섀시 클러스터에서 IP 주소 모니터링

IP 모니터링은 구성된 IP 주소의 엔드 투 엔드 연결을 확인하고 모니터링되는 IP 주소가 중복 이더넷(RETH) 인터페이스를 통해 도달할 수 없을 때 중복 그룹이 자동으로 장애 조치되도록 합니다. 섀시 클러스터의 기본 노드와 보조 노드 모두 특정 IP 주소를 모니터링하여 네트워크의 업스트림 디바이스에 연결할 수 있는지 여부를 결정합니다.

IP 모니터링은 구성된 모니터링되는 IP 주소의 엔드 투 엔드 도달 가능성에 따라 페일오버를 허용합니다. SRX 시리즈 방화벽에서는 reth 인터페이스를 통해 기본 노드와 보조 노드 모두에서 모니터링되는 IP 주소로 ping을 전송하고 응답이 반환되는지 확인하는 방식으로 연결성 테스트를 수행합니다. 모니터링되는 IP 주소는 reth 인터페이스와 동일한 서브넷에 있는 직접 연결된 호스트 또는 다음 홉 라우터를 통해 연결할 수 있는 원격 디바이스에 있을 수 있습니다.

모니터링되는 IP 주소의 도달 가능 상태는 도달 가능, 도달 불가능 및 알 수 없음입니다. 패킷 전달 엔진이 아직 가동되어 실행되고 있지 않으면 상태는 "알 수 없음"입니다. 상태는 패킷 전달 엔진의 해당 메시지에 따라 "도달 가능" 또는 "도달 불가"로 변경됩니다.

SRX 시리즈 방화벽의 RG0(Redundancy Group 0)에서 섀시 클러스터 IP 모니터링을 구성하는 것은 권장되지 않습니다.

표 1 은 기본 및 보조 노드에서 모니터링된 결과의 다양한 조합과 jsrpd(Juniper Services Redundancy Protocol) 프로세스에 의한 해당 조치에 대한 세부 정보를 제공합니다.

표 1: IP 모니터링 결과 및 페일오버 작업

기본 노드 모니터링 상태	보조 노드 모니터링 상태	장애 조치(failover) 작업
연결할	연결할	작업 없음
연결할	연결할	장애 조치
연결할	연결할	작업 없음
연결할	연결할	작업 없음

• SRX5000 회선 디바이스에서 IP 모니터링을 위해 최대 64개의 IP 주소를 구성할 수 있습니다.

• SRX 브랜치 시리즈 디바이스에서 reth 인터페이스에 두 개 이상의 물리적 인터페이스가 구성된 경우 중복 그룹에 대한 IP 모니터링이 지원되지 않습니다. SRX는 보조 노드를 추적하기 위해 번들에서 가장 낮은 인터페이스를 사용합니다. 피어가 응답을 수신한 포트를 제외한 다른 포트에서 응답을 전달하면 SRX는 응답을 삭제합니다.

• IP 모니터링의 최소 간격은 1초이며 최대 간격은 30초입니다. 기본 간격은 1초입니다.

• IP 모니터링의 최소 임계값은 5개 요청이고 최대 임계값은 15개 요청입니다. IP 모니터링 요청이 연속적인 요청(임계값 초과)에 대한 응답을 받지 못하면 IP 모니터링은 모니터링되는 IP에 도달할 수 없다고 보고합니다. 임계값의 기본값은 5입니다.

• IP 모니터링 CLI 구성에서 RG(Redundancy Group)와 연결되지 않은 Reth 인터페이스가 지원됩니다.

표 2 는 최대 MAC 수를 가진 IOC2 및 IOC3의 다중 인터페이스 조합에 대한 세부 정보를 제공합니다.

표 2: IOC2 및 IOC3의 IP 모니터링에 지원되는 최대 MAC 수

카드	인터페이스	IP 모니터링에 지원되는 최대 MAC 수
IOC2(SRX5K-MPC)	10XGE	10
	20GE	20
	2X40GE	2
	1X100GE	1
IOC3(SRX5K-MPC3-40G10G 또는 SRX5K-MPC3-100G10G)	24x10GE	24
	6x40GE	6
	2x100GE + 4x10GE	6

SRX5000 라인 IOC2 및 IOC3에서 IP 모니터링 지원에 대한 다음 제한 사항에 유의하십시오.

• IP 모니터링은 reth 또는 RLAG 인터페이스를 통해 지원됩니다. 구성에서 이러한 인터페이스 중 어느 것도 지정하지 않으면 경로 조회가 비 reth/RLAG 인터페이스를 반환하므로 실패 보고서가 생성됩니다.

• ECMP(Equal-cost multipath) 라우팅은 IP 모니터링에서 지원되지 않습니다.

