Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

멀티노드 고가용성

요약 멀티노드 고가용성 솔루션과 간단하고 안정적인 구축 모델에서 이를 사용하는 방법에 대해 알아보십시오. 현재 주니퍼는 모든 멀티노드 고가용성 구축 환경에서 두 개의 노드를 지원합니다.

개요

비즈니스 연속성은 현대 네트워크의 중요한 요구 사항입니다. 다운타임이 몇 초만에 발생하면 OpEx 및 CapEx에 영향을 미치는 것 외에 중단과 불편을 야기할 수 있습니다. 또한 최신 네트워크는 여러 지역에 데이터센터를 분산하고 있습니다. 이러한 시나리오에서 고가용성 달성은 매우 어려울 수 있습니다.

주니퍼 네트웍스® SRX 시리즈 방화벽은 최신 데이터센터의 고가용성 요구 사항을 해결하기 위해 새로운 솔루션인 멀티노드 고가용성을 지원합니다. 이 솔루션에서는 참여 디바이스(노드)의 컨트롤 플레인과 데이터 플레인이 동시에 활성화됩니다. 따라서 이 솔루션은 섀시 간 복원력을 제공합니다.

참여 디바이스는 여러 방이나 건물과 같은 지리적 영역이나 기타 위치에서 코로케이션되거나 물리적으로 분리될 수 있습니다. 지리적 위치 전반에서 고가용성을 갖춘 노드를 보유하여 탄력적인 서비스를 보장합니다. 재해가 하나의 물리적 위치에 영향을 미치는 경우, 멀티노드 고가용성은 다른 물리적 위치의 노드에 실패하여 연속성을 보장할 수 있습니다.

멀티노드 고가용성(HA) 이점

  • CapEx 및 OpEx 감소 — 방화벽 콤플렉스를 둘러싼 스위칭 네트워크의 필요성과 노드 간 직접 레이어 2(L2) 연결의 필요성 제거

  • 네트워크 유연성— 레이어 3(L3) 및 스위칭 네트워크 세그먼트 전반에서 고가용성을 지원하여 네트워크 유연성을 높입니다.

  • 상태 저장 복원력 솔루션 - 두 노드에서 동시에 액티브 컨트롤 플레인과 데이터 플레인을 지원합니다.

  • 비즈니스 연속성 및 재해 복구 — 가용성을 극대화하여 데이터센터 및 지역 안팎에서 이중화를 향상합니다.

  • 원활한 업그레이드 — 두 노드에서 다양한 버전의 Junos OS 지원하여 Junos OS 릴리스 간 원활한 업그레이드를 보장하고 두 가지 버전의 Junos 실행할 수도 있습니다.

주니퍼는 멀티노드 고가용성 솔루션에서 두 개의 노드를 지원합니다.

액티브/백업 멀티노드 고가용성

주니퍼는 다음에서 액티브/백업 멀티노드 고가용성을 지원합니다.

  • SRX5800, SRX5600, SPC3, IOC3, IOC4, SCB3, SCB4 및 RE3와 SRX5400(Junos OS 릴리스 20.4R1)

  • SRX4600, SRX4200, SRX4100 및 SRX1500(Junos OS 릴리스 22.3R1에서)

  • 다음 프라이빗 및 퍼블릭 클라우드 플랫폼에 대한 vSRX3.0 가상 방화벽(Junos OS 릴리스 22.3R1에서):

    • KVM(커널 기반 가상 머신)
    • VMWare ESXi
    • AWS(Amazon Web Services)

액티브/액티브 멀티노드 고가용성

릴리스 22.4R1 Junos OS 시작하여 여러 서비스 중복 그룹(SRG)을 지원하는 액티브-액티브 모드에서 멀티노드 고가용성을 운영할 수 있습니다.

멀티 SRG 지원은 SPC3, IOC3, IOC4, SCB3, SCB4 및 RE3의 SRX5400, SRX5600 및 SRX5800 사용할 수 있습니다.

