섀시 클러스터에서 IP 주소 모니터링

IP 모니터링은 구성된 IP 주소의 종단 간 연결을 확인하고 모니터링되는 IP 주소가 중복 이더넷(RETH) 인터페이스를 통해 도달할 수 없을 때 중복 그룹이 자동으로 장애 조치할 수 있도록 합니다. 섀시 클러스터의 기본 노드와 보조 노드 모두 특정 IP 주소를 모니터링하여 네트워크의 업스트림 디바이스에 연결할 수 있는지 여부를 결정합니다.

IP 모니터링은 구성된 모니터링 대상 IP 주소의 종단 간 도달 가능성에 따라 페일오버를 지원합니다. SRX 시리즈 방화벽에서 도달 가능성 테스트는 reth 인터페이스를 통해 기본 노드와 보조 노드 모두에서 모니터링되는 IP 주소로 ping을 보내고 응답이 반환되는지 확인하는 방식으로 수행됩니다. 모니터링되는 IP 주소는 reth 인터페이스와 동일한 서브넷의 직접 연결된 호스트 또는 다음 홉 라우터를 통해 연결할 수 있는 원격 디바이스에 있을 수 있습니다.

모니터링되는 IP 주소의 연결 가능성 상태는 도달 가능, 도달 불가 및 알 수 없음입니다. 패킷 전달 엔진이 아직 가동되어 실행되지 않으면 상태는 "알 수 없음"입니다. 상태는 패킷 포워딩 엔진의 해당 메시지에 따라 "도달 가능" 또는 "도달 불가"로 변경됩니다.

SRX 시리즈 방화벽의 경우 중복 그룹 0(RG0)에서 섀시 클러스터 IP 모니터링을 구성하는 것을 권장하지 않습니다.

표 1 은 기본 노드와 보조 노드 모두에서 모니터링된 결과의 다양한 조합과 주니퍼 서비스 중복 프로토콜(jsrpd) 프로세스에 의한 해당 작업에 대한 세부 정보를 제공합니다.

표 1: IP 모니터링 결과 및 페일오버 조치

기본 노드 모니터링 상태	보조 노드 모니터링 상태	페일오버 액션
연결할	연결할	조치 없음
연결할	연결할	페일오버
연결할	연결할	조치 없음
연결할	연결할	조치 없음

• SRX5000 라인 디바이스에서 IP 모니터링을 위해 최대 64개의 IP 주소를 구성할 수 있습니다.

• SRX 브랜치 시리즈 디바이스에서 reth 인터페이스에 둘 이상의 물리적 인터페이스가 구성되어 있으면 중복 그룹에 대한 IP 모니터링이 지원되지 않습니다. SRX는 보조 노드에서 추적을 위해 번들에서 가장 낮은 인터페이스를 사용합니다. 피어가 수신한 포트를 제외한 다른 포트에서 응답을 전달하면 SRX는 이를 삭제합니다.

• IP 모니터링의 최소 간격은 1초이고 최대 간격은 30초입니다. 기본 간격은 1초입니다.

• IP 모니터링의 최소 임계값은 5개 요청이고 최대 임계값은 15개 요청입니다. IP 모니터링 요청이 연속된 요청(임계값 초과)에 대한 응답을 수신하지 않으면 IP 모니터링은 모니터링되는 IP에 연결할 수 없다고 보고합니다. 임계값의 기본값은 5입니다.

• IP 모니터링 CLI 구성에서 중복 그룹(RG)과 연결되지 않은 Reth 인터페이스가 지원됩니다.

표 2 는 최대 MAC 번호를 가진 IOC2 및 IOC3의 다중 인터페이스 조합에 대한 세부 정보를 제공합니다.

표 2: IOC2 및 IOC3에서 IP 모니터링에 지원되는 최대 MAC 수

카드	인터페이스	IP 모니터링에 지원되는 최대 MAC 수
IOC2(SRX5K-MPC)	10XGE	10
	20GE	20
	2X40GE	2
	1X100GE	1
IOC3(SRX5K-MPC3-40G10G 또는 SRX5K-MPC3-100G10G)	24x10GE	24
	6x40GE	6
	2x100GE + 4x10GE	6

SRX5000 라인 IOC2 및 IOC3에서 IP 모니터링 지원에 대한 다음과 같은 제한 사항을 참고해 주십시오.

• IP 모니터링은 reth 또는 RLAG 인터페이스를 통해 지원됩니다. 구성이 이러한 인터페이스 중 하나를 지정하지 않으면 경로 조회는 비 reth/RLAG 인터페이스를 반환하여 실패 보고서를 생성합니다.

• ECMP(Equal-cost multipath) 라우팅은 IP 모니터링에서 지원되지 않습니다.

