Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

멀티노드 고가용성 서비스

멀티노드 고가용성은 데이터 플레인의 액티브/액티브 모드와 컨트롤 플레인 서비스의 액티브/백업 모드를 지원합니다.

SRG0은 방화벽 및 NAT 서비스를 어떻게 처리합니까?

SRG0은 방화벽 및 네트워크 주소 변환(NAT) 서비스에 대한 기본 SRG입니다. 인접 네트워크는 트래픽을 처리하는 노드를 결정합니다. 라우팅 구성에 따라 액티브/패시브 또는 액티브/액티브가 될 수 있습니다.

방화벽은 라우팅 속성(라우팅 기본 설정, 경로 비용, BGP as-prepand 등)을 통해 트래픽을 처리하는 노드에 영향을 줄 수 있습니다.

SRG0은 TCP 핸드셰이크, 애플리케이션 보안, IDP, 콘텐츠 보안, 방화벽, NAT, ALG 등과 같이 상태를 유지해야 하는 서비스를 관리합니다. 패킷 내용을 이해하려면 활성 노드에서 서비스를 제공해야 하며 이러한 서비스 중 일부는 통과됩니다(NAT, 방화벽 인증을 제외하고 디바이스에서 종료되지 않음). SRG0은 두 노드 모두에서 활성 상태를 유지하고 두 노드의 트래픽을 세션 분석을 시작한 활성 노드로 전달합니다(ICD 링크가 설정된 경우).

이러한 서비스를 구성하려면:

  • 독립형 방화벽 디바이스에서 기능을 구성하는 대로 기능을 구성합니다.
  • 참여하는 보안 디바이스에 동일한 Junos OS 버전을 설치합니다(Junos OS 릴리스 22.3R1 이상).
  • 두 노드에 동일한 라이선스를 설치합니다
  • 두 노드 모두에 동일한 버전의 애플리케이션 서명 패키지 또는 IPS 패키지를 다운로드하여 설치합니다(애플리케이션 보안 및 IDP를 사용하는 경우).
  • 요구 사항에 따라 조건부 경로 보급, 라우팅 정책 및 정적 경로를 구성합니다.
  • 멀티노드 고가용성에서는 기본적으로 구성 동기화가 발생하지 않습니다. 애플리케이션을 그룹의 일부로 구성한 다음 옵션을 사용하여 peer synchronization 구성을 동기화하거나 각 노드에서 독립적으로 구성을 관리해야 합니다.

네트워크 주소 변환

방화벽, ALG, NAT와 같은 서비스는 컨트롤 플레인 상태가 없습니다. 이러한 서비스의 경우 노드 간에 데이터 플레인 상태만 동기화하면 됩니다.

멀티노드 고가용성 설정에서는 한 번에 하나의 디바이스가 NAT 세션을 처리하고 페일오버가 발생하면 다른 디바이스가 활성 역할을 대신합니다. 따라서 세션은 한 디바이스에서 활성 상태로 유지되고 다른 디바이스에서는 페일오버가 발생할 때까지 세션이 웜(대기) 상태가 됩니다.

NAT 세션과 ALG 상태 개체는 노드 간에 동기화됩니다. 한 노드에 장애가 발생하면 두 번째 노드는 네트워크 주소 변환(NAT) 변환을 포함하여 장애가 발생한 디바이스에서 동기화된 세션에 대한 트래픽을 계속 처리합니다.

두 디바이스 모두에서 동일한 매개 변수를 사용하여 네트워크 주소 변환(NAT) 규칙과 풀을 생성해야 합니다. NAT 트래픽(NAT 풀 IP 주소로 향함)에 대한 응답 경로를 올바른 방화벽 디바이스(활성 디바이스)로 조정하려면 두 액티브/백업 디바이스 모두에 필요한 라우팅 구성이 있어야 합니다. 즉, 구성은 라우팅 프로토콜을 통해 인접 라우팅 디바이스에 보급되는 경로를 지정해야 합니다. 따라서 정책 옵션 및 경로 구성도 구성해야 합니다.