중복 그룹 IP 주소 모니터링은 엔드 투 엔드 연결을 확인하고, 구성된 IP 주소에 도달하는 중복 이더넷 인터페이스( RETH라고 함)가 불가능하기 때문에 중복 그룹이 장애 조치를 취할 수 있도록 합니다. 특정 IP 주소를 모니터링하여 네트워크의 업스트림 디바이스에 연결할 수 있는지 여부를 결정하도록 클러스터에 있는 두 디바이스의 중복 그룹을 구성할 수 있습니다. 모니터링되는 IP 주소에 연결할 수 없는 경우 중복 그룹이 서비스를 유지하기 위해 백업으로 장애 조치되도록 중복 그룹을 구성할 수 있습니다. 이 모니터링 기능과 인터페이스 모니터링의 주요 차이점은 IP 주소 모니터링은 인터페이스가 여전히 작동 중이지만 연결된 네트워크 디바이스가 어떤 이유로 연결할 수 없을 때 페일오버를 허용한다는 것입니다. 이러한 상황에서는 클러스터의 다른 노드가 문제를 중심으로 트래픽을 라우팅할 수 있습니다.

IP 주소 모니터링 실패로 인해 발생하는 장애 조치를 완화하려면 문을 사용합니다 hold-down-interval .

IP 주소 모니터링 구성을 사용하면 모니터링할 주소와 페일오버 가중치뿐만 아니라 글로벌 IP 주소 모니터링 임계값 및 가중치도 설정할 수 있습니다. 누적 모니터링 주소 도달 가능성 실패로 인해 IP 주소 모니터링 글로벌 임계값에 도달한 후에만 중복 그룹의 페일오버 임계값에서 IP 주소 모니터링 글로벌 가중치 값이 차감됩니다. 따라서 여러 주소를 동시에 모니터링할 수 있을 뿐만 아니라 트래픽 흐름 유지에 대한 중요성을 반영하도록 모니터링할 수 있습니다. 또한 연결할 수 없었다가 다시 연결할 수 있게 된 IP 주소의 임계값은 모니터링 임계값으로 복원됩니다. 그러나 이 경우 preempt 옵션을 사용하지 않는 한 장애 복구가 발생하지 않습니다.

구성되면, IP 주소 모니터링 페일오버 값(글로벌 가중치)이 인터페이스 모니터링(설정된 경우) 및 SPU 모니터링, 콜드 싱크 모니터링 및 NPC 모니터링(지원되는 플랫폼에서)을 포함한 빌트인 페일오버 모니터링과 함께 고려됩니다. 모니터링해야 하는 주요 IP 주소는 서비스 게이트웨이로 들어오는 유효한 트래픽이 적절한 네트워크 라우터로 전달될 수 있도록 하기 위한 라우터 게이트웨이 주소입니다.

Junos OS 릴리스 12.1X46-D35 및 Junos OS 릴리스 17.3R1부터 모든 SRX 시리즈 방화벽에 대해 reth 인터페이스는 프록시 ARP를 지원합니다.

노드당 하나의 서비스 처리 장치(SPU) 또는 패킷 전달 엔진(PFE)이 클러스터에서 모니터링되는 IP 주소에 대한 ICMP(Internet Control Message Protocol) 핑 패킷을 보내도록 지정됩니다. 기본 PFE는 라우팅 엔진(RE)에 의해 해결된 주소 결정 프로토콜(ARP) 요청을 사용하여 핑 패킷을 보냅니다. 이러한 ping의 소스는 중복 이더넷 인터페이스 MAC 및 IP 주소입니다. 보조 PFE는 모니터링되는 IP 주소 자체에 대한 ARP 요청을 해결합니다. 이러한 핑의 소스는 물리적 하위 MAC 주소와 중복 이더넷 인터페이스에 구성된 보조 IP 주소입니다. 보조 인터페이스에서 Ping 응답을 수신하기 위해 I/O 카드(IOC), 중앙 PFE 프로세서 또는 Flex IOC는 물리적 하위 MAC 주소와 중복 이더넷 인터페이스 MAC 주소를 모두 MAC 테이블에 추가합니다. 보조 PFE는 중복 이더넷 인터페이스에 구성된 보조 IP 주소로 전송된 ARP 요청에 대해 물리적 하위 MAC 주소로 응답합니다.

참고:

VPN 라우팅 및 포워딩(VRF) 인스턴스에 대해 중복 이더넷 인터페이스가 구성된 경우 SRX5000 회선 디바이스에서 IP 주소 모니터링이 지원되지 않습니다.

모니터링되는 IP 주소의 도달 가능성을 확인하는 기본 간격은 초당 한 번입니다. 간격은 명령을 사용하여 조정할 수 있습니다 retry-interval . 연속으로 실패한 ping 시도의 기본 횟수는 5회입니다. 허용되는 연속 실패 ping 시도 횟수는 명령을 사용하여 조정할 수 있습니다 retry-count . 구성된 연속 시도 횟수 동안 모니터링되는 IP 주소에 도달하지 못한 후, IP 주소는 도달할 수 없는 것으로 결정되고 해당 페일오버 값은 중복 그룹의 전역 임계값에서 차감됩니다.

