이 페이지의 내용
멀티노드 고가용성
요약 멀티노드 고가용성 솔루션에 대해 알아보고 이 솔루션을 간단하고 안정적인 구축 모델에서 사용하는 방법을 알아보십시오. 현재 모든 멀티노드 고가용성 구축에서 두 개의 노드를 지원합니다.
개요
비즈니스 연속성은 최신 네트워크의 중요한 요구 사항입니다. 단 몇 초의 다운타임도 OpEx 및 CapEx에 영향을 미치는 것 외에도 중단과 불편을 야기할 수 있습니다. 또한 최신 네트워크에는 여러 지리적 영역에 걸쳐 데이터센터가 분산되어 있습니다. 이러한 시나리오에서는 고가용성을 달성하는 것이 매우 어려울 수 있습니다.
주니퍼 네트웍스® SRX 시리즈 방화벽은 최신 데이터센터의 고가용성 요구 사항을 해결하기 위해 새로운 솔루션인 멀티노드 고가용성을 지원합니다. 이 솔루션에서는 참여 디바이스(노드)의 컨트롤 플레인과 데이터 플레인이 동시에 활성화됩니다. 따라서 이 솔루션은 섀시 간 복원력을 제공합니다.
참여 디바이스는 지리적 영역 또는 다른 방이나 건물과 같은 다른 위치에 걸쳐 함께 배치되거나 물리적으로 분리될 수 있습니다. 지리적 위치에 걸쳐 가용성이 높은 노드를 보유하면 복원력 있는 서비스가 보장됩니다. 재해가 하나의 물리적 위치에 영향을 미치는 경우, 멀티노드 고가용성은 다른 물리적 위치의 노드로 페일오버하여 연속성을 보장할 수 있습니다.
- 멀티노드 고가용성의 이점
- 액티브/백업 멀티노드 고가용성
- 액티브/액티브 멀티노드 고가용성
- 지원되는 기능
- 구축 시나리오
- 멀티노드 고가용성은 섀시 클러스터와 어떻게 다릅니까?
- 멀티노드 고가용성 용어집
멀티노드 고가용성의 이점
-
CapEx 및 OpEx 절감 - 방화벽 컴플렉스를 둘러싼 스위치드 네트워크의 필요성과 노드 간의 직접 레이어 2(L2) 연결의 필요성 제거
-
네트워크 유연성 - L3(Layer 3) 및 스위치드 네트워크 세그먼트 전반에서 고가용성을 지원하여 네트워크 유연성을 높입니다.
-
스테이트풀 복원력 솔루션—두 노드에서 활성 컨트롤 플레인과 데이터 플레인을 동시에 지원합니다.
-
비즈니스 연속성 및 재해 복구—가용성을 극대화하여 데이터 센터 및 지역 내외에서 중복성을 높입니다.
-
원활한 업그레이드—Junos OS 릴리스 간의 원활한 업그레이드를 보장하기 위해 두 노드에서 서로 다른 버전의 Junos OS를 지원하며, 두 개의 서로 다른 버전의 Junos를 실행할 수도 있습니다.
멀티노드 고가용성 솔루션에서 두 개의 노드를 지원합니다.
액티브/백업 멀티노드 고가용성
주니퍼는 다음에서 활성/백업 멀티노드 고가용성을 지원합니다.
-
Junos OS 릴리스 20.4R1에서 SPC3, IOC3, IOC4, SCB3, SCB4 및 RE3으로 SRX5800, SRX5600, SRX5400
-
Junos OS 릴리스 22.3R1의 SRX4600, SRX4200, SRX4100 및 SRX1500
-
Junos OS 릴리스 23.4R1의 SRX2300 및 SRX1600.
-
Junos OS 릴리스 24.2R1의 SRX4300 및 SRX1600.
-
vSRX3.0 가상 방화벽은 다음과 같은 프라이빗 및 퍼블릭 클라우드 플랫폼을 위한 것입니다.
- KVM(커널 기반 가상 머신), Junos OS 릴리스 22.3R1의 VMWare ESXi
- Junos OS 릴리스 22.3R1의 AWS(Amazon Web Services)
- Junos OS 릴리스 23.4R1의 Microsoft Azure Cloud
액티브/액티브 멀티노드 고가용성
부터는 여러 서비스 중복 그룹(SRC)을 지원하는 액티브-액티브 모드에서 멀티노드 고가용성을 운영할 수 있습니다. 다음 보안 디바이스에서 다중 SRG 지원을 사용할 수 있습니다.
- Junos OS 릴리스 22.4R1에서 SPC3, IOC3, IOC4, SCB3, SCB4 및 RE3으로 SRX5400, SRX5600 및 SRX5800합니다.
- Junos OS 릴리스 23.4R1의 SRX4600, SRX4200, SRX4100, SRX2300, SRX1600, SRX1500 및 vSRX.
- Junos OS 릴리스 24.2R1에 SRX4300.
지원되는 기능
멀티노드 고가용성을 지원하는 SRX 시리즈 방화벽은 애플리케이션 보안, 콘텐츠 보안, 침입 방지 시스템(IPS), 방화벽 사용자 인증, NAT, ALG와 같은 방화벽과 고급 보안 서비스를 지원합니다.
멀티노드 고가용성에서 지원되는 기능의 전체 목록은 기능 탐색기를 참조하십시오.
멀티노드 고가용성은 투명 모드 고가용성(HA)을 지원하지 않습니다.
구축 시나리오
멀티노드 고가용성은 2개의 SRX 시리즈 방화벽을 지원하여 네트워크의 나머지 부분에 독립적 노드로 표시됩니다. 노드는 동일하거나 다른 네트워크에 속하는 인접 인프라에 연결되며, 모두 구축 모드에 따라 다릅니다. 이러한 노드는 여러 지역에 걸쳐 배치하거나 분리할 수 있습니다. 참여 노드는 시스템 또는 하드웨어 오류 발생 시 빠르게 동기화된 페일오버를 보장하기 위해 서로를 백업합니다.
멀티노드 고가용성을 위해 다음과 같은 유형의 네트워크 구축 모델을 지원합니다.
- 경로 모드(레이어 3 토폴로지를 사용하여 연결된 모든 인터페이스)
그림 1: 레이어 3 모드
- 기본 게이트웨이 모드(레이어 2 토폴로지를 사용하여 연결된 모든 인터페이스)는 보다 전통적인 환경에서 사용됩니다. 방화벽 디바이스가 동일한 세그먼트의 호스트 및 애플리케이션에 대한 기본 게이트웨이 역할을 하는 DMZ 네트워크의 일반적인 배포.