지원되는 기능

멀티노드 고가용성을 갖춘 SRX 시리즈 방화벽은 방화벽과 애플리케이션 보안, 컨텐츠 보안, 침입 방지 시스템(IPS), 방화벽 사용자 인증, NAT, ALG와 같은 고급 보안 서비스를 지원합니다.

멀티노드 고가용성으로 지원되는 전체 기능 목록은 기능 탐색기를 참조하십시오.

멀티노드 고가용성이 투명 모드 고가용성(HA)을 지원하지 않음

구축 시나리오

멀티노드 고가용성(Multinode High Availability)은 네트워크의 나머지 부분에 독립 노드로 자신을 제시하는 두 개의 SRX 시리즈 방화벽을 지원합니다. 노드는 구축 모드에 따라 동일하거나 다른 네트워크에 속하는 인접 인프라에 연결됩니다. 이러한 노드는 여러 지역에서 통합되거나 분리될 수 있습니다. 참여 노드가 서로 백업하여 시스템 또는 하드웨어 장애 시 빠르게 동기화된 페일오버를 보장합니다.

주니퍼는 멀티노드 고가용성을 위해 다음과 같은 유형의 네트워크 구축 모델을 지원합니다.

  • 경로 모드(레이어 3 토폴로지로를 사용하여 연결된 모든 인터페이스)
    그림 1: 레이어 3 모드 Layer 3 Mode
  • 기본 게이트웨이 모드(레이어 2 토폴로지로 사용하여 연결된 모든 인터페이스)는 보다 전통적인 환경에서 사용됩니다. 방화벽 디바이스가 동일한 세그먼트의 호스트 및 애플리케이션의 기본 게이트웨이 역할을 하는 DMZ 네트워크의 공통 구축.
    그림 2: 기본 게이트웨이 모드 Default Gateway Mode
  • 하이브리드 모드(레이어 3 토폴로지로를 사용하여 하나 이상의 인터페이스가 연결되고 레이어 2 토폴로지로를 사용하여 하나 이상의 인터페이스가 연결됨)
    그림 3: 하이브리드 모드 Hybrid Mode
  • AWS 구축
    그림 4: 퍼블릭 클라우드 구축 Public Cloud Deployment

멀티노드 고가용성(HA)이 섀시 클러스터와 어떻게 다른가요?

섀시 클러스터는 레이어 2 네트워크 환경에서 작동하며 노드 간에 두 개의 링크(제어 링크 및 패브릭 링크)가 필요합니다. 이러한 링크는 후-후 배선 또는 다크 파이버를 통해 전용 VLAN을 통해 두 노드를 모두 연결합니다. 제어 링크 및 패브릭 링크는 SRX 시리즈 방화벽의 전용 물리적 포트를 사용합니다.

멀티노드 고가용성(HA)은 암호화된 ICL(logical interchassis link)을 사용합니다. ICL은 전용 레이어 2 네트워크 대신 라우팅된 경로를 통해 노드를 연결합니다. 이 라우팅된 경로는 하나 이상의 수익 포트를 사용하여 최고의 복원력을 제공할 수 있으며, 이러한 포트 및 경로에 자체 라우팅 인스턴스를 바치는 것도 가능합니다. 이를 통해 솔루션의 복원력을 극대화할 수 있습니다.

그림 5그림 6 은 두 가지 아키텍처를 보여줍니다.

그림 5: 레이어 2 네트워크의 Chassis Cluster Topology in a Layer 2 Network 섀시 클러스터 토폴로지
그림 6: 레이어 3 네트워크의 Multinode High Availability in a Layer 3 Network 멀티노드 고가용성

표 1 에는 두 아키텍처의 차이점이 나와 있습니다.

