멀티노드 고가용성 서비스
멀티노드 고가용성은 데이터 플레인의 액티브/액티브 모드와 컨트롤 플레인 서비스의 액티브/백업 모드를 지원합니다. 컨트롤 플레인 스테이트리스 및 스테이트풀 서비스에 대한 자세한 내용은 다음 섹션에서 확인할 수 있습니다.
컨트롤 플레인 스테이트리스 서비스
SRG0은 애플리케이션 보안, 침입 탐지 및 방지(IDP), 콘텐츠 보안, 방화벽, NAT, 정책, ALG 등과 같은 컨트롤 플레인 상태 없이 서비스를 관리합니다. 이러한 서비스에 대한 페일오버는 데이터 플레인 수준에서만 필요하며 이러한 서비스 중 일부는 통과됩니다(NAT, 방화벽 인증을 제외하고 디바이스에서 종료되지 않음).
SRG0은 두 노드에서 활성 상태를 유지하고 두 노드에서 트래픽을 전달합니다. 이러한 기능은 멀티노드 고가용성의 두 SRX 시리즈 방화벽에서 독립적으로 작동합니다.
컨트롤 플레인 스테이트리스 서비스를 구성하려면 다음을 수행합니다.
- 독립형 SRX 시리즈 방화벽에서 구성할 때 기능을 구성하십시오.
- 참여 보안 디바이스에 동일한 Junos OS 버전 설치(Junos OS 릴리스 22.3R1 이상)
- 두 노드에 동일한 라이선스 설치
- 두 노드 모두에 동일한 버전의 애플리케이션 서명 패키지 또는 IPS 패키지 다운로드 및 설치(애플리케이션 보안 및 IDP를 사용하는 경우)
- 요구 사항에 따라 조건부 경로 보급, 라우팅 정책 및 정적 경로를 구성합니다.
- 멀티노드 고가용성에서는 구성 동기화가 기본적으로 발생하지 않습니다. 응용 프로그램을 그룹의 일부로 구성한 다음 옵션을 사용하여
peer synchronization구성을 동기화하거나 각 노드에서 독립적으로 구성을 관리해야 합니다.
네트워크 주소 변환
방화벽, ALG, NAT와 같은 서비스에는 컨트롤 플레인 상태가 없습니다. 이러한 서비스의 경우 노드 간에 데이터 플레인 상태만 동기화하면 됩니다.
멀티노드 고가용성 설정에서 한 디바이스는 한 번에 NAT 세션을 처리하고 페일오버가 발생하면 다른 디바이스가 활성 역할을 대신합니다. 따라서 세션은 한 디바이스에서 활성 상태로 유지되고 다른 디바이스에서는 페일오버가 발생할 때까지 세션이 웜(대기) 상태가 됩니다.
네트워크 주소 변환(NAT) 세션과 ALG 상태 객체는 노드 간에 동기화됩니다. 한 노드에 장애가 발생하면 두 번째 노드는 NAT 변환을 포함하여 장애가 발생한 디바이스에서 동기화된 세션에 대한 트래픽을 계속 처리합니다.
두 SRX 시리즈 방화벽에서 동일한 매개 변수를 사용하여 NAT 규칙과 풀을 생성해야 합니다. NAT 트래픽(NAT 풀 IP 주소로 향함)에 대한 응답 경로를 올바른 SRX 시리즈 방화벽(활성 디바이스)으로 조정하려면 액티브/백업 디바이스 모두에 필요한 라우팅 구성이 있어야 합니다. 즉, 구성은 라우팅 프로토콜을 통해 인접 라우팅 디바이스로 보급되는 경로를 지정해야 합니다. 따라서 정책 옵션 및 경로 구성도 구성해야 합니다.
두 디바이스에서 NAT 관련 작동 명령을 실행하면 동일한 출력을 볼 수 있습니다. 그러나 NAT 규칙/풀 내부 숫자 ID가 노드 간에 다를 수 있는 경우가 있을 수 있습니다. 다른 숫자 ID는 장애 조치 시 세션 동기화/NAT 변환에 영향을 주지 않습니다.
방화벽 사용자 인증
방화벽 인증을 사용하면 사용자를 개별적으로 또는 그룹으로 제한하거나 허용할 수 있습니다. 로컬 암호 데이터베이스 또는 외부 암호 데이터베이스를 사용하여 사용자를 인증할 수 있습니다.
멀티노드 고가용성은 다음과 같은 인증 방법을 지원합니다.
