섀시 클러스터의 멀티캐스트 라우팅 및 비대칭 라우팅
섀시 클러스터의 멀티캐스트 라우팅 지원은 서로 다른 멀티캐스트 프로토콜이 인터페이스를 통해 여러 수신자에게 트래픽을 전송할 수 있도록 합니다. 비대칭 라우팅은 원본 호스트에서 대상 호스트로의 패킷이 대상 호스트에서 원본 호스트로의 패킷과는 다른 경로를 따르는 상황입니다. 자세한 내용은 다음 항목을 참조하세요.
섀시 클러스터의 멀티캐스트 라우팅 이해하기
섀시 클러스터의 노드 간 멀티캐스트 라우팅 지원을 통해 PIM(Protocol Independent Multicast) 버전 1 및 2, IGMP(Internet Group Management Protocol), SAP(Session Announcement Protocol) 및 DVMRP(Distance Vector Multicast Routing Protocol)와 같은 멀티캐스트 프로토콜이 클러스터의 인터페이스를 통해 트래픽을 전송할 수 있습니다. 그러나 멀티캐스트 프로토콜은 섀시 관리 인터페이스() 또는 패브릭 인터페이스(fxp0fab0fab1및)에서 활성화해서는 안 됩니다. 멀티캐스트 세션은 클러스터 전체에서 동기화되고 중복 그룹 장애 조치(failover) 중에 유지 관리됩니다. 다른 유형의 트래픽과 마찬가지로 페일오버 중에 일부 멀티캐스트 패킷 손실이 있을 수 있습니다.
섀시 클러스터의 멀티캐스트 데이터 포워딩은 수신 인터페이스를 사용하여 세션이 활성 상태로 유지되는지 여부를 결정합니다. 리프 세션의 발신 인터페이스가 수신 인터페이스의 노드가 아닌 피어에 있는 경우 패킷이 피어 노드로 전달됩니다. 섀시 클러스터의 멀티캐스트 라우팅은 수신 및 발신 인터페이스 모두에 대해 터널을 지원합니다.
멀티캐스트 트래픽은 트래픽 플로우에서 업스트림(소스 쪽) 및 다운스트림(가입자 쪽) 방향이 있습니다. 디바이스는 단일 멀티캐스트 패킷을 가입자를 포함하는 여러 네트워크에 복제(팬아웃)합니다. 섀시 클러스터 환경에서는 멀티캐스트 패킷 팬아웃이 두 노드 중 하나에서 활성화될 수 있습니다.
수신 인터페이스가 현재 노드에서 활성화되고 피어 노드에서 백업이 활성화되면, 세션은 현재 노드에서 활성화되고 백업은 피어 노드에서 활성화됩니다.
섀시 클러스터의 멀티캐스트 구성은 독립형 디바이스의 멀티캐스트 구성과 동일합니다. 자세한 내용은 멀티캐스트 프로토콜 사용자 가이드를 참조하십시오.
PIM 데이터 포워딩 이해
PIM(Protocol Independent Multicast)은 디바이스 간에 서로 전달될 멀티캐스트 패킷을 추적하는 데 사용됩니다.
PIM 세션은 멀티캐스트 데이터를 PIM 유니캐스트 패킷으로 캡슐화합니다. PIM 세션은 다음과 같은 세션을 생성합니다.
제어 세션
데이터 세션
데이터 세션은 제어 세션 ID를 저장합니다. 제어 세션과 데이터 세션은 독립적으로 닫힙니다. 수신 인터페이스는 PIM 세션이 활성화되었는지 여부를 결정하는 데 사용됩니다. 발신 인터페이스가 피어 노드에서 활성화되면 패킷은 전송을 위해 피어 노드로 전송됩니다.
멀티캐스트 및 PIM 세션 동기화 이해
멀티캐스트와 PIM 세션을 동기화하면 페일오버가 발생할 때 세션을 다시 설정할 필요가 없기 때문에 페일오버로 인한 패킷 손실을 방지하는 데 도움이 됩니다.
PIM 세션에서 제어 세션은 백업 노드와 동기화된 다음 데이터 세션이 동기화됩니다.
멀티캐스트 세션에서 템플릿 세션이 피어 노드와 동기화된 다음 모든 리프 세션이 동기화되고 마지막으로 템플릿 세션이 다시 동기화됩니다.
참조
섀시 클러스터의 비대칭 라우팅 이해하기
섀시 클러스터, 비대칭 라우팅 시나리오에서 SRX 시리즈 방화벽을 사용할 수 있습니다( 그림 1 참조). 노드가 수신한 트래픽은 해당 노드의 세션 테이블과 일치합니다. 이 조회 결과에 따라 노드가 패킷을 처리하는지 또는 패브릭 링크를 통해 다른 노드로 전달하는지 여부가 결정됩니다. 세션은 세션을 생성한 첫 번째 패킷의 송신 노드에 고정됩니다. 세션이 고정되지 않은 노드에서 트래픽이 수신되면 해당 패킷은 패브릭 링크를 통해 세션이 고정된 노드로 전달됩니다.