표 1: 섀시 클러스터 및 멀티노드 고가용성 비교
파라미터 섀시 클러스터 멀티노드 고가용성
네트워크 토폴로지 노드가 브로드캐스트 도메인에 연결 노드는 라우터, 브로드캐스트 도메인 또는 두 가지 모두의 조합에 연결됩니다.
  • 라우터에 연결하는 노드
  • 브로드캐스트 도메인
  • 위 두 가지 모두의 조합
네트워크 환경 레이어 2
  • 레이어 3(경로 모드)
  • 레이어 2(디파트 게이트웨이 모드
  • 레이어 3과 레이어 2의 조합(하이브리드 모드)
  • 퍼블릭 클라우드(AWS) 구축
트래픽 전환 접근 방식 SRX 시리즈 방화벽이 GARP를 스위치로 전송합니다.

SRX 시리즈 방화벽에서 피어 레이어 2 스위치로 피어 레이어 3 라우터 또는 레이어 2 GARP에 의한 IP 경로 선택을 사용한 전환

  • 경로 모드: IP 경로 선택을 사용한 전환(경로 업데이트)
  • 하이브리드 모드: IP 경로 선택(경로 업데이트)을 사용한 전환 및 스위치로 GARP 전송
  • 기본 게이트웨이 모드: SRX 시리즈 방화벽이 GARP를 스위치로 보냅니다.
퍼블릭 클라우드 지원되지 않음 지원
동적 라우팅 기능 컨트롤 플레인(RG0)이 활성화된 SRX 시리즈 활성 라우팅 프로세스 멀티노드 고가용성(HA)에 참여하는 각 SRX 시리즈 방화벽에서 활성화된 라우팅 프로세스
SRX 시리즈 방화벽 연결

  • 제어 링크(레이어 2 경로)

  • 패브릭 링크(레이어 2 경로)
섀시 간 링크(레이어 3 경로)
연결/지역 이중화 제어 링크 및 패브릭 링크에 대한 SRX 시리즈 노드 간 전용 레이어 2 확장 필요. Interchassis 링크의 노드 간에 라우팅된 모든 경로를 사용합니다.
네트워크 장애 감지를 위한 IP 모니터링
  • 인터페이스
  • IPv4 주소를 사용한 IP 모니터링
  • 인터페이스
  • IPv4 및 IPv6 주소를 사용한 IP 모니터링
  • IPv4 주소를 사용하는 BFD(Bidirectional Forwarding Detection)

멀티노드 고가용성 용어집

먼저 이 설명서에 사용된 멀티노드 고가용성 용어에 대해 잘 알고 있습니다.

표 2: 멀티노드 고가용성 용어집
용어 설명
active/active 상태(SRG0) 모든 보안 서비스/플로우는 각 노드에서 검사되고 다른 노드에서 백업됩니다. 보안 플로우는 대칭적이어야 합니다.
액티브/백업 상태(SRG1+) SRG1+는 주어진 시간에 하나의 노드에서 활성 상태로 유지되며 다른 노드에서 백업 상태로 유지됩니다. 백업 상태의 SRG1+는 장애 시 활성 SRG1의 트래픽을 넘겨줄 준비가 되어 있습니다.
디바이스 우선 순위 우선 순위 값은 노드가 멀티노드 고가용성 설정에서 활성 노드로 작동할 수 있는지 여부를 결정합니다. 숫자 값이 낮은 노드의 우선 순위는 더 높으며, 따라서 다른 노드가 백업 노드 역할을 하는 동안 활성 노드 역할을 합니다.
디바이스 선점 선제적 동작을 통해 우선 순위가 높은 디바이스(낮은 수치 값)는 장애에서 회복된 후 활성 노드로 재개할 수 있습니다. 멀티노드 고가용성의 특정 디바이스를 활성 노드로 사용해야 하는 경우, 디바이스 모두에서 선제적 동작을 활성화하고 각 디바이스에 대해 디바이스 우선 순위 값을 할당해야 합니다.
장애 조치 장애(하드웨어/소프트웨어 등)를 감지하고 트래픽이 스테이트풀 방식으로 다른 노드로 전환되면 페일오버가 발생합니다. 결과적으로, 고가용성 시스템의 백업 노드는 활성 노드가 실패할 때 활성 노드의 작업을 대신합니다.
유동 IP 주소 또는 액티브니스 프로빙 IP 주소 멀티노드 고가용성 설정에서 페일오버 중에 활성 노드에서 백업 노드로 이동하는 IP 주소. 이 메커니즘을 통해 클라이언트는 단일 IP 주소를 사용하여 노드와 통신할 수 있습니다.