두 디바이스 모두에서 NAT별 운영 명령을 실행하면 동일한 출력을 볼 수 있습니다. 그러나 노드 간에 NAT 규칙/풀 내부 숫자 ID가 다를 수 있는 경우가 있을 수 있습니다. 다른 숫자 ID는 장애 조치 시 세션 동기화/NAT 변환에 영향을 주지 않습니다.

방화벽 사용자 인증

방화벽 인증으로 사용자를 개별적으로 또는 그룹으로 제한하거나 허용할 수 있습니다. 사용자는 로컬 비밀번호 데이터베이스 또는 외부 비밀번호 데이터베이스를 사용하여 인증할 수 있습니다.

멀티노드 고가용성은 다음 인증 방법을 지원합니다.

  • 패스스루 인증
  • 웹 리디렉션 인증을 통한 패스스루
  • 웹 인증

방화벽 사용자 인증은 활성 컨트롤 플레인 상태의 서비스이며 노드 간 컨트롤 및 데이터 플레인 상태 동기화가 필요합니다. 멀티노드 고가용성 설정에서 작업하는 동안 방화벽 사용자 인증 기능은 두 방화벽에서 독립적으로 작동하며 노드 간 인증 테이블을 동기화합니다. 사용자가 성공적으로 인증되면 인증 항목이 다른 노드와 동기화되고 show 명령을 실행할 때 두 노드 모두에 표시됩니다(예: show security firewall-authentication users ).

참고:

노드 간 구성을 동기화할 때 인증, 정책, 소스 영역 및 대상 영역 세부 정보가 두 노드에서 일치하는지 확인합니다. 구성에서 동일한 순서를 유지하면 두 노드에서 인증 항목이 성공적으로 동기화됩니다.

clear security user-identification local-인증-table 명령문을 사용하여 한 노드에서 인증 항목을 지우면 다른 노드의 인증 항목도 지워야 합니다.

비대칭 트래픽 구성의 경우에도 동일한 방식을 따릅니다.

멀티노드 고가용성은 JIMS(주니퍼 Identity Management Service)가 사용자 ID 정보를 획득할 수 있도록 지원합니다. 각 노드는 JIMS 서버에서 인증 항목을 가져와 독립적으로 처리합니다. 이 때문에 각 노드에서 방화벽 사용자 인증 명령을 별도로 실행해야 합니다. 예를 들어, show 명령을 사용하여 인증 항목을 표시할 때, 각 노드는 현재 처리 중인 인증 항목만 표시합니다(독립형 모드에서 독립적으로 작동하는 것처럼).

Express Path 지원

MNHA(SRG0 및 SRG1+ 모두)의 Express Path(이전의 서비스 오프로드)는 페일오버 후 원활한 패킷 전달을 보장하여 지연 시간을 줄입니다. 이 기능은 활성 노드가 작동하는 동안 다른 노드에 스테이트풀 및 정적 SOF 세션을 설치하여 컨트롤 플레인 메시지에 따른 즉각적인 페일오버 준비를 보장합니다.

시스템은 다른 노드에서 SOF 세션이 조기에 노화되는 것을 방지하고, 세션 무결성을 유지하며, 기본 역할 전환 중에 첫 번째 패킷 처리를 원활하게 처리합니다. 또한 최신 관리를 보장하기 위해 SOF 세션의 삭제 및 재설치를 선택하여 실패한 새 노드의 세션 처리를 해결합니다.

이 기능에 대한 지원은 레이어 3(라우팅) 모드에서 작동하는 멀티노드 고가용성 시스템에서 사용할 수 있습니다. Express Path에 대한 자세한 내용은 Express Path 개요를 참조하십시오.