세션 중에 라우팅이 변경되면 세션의 앵커 노드가 변경될 수 있습니다.
이 시나리오에서는 두 개의 인터넷 연결이 사용되며 하나는 기본 설정입니다. 트러스트 영역으로의 연결은 중복 이더넷 인터페이스를 사용하여 수행되어 트러스트 영역의 디바이스에 LAN 이중화를 제공합니다. 이 시나리오에서는 세션이 인터넷의 대상(신뢰할 수 없는 영역)을 가진 신뢰 영역에서 시작되는 두 가지 장애 조치 사례에 대해 설명합니다.
트러스트 영역의 장애 이해 중복 이더넷 인터페이스
정상적인 작동 조건에서 트래픽은 reth0.0에 속하는 신뢰 영역 인터페이스 ge-0/0/1에서 인터넷으로 흐릅니다. 기본 인터넷 연결이 노드 0에 있기 때문에 세션은 노드 0에서 생성되고 노드 1과 동기화됩니다. 그러나 세션은 노드 0에서만 활성화됩니다.
인터페이스 ge-0/0/1에 장애가 발생하면 중복 그룹의 페일오버가 트리거되어 노드 1의 인터페이스 ge-7/0/1이 활성화됩니다. 장애 조치(failover) 후 트래픽은 노드 1에 도착합니다. 세션 조회 후 세션이 이 노드에서 활성 상태이기 때문에 트래픽이 노드 0으로 전송됩니다. 그런 다음 노드 0은 트래픽을 처리하여 인터넷으로 전달합니다. 반환 트래픽도 유사한 프로세스를 따릅니다. 트래픽은 노드 0에 도착하고 세션이 노드 0에 고정되어 있기 때문에 보안 목적(예: 스팸 차단 검사, 바이러스 차단 검사, 보안 정책 적용)으로 노드 0에서 처리됩니다. 그런 다음 패킷은 송신 처리를 위해 패브릭 인터페이스를 통해 노드 1로 전송되며 최종적으로 인터페이스 ge-7/0/1을 통해 노드 1에서 전송됩니다.
신뢰할 수 없는 영역 인터페이스의 실패 이해하기
이 경우 세션은 노드 간에 마이그레이션됩니다. 정상 작동 조건에서 트래픽은 노드 0에 의해서만 처리됩니다. 노드 0에서 인터페이스 ge-0/0/0이 실패하면 라우팅 테이블이 변경되어 이제 노드 1의 인터페이스 ge-7/0/0을 가리킵니다. 실패 후 노드 0의 세션은 비활성화되고 노드 1의 패시브 세션은 활성화됩니다. 트러스트 영역에서 도착하는 트래픽은 여전히 인터페이스 ge-0/0/1에서 수신되지만 처리를 위해 노드 1로 전달됩니다. 트래픽은 노드 1에서 처리된 후 인터페이스 ge-7/0/0을 통해 인터넷으로 전달됩니다.
이 섀시 클러스터 구성에서 중복 그룹 1은 트러스트 영역에 연결된 중복 이더넷 인터페이스를 제어하는 데 사용됩니다. 이 시나리오에서 구성된 바와 같이, 중복 그룹 1은 인터페이스 ge-0/0/1 또는 ge-7/0/1이 실패하는 경우에만 실패하지만, 인터넷에 연결된 인터페이스가 실패하는 경우에는 실패하지 않습니다. 선택적으로, 이중화 그룹 1이 인터넷에 연결된 모든 인터페이스를 모니터링하고 인터넷 링크가 실패할 경우 장애 조치할 수 있도록 구성을 수정할 수 있습니다. 따라서 예를 들어, 구성은 중복 그룹 1이 ge-0/0/0을 모니터링하고 ge-0/0/0 인터넷 링크가 실패하면 reth0에 대해 ge-7/0/1을 활성화하도록 허용할 수 있습니다. (이 옵션은 다음 구성 예에서 설명되지 않습니다.)
참조
예: 비대칭 섀시 클러스터 쌍 구성
이 예는 비대칭 라우팅을 허용하도록 섀시 클러스터를 구성하는 방법을 보여줍니다. 섀시 클러스터에 대한 비대칭 라우팅을 구성하면 두 디바이스 중 하나에서 수신된 트래픽을 원활하게 처리할 수 있습니다.
요구 사항
시작하기 전에:
-
한 쌍의 디바이스를 물리적으로 연결하여 동일한 모델인지 확인합니다. 이 예에서는 한 쌍의 SRX1500 또는 SRX1600 디바이스를 사용합니다.
