섀시 클러스터 컨트롤 플레인 인터페이스
컨트롤 플레인 인터페이스를 사용하여 섀시 클러스터의 SRX 시리즈 방화벽에 있는 라우팅 엔진 간에 커널 상태를 동기화할 수 있습니다. 컨트롤 플레인 인터페이스는 클러스터의 두 노드 간의 링크를 제공합니다.
컨트롤 플레인은 이 링크를 사용하여 다음을 수행합니다.
-
노드 감지를 전달합니다.
-
클러스터에 대한 세션 상태를 유지 관리합니다.
-
구성 파일에 액세스합니다.
-
노드 전반에서 활기 신호를 감지합니다.
섀시 클러스터 컨트롤 플레인 및 컨트롤 링크
액티브 또는 백업 모드에서 작동하는 컨트롤 플레인 소프트웨어는 클러스터의 기본 노드에서 활성화되는 Junos OS의 필수적인 부분입니다. 보조 노드의 비활성 라우팅 엔진에 상태, 구성 및 기타 정보를 전달하여 중복성을 달성합니다. 기본 라우팅 엔진에 장애가 발생하면 보조 라우팅 엔진이 제어를 맡을 준비가 됩니다.
컨트롤 플레인 소프트웨어:
-
라우팅 엔진에서 실행됩니다.
-
두 노드의 인터페이스를 포함하여 전체 섀시 클러스터 시스템을 감독합니다.
-
각 노드의 패킷 전달 엔진(PFE)을 포함하여 시스템 및 데이터 플레인 리소스를 관리합니다.
-
제어 링크를 통해 구성을 동기화합니다.
-
AAA(Authentication, Authorization, Accounting) 기능을 포함한 세션을 설정하고 유지합니다.
-
애플리케이션별 시그널링 프로토콜을 관리합니다.
-
텔넷 연결과 같은 관리 세션을 설정하고 유지합니다.
-
비대칭 라우팅을 처리합니다.
-
라우팅 상태, ARP(Address Resolution Protocol) 처리 및 DHCP(Dynamic Host Configuration Protocol) 처리를 관리합니다.
컨트롤 플레인 소프트웨어의 정보는 다음 두 가지 경로를 따릅니다.
-
기본 노드(라우팅 엔진이 활성화된 곳)에서 제어 정보는 라우팅 엔진에서 로컬 패킷 전달 엔진으로 흐릅니다.
-
제어 정보는 제어 링크를 통해 보조 노드의 라우팅 엔진 및 패킷 전달 엔진으로 흐릅니다.
기본 라우팅 엔진에서 실행되는 컨트롤 플레인 소프트웨어는 전체 클러스터의 상태를 유지합니다. 컨트롤 플레인 소프트웨어와 동일한 노드에서 실행되는 프로세스만 상태 정보를 업데이트할 수 있습니다. 기본 라우팅 엔진은 보조 노드의 상태를 동기화하고 모든 호스트 트래픽도 처리합니다.
섀시 클러스터 제어 링크
제어 인터페이스는 클러스터의 두 노드 간에 제어 링크를 제공하며, 업데이트를 라우팅하고 노드 페일오버를 트리거하는 하트비트 및 임계값 정보와 같은 컨트롤 플레인 신호 트래픽에 사용됩니다. 제어 링크는 노드 간의 구성도 동기화합니다. 클러스터에 구성 문을 제출하면 제어 링크가 구성을 자동으로 동기화합니다.
제어 링크는 독점 프로토콜에 의존하여 노드 전체에 세션 상태, 구성 및 활성 상태를 전송합니다.
Junos OS 릴리스 19.3R1부터 SRX5K-RE3-128G 디바이스는 SRX5000 라인 디바이스에서 SRX5K-SPC3 디바이스와 함께 지원됩니다. 제어 인터페이스 ixlv0 및 igb0은 SRX5K-RE3-128G 디바이스를 구성하는 데 사용됩니다. 제어 링크는 컨트롤 플레인, 데이터 플레인 및 하트비트 메시지 간의 통신을 제어합니다.
섀시 클러스터의 단일 제어 링크
섀시 클러스터의 단일 제어 링크의 경우, 제어 링크 연결 및 두 노드의 구성에 동일한 제어 포트를 사용해야 합니다.
예를 들어 포트 0을 노드 0의 제어 포트로 구성하는 경우 포트 0을 노드 1의 제어 포트로 구성해야 합니다. 포트는 케이블로 연결해야 합니다.