그림 2: 기본 게이트웨이 모드
- 하이브리드 모드(레이어 3 토폴로지를 사용하여 하나 이상의 인터페이스가 연결되고 레이어 2 토폴로지를 사용하여 하나 이상의 인터페이스가 연결됨)
그림 3: 하이브리드 모드
- 퍼블릭 클라우드 구축
그림 4: 퍼블릭 클라우드 구축(예: AWS)
멀티노드 고가용성은 섀시 클러스터와 어떻게 다릅니까?
섀시 클러스터는 레이어 2 네트워크 환경에서 작동하며 노드 간에 두 개의 링크(제어 링크 및 패브릭 링크)가 필요합니다. 이러한 링크는 백투백 케이블을 사용하는 전용 VLAN 또는 다크 파이버를 통해 두 노드를 연결합니다. 제어 링크 및 패브릭 링크는 SRX 시리즈 방화벽의 전용 물리적 포트를 사용합니다.
멀티노드 고가용성은 암호화된 논리적 ICL(Interchassis Link)을 사용합니다. ICL은 전용 레이어 2 네트워크 대신 라우팅된 경로를 통해 노드를 연결합니다. 이 라우팅된 경로는 최상의 복원력을 위해 하나 이상의 수익 포트를 사용할 수 있으며, 솔루션의 복원력을 최대화하는 완전한 격리를 보장하기 위해 자체 라우팅 인스턴스를 이러한 포트 및 경로 전용으로 지정할 수도 있습니다.
표 1 에는 두 아키텍처 간의 차이점이 나와 있습니다
매개변수 | : 섀시, 클러스터, | 멀티노드, 고가용성 |
---|---|---|
네트워크 토폴로지 | 노드는 브로드캐스트 도메인에 연결됩니다 | 노드는 라우터, 브로드캐스트 도메인 또는 이 둘의 조합에 연결됩니다.
|
네트워크 환경 | 레이어 2 |
|
트래픽 전환 접근 방식 | SRX 시리즈 방화벽은 GARP를 스위치로 전송합니다. | 피어 레이어 3 라우터 또는 레이어 2 GARP의 IP 경로 선택을 사용하여 SRX 시리즈 방화벽에서 피어 레이어 2 스위치로 전환
|
퍼블릭 클라우드 | 지원되지 않음 | 지원 |
동적 라우팅 기능 | 컨트롤 플레인(RG0)이 활성화된 SRX 시리즈에서 활성화된 라우팅 프로세스 | 멀티노드 고가용성에 참여하는 각 SRX 시리즈 방화벽에서 활성화된 라우팅 프로세스 |
SRX 시리즈 방화벽 간 연결 |
|
섀시 간 링크(레이어 3 경로) |
연결/지역 중복 | 제어 링크와 패브릭 링크를 위해 SRX 시리즈 노드 사이에 전용 레이어 2 스트레치가 필요합니다. | 섀시 간 링크를 위해 노드 간에 라우팅된 모든 경로를 사용합니다. |
네트워크 장애를 감지하기 위한 IP 모니터링 |
|
|
멀티노드 고가용성 용어집
먼저 이 문서에서 사용되는 멀티노드 고가용성 용어에 익숙해지겠습니다.
용어 | 설명 |
---|---|
액티브/액티브 상태(SRG0) | 모든 보안 서비스/흐름은 각 노드에서 검사되고 다른 노드에 백업됩니다. 보안 흐름은 대칭적이어야 합니다. |
활성/백업 상태(SRG1+) | SRG1+는 언제든지 한 노드에서 활성 상태를 유지하고 다른 노드에서는 백업된 상태로 유지됩니다. 백업 상태의 SRG1+는 장애 발생 시 활성 SRG1의 트래픽을 인수할 준비가 되어 있습니다. |
장치 우선 순위 | 우선 순위 값은 노드가 멀티노드 고가용성 설정에서 활성 노드 역할을 할 수 있는지 여부를 결정합니다. 수치가 낮은 노드는 우선 순위가 높으므로 활성 노드 역할을 하고 다른 노드는 백업 노드 역할을 합니다. |
디바이스 선점 | 선점형 동작을 사용하면 우선 순위가 높은(낮은 수치) 디바이스가 장애에서 복구된 후 활성 노드로 재개할 수 있습니다. 멀티노드 고가용성의 특정 디바이스를 활성 노드로 사용해야 하는 경우 두 디바이스 모두에서 선점형 동작을 활성화하고 각 디바이스에 대한 디바이스 우선 순위 값을 할당해야 합니다. |
장애 조치(failover) | 페일오버는 한 노드가 장애(하드웨어/소프트웨어 등)를 감지하고 트래픽이 상태 저장 방식으로 다른 노드로 전환될 때 발생합니다. 따라서 고가용성 시스템의 백업 노드는 활성 노드에 장애가 발생할 때 활성 노드의 작업을 대신합니다. |
유동 IP 주소 또는 활성 프로빙 IP 주소 | 멀티노드 고가용성 설정에서 페일오버 중에 활성 노드에서 백업 노드로 이동하는 IP 주소입니다. 이 메커니즘을 통해 클라이언트는 단일 IP 주소를 사용하여 노드와 통신할 수 있습니다. |
고가용성/복원력 |
장기간에 걸쳐 지속적인 작동을 보장하기 위해 단일 실패 지점을 제거하는 시스템의 능력. |
섀시 간 링크 | 다중 노드 고가용성 배포에서 라우팅된 네트워크를 통해 노드를 연결하는 IP 기반 링크(논리적 링크)입니다. ICL 링크는 일반적으로 가장 유연한 구축을 위해 루프백 인터페이스에 바인딩됩니다. 연결은 두 IP 주소 간에 연결할 수 있는 한 라우팅되거나 전환된 경로가 될 수 있습니다. 보안 디바이스는 ICL을 사용하여 상태 정보를 동기화 및 유지하고 디바이스 페일오버 시나리오를 처리합니다. |
섀시 간 링크 암호화 | 링크 암호화는 네트워크를 통과하는 메시지에 대해 데이터 프라이버시를 제공합니다. ICL 링크는 개인 데이터를 전송하므로 링크를 암호화하는 것이 중요합니다. IPSec VPN을 사용하여 ICL을 암호화해야 합니다. |
