멀티노드 고가용성 서비스
멀티노드 고가용성은 데이터 플레인을 위한 액티브/액티브 모드와 컨트롤 플레인 서비스를 위한 액티브/백업 모드를 지원합니다. 다음 섹션에서 컨트롤 플레인, 상태 비저장 및 상태 저장 서비스에 대해 알아보겠습니다.
컨트롤 플레인 상태 비저장 서비스
SRG0은 애플리케이션 보안, IDP, 콘텐츠 보안, 방화벽, 네트워크 주소 변환(NAT), 정책, ALG 등과 같은 컨트롤 플레인 상태 없이 서비스를 관리합니다. 이러한 서비스에 대한 페일오버는 데이터 플레인 수준에서만 필요하며 이러한 서비스 중 일부는 통과됩니다(네트워크 주소 변환(NAT), 방화벽 인증을 제외하고 디바이스에서 종료되지 않음).
SRG0은 두 노드에서 모두 활성 상태를 유지하고 두 노드에서 트래픽을 전달합니다. 이 기능은 멀티노드 고가용성의 두 SRX 시리즈 방화벽에서 독립적으로 작동합니다.
컨트롤 플레인 상태 비저장 서비스 구성 방법:
- 독립형 SRX 시리즈 방화벽에서 해당 기능을 구성할 때 해당 기능을 구성합니다.
- 참여하는 보안 디바이스에 동일한 Junos OS 버전을 설치합니다(Junos OS 릴리스 22.3R1 이상)
- 두 노드에 동일한 라이센스를 설치합니다
- 두 노드에 동일한 버전의 애플리케이션 시그니처 패키지 또는 IPS 패키지를 다운로드하여 설치합니다(애플리케이션 보안 및 IDP를 사용하는 경우).
- 요구 사항에 따라 조건부 경로 보급, 라우팅 정책, 정적 경로를 구성합니다.
- 멀티노드 고가용성에서는 구성 동기화가 기본적으로 수행되지 않습니다. 애플리케이션을 그룹의 일부로 구성한 다음 옵션을 사용하여
peer synchronization구성을 동기화하거나 각 노드에서 독립적으로 구성을 관리해야 합니다.
네트워크 주소 변환
방화벽, ALG, NAT와 같은 서비스에는 컨트롤 플레인 상태가 없습니다. 이러한 서비스의 경우 데이터 플레인 상태만 노드 간에 동기화되어야 합니다.
멀티노드 고가용성 설정에서 한 디바이스는 한 번에 NAT 세션을 처리하고 페일오버가 발생하면 다른 디바이스가 활성 역할을 수행합니다. 따라서 세션은 한 디바이스에서 활성 상태로 유지되고 다른 디바이스에서는 장애 조치가 발생할 때까지 세션이 웜(대기) 상태가 됩니다.
NAT 세션 및 ALG 상태 객체는 노드 간에 동기화됩니다. 한 노드에 장애가 발생하면 두 번째 노드는 NAT 변환을 포함하여 장애가 발생한 디바이스에서 동기화된 세션에 대한 트래픽을 계속 처리합니다.
두 SRX 시리즈 방화벽에서 동일한 매개 변수를 사용하여 NAT 규칙과 풀을 생성해야 합니다. NAT 트래픽(NAT 풀 IP 주소로 향함)에 대한 응답 경로를 올바른 SRX 시리즈 방화벽(액티브 디바이스)으로 지정하려면 액티브/백업 디바이스 모두에 필요한 라우팅 구성이 있어야 합니다. 즉, 구성은 라우팅 프로토콜을 통해 인접 라우팅 디바이스에 보급되는 경로를 지정해야 합니다. 따라서 정책 옵션 및 경로 구성도 구성해야 합니다.
두 디바이스 모두에서 네트워크 주소 변환(NAT)별 작동 명령을 실행하면 동일한 출력을 볼 수 있습니다. 그러나 NAT 규칙/풀 내부 숫자 ID가 노드 간에 다를 수 있는 경우가 있을 수 있습니다. 다른 숫자 ID는 장애 조치 시 세션 동기화/NAT 변환에 영향을 주지 않습니다.
방화벽 사용자 인증
방화벽 인증을 사용하면 사용자를 개별적으로 또는 그룹으로 제한하거나 허용할 수 있습니다. 사용자는 로컬 비밀번호 데이터베이스 또는 외부 비밀번호 데이터베이스를 사용하여 인증될 수 있습니다.
멀티노드 고가용성은 다음과 같은 인증 방법을 지원합니다.