고가용성/복원력

 시스템이 단일 장애 지점을 제거하여 장기간에 걸쳐 지속적인 운영을 보장할 수 있는 기능.
인터섀시 링크 멀티노드 고가용성 구축 환경에서 라우팅된 네트워크를 통해 노드를 연결하는 IP 기반 링크(논리적 링크). ICL 링크는 일반적으로 가장 유연한 구축을 위해 루프백 인터페이스에 바인딩됩니다. 두 IP 주소 간의 연결이 가능한 한 연결은 모든 라우팅 또는 스위칭 경로가 될 수 있습니다.

보안 디바이스는 ICL을 사용하여 상태 정보를 동기화 및 유지 관리하고 디바이스 페일오버 시나리오를 처리합니다.
섀시 간 링크 암호화 링크 암호화는 네트워크를 통과하는 메시지에 대한 데이터 프라이버시를 제공합니다. ICL 링크가 프라이빗 데이터를 전송하기 때문에 링크를 암호화하는 것이 중요합니다. IPsec VPN을 사용하여 ICL을 암호화해야 합니다.
모니터링(BFD) BFD(Bidirectional Forwarding Detection)를 사용하여 하나 이상의 링크 모니터링. BFD 모니터링은 시스템 구성에 따라 라우팅 경로 변경 또는 시스템 페일오버를 트리거합니다.
모니터링(IP) 피어 노드와의 통신 손실 시 안정적인 IP 주소 및 시스템 상태 모니터링.
모니터링(경로) ICMP를 사용하여 IP 주소의 도달 가능성을 확인하는 방법. ICMP 핑 프로브의 기본 간격은 1초입니다.
모니터링(시스템) 노드에서 장애가 감지될 때 페일오버를 트리거하여 주요 하드웨어 및 소프트웨어 리소스 및 인프라를 모니터링합니다.
프로 빙 고가용성 설정에서 활성 노드와 백업 노드 간에 메시지를 교환하는 데 사용되는 메커니즘입니다. 메시지는 각 개별 노드에서 애플리케이션의 상태와 상태를 결정합니다.
실시간 객체(RTO) 하나의 노드에서 다른 노드로 데이터를 동기화하는 데 필요한 정보를 포함하는 특수 페이로드 패킷입니다.
Split-Brain Detection(컨트롤 플레인 탐지 또는 능동 충돌 탐지라고도 함) 두 멀티노드 고가용성 노드 간의 ICL이 중단되고 두 노드 모두 활성도 결정 프로브를 시작하는 이벤트(분할-뇌 프로브). 프로브에 대한 응답을 기반으로 새로운 역할에 대한 후속 페일오버가 트리거됩니다.
서비스 중복 그룹(SRG) 참여 노드에서 개체 집합을 포함 및 관리하는 페일오버 장치. 페일오버가 감지되면 한 노드의 SRG는 다른 노드로 전환됩니다.
SRG0 방화벽, NAT 및 ALG와 같은 모든 컨트롤 플레인 스테이트리스 서비스를 관리합니다. SRG0은 모든 참여 노드에서 활성화되며 대칭 보안 플로우를 처리합니다.
SRG1+ 컨트롤 플레인 스테이트풀 서비스(하이브리드 또는 기본 게이트웨이 모드에서 IPsec VPN 또는 가상 IP)를 관리합니다.
동기화 제어 및 데이터 플레인 상태가 노드 전반에 걸쳐 동기화되는 프로세스를 수행합니다.
가상 IP(VIP) 주소 하이브리드 또는 기본 게이트웨이 모드의 가상 IP 주소는 멀티노드 고가용성 설정에서 스위칭 측에서의 액티브니스 결정 및 적용에 사용됩니다. 가상 IP는 SRG1+에 의해 제어됩니다.
가상 MAC(VMAC) 주소 (하이브리드 및 기본 게이트웨이 구축의 경우). 스위칭 쪽에 있는 활성 노드의 인터페이스에 동적으로 할당된 가상 MAC 주소.