-
패브릭 링크를 생성하려면 한 디바이스의 기가비트 이더넷 인터페이스를 다른 디바이스의 다른 기가비트 이더넷 인터페이스에 연결합니다.
-
제어 링크를 생성하려면 두 SRX1500 디바이스의 제어 포트를 연결합니다.
-
-
콘솔 포트를 사용하여 디바이스 중 하나에 연결합니다. (클러스터를 형성하는 노드입니다.)
-
클러스터 ID 및 노드 번호를 설정합니다.
user@host> set chassis cluster cluster-id 1 node 0 reboot
-
-
콘솔 포트를 사용하여 다른 디바이스에 연결합니다.
-
클러스터 ID 및 노드 번호를 설정합니다.
user@host> set chassis cluster cluster-id 1 node 1 reboot
-
개요
이 예에서 섀시 클러스터는 비대칭 라우팅을 제공합니다. 그림 2와 같이 두 개의 인터넷 연결이 사용되며 하나는 선호됩니다. 트러스트 영역으로의 연결은 중복 이더넷 인터페이스를 통해 제공되어 트러스트 영역의 디바이스에 LAN 이중화를 제공합니다.
이 예에서는 그룹(명령으로 apply-groups 구성 적용) 및 섀시 클러스터 정보를 구성합니다. 그런 다음 보안 영역과 보안 정책을 구성합니다. 표 1 - 표 4를 참조하십시오.
| 특징 |
이름 |
구성 매개 변수 |
|---|---|---|
| 그룹 |
노드 0 |
|
| 노드 1 |
|
| 특징 |
이름 |
구성 매개 변수 |
|---|---|---|
| 패브릭 링크 |
팹0 |
인터페이스: ge-0/0/7 |
| 팹1 |
인터페이스: ge-7/0/7 |
|
| 하트비트 간격 |
– |
1000 |
| 하트비트 임계값 |
– |
3 |
| 이중화 그룹 |
1 |
|
| 인터페이스 모니터링
|
||
| 중복 이더넷 인터페이스 수 |
– |
1 |
| 인터페이스 |
ge-0/0/1 |
|
| ge-7/0/1 |
|
|
| ge-0/0/3 |
중복 상위: reth0 |
|
| ge-7/0/3 |
중복 상위: reth0 |
|
| reth0 |
|
|
| 이름 |
구성 매개 변수 |
|---|---|
| 트러스트 |
reth0.0 인터페이스는 이 영역에 결합됩니다. |
| 불신(untrust) |
ge-0/0/1 및 ge-7/0/1 인터페이스는 이 영역에 결합됩니다. |
| 목적 |
이름 |
구성 매개 변수 |
|---|---|---|
| 이 보안 정책은 트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용합니다. |
어떤 |
|
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
{primary:node0}[edit]
set groups node0 system host-name srxseries-1
set groups node0 interfaces fxp0 unit 0 family inet address 192.168.100.50/24
set groups node1 system host-name srxseries-2
set groups node1 interfaces fxp0 unit 0 family inet address 192.168.100.51/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces ge-0/0/7
set interfaces fab1 fabric-options member-interfaces ge-7/0/7
set chassis cluster reth-count 1
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/3 weight 255
set interfaces ge-0/0/1 unit 0 family inet address 1.4.0.202/24
set interfaces ge-0/0/3 gigether-options redundant-parent reth0
set interfaces ge-7/0/1 unit 0 family inet address 10.2.1.233/24
set interfaces ge-7/0/3 gigether-options redundant-parent reth0
set interfaces reth0 unit 0 family inet address 10.16.8.1/24
set routing-options static route 0.0.0.0/0 qualified-next-hop 10.4.0.1 metric 10
set routing-options static route 0.0.0.0/0 qualified-next-hop 10.2.1.1 metric 100
set security zones security-zone untrust interfaces ge-0/0/1.0
set security zones security-zone untrust interfaces ge-7/0/1.0
set security zones security-zone trust interfaces reth0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone untrust policy ANY then permit
단계별 절차
비대칭 섀시 클러스터 쌍을 구성하려면,
-
관리 인터페이스를 구성합니다.
{primary:node0}[edit] user@host# set groups node0 system host-name srxseries-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 192.168.100.50/24 user@host# set groups node1 system host-name srxseries-2 user@host#set groups node1 interfaces fxp0 unit 0 family inet address 192.168.100.51/24 user@host# set apply-groups “${node}” -
패브릭 인터페이스를 구성합니다.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/7 user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/7 -
중복 이더넷 인터페이스의 수를 구성합니다.
{primary:node0}[edit] user@host# set chassis cluster reth-count 1 -
중복 그룹을 구성합니다.
{primary:node0}[edit] user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3 user@host# set chassis cluster node 0 user@host# set chassis cluster node 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 100 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/3 weight 255 -
중복 이더넷 인터페이스를 구성합니다.