중복 그룹 IP 주소 모니터링은 종단 간 연결을 확인하고 중복 이더넷 인터페이스( RETH라고 함)가 구성된 IP 주소에 도달할 수 없기 때문에 중복 그룹이 실패하도록 허용합니다. 클러스터의 두 디바이스에 있는 중복 그룹을 구성하여 특정 IP 주소를 모니터링하여 네트워크의 업스트림 디바이스에 연결할 수 있는지 여부를 결정할 수 있습니다. 중복 그룹은 모니터링되는 IP 주소가 도달할 수 없는 경우 중복 그룹이 서비스를 유지하기 위해 백업으로 장애 조치되도록 구성할 수 있습니다. 이 모니터링 기능과 인터페이스 모니터링의 주요 차이점은 IP 주소 모니터링은 인터페이스가 여전히 작동 중이지만 어떤 이유로 연결된 네트워크 디바이스에 연결할 수 없을 때 페일오버를 허용한다는 것입니다. 이러한 상황에서는 클러스터의 다른 노드가 문제를 중심으로 트래픽을 라우팅할 수 있습니다.

IP 주소 모니터링 실패로 인해 발생하는 페일오버를 줄이려면 문을 사용합니다 hold-down-interval .

IP 주소 모니터링 구성을 사용하면 모니터링할 주소와 페일오버 가중치뿐만 아니라 글로벌 IP 주소 모니터링 임계값 및 가중치도 설정할 수 있습니다. 누적 모니터링된 주소 도달 가능성 실패로 인해 IP 주소 모니터링 전역 임계값에 도달한 후에만 IP 주소 모니터링 전역 가중치 값이 중복 그룹의 장애 조치 임계값에서 차감됩니다. 따라서 여러 주소를 동시에 모니터링할 수 있을 뿐만 아니라 트래픽 흐름 유지에 대한 중요성을 반영하도록 모니터링할 수도 있습니다. 또한 연결할 수 없었다가 다시 연결할 수 있게 되는 IP 주소의 임계값은 모니터링 임계값으로 복원됩니다. 그러나 preempt 옵션이 활성화되지 않는 한 장애 복구가 발생하지 않습니다.

구성된 경우, IP 주소 모니터링 장애 조치 값(global-weight)은 인터페이스 모니터링(설정된 경우) 및 SPU 모니터링, 콜드 싱크 모니터링 및 NPC 모니터링(지원되는 플랫폼에서)을 포함한 기본 제공 장애 조치 모니터링과 함께 고려됩니다. 모니터링해야 하는 주요 IP 주소는 서비스 게이트웨이로 들어오는 유효한 트래픽이 적절한 네트워크 라우터로 전달될 수 있도록 하기 위한 라우터 게이트웨이 주소입니다.

Junos OS 릴리스 12.1X46-D35 및 Junos OS 릴리스 17.3R1부터 모든 SRX 시리즈 방화벽에 대해 reth 인터페이스는 프록시 ARP를 지원합니다.

노드당 하나의 SPU(서비스 처리 단위) 또는 PFE(패킷 포워딩 엔진)는 클러스터에서 모니터링되는 IP 주소에 대해 ICMP(Internet Control Message Protocol) 핑 패킷을 전송하도록 지정됩니다. 기본 PFE는 라우팅 엔진(RE)에 의해 해결된 ARP(Address Resolution Protocol) 요청을 사용하여 Ping 패킷을 보냅니다. 이러한 ping의 소스는 중복 이더넷 인터페이스 MAC 및 IP 주소입니다. 보조 PFE는 모니터링되는 IP 주소 자체에 대한 ARP 요청을 해결합니다. 이러한 ping의 소스는 물리적 하위 MAC 주소와 중복 이더넷 인터페이스에 구성된 보조 IP 주소입니다. 보조 인터페이스에서 Ping 응답을 수신하려면 I/O 카드(IOC), 중앙 PFE 프로세서 또는 Flex IOC가 물리적 하위 MAC 주소와 중복 이더넷 인터페이스 MAC 주소 모두를 MAC 테이블에 추가합니다. 보조 PFE는 중복 이더넷 인터페이스에 구성된 보조 IP 주소로 전송된 ARP 요청에 대해 물리적 하위 MAC 주소로 응답합니다.

메모:

VPN 라우팅 및 포워딩(VRF) 인스턴스에 대해 중복 이더넷 인터페이스가 구성된 경우 SRX5000 라인 디바이스에서 IP 주소 모니터링이 지원되지 않습니다.

모니터링되는 IP 주소의 도달 가능성을 확인하는 기본 간격은 초당 한 번입니다. 간격은 명령을 사용하여 retry-interval 조정할 수 있습니다. 허용되는 연속 실패 ping 시도의 기본 횟수는 5회입니다. 허용되는 연속 실패 ping 시도 횟수는 명령을 사용하여 retry-count 조정할 수 있습니다. 구성된 연속 시도 횟수에 대해 모니터링되는 IP 주소에 도달하지 못한 경우, IP 주소는 도달할 수 없는 것으로 결정되고 해당 페일오버 값은 중복 그룹의 전역 임계값에서 차감됩니다.