- 통과 인증
- 웹 리디렉션 인증을 통한 통과
- 웹 인증
방화벽 사용자 인증은 활성 컨트롤 플레인 상태의 서비스이며 노드 간에 컨트롤 및 데이터 플레인 상태 동기화가 필요합니다. 멀티노드 고가용성 설정에서 작업하는 동안 방화벽 사용자 인증 기능은 두 SRX 시리즈 방화벽에서 독립적으로 작동하며 노드 간에 인증 테이블을 동기화합니다. 사용자가 성공적으로 인증되면 인증 항목이 다른 노드와 동기화되고 명령을 실행할 때 두 노드 모두에 표시됩니다(예: show security firewall-authentication users ).
노드 간에 구성을 동기화할 때 인증, 정책, 소스 영역 및 대상 영역 세부 정보가 두 노드에서 일치하는지 확인합니다. 구성에서 동일한 순서를 유지하면 두 노드에서 인증 항목을 성공적으로 동기화할 수 있습니다.
명령문을 사용하여 clear security user-identification local-authentication-table 한 노드에서 인증 항목을 지우는 경우 다른 노드에서도 인증 항목을 삭제해야 합니다.
비대칭 트래픽 구성의 경우에도 동일한 관행을 따릅니다.
멀티노드 고가용성은 JIMS(Juniper Identity Management Service)를 지원하여 사용자 ID 정보를 얻습니다. 각 노드는 JIMS 서버에서 인증 항목을 가져와 독립적으로 처리합니다. 이 때문에 각 노드에서 방화벽 사용자 인증 명령을 별도로 실행해야 합니다. 예를 들어, show 명령을 사용하여 인증 항목을 표시할 때 각 노드는 현재 처리 중인 인증 항목만 표시합니다(독립형 모드에서 독립적으로 작업하는 것처럼:
멀티노드 고가용성 노드 간 구성 동기화
멀티노드 고가용성에서는 2개의 SRX 시리즈 방화벽이 독립 디바이스 역할을 합니다. 이러한 디바이스에는 fxp0 인터페이스의 고유한 호스트 이름과 IP 주소가 있습니다. 이러한 디바이스에서 ALG, 방화벽, NAT와 같은 컨트롤 플레인 스테이트리스 서비스를 독립적으로 구성할 수 있습니다. 노드별 패킷은 항상 해당 노드에서 처리됩니다.
다음 패킷/서비스는 멀티노드 고가용성에서 노드별(로컬)입니다.
-
라우팅 프로토콜 패킷을 라우팅 엔진으로 라우팅
-
관리 서비스(예: SNMP) 및 운영 명령(
show,request) -
인증 서비스 프로세스(인증)와 같은 프로세스가 RADIUS 및 LDAP 서버와 통합됨
-
ICL 암호화, 특정 터널 제어 및 데이터 패킷
멀티노드 고가용성의 구성 동기화는 기본적으로 활성화되어 있지 않습니다. 특정 구성을 다른 노드와 동기화하려면 다음을 수행해야 합니다.
- 기능/기능을 의 일부로 구성합니다.
groups - 옵션을 사용하여 구성을 동기화합니다
[edit system commit peers-synchronize]
멀티노드 고가용성의 두 디바이스 모두에서 구성 동기화(옵션 사용 peers-synchronize )를 활성화하면 [groups] 아래의 한 피어에서 구성한 구성 설정이 커밋 작업 시 다른 피어와 자동으로 동기화됩니다.
문을 활성화하는 peers-synchronize 로컬 피어는 해당 구성을 복사하여 원격 피어에 로드합니다. 그런 다음 각 피어는 커밋되는 구성 파일에 대한 구문 검사를 수행합니다. 오류가 발견되지 않으면 구성이 활성화되고 두 피어 모두에서 현재 운영 구성이 됩니다.
다음 구성 코드 조각은 host-mnha-01의 VPN 구성을 avpn_config_group 보여 줍니다. 구성을 다른 피어 디바이스 host-mnha-02와 동기화합니다.