모니터링(BFD) | BFD(Bidirectional Forwarding Detection)를 사용하여 하나 이상의 링크 모니터링. BFD 모니터링은 시스템 구성에 따라 라우팅 경로 변경 또는 시스템 페일오버를 트리거합니다. |
모니터링(IP) | 피어 노드와의 통신이 끊어진 경우 신뢰할 수 있는 IP 주소 및 시스템 상태 모니터링. |
모니터링(경로) | ICMP를 사용하여 IP 주소의 연결성을 확인하는 방법입니다. ICMP 핑 프로브의 기본 간격은 1초입니다. |
모니터링(시스템) | 노드에서 장애가 감지될 때 장애 조치를 트리거하여 주요 하드웨어 및 소프트웨어 리소스와 인프라를 모니터링합니다. |
프로 빙 | 고가용성 설정에서 활성 노드와 백업 노드 간에 메시지를 교환하는 데 사용되는 메커니즘입니다. 메시지는 각 개별 노드에서 응용 프로그램의 상태를 결정합니다. |
실시간 객체(RTO) | 한 노드에서 다른 노드로 데이터를 동기화하는 데 필요한 정보가 포함된 특수 페이로드 패킷입니다. |
스플릿 브레인 감지(컨트롤 플레인 감지 또는 활성 충돌 감지라고도 함) | 두 멀티노드 고가용성 노드 간의 ICL이 중단되고 두 노드 모두 활성 상태 결정 프로브(분할 브레인 프로브)를 시작하는 이벤트입니다. 프로브에 대한 응답에 따라 새 역할에 대한 후속 장애 조치(failover)가 트리거됩니다 |
서비스 이중화 그룹(SRG) | 참여 노드의 개체 컬렉션을 포함하고 관리하는 장애 조치 장치입니다. 페일오버가 감지되면 한 노드의 SRG가 다른 노드로 전환됩니다. |
SRG0 | 방화벽, 네트워크 주소 변환(NAT), ALG와 같은 모든 컨트롤 플레인 스테이트리스 서비스를 관리합니다. SRG0은 모든 참여 노드에서 활성화되며 대칭 보안 플로우를 처리합니다. |
SRG1+ | 컨트롤 플레인 스테이트풀 서비스(하이브리드 또는 기본 게이트웨이 모드의 IPsec VPN 또는 가상 IP)를 관리합니다. |
동기화 | 컨트롤과 데이터 평면 상태가 노드 간에 동기화되는 프로세스입니다. |
가상 IP(VIP) 주소 | 하이브리드 또는 기본 게이트웨이 모드의 가상 IP 주소는 멀티노드 고가용성 설정의 스위칭 측에서 활성을 결정하고 적용하는 데 사용됩니다. 가상 IP는 SRG1+에 의해 제어됩니다. |
가상 MAC(VMAC) 주소 | (하이브리드 및 기본 게이트웨이 배포의 경우). 스위칭 측을 향하는 활성 노드의 인터페이스에 동적으로 할당된 가상 MAC 주소입니다. |
이제 멀티노드 고가용성 기능과 용어에 익숙해졌으므로 멀티노드 고가용성의 작동 방식을 이해해 보겠습니다.
멀티노드 고가용성 작동 방식
멀티노드 고가용성 솔루션에 대해 2노드 구성을 지원합니다.
멀티노드 고가용성 설정에서는 수익 인터페이스를 사용하여 두 개의 SRX 시리즈 방화벽을 인접한 업스트림 및 다운스트림 라우터(레이어 3 구축용), 라우터와 스위치(하이브리드 구축) 또는 스위치(기본 게이트웨이 구축)에 연결합니다.
노드는 섀시 간 링크(ICL)를 사용하여 서로 통신합니다. ICL 링크는 레이어 3 연결을 사용하여 서로 통신하며, 이 통신은 라우팅된 네트워크(레이어 3) 또는 직접 연결된 레이어 2 경로를 통해 이루어질 수 있습니다. ICL을 루프백 인터페이스에 바인딩하고 두 개 이상의 물리적 링크(LAG/LACP)를 보유하여 가장 높은 복원력을 위해 경로 다양성을 보장하는 것이 좋습니다.
멀티노드 고가용성은 데이터 플레인의 경우 액티브/액티브 모드로, 컨트롤 플레인 서비스의 경우 액티브/백업 모드에서 작동합니다. 활성 SRX 시리즈 방화벽은 유동 IP 주소를 호스팅하고 유동 IP 주소를 사용하여 트래픽을 조정합니다
멀티노드 고가용성은 다음에서 작동합니다.
- 보안 서비스를 위한 액티브/액티브 모드(SRG0)
- 보안 및 시스템 서비스를 위한 액티브/백업 모드(SRG1 이상)
SRG1 이상으로 제어되는 유동 IP 주소는 노드 간에 이동합니다. 활성 SRG1+는 유동 IP 주소를 호스팅하고 제어합니다. 페일오버 시나리오에서 이 IP 주소는 구성, 시스템 상태 또는 경로 모니터링 결정에 따라 다른 활성 SRG1로 '유동'됩니다. 새로 활성화된 SRG1+는 현재 대기 중인 SRG1의 기능을 수행할 수 있으며 수신 요청에 응답하기 시작합니다.
그림 7, 그림 8 및 그림 9 는 레이어 3, 하이브리드 및 기본 게이트웨이 모드의 구축을 보여줍니다.
이 토폴로지에서 두 개의 SRX 시리즈 방화벽은 멀티노드 고가용성 설정의 일부입니다. 이 설정은 SRX 시리즈 방화벽과 인접 라우터 간에 레이어 3 연결을 제공합니다. 디바이스는 별도의 물리적 레이어 3 네트워크에서 실행되며 두 개의 독립적인 노드로 작동합니다. 그림에 표시된 노드는 토폴로지에 함께 배치됩니다. 노드는 지리적으로도 분리될 수 있습니다.
일반적인 기본 게이트웨이 구축에서 LAN의 호스트와 서버는 보안 디바이스의 기본 게이트웨이로 구성됩니다. 따라서 보안 디바이스는 활성에 따라 노드 간에 이동하는 가상 IP(VIP) 주소를 호스팅해야 합니다. 호스트의 구성은 정적으로 유지되며 호스트의 관점에서 보안 디바이스 페일오버가 원활합니다.
직접 연결되지 않은 다른 네트워크에 도달하려면 SRX 시리즈 방화벽에서 정적 경로 또는 동적 라우팅을 생성해야 합니다.