SRX5600 및 SRX5800 디바이스에서는 40포트 1기가비트 이더넷 I/O 카드(IOC)의 각 PIC에 있는 10개 포트 중 2개만 동시에 IP 주소 모니터링을 지원할 수 있습니다. IOC당 4개의 PIC가 있기 때문에 IOC당 총 8개의 포트를 모니터링할 수 있습니다. 40포트 1기가비트 이더넷 IOC에서 PIC당 2개 이상의 포트가 IP 주소 모니터링을 위해 구성된 경우, 커밋은 성공하지만 로그 항목이 생성되고 IP 주소 모니터링의 정확성과 안정성은 보장될 수 없습니다. 이 제한은 다른 IOC 또는 디바이스에는 적용되지 않습니다.

IP 주소가 도달할 수 없는 것으로 확인되면 해당 가중치는 전역 임계값에서 차감됩니다. 재계산된 전역 임계값이 0이 아닌 경우, IP 주소는 도달 불가능으로 표시되지만 전역 가중치는 중복 그룹의 임계값에서 차감되지 않습니다. 중복 그룹 IP 모니터링 글로벌 임계값이 0에 도달하고 도달할 수 없는 IP 주소가 있는 경우, 중복 그룹은 도달할 수 없는 IP 주소에 도달할 수 있게 되거나 구성 변경이 모니터링에서 도달할 수 없는 IP 주소를 제거할 때까지 노드 간에 지속적으로 장애 조치되고 페일백합니다. 기본 및 구성된 홀드다운 간격 페일오버 감쇠는 여전히 유효합니다.

모든 중복 그룹 x 는 처음에 255로 설정된 임계값 허용 오차 값을 갖습니다. 중복 그룹 x 에 의해 모니터링되는 IP 주소를 사용할 수 없게 되면, 해당 가중치는 중복 그룹 x의 임계값에서 차감됩니다. 중복 그룹 x의 임계값이 0에 도달하면 다른 노드로 장애 조치됩니다. 예를 들어, 중복 그룹 1이 노드 0에서 기본이었다면, 임계값 교차 이벤트에서 중복 그룹 1은 노드 1에서 기본이 됩니다. 이 경우, 중복 그룹 1의 중복 이더넷 인터페이스의 모든 하위 인터페이스가 트래픽 처리를 시작합니다.

중복 그룹 x의 모니터링되는 IP 주소 및 기타 모니터링의 누적 가중치로 인해 임계값이 0이 되었기 때문에 중복 그룹 x 장애 조치가 발생합니다. 두 노드에서 중복 그룹 x의 모니터링되는 IP 주소가 동시에 임계값에 도달하면, 중복 그룹 x는 노드 ID가 낮은 노드(일반적으로 노드 0)에서 기본입니다.

섀시 클러스터 기능에 대한 업스트림 디바이스 장애 감지는 SRX 시리즈 방화벽에서 지원됩니다.

Junos OS 릴리스 15.1X49-D60 및 Junos OS 릴리스 17.3R1부터 ARP(Address Resolution Protocol) 구성 요청 조절이 SRX5000 라인 디바이스에서 지원됩니다. 이 기능을 사용하면 이전에 하드 코딩된 ARP 요청 제한 시간 기본값(각 IP 주소에 대해 SPU당 10초)을 우회하고 시간을 더 큰 값(10초에서 100초)으로 설정할 수 있습니다. 조절 시간을 더 큰 값으로 설정하면 라우팅 엔진의 높은 활용도가 줄어들어 보다 효율적으로 작동할 수 있습니다. 명령을 사용하여 set forwarding-options next-hop arp-throttle <seconds> ARP 요청 조절 시간을 구성할 수 있습니다.

중복 이더넷 인터페이스(CLI 명령 및 인터페이스 목록에서 reth로 지칭)에서 IP 주소에 도달할 수 있고 터널을 통해 IP 주소를 모니터링할 수 없는 경우에만 모니터링을 수행할 수 있습니다. 보조 클러스터 노드에서 중복 이더넷 인터페이스를 통해 IP 주소를 모니터링하려면 인터페이스에 보조 IP 주소가 구성되어 있어야 합니다. IP 주소 모니터링은 투명 모드로 실행되는 섀시 클러스터에서 사용할 수 없습니다. 클러스터당 구성할 수 있는 최대 모니터링 IP 주소 수는 SRX5000 시리즈 방화벽, SRX1500, SRX1600, SRX2300, SRX4120 및 SRX4000 시리즈 방화벽의 경우 64개입니다.

IPv6 목적지에 대해 중복 그룹 IP 주소 모니터링이 지원되지 않습니다.

이 예는 섀시 클러스터에서 SRX 시리즈 방화벽에 대한 중복 그룹 IP 주소 모니터링을 구성하는 방법을 보여줍니다.

이 예는 섀시 클러스터가 활성화된 SRX5000 라인 디바이스에서 IP 주소를 모니터링하는 방법을 보여줍니다.