- 참여 피어 디바이스(host-mnha-02)의 호스트 이름 및 IP 주소, 인증 세부 정보를 구성하고 문을 포함합니다
peers-synchronization.On host-mnha-01 [edit] set system commit peers-synchronize set system commit peers host-mnha-02 user user-02 set system commit peers host-mnha-02 authentication "$ABC" set system services netconf ssh set system static-host-mapping host-mnha-02 inet 10.157.75.129
-
그룹(avpn_config_group)을 구성하고 적용 조건을 지정합니다(피어 host-mnha-01 및 host-mnha-02인 경우)
On host-mnha-01 set groups avpn_config_group when peers host-mnha-01 set groups avpn_config_group when peers host-mnha-02 set groups avpn_config_group security ike proposal avpn_IKE_PROP authentication-method rsa-signatures set groups avpn_config_group security ike proposal avpn_IKE_PROP dh-group group14 set groups avpn_config_group security ike proposal avpn_IKE_PROP authentication-algorithm sha1 set groups avpn_config_group security ike proposal avpn_IKE_PROP encryption-algorithm aes-128-cbc set groups avpn_config_group security ike proposal avpn_IKE_PROP lifetime-seconds 3600 set groups avpn_config_group security ike policy avpn_IKE_POL proposals avpn_IKE_PROP set groups avpn_config_group security ike policy avpn_IKE_POL certificate local-certificate crt2k set groups avpn_config_group security ike gateway avpn_ike_gw ike-policy avpn_IKE_POL set groups avpn_config_group security ike gateway avpn_ike_gw dynamic distinguished-name wildcard C=us,O=ixia set groups avpn_config_group security ike gateway avpn_ike_gw dynamic ike-user-type group-ike-id set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection probe-idle-tunnel set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection interval 60 set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection threshold 5 set groups avpn_config_group security ike gateway avpn_ike_gw local-identity hostname srx.juniper.net set groups avpn_config_group security ike gateway avpn_ike_gw external-interface lo0.0 set groups avpn_config_group security ike gateway avpn_ike_gw local-address 10.11.0.1 set groups avpn_config_group security ike gateway avpn_ike_gw version v2-only set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP protocol esp set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP authentication-algorithm hmac-sha1-96 set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP encryption-algorithm aes-128-cbc set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP lifetime-seconds 1800 set groups avpn_config_group security ipsec policy avpn_IPSEC_POL perfect-forward-secrecy keys group14 set groups avpn_config_group security ipsec policy avpn_IPSEC_POL proposals avpn_IPSEC_PROP set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn bind-interface st0.15001 set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn ike gateway avpn_ike_gw set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn ike ipsec-policy avpn_IPSEC_POL set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn traffic-selector ts local-ip 10.19.0.0/8 set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn traffic-selector ts remote-ip 10.4.0.0/8 set groups avpn_config_group security zones security-zone vpn host-inbound-traffic system-services all set groups avpn_config_group security zones security-zone vpn host-inbound-traffic protocols all set groups avpn_config_group security zones security-zone vpn interfaces st0.15001 set groups avpn_config_group interfaces st0 description vpn set groups avpn_config_group interfaces st0 unit 15001 family inet
-
apply-groups구성의 루트에 있는 명령을 사용합니다.On host-mnha-01 set apply-groups avpn_config_group
구성을 커밋하면 Junos는 명령을 확인하고 노드 이름과 일치하도록 올바른 그룹을 병합합니다.
-
작동 모드에서 명령을 사용하여
show configuration system동기화 상태를 확인합니다.user@host-mnha-01> show configuration system ........... commit { peers { host-mnha-02 { user user user-02; authentication "$ABC123"; } } } static-host-mapping { host-mnha-02 inet 10.157.75.129; } ............명령 출력은 peers 옵션 아래에 피어 SRX 시리즈 방화벽의 세부 정보를 표시합니다.
구성 동기화는 동적으로 이루어지며, 한 노드만 사용 가능할 때 또는 노드 간 연결이 끊어졌을 때 구성이 변경되면 한 번 더 커밋을 실행하여 구성을 다른 노드와 동기화해야 합니다. 그렇지 않으면 애플리케이션의 노드 간에 구성이 일관되지 않게 됩니다.
- 구성 동기화는 멀티노드 고가용성이 작동하기 위해 필수는 아닙니다. 그러나 쉬운 구성 동기화를 위해 한 방향(예: 노드 0에서 노드 1로)의 구성과 함께
junos groups문을 사용하는set system commit peers-synchronize것이 좋습니다. - 공통 구성을 관리하기 위해 대역 외 관리(fxp0) 연결을 사용하여 멀티노드 고가용성 노드 간에 구성 동기화를 형성하는 것이 좋습니다.
- IPsec 사용 사례의 경우, 구성 동기화가 활성화되지 않은 경우 먼저 백업 노드에서 구성을 커밋한 다음 활성 노드에서 커밋해야 합니다.