{primary:node0}[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 1.4.0.202/24 user@host# set interfaces ge-0/0/3 gigether-options redundant-parent reth0 user@host# set interfaces ge-7/0/1 unit 0 family inet address 10.2.1.233/24 user@host# set interfaces ge-7/0/3 gigether-options redundant-parent reth0 user@host# set interfaces reth0 unit 0 family inet address 10.16.8.1/24 -
정적 경로(각 ISP에 하나씩, ge-0/0/1을 통한 선호 경로)를 구성합니다.
{primary:node0}[edit] user@host# set routing-options static route 0.0.0.0/0 qualified-next-hop 10.4.0.1 metric 10 user@host# set routing-options static route 0.0.0.0/0 qualified-next-hop 10.2.1.1 metric 100 -
보안 영역을 구성합니다.
{primary:node0}[edit] user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone untrust interfaces ge-7/0/1.0 user@host# set security zones security-zone trust interfaces reth0.0 -
보안 정책을 구성합니다.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone untrust policy ANY then permit
결과
운영 모드에서 명령을 입력하여 show configuration 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
간결성을 위해 이 show 명령 출력은 이 예와 관련된 구성만 포함합니다. 시스템의 다른 구성은 생략 부호(...)로 대체되었습니다.
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name srxseries-1;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.168.100.50/24;
}
}
}
}
}
node1 {
system {
host-name srxseries-2;
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.168.100.51/24;
}
}
}
}
}
}
apply-groups "${node}";
chassis {
cluster {
reth-count 1;
heartbeat-interval 1000;
heartbeat-threshold 3;
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
interface-monitor {
ge-0/0/3 weight 255;
ge-7/0/3 weight 255;
}
}
}
}
interfaces {
ge-0/0/3 {
gigether–options {
redundant–parent reth0;
}
}
ge-7/0/3 {
gigether–options {
redundant–parent reth0;
}
}
ge–0/0/1 {
unit 0 {
family inet {
address 10.4.0.202/24;
}
}
}
ge–7/0/1 {
unit 0 {
family inet {
address 10.2.1.233/24;
}
}
}
fab0 {
fabric–options {
member–interfaces {
ge–0/0/7;
}
}
}
fab1 {
fabric–options {
member–interfaces {
ge–7/0/7;
}
}
}
reth0 {
gigether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.16.8.1/24;
}
}
}
}
...
routing-options {
static {
route 0.0.0.0/0 {
next-hop 10.4.0.1;
metric 10;
}
}
}
routing-options {
static {
route 0.0.0.0/0 {
next-hop 10.2.1.1;
metric 100;
}
}
}
security {
zones {
security–zone untrust {
interfaces {
ge-0/0/1.0;
ge-7/0/1.0;
}
}
security–zone trust {
interfaces {
reth0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy ANY {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
- 섀시 클러스터 상태 확인
- 섀시 클러스터 인터페이스 확인
- 섀시 클러스터 통계 확인
- 섀시 클러스터 컨트롤 플레인 통계 확인
- 섀시 클러스터 데이터 플레인 통계 확인
- 섀시 클러스터 이중화 그룹 상태 확인
- 로그를 통한 문제 해결
섀시 클러스터 상태 확인
목적
섀시 클러스터 상태, 장애 조치 상태 및 중복 그룹 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show chassis cluster status .
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 1 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
섀시 클러스터 인터페이스 확인
목적
섀시 클러스터 인터페이스에 대한 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show chassis cluster interfaces .
{primary:node0}
user@host> show chassis cluster interfaces
Control link name: fxp1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
ge-0/0/3 255 Up 1
ge-7/0/3 255 Up 1
섀시 클러스터 통계 확인
목적
동기화되는 다양한 개체의 통계, 패브릭 및 제어 인터페이스 Hello, 클러스터에서 모니터링되는 인터페이스의 상태에 대한 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show chassis cluster statistics .
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 228
Heartbeat packets received: 2370
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2272
Probes received: 597
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 160 0
Session close 147 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
섀시 클러스터 컨트롤 플레인 통계 확인
목적
섀시 클러스터 컨트롤 플레인 통계(송수신된 하트비트) 및 패브릭 링크 통계(송수신된 프로브)에 대한 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show chassis cluster control-plane statistics .
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
섀시 클러스터 데이터 플레인 통계 확인
목적
서비스에 대해 보내고 받은 RTO 수에 대한 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show chassis cluster data-plane statistics .
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 160 0
Session close 147 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
섀시 클러스터 이중화 그룹 상태 확인
목적
클러스터에 있는 두 노드의 상태 및 우선 순위를 확인하고 기본 노드가 선점되었는지 또는 수동 장애 조치(failover)가 있었는지 여부에 대한 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 chassis cluster status redundancy-group .
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 100 primary no no
node1 1 secondary no no