멀티노드 고가용성 구축을 위한 환경 준비
이 항목에서는 멀티노드 고가용성 구축을 위한 환경을 준비하는 데 필요한 세부 정보를 제공합니다.
장치 모델
멀티노드 고가용성에서는 노드와 동일한 SRX 시리즈 방화벽 모델을 사용해야 합니다. 예를 들어 SRX5600 한 노드로 사용하는 경우 다른 SRX5600 다른 노드로 사용해야 합니다
SRX5000 디바이스 라인의 경우 SPC, NPC 및 IOC의 슬롯 배치 및 유형이 동일한지 확인합니다.
주니퍼는 다음 디바이스에서 멀티노드 고가용성을 지원합니다.
- SRX5800, SRX5600 SRX5400 Junos OS 릴리스 20.4R1 이상을 실행하는 다음 구성 요소와 함께 사용할 수 있습니다.
-
-
서비스 프로세싱 카드 SPC3
-
I/O 카드 IOC3
-
스위치 컨트롤 보드 SCB3 및 SCB4
-
라우팅 엔진 RE3
-
- Junos OS 릴리스 22.3R1 이상을 실행하는 SRX4600, SRX4200, SRX4100 및 SRX1500
- Junos OS 릴리스 23.4R1 이상을 실행하는 SRX2300 및 SRX1600
- Junos OS 릴리스 24.2R1 이상을 실행하는 SRX4300
- Junos OS 릴리스 22.3R1 이상을 실행하는 vSRX 가상 방화벽
소프트웨어 버전
참여하는 보안 디바이스에 호환되는 버전의 Junos OS를 설치합니다.
최신 Junos IKE 패키지
다중 노드 고가용성 솔루션에서 ICL 암호화를 활성화하려면 IKE 패키지를 설치해야 합니다.
기본적으로 SRX 시리즈 방화벽이 부팅되면 레거시 IKE(Internet Key Exchange) 아키텍처가 실행됩니다. 새로운 IKE 아키텍처를 활성화하려면 새로운 Junos IKE 패키지를 설치해야 합니다. Junos OS 소프트웨어 다운로드 이미지에 포함된 옵션 패키지입니다.
다음 명령을 사용하여 IKE 패키지를 설치합니다.
user@host> request system software add optional://junos-ike.tgz
Junos IKE 패키지를 설치한 후 인스턴스의 후속 소프트웨어 업그레이드를 위해 Junos IKE 패키지는 디바이스에 설치된 새 Junos OS 릴리스에서 자동으로 업그레이드됩니다.
소프트웨어 라이선스
멀티노드 고가용성 기능을 위해 특정 라이센스가 필요하지 않습니다. 그러나 라이선스는 각 SRX 시리즈마다 고유하며 멀티노드 고가용성 설정의 노드 간에 공유할 수 없습니다. 따라서 두 노드에서 동일한 라이선스를 사용해야 합니다. 두 SRX 시리즈 방화벽에 동일한 라이선스 세트가 없으면 시스템을 구축할 준비가 되지 않은 것입니다.
네트워크 접근성
멀티노드 고가용성 설정의 두 노드는 ICL 경로를 사용하여 서로 연결할 수 있어야 합니다. 이 경로는 ICL이 암호화되었는지 여부에 관계없이 IP 주소, 프로토콜 및 포트 세부 정보를 사용합니다. 방화벽 또는 기타 검사가 있는 경우 노드 간에 이 통신이 허용되는지 확인해야 합니다.
각 노드에 사용하는 유동 IP 주소는 네트워크를 통해 라우팅 가능한 IP(논리적 라우팅 경로)여야 합니다.
ICL을 루프백 인터페이스(lo0) 또는 통합 이더넷 인터페이스(ae0)에 바인딩하고 최고의 복원력을 위해 경로 다양성을 보장하는 두 개 이상의 물리적 링크(LAG/LACP)를 보유하는 것이 좋습니다. 또한 SRX 시리즈 방화벽의 수익 이더넷 포트를 사용하여 ICL 연결을 설정할 수 있습니다. 수익 인터페이스의 전송 트래픽을 고가용성(HA) 트래픽과 분리해야 합니다.
IP 주소 고려 사항
표 1 에는 멀티노드 고가용성 구축을 위한 IPv4 및 IPv6 주소 지원에 대한 세부 정보가 나와 있습니다.
| MNHA 구축 유형 | 레이어 3 네트워크(양쪽 끝에 라우터) | 하이브리드 네트워크(한쪽 끝에 라우터가 있고 다른 쪽 끝에 스위치가 있음) | 기본 게이트웨이(양쪽 끝에 스위치) |
|---|---|---|---|
| IP 모니터링을 위한 IPv4 및 IPv6 주소 |
예 | 예 | 예 |
| Activeness Probing을 위한 IPv4 및 IPv6 주소 |
예 | 예 | 예 |
| 가상 IPv4 및 IPv6 주소 |
해당 사항 없음 | 예 | 예 |
멀티노드 고가용성 설정에서 논리적 인터페이스(IFL)당 하나의 VIP만 구성합니다. 다중 VIP 또는 이중 스택 사용에 대한 지원은 제공되지 않습니다.
멀티노드 고가용성 구성에서 IP 주소 풀 사용
멀티노드 고가용성에서 여러 SRC(액티브-액티브 모드)를 구성할 때 액세스 프로필의 SRX가 사용하는 주소 풀이 겹치지 않아야 합니다. 또한 다른 SRX에 연결된 호스트에 대해 RADIUS 서버에 구성된 주소 및 주소 풀이 고유해야 합니다.
예: 다음 샘플은 액세스 프로필 localpool 과 localpool2 SRG1 및 SRG2에 각각 대한 주소 풀 구성을 보여줍니다.
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
이 예에서 서비스 이중화 그룹(SRG1 및 SRG2)은 동일한 네트워크(192.0.2.0/24)에 있습니다. 그러나 주소 풀의 IP 주소는 겹치지 않도록 분산됩니다(SRG1의 경우 192.0.2.1/24—192.0.2.127, SRG2의 경우 192.0.2.128—192.0.2.255).
마찬가지로 RADIUS 서버의 사용자 구성에 고유한 IP 주소 및 주소 풀을 사용해야 합니다.
두 SRG의 호스트에 동일한 주소를 할당하는 경우 멀티노드 고가용성은 새 호스트를 삭제하고 다음 메시지와 함께 IKE 협상을 중단합니다.
AUTHENTICATION_FAILED as the AUTH response
시스템 로그에 다음 메시지가 표시됩니다.
Duplicate assigned IPv4 received, delete new peer