SRX5600 및 SRX5800 디바이스에서는 40포트 1기가비트 이더넷 I/O 카드(IOC)의 각 PIC에 있는 10개 포트 중 2개만 IP 주소 모니터링을 동시에 활성화할 수 있습니다. IOC당 4개의 PIC가 있기 때문에 IOC당 총 8개의 포트를 모니터링할 수 있습니다. IP 주소 모니터링을 위해 40포트 1기가비트 이더넷 IOC에서 PIC당 2개 이상의 포트가 구성된 경우 커밋은 성공하지만 로그 항목이 생성되고 IP 주소 모니터링의 정확성과 안정성을 보장할 수 없습니다. 이 제한은 다른 IOC 또는 장치에는 적용되지 않습니다.

IP 주소가 도달할 수 없는 것으로 결정되면 글로벌 임계값에서 가중치가 차감됩니다. 재계산된 전역 임계값이 0이 아닌 경우, IP 주소는 도달 불가능으로 표시되지만 글로벌 가중치는 중복 그룹의 임계값에서 차감되지 않습니다. 중복 그룹 IP 모니터링 전역 임계값이 0에 도달하고 연결할 수 없는 IP 주소가 있는 경우, 연결할 수 없는 IP 주소가 되거나 구성 변경으로 인해 연결할 수 없는 IP 주소가 모니터링에서 제거될 때까지 중복 그룹은 노드 간에 지속적으로 장애 조치 및 장애 복구됩니다. 기본 및 구성된 보류 간격 페일오버 감쇠는 모두 여전히 유효합니다.

모든 중복 그룹 x는 처음에 255로 설정된 임계값 허용 오차 값을 갖습니다. 중복 그룹 x에서 모니터링하는 IP 주소를 사용할 수 없게 되면 해당 가중치가 중복 그룹 x의 임계값에서 뺍니다. 중복 그룹 x의 임계값이 0에 도달하면 다른 노드로 페일오버됩니다. 예를 들어, 중복 그룹 1이 노드 0에서 기본이었다면, 임계값 초과 이벤트에서 중복 그룹 1은 노드 1에서 기본이 됩니다. 이 경우, 중복 그룹 1의 중복 이더넷 인터페이스의 모든 하위 인터페이스가 트래픽 처리를 시작합니다.

중복 그룹 x 페 일오버는 중복 그룹 x의 모니터링되는 IP 주소 및 기타 모니터링의 누적 가중치로 인해 임계값이 0이 되었기 때문에 발생합니다. 두 노드에서 중복 그룹 x의 모니터링되는 IP 주소가 동시에 임계값에 도달하면 중복 그룹 x는 노드 ID가 낮은 노드(일반적으로 노드 0)에서 기본이 됩니다.

섀시 클러스터 기능에 대한 업스트림 디바이스 장애 감지는 SRX 시리즈 방화벽에서 지원됩니다.

Junos OS 릴리스 15.1X49-D60 및 Junos OS 릴리스 17.3R1부터 SRX5000 라인 디바이스에서 ARP(Address Resolution Protocol) 요청 스로틀링 구성이 지원됩니다. 이 기능을 사용하면 이전에 하드 코딩된 ARP 요청 스로틀링 시간 기본값(각 IP 주소에 대해 SPU당 10초)을 무시하고 시간을 더 큰 값(10초에서 100초)으로 설정할 수 있습니다. 스로틀링 시간을 더 큰 값으로 설정하면 라우팅 엔진의 높은 사용률이 감소하여 보다 효율적으로 작동할 수 있습니다. 명령을 사용하여 ARP 요청 조절 시간을 구성할 수 있습니다 set forwarding-options next-hop arp-throttle <seconds> .

중복 이더넷 인터페이스(CLI 명령 및 인터페이스 목록에서는 reth라고 함)에서 IP 주소에 연결할 수 있고 터널을 통해 IP 주소를 모니터링할 수 없는 경우에만 모니터링을 수행할 수 있습니다. 보조 클러스터 노드의 중복 이더넷 인터페이스를 통해 IP 주소를 모니터링하려면 인터페이스에 보조 IP 주소가 구성되어 있어야 합니다. IP 주소 모니터링은 투명 모드에서 실행되는 섀시 클러스터에서 사용할 수 없습니다. 클러스터당 구성할 수 있는 최대 모니터링 IP 주소 수는 SRX5000 디바이스 제품군, SRX1500, SRX1600, SRX2300 및 SRX4000 디바이스 제품군에 대해 64개입니다.

이중화 그룹 IP 주소 모니터링은 IPv6 대상에 대해 지원되지 않습니다.

이 예에서는 섀시 클러스터에서 SRX 시리즈 방화벽에 대한 중복 그룹 IP 주소 모니터링을 구성하는 방법을 보여줍니다.

이 예에서는 섀시 클러스터가 활성화된 SRX5000 회선 디바이스에서 IP 주소를 모니터링하는 방법을 보여줍니다.