- 통과 인증
- 웹 리디렉션 인증을 통한 통과
- 웹 인증
방화벽 사용자 인증은 활성 컨트롤 플레인 상태의 서비스이며 노드 간에 컨트롤 플레인 상태와 데이터 플레인 상태 동기화가 필요합니다. 멀티노드 고가용성 설정에서 작업하는 동안 방화벽 사용자 인증 기능은 두 SRX 시리즈 방화벽에서 독립적으로 작동하고 노드 간에 인증 테이블을 동기화합니다. 사용자가 성공적으로 인증하면 인증 항목이 다른 노드와 동기화되고 show 명령을 실행할 때 두 노드에서 모두 볼 수 있습니다(예: show security firewall-authentication users ).
노드 간에 구성을 동기화할 때 인증, 정책, 소스 영역 및 대상 영역 세부 정보가 두 노드에서 일치하는지 확인합니다. 구성에서 동일한 순서를 유지하면 두 노드 간에 인증 항목이 성공적으로 동기화됩니다.
명령문을 사용하여 한 노드에서 인증 항목을 clear security user-identification local-authentication-table 지우면 다른 노드의 인증 항목도 지워야 합니다.
비대칭 트래픽 구성의 경우에도 동일한 방법을 따릅니다.
멀티노드 고가용성은 JIMS(Juniper Identity Management Service)가 사용자 ID 정보를 얻을 수 있도록 지원합니다. 각 노드는 JIMS 서버에서 인증 항목을 가져와 독립적으로 처리합니다. 이 때문에 각 노드에서 방화벽 사용자 인증 명령을 별도로 실행해야 합니다. 예를 들어, show 명령을 사용하여 인증 항목을 표시할 때, 각 노드는 현재 처리 중인 인증 항목만 표시합니다(마치 독립형 모드에서 독립적으로 작동하는 것처럼).
멀티노드 고가용성 노드 간 구성 동기화
멀티노드 고가용성에서는 두 개의 SRX 시리즈 방화벽이 독립적인 디바이스로 작동합니다. 이러한 디바이스는 fxp0 인터페이스에서 고유한 호스트 이름과 IP 주소를 갖습니다. 이러한 디바이스에서 ALG, 방화벽, NAT와 같은 컨트롤 플레인 스테이트리스 서비스를 독립적으로 구성할 수 있습니다. 노드별 패킷은 항상 해당 노드에서 처리됩니다.
다음 패킷/서비스는 멀티노드 고가용성에서 노드별(로컬)입니다.
-
라우팅 엔진에 대한 프로토콜 패킷
-
SNMP와 같은 관리 서비스 및 운영 명령(
show,request) -
RADIUS 및 LDAP 서버와 통합된 인증 서비스 프로세스(authd)와 같은 프로세스
-
ICL 암호화, 특정 터널 제어 및 데이터 패킷
멀티노드 고가용성의 구성 동기화는 기본적으로 활성화되어 있지 않습니다. 특정 구성을 다른 노드와 동기화하려면 다음을 수행해야 합니다.
- 기능/기능을 의 일부로 구성합니다.
groups - 옵션을 사용하여 구성을 동기화합니다
[edit system commit peers-synchronize]
멀티노드 고가용성의 두 디바이스에서 구성 동기화(옵션 사용 peers-synchronize )를 활성화하면 [groups] 아래의 한 피어에서 구성한 구성 설정이 커밋 작업 시 다른 피어와 자동으로 동기화됩니다.
문을 활성화 peers-synchronize 하는 로컬 피어는 구성을 복사하여 원격 피어에 로드합니다. 그런 다음 각 피어는 커밋 중인 구성 파일에 대한 구문 검사를 수행합니다. 오류가 발견되지 않으면 구성이 활성화되고 두 피어 모두에서 현재 운영 구성이 됩니다.
다음 구성 스니펫은 host-mnha-01 아래의 avpn_config_group VPN 구성을 보여줍니다. 구성을 다른 피어 디바이스 host-mnha-02에 동기화합니다.
