 사용되는 액티브/패시브 클러스터에서 사이트 간 IPsec 터널이 종료되는 방법을 제공합니다. 장애가 발생하면 백업 SRX 시리즈 방화벽의 중복 이더넷 인터페이스가 활성화되어 터널이 엔드포인트를 변경하여 새로운 활성 SRX 시리즈 방화벽에서 종료되도록 합니다. 터널 키와 세션 정보가 섀시 클러스터의 구성원 간에 동기화되기 때문에 페일오버 시 터널을 재협상할 필요가 없으며 설정된 모든 세션이 유지됩니다.

RG0(라우팅 엔진) 실패의 경우 라우팅 프로토콜은 새로운 기본 노드에서 다시 설정해야 합니다. VPN 모니터링 또는 Dead-peer-detection이 구성되고 라우팅이 새 RG0 Primary로 다시 통합되기 전에 타이머가 만료되면 VPN 터널이 중단되고 재협상됩니다.

동적 터널은 서로 다른 SPC 간에 로드 밸런싱을 수행할 수 없습니다.

참조

예: IPsec 터널을 사용하여 Active/Passive Chassis 클러스터 쌍 구성

이 예에서는 SRX 시리즈 방화벽에서 IPsec 터널을 사용하여 액티브/패시브 섀시 클러스터링을 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에:

  • 하드웨어 구성이 동일한 SRX5000 모델 2개, SRX1500 또는 SRX1600 디바이스 1개, EX 시리즈 이더넷 스위치 4개가 제공됩니다.

  • 두 디바이스를 물리적으로 연결하고(패브릭 및 제어 포트에 대해 백투백) 동일한 모델인지 확인합니다. SRX5000 라인에서 패브릭 및 컨트롤 포트를 모두 구성할 수 있습니다.

  • 두 디바이스를 클러스터 모드로 설정하고 디바이스를 재부팅합니다. 두 디바이스 모두에 다음 운영 모드 명령을 입력해야 합니다. 예를 들면 다음과 같습니다.

    • 노드 0에서:

    • 노드 1에서:

    클러스터 ID는 두 디바이스에서 동일하지만, 한 디바이스는 노드 0이고 다른 디바이스는 노드 1이므로 노드 ID가 달라야 합니다. 클러스터 ID의 범위는 1에서 255까지입니다. cluster ID를 0으로 설정하는 것은 클러스터를 비활성화하는 것과 같습니다.

    15보다 큰 클러스터 ID는 패브릭 및 제어 링크 인터페이스가 백투백으로 연결된 경우에만 설정할 수 있습니다.

  • 하드웨어 구성이 동일한 SRX5000 모델 2개, SRX1500 에지 라우터 1개, EX 시리즈 이더넷 스위치 4개가 제공됩니다.

  • 두 디바이스를 물리적으로 연결하고(패브릭 및 제어 포트에 대해 백투백) 동일한 모델인지 확인합니다. SRX5000 라인에서 패브릭 및 컨트롤 포트를 모두 구성할 수 있습니다.

이 시점부터 노드 구성원 간에 클러스터 구성이 동기화되고 두 개의 개별 장치가 하나의 장치로 작동합니다. 구성원별 구성(예: 각 구성원의 관리 포트의 IP 주소)은 구성 그룹을 사용하여 입력됩니다.

개요

이 예에서 클러스터의 단일 디바이스는 IPsec 터널에서 종료되어 모든 트래픽을 처리하는 데 사용되며, 다른 디바이스는 장애 시에만 사용됩니다. ( 그림 5 참조) 장애가 발생하면 백업 디바이스가 기본 디바이스가 되어 모든 전송을 제어합니다.

그림 5: IPsec 터널 토폴로지를 사용하는 액티브/패시브 섀시 클러스터(SRX 시리즈 방화벽) Network topology showing Juniper SRX5000 firewalls with redundancy, trust and untrust zones, and connections to EX Series switches.

이 예에서는 그룹(명령으로 apply-groups 구성 적용) 및 섀시 클러스터 정보를 구성합니다. 그런 다음 IKE(Internet Key Exchange), IPSec, 정적 경로, 보안 영역 및 보안 정책 매개 변수를 구성합니다. 표 5 - 표 11을 참조하십시오.

표 5: 그룹 및 섀시 클러스터 구성 매개변수

특징

이름

구성 매개 변수

그룹

노드 0

  • 호스트 이름: SRX5800-1

  • 인터페이스: fxp0

    • 유닛 0

    • 172.19.100.50/24

노드 1

  • 호스트 이름: SRX5800-2

  • 인터페이스: fxp0

    • 유닛 0

    • 172.19.100.51/24
표 6: 섀시 클러스터 구성 매개변수

특징

이름

구성 매개 변수

패브릭 링크

팹0

인터페이스: xe-5/3/0

팹1

인터페이스: xe-17/3/0

중복 이더넷 인터페이스 수

2

하트비트 간격

1000

하트비트 임계값

3

이중화 그룹

0

  • 우선권:

    • 노드 0: 254

    • 노드 1: 1

1

  • 우선권:

    • 노드 0: 254

    • 노드 1: 1

인터페이스 모니터링

  • xe-5/0/0

  • xe-5/1/0

  • xe-17/0/0

  • xe-17/1/0

인터페이스

xe-5/1/0

중복 상위: reth1

xe-5/1/0

중복 상위: reth1

xe-5/0/0

중복 상위: reth0

xe-17/0/0

중복 상위: reth0

reth0

이중화 그룹: 1

  • 유닛 0

  • 10.1.1.60/16

reth1

이중화 그룹: 1

  • 멀티포인트

  • 유닛 0

  • 10.10.1.1/30

st0 (영문)

  • 유닛 0

  • 10.10.1.1/30
표 7: IKE(Internet Key Exchange) 구성 매개 변수

특징

이름

구성 매개 변수

제안

제안 세트 표준

-

정책

미리 공유한

  • 모드: 메인

  • 제안 참조: 제안 세트 표준

  • IKE(Internet Key Exchange) 1단계 정책 인증 방법: pre-shared-key ascii-text

게이트웨이

SRX1500-1

  • IKE(Internet Key Exchange) 정책 참조: perShared

  • 외부 인터페이스: reth0.0

  • 게이트웨이 주소: 10.1.1.90

메모:

SRX 섀시 클러스터링에서는 IKE 외부 인터페이스 구성에 대해 reth 및 lo0 인터페이스만 지원됩니다. 다른 인터페이스 유형을 구성할 수 있지만 IPSec VPN이 작동하지 않을 수 있습니다. lo0 논리 인터페이스가 IKE 게이트웨이 외부 인터페이스로 사용되는 경우 RG0으로 구성할 수 없습니다.
표 8: IPsec 구성 매개 변수

특징

이름

구성 매개 변수

제안

제안 세트 표준

정책

성병

VPN

SRX1500-1

  • IKE(Internet Key Exchange) 게이트웨이 참조: SRX1500-1

  • IPsec 정책 참조: std

  • 인터페이스에 바인딩: st0.0

  • VPN 모니터링: vpn 모니터 최적화

  • 터널 설정: 즉시 establish-tunnels

메모:

수동 VPN 이름과 사이트 간 게이트웨이 이름은 같을 수 없습니다.
메모:

st0.16000에서 st0.16385까지의 보안 터널 인터페이스(st0)는 멀티노드 고가용성(HA) 및 섀시 클러스터에서의 고가용성(HA) 제어 링크 암호화를 위해 예약되어 있습니다. 이러한 인터페이스는 사용자가 구성할 수 없습니다. st0.0에서 st0.15999까지의 인터페이스만 사용할 수 있습니다.
표 9: 정적 경로 구성 매개 변수

이름

구성 매개 변수

0.0.0.0/0

다음 홉: 10.2.1.1

10.3.0.0/16

다음 홉: 10.10.1.2
표 10: 보안 영역 구성 매개 변수

이름

구성 매개 변수

트러스트

  • 모든 시스템 서비스가 허용됩니다.

  • 모든 프로토콜이 허용됩니다.

  • reth0.0 인터페이스는 이 영역에 결합됩니다.

불신(untrust)

  • 모든 시스템 서비스가 허용됩니다.

  • 모든 프로토콜이 허용됩니다.

  • reth1.0 인터페이스는 이 영역에 결합됩니다.

VPN

  • 모든 시스템 서비스가 허용됩니다.

  • 모든 프로토콜이 허용됩니다.

  • st0.0 인터페이스는 이 영역에 결합됩니다.
표 11: 보안 정책 구성 매개 변수

목적

이름

구성 매개 변수

이 보안 정책은 트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용합니다.

어떤

  • 일치 기준:

    • 모든 source-address

    • 모든 destination-address

    • 모든 애플리케이션

  • 작업: 허용

이 보안 정책은 트러스트 영역에서 VPN 영역으로 트래픽을 허용합니다.

vpn-any

  • 일치 기준:

    • 모든 source-address

    • 모든 destination-address

    • 모든 애플리케이션

  • 작업: 허용

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

IPsec 터널이 있는 액티브/패시브 섀시 클러스터 페어를 구성하려면,

  1. 제어 포트를 구성합니다.

  2. 관리 인터페이스를 구성합니다.

  3. 패브릭 인터페이스를 구성합니다.

  4. 중복 그룹을 구성합니다.

  5. 중복 이더넷 인터페이스를 구성합니다.

  6. IPsec 매개 변수를 구성합니다.

  7. 정적 경로를 구성합니다.

  8. 보안 영역을 구성합니다.

  9. 보안 정책을 구성합니다.

결과

운영 모드에서 명령을 입력하여 show configuration 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

간결성을 위해 이 show 명령 출력은 이 예와 관련된 구성만 포함합니다. 시스템의 다른 구성은 생략 부호(...)로 대체되었습니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

섀시 클러스터 상태 확인

목적

섀시 클러스터 상태, 장애 조치 상태 및 중복 그룹 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster status .

섀시 클러스터 인터페이스 확인

목적

섀시 클러스터 인터페이스를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster interfaces .