하이브리드 모드에서 SRX 시리즈 방화벽은 레이어 2 측의 VIP 주소를 사용하여 트래픽을 끌어들입니다. 선택적으로 VMAC 주소를 사용하여 VIP에 대한 정적 ARP를 구성하여 페일오버 중에 IP 주소가 변경되지 않도록 할 수 있습니다
이제 멀티노드 고가용성의 구성 요소와 기능에 대해 자세히 알아보겠습니다.
서비스 이중화 그룹
서비스 이중화 그룹(SRG)은 멀티노드 고가용성 설정의 페일오버 유닛입니다. SRX에는 두 가지 유형이 있습니다.
- SRG0—IPsec VPN 서비스를 제외한 레이어 4-레이어 7에서 보안 서비스를 관리합니다. SRG0은 언제든지 두 노드에서 활성 모드로 작동합니다. SRG0에서 각 보안 세션은 대칭 플로우로 노드를 트래버스해야 합니다. 이러한 플로우의 백업은 다른 노드와 완전히 상태 동기화됩니다.
- SRG1+—하이브리드 및 기본 게이트웨이 모드에 대한 IPsec 서비스 및 가상 IP를 관리하고 다른 노드에 백업합니다. SRG1은 한 노드에서는 활성 모드로 작동하고 다른 노드에서는 백업 노드에서 작동합니다.
그림 10 은 멀티노드 고가용성 설정의 SRG0 및 SRG1을 보여줍니다.
그림 11 은 멀티노드 고가용성 설정의 SRG0 및 SRG1+를 보여줍니다.
Junos OS 릴리스 22.4R1부터 멀티 SRG1(SRG1+)을 지원하는 액티브-액티브 모드에서 작동하도록 멀티노드 고가용성을 구성할 수 있습니다. 이 모드에서는 일부 SRG가 한 노드에서 활성 상태로 유지되고 일부 SRG는 다른 노드에서 활성 상태로 유지됩니다. 특정 SRG는 항상 액티브-백업 모드로 작동합니다. 한 노드에서는 활성 모드로 작동하고 다른 노드에서는 백업 모드로 작동합니다. 이 경우 두 노드 모두 활성 SRG1 포워딩 스테이트풀 서비스를 가질 수 있습니다. 각 노드에는 SRG1+에 할당된 서로 다른 유동 IP 주소 집합이 있습니다.
Junos OS 릴리스 22.4R1부터 멀티노드 고가용성 설정에서 최대 20개의 SRG를 구성할 수 있습니다.
표 3 은 멀티노드 고가용성 설정에서 SRG의 동작을 설명합니다.
SRG(Related Services Redundancy Group) | 매니지드 서비스는 | 활성 노드가 실패할 때 | 동기화 유형으로 | 작동합니다 | .구성 옵션 |
---|---|---|---|---|---|
SRG0 | IPsec VPN을 제외한 보안 서비스 L4-L7을 관리합니다. | 액티브/액티브 모드 | 보안 서비스의 상태 저장 동기화 | 장애가 발생한 노드에서 처리된 트래픽은 상태 저장 방식으로 정상 노드로 전환됩니다. |
|
SRG1+ | 관련 보안 서비스를 통해 IPsec 및 가상 IP 주소 관리 | 활성/백업 모드 | 보안 서비스의 상태 저장 동기화 | 장애가 발생한 노드에서 처리된 트래픽은 상태 저장 방식으로 정상 노드로 전환됩니다. |
|
SRG1+에서 모니터링(BFD 또는 IP 또는 인터페이스) 옵션을 구성할 때 SRG0에서 shutdown-on-failure 옵션을 구성하지 않는 것이 좋습니다.
Junos OS 릴리스 23.4R1부터 멀티노드 고가용성 설정은 결합 모드로 작동합니다. SRG(SRG0 또는 SRG1+) 구성을 추가하거나 삭제할 때 시스템을 재부팅할 필요가 없습니다.
적극성 결정 및 시행
멀티노드 고가용성 설정에서 활성은 노드 수준이 아닌 서비스 수준에서 결정됩니다. 활성/백업 상태는 SRG 수준이며 트래픽은 활성 SRG로 조정됩니다. SRG0은 두 노드 모두에서 활성 상태로 유지되는 반면, SRG1은 각 노드에서 활성 상태 또는 백업 상태로 유지될 수 있습니다
부팅 시 특정 노드가 활성 노드로 인계받기를 원할 경우 다음 중 하나를 수행할 수 있습니다.
- 노드가 위치한 경로에 대한 기본 설정을 포함하도록 업스트림 라우터를 구성합니다.
- 활성 우선순위를 구성합니다.
- 노드 ID가 더 높은 노드(위의 두 옵션이 구성되지 않은 경우)가 활성 역할을 맡을 수 있도록 허용합니다.
멀티노드 고가용성 설정에서 두 SRX 시리즈 방화벽은 처음에 업스트림 라우터에 유동 IP 주소에 대한 경로를 보급합니다. SRX 시리즈 방화벽이 광고하는 두 경로 사이에는 특정한 선호가 없습니다. 그러나 라우터는 구성된 메트릭에 따라 경로 중 하나에서 고유한 기본 설정을 가질 수 있습니다.
도 12 는 활성성 판정 및 활성성 시행을 위한 이벤트들의 시퀀스를 나타낸다.
- 부팅 시 디바이스는 보류 상태로 들어가고 계속해서 프로빙을 시작합니다. 디바이스는 부동 IP 주소(활성 프로빙 소스 IP 주소)를 소스 IP 주소로 사용하고 업스트림 라우터의 IP 주소를 활성 상태 결정 프로브의 대상 IP 주소로 사용합니다.
-
프로브 대상 IP 주소를 호스팅하는 라우터는 기본 라우팅 경로에서 사용할 수 있는 SRX 시리즈 방화벽에 응답합니다. 다음 예제에서 SRX-1은 업스트림 라우터에서 응답을 가져옵니다.
그림 13: 활성성 결정 및 시행 -
SRX-1은 프로브 응답을 받았기 때문에 자신을 활성 역할로 승격합니다. SRX-1은 역할 변경을 다른 디바이스에 전달하고 활성 역할을 수행합니다.
-
활성이 결정된 후 액티브 노드(SRX-1)는 다음을 수행합니다.
- 할당된 유동 IP 주소를 호스팅합니다.
- 높은 선호 경로를 인접 BGP 인접 라우터에 보급합니다.