멀티노드 고가용성 노드 간 구성 동기화

멀티노드 고가용성에서는 두 개의 방화벽이 독립적인 디바이스로 작동합니다. 이러한 디바이스는 fxp0 인터페이스에 고유한 호스트 이름과 IP 주소를 갖습니다. 이러한 디바이스에서 ALG, 방화벽, NAT와 같은 서비스를 독립적으로 구성할 수 있습니다. 노드별 패킷은 항상 각 노드에서 처리됩니다.

다음 패킷/서비스는 멀티노드 고가용성에서 노드별(로컬)입니다.

  • 라우팅 라우팅 엔진으로 프로토콜 패킷 라우팅

  • SNMP 및 운영 명령(show, request)과 같은 관리 서비스

  • RADIUS 및 LDAP 서버와 통합된 인증 서비스 프로세스(authd)와 같은 프로세스

  • ICL 암호화, 특정 터널 제어 및 데이터 패킷

멀티노드 고가용성의 구성 동기화는 기본적으로 사용하도록 설정되지 않습니다. 특정 구성을 다른 노드와 동기화하려면 다음을 수행해야 합니다.

  • 의 일부 groups 로 기능/기능 구성
  • 옵션을 사용하여 구성을 동기화합니다 [edit system commit peers-synchronize]

멀티노드 고가용성의 두 디바이스에서 구성 동기화를 (옵션을 peers-synchronize 사용하여) 활성화하면 [그룹] 아래의 한 피어에서 구성한 구성 설정이 커밋 작업 시 다른 피어와 자동으로 동기화됩니다.

문을 활성화 peers-synchronize 하는 로컬 피어는 해당 구성을 복사하여 원격 피어에 로드합니다. 그런 다음 각 피어는 커밋되는 구성 파일에 대한 구문 검사를 수행합니다. 오류가 없으면 구성이 활성화되고 두 피어의 현재 운영 구성이 됩니다.

구성 예는 예: Junos OS 구성 그룹을 사용하여 멀티노드 고가용성 구성을 참조하십시오.

다음 구성 코드 조각은 host-mnha-01의 VPN 구성을 avpn_config_group 보여줍니다. 구성을 다른 피어 디바이스 host-mnha-02와 동기화합니다.

  1. 참여 피어 디바이스(host-mnha-02)의 호스트 이름과 IP 주소, 인증 세부 정보를 구성하고 문을 포함합니다.peers-synchronization

  2. 그룹(avpn_config_group)을 구성하고 적용 조건을 지정합니다(피어가 host-mnha-01 및 host-mnha-02인 경우).

  3. 구성의 루트에 있는 명령을 사용합니다 apply-groups .

    구성을 커밋하면 Junos는 명령을 확인하고 노드 이름과 일치하도록 올바른 그룹을 병합합니다.

  4. 운영 모드에서 명령을 사용하여 show configuration system 동기화 상태를 확인합니다.

    명령 출력은 peers 옵션 아래에 피어 디바이스의 세부 정보를 표시합니다.

참고:

구성 동기화는 동적으로 발생하며, 하나의 노드만 사용할 수 있거나 노드 간의 연결이 끊어졌을 때 구성 변경이 수행된 경우 구성을 다른 노드와 동기화하기 위해 하나의 커밋을 더 실행해야 합니다. 그렇지 않으면 애플리케이션의 노드 간에 구성이 일관되지 않게 됩니다.
참고:
  • 구성 동기화는 멀티노드 고가용성이 작동하는 데 필수가 아닙니다. 그러나 손쉬운 구성 동기화를 위해 한 방향(예: 노드 0에서 노드 1로)의 구성과 함께 junos groups 문을 사용하는 set system commit peers-synchronize 것이 좋습니다.
  • 대역 외 관리(fxp0) 연결을 사용하여 멀티노드 고가용성 노드 간의 구성 동기화를 형성하여 공통 구성을 관리하는 것이 좋습니다.
  • IPsec 사용 사례의 경우, 구성 동기화가 활성화되지 않은 경우 먼저 백업 노드에서 구성을 커밋한 다음 활성 노드에서 구성을 커밋해야 합니다.

관련 설명서