섀시 클러스터 통계 확인

목적

섀시 클러스터 서비스 및 제어 링크 통계(전송 및 수신된 하트비트), 패브릭 링크 통계(전송 및 수신된 프로브) 및 서비스에 대해 전송 및 수신된 RTO 수에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster statistics .

섀시 클러스터 컨트롤 플레인 통계 확인

목적

섀시 클러스터 컨트롤 플레인 통계(송수신된 하트비트) 및 패브릭 링크 통계(송수신된 프로브)에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster control-panel statistics .

섀시 클러스터 데이터 플레인 통계 확인

목적

서비스에 대해 보내고 받은 RTO 수에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show chassis cluster data-plane statistics .

섀시 클러스터 이중화 그룹 상태 확인

목적

클러스터에 있는 두 노드의 상태 및 우선 순위를 확인하고 기본 노드가 선점되었는지 또는 수동 장애 조치(failover)가 있었는지 여부에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 chassis cluster status redundancy-group .

로그를 통한 문제 해결

목적

이 로그를 사용하여 섀시 클러스터 문제를 식별합니다. 이러한 로그는 두 노드에서 모두 실행해야 합니다.

행동

운영 모드에서 다음 show 명령을 입력합니다.

예: IPsec 터널(J-Web)을 사용하여 Active/Passive 섀시 클러스터 쌍 구성

  1. 클러스터를 활성화합니다. 예: IPsec 터널을 사용하여 Active/Passive Chassis 클러스터 쌍 구성의 1단계를 참조하십시오.

  2. 관리 인터페이스를 구성합니다. 예제의 2단계: IPsec 터널을 사용하여 Active/Passive Chassis 클러스터 쌍 구성을 참조하십시오.

  3. 패브릭 인터페이스를 구성합니다. 예제: IPsec 터널을 사용하여 Active/Passive Chassis 클러스터 쌍 구성의 3단계를 참조하십시오.

  4. 중복 그룹을 구성합니다.

    • 을 선택합니다 Configure>System Properties>Chassis Cluster.

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 중복 ether-interfaces 수: 2

      2. 하트비트 간격: 1000

      3. 하트비트 임계값: 3

      4. 노드: 0

      5. 그룹 번호: 0

      6. 우선 순위: 254

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 노드: 0

      2. 그룹 번호: 1

      3. 우선 순위: 254

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 노드: 1

      2. 그룹 번호: 0

      3. 우선 순위: 1

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 노드: 1

      2. 그룹 번호: 1

      3. 우선 순위: 1

      4. 선점: 확인란을 선택합니다.

      5. 인터페이스 모니터 - 인터페이스: xe-5/0/0

      6. 인터페이스 모니터 - 무게: 255

      7. 인터페이스 모니터 - 인터페이스: xe-5/1/0

      8. 인터페이스 모니터 - 무게: 255

      9. 인터페이스 모니터 - 인터페이스: xe-17/0/0

      10. 인터페이스 모니터 - 무게: 255

      11. 인터페이스 모니터 - 인터페이스: xe-17/1/0

      12. 인터페이스 모니터 - 무게: 255

  5. 중복 이더넷 인터페이스를 구성합니다.

    • 을 선택합니다 Configure>System Properties>Chassis Cluster.

    • 을 선택합니다 xe-5/1/0.

    • Redundant Parent(중복 부모) 상자에 을 입력합니다 reth1 .

    • 을 누르십시오 Apply.

    • 을 선택합니다 xe-17/1/0.

    • Redundant Parent(중복 부모) 상자에 을 입력합니다 reth1 .

    • 을 누르십시오 Apply.

    • 을 선택합니다 xe-5/0/0.

    • Redundant Parent(중복 부모) 상자에 을 입력합니다 reth0 .

    • 을 누르십시오 Apply.

    • 을 선택합니다 xe-17/0/0.

    • Redundant Parent(중복 부모) 상자에 을 입력합니다 reth0 .

    • 을 누르십시오 Apply.

    • 예제: IPsec 터널을 사용하여 Active/Passive Chassis 클러스터 쌍 구성의 5단계를 참조하십시오.

  6. IPsec 구성을 구성합니다. 예: IPsec 터널을 사용하여 Active/Passive 섀시 클러스터 쌍 구성의 6단계를 참조하십시오.

  7. 정적 경로를 구성합니다.

    • 을 선택합니다 Configure>Routing>Static Routing.

    • 을 누르십시오 Add.

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 고정 경로 주소: 0.0.0.0/0

      2. 다음 홉 주소: 10.2.1.1

    • 다음 정보를 입력하고 을 클릭합니다.Apply

      1. 고정 경로 주소: 10.3.0.0/16

      2. 다음 홉 주소: 10.10.1.2

  8. 보안 영역을 구성합니다. 예: IPsec 터널을 사용하여 Active/Passive Chassis 클러스터 쌍 구성의 8단계를 참조하십시오.

  9. 보안 정책을 구성합니다. 예제: IPsec 터널을 사용하여 Active/Passive Chassis 클러스터 쌍 구성의 9단계를 참조하십시오.

  10. 을(를) 클릭하여 OK 구성을 확인하고 후보 구성으로 저장한 다음 >Commit를 클릭합니다Commit Options.

관련 설명서