- 트래픽을 끌어오기 위해 모든 원격 및 로컬 경로에 대해 활성(상위) 기본 설정 경로를 계속 보급합니다.
- ICL을 통해 활성 노드 상태를 다른 노드에 알립니다.
-
다른 디바이스(SRX-2)는 프로빙을 중지하고 백업 역할을 수행합니다. 백업 노드는 기본(낮은) 우선 순위를 광고하여 업스트림 라우터가 패킷을 백업 노드로 전달하지 않도록 합니다.
멀티노드 고가용성 모듈은 노드가 활성 역할로 이동할 때 SRG에 대한 활성 및 백업 신호 경로를 라우팅 테이블에 추가합니다. 노드 장애가 발생할 경우 ICL이 다운되고 현재 활성 노드가 활성 역할을 해제하고 활성 신호 경로를 제거합니다. 이제 백업 노드는 프로브를 통해 조건을 감지하고 활성 역할로 전환합니다. 경로 기본 설정이 스왑되어 모든 트래픽을 새 활성 노드로 구동합니다.
경로 기본 설정 광고의 스위치는 SRX 시리즈 방화벽에서 구성된 라우팅 정책의 일부입니다. 조건과 함께 if-route-exists
활성 신호 경로를 포함하도록 라우팅 정책을 구성해야 합니다.
- 기본 게이트웨이 배포의 경우For default gateway deployments
- 하이브리드 배포의 경우
- Activeness(활성) 우선 순위 및 선점
- Activeness 프로브 설정 구성
기본 게이트웨이 배포의 경우For default gateway deployments
두 노드가 동시에 부팅되는 경우 멀티노드 고가용성 시스템은 SRG의 구성된 우선 순위 값을 사용하여 활성을 결정합니다. 활성 SRG1+가 있는 노드가 가상 IP(VIP) 주소와 가상 MAC(VMAC) 주소를 소유할 때 활성이 적용됩니다. 이 작업은 양쪽의 스위치에 대해 GARP(Gratuitous ARP)를 트리거하고 스위치의 MAC 테이블을 업데이트합니다.
하이브리드 배포의 경우
활성 상태 적용은 레이어 3 측에서 이루어지며, 구성된 신호 경로가 해당 경로 보급으로 활성을 적용합니다. 레이어 2 측에서 SRX 시리즈 방화벽은 스위치 레이어에 GARP(Gratuitous ARP)를 트리거하고 VIP 및 VMAC 주소를 소유합니다
페일오버가 발생하고 이전 백업 노드가 활성 역할로 전환되면 경로 기본 설정이 스왑되어 모든 트래픽을 새 활성 노드로 구동합니다.
Activeness(활성) 우선 순위 및 선점
SRG1+에 대한 선점 우선 순위(1-254)를 구성합니다. 두 노드에서 선점 값을 구성해야 합니다. preempt 옵션은 노드가 페일오버에서 복구될 때 트래픽이 항상 지정된 노드로 폴백되도록 합니다.
다음 샘플에서와 같이 SRG1+에 대한 활성 우선 순위와 선점을 구성할 수 있습니다.
[edit] user@host# show chassis high-availability services-redundancy-group 1 { preemption; activeness-priority 200; }
전체 구성 예는 레이어 3 네트워크에서 멀티노드 고가용성 구성을 참조하십시오.
노드가 ICL을 통해 서로 통신할 수 있는 한 활성 우선 순위는 유지됩니다.
Activeness 프로브 설정 구성
Junos OS 22.4R1, 기본 게이트웨이(스위칭) 및 멀티노드 고가용성의 하이브리드 구축에서 다음 문을 사용하여 선택적으로 활성 프로브 매개 변수를 구성할 수 있습니다.
[edit] user@host# set chassis high-availability services-redundancy-group 1 activeness-probe multiplier <> user@host# set chassis high-availability services-redundancy-group 1 activeness-probe minimal-interval <>
프로브 간격은 대상 IP 주소로 전송된 프로브 사이의 기간을 설정합니다. 프로브 간격을 1000밀리초로 설정할 수 있습니다.
승수 값은 백업 노드가 피어 노드로부터 activeness-probes에 대한 응답을 수신하지 못하는 경우 백업 노드가 활성 상태로 전환되는 기간을 결정합니다.
기본값은 2, 최소값은 2, 최대값은 15입니다.
예: 승수 값을 2로 구성하는 경우, 2초 후에 피어 노드로부터 활성 상태 검색 요청에 대한 응답을 받지 못하면 백업 노드가 활성 상태로 전환됩니다.
스위칭 및 하이브리드 구축에서 및 을 minimal-interval
구성할 multiplier
수 있습니다.
하이브리드 모드 배포에서 활성 상태 확인을 위해 프로브 대상 IP 세부 정보를 구성한 경우(문 사용activeness-probe dest-ip
) 및 minimal-interval
값을 구성 multiplier
하지 마세요. VIP 기반 활성 상태 프로빙을 사용하는 경우 이러한 매개 변수를 구성합니다.
복원력 및 장애 조치(failover)
멀티노드 고가용성 솔루션은 서비스 수준에서 이중화를 지원합니다. 서비스 레벨 이중화는 노드 전반에서 컨트롤 플레인을 동기화하는 데 필요한 노력을 최소화합니다.
멀티노드 고가용성 설정이 활성을 결정한 후 ICL을 통해 후속 고가용성(HA) 상태를 협상합니다. 백업 노드는 유동 IP 주소를 사용하여 ICMP 프로브를 보냅니다. ICL이 작동하면 노드는 프로브에 대한 응답을 받고 백업 노드로 유지됩니다. ICL이 다운되고 프로브 응답이 없는 경우 백업 노드가 활성 노드로 전환됩니다.
이전 백업 노드의 SRG1은 이제 활성 상태로 전환되어 원활하게 작동합니다. 전환이 발생하면 유동 IP 주소가 활성 SRG1에 할당됩니다. 이러한 방식으로 IP 주소는 활성 노드와 백업 노드 사이에 이동하며 연결된 모든 호스트에 연결할 수 있습니다. 따라서 트래픽은 중단 없이 계속 흐릅니다.
컨트롤 플레인 및 데이터 플레인 상태를 모두 필요로 하는 IPsec VPN과 같은 서비스는 노드 간에 동기화됩니다. 이 서비스 기능에 대해 활성 노드에 장애가 발생할 때마다 컨트롤 플레인과 데이터 플레인이 동시에 백업 노드로 페일오버됩니다.