섀시 클러스터의 이중 제어 링크
섀시 클러스터에서 이중 제어 링크를 직접 연결해야 합니다. 교차 연결, 즉 한 노드의 포트 0을 다른 노드의 포트 1에 연결하거나 그 반대로 연결하는 연결은 작동하지 않습니다.
이중 제어 링크의 경우 다음과 같이 연결해야 합니다.
-
노드 0의 제어 포트 0을 노드 1의 제어 포트 0에 연결합니다.
-
노드 0의 제어 포트 1을 노드 1의 제어 포트 1에 연결합니다.
섀시 클러스터 제어 링크의 암호화
섀시 클러스터 제어 링크는 구성 및 활성화할 수 있는 암호화된 보안 기능(선택 사항)을 지원합니다.
주니퍼 네트웍스 보안 문서에서는 고가용성(HA) 제어 링크를 언급할 때 섀시 클러스터를 사용합니다. 명령에서 섀시 클러스터 대신 사용되는 약어 ha가 계속 표시됩니다.
제어 링크 액세스는 해커가 Telnet 액세스가 비활성화된 상태에서 제어 링크를 통한 인증 없이 시스템에 로그인하는 것을 방지합니다. 디바이스 간의 내부 통신을 위해 내부 IPsec 키를 사용하여 기본 노드에서 보조 노드로 섀시 클러스터 링크를 통과하는 구성 정보가 암호화됩니다. IPsec 키가 없으면 공격자는 권한 액세스 권한을 얻거나 트래픽을 관찰할 수 없습니다.
이 기능을 사용하려면 구성 명령을 실행합니다 set security ipsec internal security-association manual encryption ike-ha-link-encryption enable
.
이 구성을 활성화하려면 두 노드를 모두 재부팅해야 합니다.
IPsec을 사용하는 섀시 클러스터 제어 링크의 암호화는 SRX4600 라인 디바이스, SRX5000 라인 디바이스 및 vSRX 가상 방화벽 플랫폼에서 지원됩니다.
섀시 클러스터가 이미 구성된 IPsec 키로 실행 중이면 디바이스를 재부팅하지 않고도 키를 변경할 수 있습니다. 이 경우 한 노드에서만 키를 변경해야합니다.
IPsec 키 암호화가 구성되면 내부 보안 연결(SA) 계층 구조에서 구성이 변경되면 두 노드를 모두 재부팅해야 합니다. 구성된 IKE(Internet Key Exchange) 섀시 클러스터 링크 암호화 알고리즘을 확인하려면 의 show security internal-security-association
출력을 확인합니다.
SRX 시리즈 방화벽 | 설명 |
---|---|
SRX5400, SRX5600 및 SRX5800 |
기본적으로 모든 제어 포트는 비활성화되어 있습니다. 디바이스의 각 SPC(Services Processing Card)에는 두 개의 제어 포트가 있으며, 각 디바이스에는 여러 SPC가 연결되어 있을 수 있습니다. 섀시 클러스터에서 제어 링크를 설정하려면 각 디바이스( |
SRX4600 |
전용 섀시 클러스터 제어 포트 및 패브릭 포트를 사용할 수 있습니다. SRX4600 장치에 대한 제어 링크 구성이 필요하지 않습니다. 그러나 섀시 클러스터 구축을 위해 Fabric Link를 명시적으로 구성해야 합니다. 제어 포트에 대해 1기가비트 이더넷 인터페이스를 구성하려면 운영 CLI 명령문을 |
SRX4100 및 SRX4200 |
전용 섀시 클러스터 제어 포트를 사용할 수 있습니다. 제어 링크 구성은 필요하지 않습니다. 전용 제어 링크 포트 및 패브릭 링크 포트를 포함하여 모든 SRX4100 포트 및 SRX4200 포트에 대한 자세한 내용은 SRX 시리즈 섀시 클러스터 슬롯 번호 지정 이해와 물리적 포트 및 논리적 인터페이스 명명을 참조하십시오. 디바이스가 클러스터 모드가 아닌 경우 전용 섀시 클러스터 포트를 수익 포트 또는 트래픽 포트로 사용할 수 없습니다. |
SRX2300 및 SRX4300 |
디바이스는 MACsec을 지원하는 이중 전용 제어 포트를 사용합니다. |
SRX1600 |
디바이스는 MACsec을 지원하는 이중 전용 제어 포트를 사용합니다. |
SRX1500 |
장치는 전용 제어 포트를 사용합니다. |
SRX300, SRX320, SRX340, SRX345 및 SRX380. |
제어 링크는 ge-0/0/1 인터페이스를 사용합니다. |
관리 링크, 제어 링크 및 패브릭 링크의 포트 사용 및 인터페이스 사용에 대한 자세한 내용은 SRX 시리즈 섀시 클러스터 슬롯 번호 지정 이해 및 물리적 포트 및 논리적 인터페이스 명명을 참조하십시오.