- 참여하는 피어 디바이스(host-mnha-02)의 호스트 이름 및 IP 주소, 인증 세부 정보를 구성하고 문을 포함합니다
peers-synchronization.On host-mnha-01 [edit] set system commit peers-synchronize set system commit peers host-mnha-02 user user-02 set system commit peers host-mnha-02 authentication "$ABC" set system services netconf ssh set system static-host-mapping host-mnha-02 inet 10.157.75.129
-
그룹(avpn_config_group)을 구성하고 적용 조건을 지정합니다(피어 host-mnha-01 및 host-mnha-02일 때)
On host-mnha-01 set groups avpn_config_group when peers host-mnha-01 set groups avpn_config_group when peers host-mnha-02 set groups avpn_config_group security ike proposal avpn_IKE_PROP authentication-method rsa-signatures set groups avpn_config_group security ike proposal avpn_IKE_PROP dh-group group14 set groups avpn_config_group security ike proposal avpn_IKE_PROP authentication-algorithm sha1 set groups avpn_config_group security ike proposal avpn_IKE_PROP encryption-algorithm aes-128-cbc set groups avpn_config_group security ike proposal avpn_IKE_PROP lifetime-seconds 3600 set groups avpn_config_group security ike policy avpn_IKE_POL proposals avpn_IKE_PROP set groups avpn_config_group security ike policy avpn_IKE_POL certificate local-certificate crt2k set groups avpn_config_group security ike gateway avpn_ike_gw ike-policy avpn_IKE_POL set groups avpn_config_group security ike gateway avpn_ike_gw dynamic distinguished-name wildcard C=us,O=ixia set groups avpn_config_group security ike gateway avpn_ike_gw dynamic ike-user-type group-ike-id set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection probe-idle-tunnel set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection interval 60 set groups avpn_config_group security ike gateway avpn_ike_gw dead-peer-detection threshold 5 set groups avpn_config_group security ike gateway avpn_ike_gw local-identity hostname srx.juniper.net set groups avpn_config_group security ike gateway avpn_ike_gw external-interface lo0.0 set groups avpn_config_group security ike gateway avpn_ike_gw local-address 10.11.0.1 set groups avpn_config_group security ike gateway avpn_ike_gw version v2-only set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP protocol esp set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP authentication-algorithm hmac-sha1-96 set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP encryption-algorithm aes-128-cbc set groups avpn_config_group security ipsec proposal avpn_IPSEC_PROP lifetime-seconds 1800 set groups avpn_config_group security ipsec policy avpn_IPSEC_POL perfect-forward-secrecy keys group14 set groups avpn_config_group security ipsec policy avpn_IPSEC_POL proposals avpn_IPSEC_PROP set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn bind-interface st0.15001 set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn ike gateway avpn_ike_gw set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn ike ipsec-policy avpn_IPSEC_POL set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn traffic-selector ts local-ip 10.19.0.0/8 set groups avpn_config_group security ipsec vpn avpn_ipsec_vpn traffic-selector ts remote-ip 10.4.0.0/8 set groups avpn_config_group security zones security-zone vpn host-inbound-traffic system-services all set groups avpn_config_group security zones security-zone vpn host-inbound-traffic protocols all set groups avpn_config_group security zones security-zone vpn interfaces st0.15001 set groups avpn_config_group interfaces st0 description vpn set groups avpn_config_group interfaces st0 unit 15001 family inet
-
구성의
apply-groups루트에서 명령을 사용합니다.On host-mnha-01 set apply-groups avpn_config_group
구성을 커밋하면 Junos는 명령을 확인하고 노드 이름과 일치하도록 올바른 그룹을 병합합니다.
-
작동 모드에서 명령을 사용하여
show configuration system동기화 상태를 확인합니다.user@host-mnha-01> show configuration system ........... commit { peers { host-mnha-02 { user user user-02; authentication "$ABC123"; } } } static-host-mapping { host-mnha-02 inet 10.157.75.129; } ............명령 출력의 peers 옵션 아래에 피어 SRX 시리즈 방화벽의 세부 정보가 표시됩니다.
구성 동기화는 동적으로 발생하며, 하나의 노드만 사용할 수 있을 때 또는 노드 간의 연결이 끊어질 때 구성 변경이 수행된 경우 구성을 다른 노드와 동기화하기 위해 한 번 더 커밋을 실행해야 합니다. 그렇지 않으면 응용 프로그램의 노드 간에 일관되지 않은 구성이 발생합니다.
- 멀티노드 고가용성이 작동하기 위해 구성 동기화가 반드시 필요한 것은 아닙니다. 그러나 손쉬운 구성 동기화를 위해 구성이
set system commit peers-synchronize한junos groups방향(예: 노드 0에서 노드 1로)으로 구성된 문을 사용하는 것이 좋습니다. - 대역 외 관리(fxp0) 연결을 사용하여 멀티노드 고가용성 노드 간에 구성 동기화를 형성하여 공통 구성을 관리하는 것이 좋습니다.
- IPsec 사용 사례의 경우 구성 동기화가 활성화되지 않은 경우 먼저 백업 노드에서 구성을 커밋한 다음 활성 노드에서 구성을 커밋해야 합니다.