노드는 다음 메시지를 사용하여 데이터를 동기화합니다.
- 라우팅 엔진에서 라우팅 엔진으로 애플리케이션 메시지를 제어합니다.
- 라우팅 엔진 구성 관련 메시지
- 데이터 플레인 RTO 메시지
ICL(Interchassis Link) 암호화
멀티노드 고가용성에서 활성 노드와 백업 노드는 라우팅된 네트워크를 통해 연결되거나 직접 연결된 ICL(섀시 간 링크)을 사용하여 서로 통신합니다. ICL은 논리적 IP 링크이며 네트워크에서 라우팅할 수 있는 IP 주소를 사용하여 설정됩니다.
노드는 ICL을 사용하여 컨트롤 플레인과 노드 간의 데이터 플레인 상태를 동기화합니다. ICL 통신은 공유 또는 신뢰할 수 없는 네트워크를 통해 이동할 수 있으며 ICL을 통해 전송된 패킷은 항상 신뢰할 수 없는 경로를 통과할 수 있습니다. 따라서 IPsec 표준을 사용하여 트래픽을 암호화하여 ICL을 통과하는 패킷을 보호해야 합니다.
IPsec은 ICL에 대한 암호화 터널을 설정하여 트래픽을 보호합니다. HA 링크 암호화를 적용할 때 HA 트래픽은 암호화된 보안 터널을 통해서만 노드 간에 흐릅니다. HA 링크 암호화가 없으면 노드 간 통신이 안전하지 않을 수 있습니다.
ICL에 대한 HA 링크를 암호화하려면:
- 다음 명령을 사용하여 SRX 시리즈 방화벽에 Junos IKE 패키지를 설치합니다.
request system software add optional://junos-ike.tgz
. - HA 트래픽에 대한 VPN 프로필을 구성하고 두 노드 모두에 대해 프로필을 적용합니다. SRX 시리즈 방화벽 간에 협상되는 IPsec 터널은 IKEv2 프로토콜을 사용합니다.
-
IPsec VPN 구성에 ha-link-encryption 문을 포함했는지 확인합니다. 예: user@host# set security ipsec vpn vpn-name ha-link-encryption.
ICL을 설정하려면 다음을 권장합니다.
- 포화 상태가 될 가능성이 적은 포트 및 네트워크 사용
- 전용 HA 포트(SRX 시리즈 방화벽에서 사용 가능한 경우 제어 및 패브릭 포트)를 사용하지 않습니다.
-
ICL을 루프백 인터페이스(lo0) 또는 어그리게이션 이더넷 인터페이스(ae0)에 바인딩하고 가장 높은 복원력을 위해 경로 다양성을 보장하는 두 개 이상의 물리적 링크(LAG/LACP)를 보유합니다.
-
SRX 시리즈 방화벽의 수익 이더넷 포트를 사용하여 ICL 연결을 설정할 수 있습니다. 수익 인터페이스의 전송 트래픽을 고가용성(HA) 트래픽과 분리해야 합니다.
자세한 내용은 멀티노드 고가용성 구성을 참조하십시오.
ICL을 위한 PKI 기반 링크 암호화
Junos OS 릴리스 22.3R1부터 멀티노드 고가용성에서 ICL(Interchassis Link)에 대한 PKI 기반 링크 암호화를 지원합니다. 이 지원의 일환으로, 이제 두 노드 모두에서 로컬 키 쌍, 로컬 인증서 및 인증서 서명 요청과 같은 노드별 PKI 개체를 생성하고 저장할 수 있습니다. 개체는 로컬 노드에만 적용되며 두 노드의 특정 위치에 저장됩니다.
노드 로컬 개체를 사용하면 ICL 암호화에 사용되는 PKI 개체와 두 엔드포인트 간에 생성된 IPsec VPN 터널에 사용되는 PKI 개체를 구분할 수 있습니다.
로컬 노드에서 실행되는 다음 명령을 사용하여 노드별 PKI 개체로 작업할 수 있습니다.
로컬 노드에 대한 프라이빗/퍼블릭 키 쌍 생성 | |
로컬 노드에서 로컬 디지털 인증서 생성 및 등록 | |
노드별 인증서 지우기 | |
노드별 로컬 인증서 및 인증서 요청을 표시합니다. |
멀티노드 고가용성의 보안 디바이스에서 자동 재등록 옵션을 구성한 경우와 재등록 트리거 시 ICL이 다운되면 두 디바이스 모두 CA 서버에 동일한 인증서를 별도로 등록하기 시작하고 동일한 CRL 파일을 다운로드합니다. 멀티노드 고가용성이 ICL을 다시 설정하면 설정은 하나의 로컬 인증서만 사용합니다. 백업 노드에서 명령을 사용하여 user@host> request security pki sync-from-peer
활성 노드의 인증서를 백업 노드로 동기화해야 합니다.
인증서를 동기화하지 않으면 피어 노드 간의 인증서 불일치 문제가 다음에 다시 등록할 때까지 지속됩니다.
선택적으로 노드에서 키 쌍을 생성하기 전에 두 노드에서 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하도록 설정할 수 있습니다. 신뢰할 수 있는 플랫폼 모듈을 사용하여 SRX 시리즈 디바이스의 암호 바인딩을 참조하십시오.
Split-Brain 탐지 및 방지
스플릿 브레인 탐지 또는 활성 상태 충돌은 두 멀티노드 고가용성 노드 간의 ICL이 다운되고 두 노드가 더 이상 피어 노드의 상태를 수집하기 위해 서로 연결할 수 없을 때 발생합니다.
ICMP 기반 분할 브레인 프로빙
2개의 SRX 시리즈 디바이스가 멀티노드 고가용성 설정의 일부인 시나리오를 고려하십시오. SRX-1을 로컬 노드로 간주하고 SRX-2 원격 노드로 간주해 보겠습니다. 로컬 노드는 현재 활성 역할에 있으며 트래픽을 유도하기 위해 유동 IP 주소를 호스팅합니다. 업스트림 라우터는 로컬 노드에 대해 더 높은 우선 순위 경로를 갖습니다.
노드 간 ICL이 다운되면 두 노드 모두 활성 상태 결정 프로브(ICMP 프로브)를 시작합니다. 노드는 부동 IP 주소(활성 상태 결정 IP 주소)를 소스 IP 주소로 사용하고 업스트림 라우터의 IP 주소를 프로브의 대상 IP 주소로 사용합니다.