예: 제어 링크를 위한 섀시 클러스터 제어 포트 구성
이 예에서는 SRX5400, SRX5600 및 SRX5800 디바이스에서 섀시 클러스터 제어 포트를 구성하는 방법을 보여줍니다. 제어 링크를 설정하기 위해 각 디바이스에서 사용할 제어 포트를 구성해야 합니다.
요구 사항
시작하기 전에:
섀시 클러스터 제어 링크를 이해합니다. 섀시 클러스터 컨트롤 플레인 및 컨트롤 링크 이해를 참조하십시오.
디바이스의 제어 포트를 물리적으로 연결합니다. SRX 시리즈 디바이스를 연결하여 섀시 클러스터 생성을 참조하십시오.
개요
제어 링크 트래픽은 SPC(Services Processing Card)의 스위치를 통과하여 다른 노드에 도달합니다. SRX 시리즈 방화벽에서 섀시 클러스터 포트는 섀시 클러스터의 SPC에 있습니다. 기본적으로 SRX5400 장치, SRX5600 장치 및 SRX5800 장치의 모든 제어 포트는 비활성화되어 있습니다. 제어 링크를 설정하려면 제어 포트를 연결하고, 제어 포트를 구성하고, 섀시 클러스터를 구성합니다.
이 예에서는 다음과 같은 FPC(Flexible PIC Concentrators)와 포트를 제어 링크로 사용하여 제어 포트를 구성합니다.
- FPC 4, 포트 0
- FPC 10, 포트 0
구성
절차
CLI 빠른 구성
예의 이 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit]
에 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit
.
{primary:node0}[edit] set chassis cluster control-ports fpc 4 port 0 set chassis cluster control-ports fpc 10 port 0 {primary:node1}[edit] set chassis cluster control-ports fpc 4 port 0 set chassis cluster control-ports fpc 10 port 0
단계별 절차
제어 포트를 섀시 클러스터에 대한 제어 링크로 구성하는 방법:
제어 포트를 지정합니다.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 4 port 0 {primary:node0}[edit] user@host# set chassis cluster control-ports fpc 10 port 0 {primary:node1}[edit] user@host# set chassis cluster control-ports fpc 4 port 0 {primary:node1}[edit] user@host# set chassis cluster control-ports fpc 10 port 0
결과
구성 모드에서 명령을 입력하여 show chassis cluster
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
간결성을 위해 이 show
명령 출력에는 이 예와 관련된 구성만 포함됩니다. 시스템의 다른 모든 구성은 줄임표(...)로 대체되었습니다.
user@host# show chassis cluster ... control-ports { fpc 4 port 0; fpc 10 port 0; } ...
디바이스를 구성한 후 구성 모드로 들어갑니다 commit
.
섀시 클러스터 상태 확인
목적
섀시 클러스터 상태를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show chassis cluster status
.
{primary:node0} user@host> show chassis cluster status Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 100 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 0 primary no no node1 0 secondary no no
의미
show chassis cluster status 명령을 사용하여 섀시 클러스터의 디바이스가 서로 통신하고 있는지 확인합니다. 앞의 출력은 섀시 클러스터가 제대로 작동하고 있음을 보여줍니다. 하나의 디바이스는 기본 노드이고 다른 하나는 보조 노드입니다.
섀시 클러스터 컨트롤 플레인 통계 확인
목적
섀시 클러스터 컨트롤 플레인 통계를 표시합니다.
행동
CLI에서 명령을 입력합니다.show chassis cluster control-plane statistics
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
또한보십시오
섀시 클러스터 컨트롤 플레인 통계 지우기
표시된 섀시 클러스터 컨트롤 플레인 통계를 지우려면 CLI에서 명령을 입력합니다.clear chassis cluster control-plane statistics
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
섀시 클러스터에서 독립형 모드로 변경
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.