Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

멀티노드 고가용성 구축을 위한 환경 준비

이 주제에서는 멀티노드 고가용성 배치를 위한 환경을 준비하기 위한 세부 정보를 제공합니다.

디바이스 모델

멀티노드 고가용성에서는 노드와 동일한 SRX 시리즈 방화벽 모델을 사용해야 합니다. 예를 들어 SRX5600 하나의 노드로 사용하는 경우 다른 노드SRX5600 다른 노드로 사용해야 합니다

SRX5000 라인 디바이스의 경우 SPC, NPC 및 IOC의 슬롯 배치와 유형이 동일한지 확인하십시오.

소프트웨어 버전

참여하는 보안 디바이스에 호환되는 버전의 Junos OS를 설치합니다.

최신 Junos IKE 패키지

멀티노드 고가용성 솔루션에서 ICL 암호화를 활성화하려면 IKE 패키지를 설치해야 합니다.

기본적으로 SRX 시리즈 방화벽이 부팅되면 레거시 IKE(Internet Key Exchange) 아키텍처가 실행됩니다. 새로운 IKE 아키텍처를 사용하려면 새 Junos IKE 패키지를 설치해야 합니다. 이것은 Junos OS 소프트웨어 다운로드 이미지에 포함된 옵션 패키지입니다.

다음 명령을 사용하여 IKE(Internet Key Exchange) 패키지를 설치합니다.

Junos IKE 패키지를 설치한 후, 인스턴스의 후속 소프트웨어 업그레이드를 위해 Junos IKE 패키지가 디바이스에 설치된 새로운 Junos OS 릴리스에서 자동으로 업그레이드됩니다.

소프트웨어 라이선스

멀티노드 고가용성 기능에 대한 특정 라이선스는 필요하지 않습니다. 그러나 라이선스는 각 SRX 시리즈에 고유하며 멀티노드 고가용성 설정의 노드 간에 공유할 수 없습니다. 따라서 두 노드에서 동일한 라이선스를 사용해야 합니다. 두 SRX 시리즈 방화벽에 동일한 라이선스 세트가 없는 경우, 시스템은 구축 준비가 되지 않은 것입니다.

네트워크 접근성

멀티노드 고가용성 설정의 두 노드는 ICL 경로를 사용하여 서로 연결할 수 있어야 합니다. 이 경로는 ICL의 암호화 여부와 관계없이 IP 주소, 프로토콜 및 포트 세부 정보를 사용합니다. 방화벽 또는 기타 검사가 적용되는 경우 노드 간에 이 통신이 허용되는지 확인해야 합니다.

각 노드에 사용하는 유동 IP 주소는 네트워크에서 라우팅 가능한 IP(논리적 라우팅 경로)여야 합니다.

ICL을 루프백 인터페이스(lo0) 또는 어그리게이션 이더넷 인터페이스(ae0)에 바인딩하고 가장 높은 복원력을 위해 경로 다양성을 보장하는 두 개 이상의 물리적 링크(LAG/LACP)를 사용하는 것이 좋습니다. 또한 SRX 시리즈 방화벽의 수익 이더넷 포트를 사용하여 ICL 연결을 설정할 수 있습니다. 수익 인터페이스의 전송 트래픽을 고가용성(HA) 트래픽과 분리해야 합니다.

IP 주소 고려 사항

표 1 에는 멀티노드 고가용성 배치를 위한 IPv4 및 IPv6 주소 지원에 대한 세부 정보가 나와 있습니다.

표 1: 멀티노드 고가용성을 위한 IP 주소 고려 사항
MNHA 구축 유형 레이어 3 네트워크(양쪽 끝에 라우터) 하이브리드 네트워크(한쪽 끝에는 라우터, 다른 쪽 끝에는 스위치) 기본 게이트웨이(양쪽 끝에는 스위치)

IP 모니터링을 위한 IPv4 및 IPv6 주소

활동성 프로빙을 위한 IPv4 및 IPv6 주소

가상 IPv4 및 IPv6 주소

해당 사항 없음
메모:

멀티노드 고가용성 설정에서 논리 인터페이스(IFL)당 하나의 VIP만 구성합니다. 여러 VIP 또는 이중 스택 사용에 대한 지원은 사용할 수 없습니다.

멀티노드 고가용성 구성에서 IP 주소 풀 사용

멀티노드 고가용성에서 여러 SRG(액티브-액티브 모드)를 구성할 때 액세스 프로필의 SRG가 사용하는 주소 풀이 겹치지 않도록 해야 합니다. 또한 서로 다른 SRG에 연결된 호스트에 대해 RADIUS 서버에 구성된 주소 및 주소 풀이 고유해야 합니다.

예: 다음 샘플은 각각 SRG1 및 SRG2에 대한 액세스 프로필 localpool localpool2 이(가) 있는 주소 풀 구성을 보여줍니다.

이 예에서 서비스 중복 그룹(SRG1 및 SRG2)은 동일한 네트워크(192.0.2.0/24)에 있습니다. 그러나 주소 풀의 IP 주소는 중복을 피하기 위해 배포됩니다(SRG1의 경우 192.0.2.1/24—192.0.2.127, SRG2의 경우 192.0.2.128—192.0.2.255).

마찬가지로, RADIUS 서버의 사용자 구성에 고유한 IP 주소 및 주소 풀을 사용해야 합니다.

두 SRG의 호스트에 동일한 주소를 할당하면 멀티노드 고가용성(HA)이 새 호스트를 삭제하고 다음 메시지와 함께 IKE 협상을 중단합니다.

시스템 로그에 다음 메시지가 표시됩니다.