사례 1: 활성 노드가 작동 중인 경우
- 프로브 대상 IP 주소를 호스트하는 업스트림 라우터는 두 노드 모두에서 ICMP 프로브를 수신합니다.
- 업스트림 라우터는 활성 노드에만 응답합니다. 구성이 활성 노드에 대한 더 높은 기본 설정 경로를 갖기 때문입니다.
- 활성 노드는 활성 역할을 유지합니다.
활성 노드가 다운된 경우:
- 원격 노드가 활성 상태 결정 프로브를 다시 시작합니다.
- 프로브 대상 IP 주소를 호스트하는 라우터가 더 높은 기본 설정 경로(이전 활성 노드)를 잃어버리고 원격 노드에 응답합니다.
- 프로브 결과는 원격 노드에 대한 성공이며 원격 노드는 활성 상태로 전환됩니다.
- 위의 사례에서 설명한 바와 같이, 업스트림 라우터에서 활성 상태 결정 프로브 및 더 높은 경로 기본 설정 구성은 하나의 노드가 항상 활성 역할을 유지하고 스플릿 브레인이 발생하지 않도록 합니다.
BFD 기반 분할 브레인 프로빙
Junos OS 릴리스 23.4R1에서는 멀티노드 고가용성을 위해 기본 게이트웨이 및 하이브리드 구축 모드에 대한 BFD 기반 분할 브레인 프로빙을 지원합니다.
ICL(Interchassis Link) 장애는 네트워크 중단 또는 일관되지 않은 구성이라는 두 가지 주요 요인에 기인할 수 있습니다. 활성 프로브를 사용하여 각 SRG1+에 대해 활성 역할을 수행할 수 있는 노드를 결정할 수 있습니다. 프로브 결과에 따라 노드 중 하나가 활성 상태로 전환되고 이 작업은 스필트 브레인 시나리오를 방지합니다.
BFD 기반 스플릿 브레인 프로빙을 사용하면 인터페이스, 최소 간격 및 승수를 정의할 수 있으므로 프로브를 보다 세밀하게 제어할 수 있습니다. BFD 기반 스플릿 브레인 프로빙에서는 SRG가 구성되고 작동하기 시작한 직후 프로빙이 시작됩니다. 기본 ICMP 기반 분할 브레인 프로빙에서는 ICL 링크가 다운된 후에만 프로빙이 시작됩니다.
이에 비해 BFD 기반 프로빙은 분할 브레인 시나리오를 방지하기 위해 더 빠른 응답을 보장하기 위해 다음과 같은 방식으로 훨씬 더 능동적입니다.
-
프로빙은 SRG 구성을 직접 게시하기 시작합니다.
-
ICL BFD와 스플릿 브레인 프로브가 동시에 중단되면 백업 노드가 즉시 활성 역할을 맡고 VIP를 인수합니다.
다음 표에서는 분할 브레인 감지를 위한 ICMP 기반 프로빙과 BFD 기반 프로빙의 차이점을 보여 줍니다.
매개 변수 |
ICMP 기반 프로빙 |
BFD 기반 프로빙 |
---|---|---|
프로브 유형 | ICMP 패킷 | BFD 패킷, 단일 홉 BFD |
최소 간격 | 1000밀리초 | SRX 시리즈 방화벽의 최소 BFD 간격은 플랫폼에 따라 다릅니다. 예를 들어: SPC3이 있는 SRX5000라인 방화벽, 간격은 100ms입니다. SRX4200 간격은 300ms입니다. |
SRG 백업 노드 프로브 | 예 | 예 |
SRG 액티브 노드 프로브 | 아니요 | 예 |
ICL 다운 시 SRG 분할 브레인 해결 | ICL이 다운될 때만. | SRG를 구성한 후. |
불가능합니다 | 가능한 | |
구성 옵션 |
show chassis high-availability services-redundancy-group 1 activeness-probe dest-ip { 192.168.21.1; src-ip 192.168.21.2; } |
show chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness { source-ip 192.168.21.1; (inet address of the local SRX sub interface) destination-ip 192.168.21.2; (inet address of the peers SRX sub interface) interface xe-0/0/1.0; } |
다음 그림은 스플릿 브레인 탐지를 위한 ICMP 기반 프로빙 및 BFD 기반 프로빙의 구성 옵션을 보여줍니다.
ICMP 기반 프로빙 및 BFD 기반 프로브는 상호 배타적입니다.
하이브리드 모드 및 기본 게이트웨이 배포에서는 다음 두 가지 수준에서 activeness-probe 간격 및 임계값을 구성할 수 있습니다.
-
ICMP 기반 분할 브레인 프로빙에 적용할 수 있는 글로벌 수준
-
BFD 스플릿 브레인 프로브에 특정한 BFD-Liveliness 수준. BFD 기반 프로빙을 구성할 때 문 아래에
activeness-probe
글로벌minimum-interval
및multiplier
옵션을 구성하지 마십시오.
기본 게이트웨이 배포에 대한 활성 프로브를 구성하려면 두 노드(로컬 및 피어)에서 기본 VIP1(가상 IP) 주소 인터페이스를 사용하여 활성 프로브를 설정합니다. 대상 IP는 피어 노드에서 가져오고 소스 IP는 로컬 노드에서 가져옵니다. 두 VIP의 인덱스 값이 같아야 합니다. IP 주소는 SRX 시리즈 방화벽의 LAN 인터페이스에 할당된 inet 주소여야 합니다.
다음과 같은 방법으로 멀티노드 노드 고가용성 설정에서 분할 브레인 프로빙을 구성할 수 있습니다.
-
라우팅 및 하이브리드 모드 - 문을 사용하여
activeness-probe dest-ip
활성도 결정을 위해 프로브 대상 IP 세부 정보를 구성한 경우 승수 및 최소 간격 값을 구성하지 마십시오. VIP 기반 활성 상태 프로빙을 사용하는 경우 이러한 매개 변수를 구성합니다.[edit] [set chassis high-availability services-redundancy-group 1 activeness-probe dest-ip <neighbor_ip_address> src-ip <srx_anycast_IP>]
-
하이브리드 및 스위칭 모드—ICMP를 사용한 레이어 2 분할 브레인 프로빙. 프로브 유형 ICMP를 사용하고 다음 문을 사용하여 간격 및 시간 초과 임계값을 설정합니다.
[edit] [set chassis high-availability services-redundancy-group 1 activeness-probe minimum-interval <interval> multiplier <integer>
-
하이브리드 및 스위칭 모드—BFD를 사용한 레이어 2 분할 브레인 프로빙. 프로브 유형 BFD를 사용하고 구성된 BFD 최소 간격에 따라 초 미만이 될 수 있는 시간 제한 임계값을 설정합니다.
[edit] [set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness source-ip <ip-address> destination-ip <ip-address> interface <vip1_ifl_interface> minimum-interval <interval> multiplier <integer>
그림 17 은 샘플 토폴로지를 보여줍니다. 2개의 SRX 시리즈 방화벽이 트러스트 측과 언트러스트 측에서 인접 라우터에 연결되어 BGP 인접 라우터를 형성합니다. 암호화된 논리적 ICL(Interchassis Link)은 라우팅된 네트워크를 통해 노드를 연결합니다. 노드는 네트워크에서 라우팅 가능한 IP 주소(유동 IP 주소)를 사용하여 서로 통신합니다.
SRX-1을 로컬 노드로, SRX-2를 원격 노드로 간주해 보겠습니다. 로컬 노드는 현재 활성 역할에 있으며 업스트림 라우터는 로컬 노드에 대해 더 높은 우선 순위 경로를 갖습니다.
activeness-probe의 경우 다음 옵션을 구성해야 합니다.
-
소스 IP 주소: 로컬 노드의 SRG1에 대한 가상 IP 주소 1(VIP1)을 사용합니다.
-
대상 IP 주소: 피어 노드의 SRG1 중 VIP1을 사용합니다.
-
인터페이스: VIP1과 연결된 인터페이스입니다.
이 예에서는 BFD 활성화를 위해 가상 IP(VIP) 주소(192.168.21.1)와 인터페이스 xe-0/0/1.0을 할당합니다. 여기서는 소스 및 대상 IP 주소와 인터페이스를 지정하여 BFD 기반 스플릿 브레인 프로빙을 구성합니다.
노드는 SRG1의 가상 IP 주소(VIP1)에 연결된 인터페이스의 패밀리 inet 주소를 사용합니다.
두 노드 모두 SRG가 작동을 시작하자마자 활성도 결정 프로브(BFD 기반 프로브)를 시작합니다.
BFD 기반 분할 브레인 프로빙의 경우 다음을 수행해야 합니다.
- 두 노드에서 동일한 SRG에 대해 일치하는 소스 및 대상 IP 주소를 구성합니다.
activeness-priority
스플릿 브레인 프로빙의 결과로 활성 노드를 결정하는 옵션을 구성합니다.
다음 표는 ICL이 다운되었을 때 멀티노드 고가용성 설정이 BFD 기반 프로빙을 통해 분할 브레인 상황을 해결하는 방법을 보여줍니다. 노드 상태 및 프로브 결과에 따라 멀티노드 고가용성 시스템은 활성 역할을 수행할 노드를 선택합니다.
표 6 은 ICL이 다운되었을 때 멀티노드 고가용성 설정이 BFD 기반 프로빙을 통해 분할 브레인 상황을 해결하는 방법을 보여줍니다. 노드 상태 및 프로브 결과에 따라 멀티노드 고가용성 시스템은 활성 역할을 수행할 노드를 선택합니다.
이 예에서는 노드 1의 SRG1이 더 높은 activeness-priority를 가지고 있다고 가정합니다.
노드 1의 상태 | 노드 1의 검색 상태 | 노드 2의 상태 | 노드 2의 검색 상태 | SRG1 활성 상태로 전환하는 노드 |
활동적인 | 솜털 | 부적격 | 프로빙 없음 | 노드 1 |
활동적인 | 위로 | 백업 | 위로 | 노드 1 |
활동적인 | 위로 | 활동적인 | 위로 | 노드 1(타이 브레이커) |
백업 | 솜털 | 부적격 | 프로빙 없음 | 노드 1 |
백업 | 위로 | 백업 | 위로 | 노드 1(타이 브레이커) |
백업 | 위로 | 활동적인 | 위로 | 노드 2 |
부적격 | 프로빙 없음 | 부적격 | 프로빙 없음 | 두 노드 모두 없음 |
부적격 | 프로빙 없음 | 백업 | 솜털 | 노드 2 |
부적격 | 프로빙 없음 | 활동적인 | 솜털 | 노드 2 |
샘플 구성
노드 1:
set chassis high-availability services-redundancy-group 1 activeness-priority 1 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness destination-ip 192.168.21.2 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness source-ip 192.168.21.1 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness interface xe-0/0/1.0 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness minimum-interval 300 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness multiplier 3
노드 2:
set chassis high-availability services-redundancy-group 1 activeness-priority 200 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness destination-ip 192.168.21.1 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness source-ip 192.168.21.2 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness interface xe-0/0/1.0 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness minimum-interval 300 set chassis high-availability services-redundancy-group 1 activeness-probe bfd-liveliness multiplier 3
확인
(BFD 기반 프로빙)show chassis high-availability services-redundancy-group 1
명령을 사용하여 디바이스에 구성된 분할 브레인 프로브 유형을 확인합니다.user@host> show chassis high-availability services-redundancy-group 1 .. Split-brain Prevention Probe Info: DST-IP: 192.168.21.2 SRC-IP: N/A Routing Instance: default Type: BFD Probe Interval: 300ms Multiplier: 3 Status: RUNNING Result: REACHABLE Reason: N/A ..
user@host> show chassis high-availability services-redundancy-group 1 .. Split-brain Prevention Probe Info: DST-IP: 192.168.21.2 SRC-IP: 192.168.21.1 Routing Instance: default Type: ICMP Probe Status: NOT RUNNING Result: N/A Reason: N/A ..
-
show bfd session
명령을 사용하여 BFD 기반 프로브 상태인지 확인합니다.user@host> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.0.2 Up 0.300 0.100 3 192.168.21.2 Up xe-0/0/1.0 0.300 0.100 3 1 sessions, 1 clients Cumulative transmit rate 0.5 pps, cumulative receive rate 0.0 pps
이 샘플에서는 인터페이스 xe-0/0/1.0에 대해 BFD 기반 분할 브레인 프로빙이 실행되고 있음을 확인할 수 있습니다.
-
show chassis high-availability services-redundancy-group 1
명령을 사용하여 BFD 기반 프로브의 세부 정보를 가져옵니다.user@host> show chassis high-availability services-redundancy-group 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : N/A Health Status: SRG NOT CONFIGURED Failover Readiness: UNKNOWN Activeness Remote Priority: 100