이제 멀티노드 고가용성 기능 및 용어에 대해 잘 알고 있습니다. 이제 멀티노드 고가용성이 어떻게 작동하는지 이해해 보죠.

멀티노드 고가용성 작동 방식

참고:

주니퍼는 멀티노드 고가용성 솔루션에 대한 2노드 구성을 지원합니다.

멀티노드 고가용성 설정에서 두 개의 SRX 시리즈 방화벽을 인접한 업스트림 및 다운스트림 라우터(레이어 3 구축용), 라우터 및 스위치(하이브리드 구축), 또는 수익 인터페이스를 사용하는 스위치(기본 게이트웨이 구축)에 연결합니다.

노드는 섀시 간 링크(ICL)를 사용하여 서로 통신합니다. ICL 링크는 레이어 3 연결을 사용하여 서로 통신하고, 이 통신은 라우팅된 네트워크(레이어 3) 또는 직접 연결된 레이어 2 경로를 통해 수행 가능합니다. ICL을 루프백 인터페이스에 바인딩하고 두 개 이상의 물리적 링크(LAG/LACP)를 보유하여 가장 높은 복원력을 위해 경로 다양성을 보장하는 것이 좋습니다.

멀티노드 고가용성(HA)은 데이터 플레인 및 컨트롤 플레인 서비스를 위한 액티브/백업 모드에서 작동합니다. 활성 SRX 시리즈 방화벽은 플로팅 IP 주소를 호스트하고 플로팅 IP 주소를 사용하여 트래픽을 유도합니다.

멀티노드 고가용성(HA)은 다음에서 작동합니다.

  • 보안 서비스를 위한 액티브/액티브 모드(SRG0)
  • 보안 및 시스템 서비스를 위한 액티브/백업 모드(SRG1 이상)

SRG1 이상으로 제어되는 플로팅 IP 주소가 노드 간에 이동합니다. 활성 SRG1+는 플로팅 IP 주소를 호스트하고 제어합니다. 페일오버 시나리오에서 이 IP 주소는 구성, 시스템 상태 또는 경로 모니터링 결정에 따라 다른 활성 SRG1로 '수레'됩니다. 새롭게 활성화된 SRG1+는 현재 대기 중인 SRG1의 기능을 맡아 들어오는 요청에 응답하기 시작할 수 있습니다.

그림 7, 그림 8, 그림 9 는 레이어 3, 하이브리드 및 기본 게이트웨이 모드의 구축을 보여줍니다.

그림 7: 레이어 3 구축 Layer 3 Deployment

이 토폴로지에서 2개의 SRX 시리즈 방화벽이 멀티노드 고가용성 설정의 일부입니다. 이 설정에는 SRX 시리즈 방화벽과 인접 라우터 사이에 레이어 3 연결이 있습니다. 디바이스는 별도의 물리적 레이어 3 네트워크에서 실행되고 있으며 두 개의 독립 노드로 작동합니다. 그림에 표시된 노드는 토폴로지에 공동 위치합니다. 노드는 지리적으로 분리될 수도 있습니다.

그림 8: 기본 게이트웨이 구축 Default Gateway Deployment

일반적인 기본 게이트웨이 구축에서 LAN의 호스트와 서버는 보안 디바이스의 기본 게이트웨이로 구성됩니다. 따라서 보안 디바이스는 활성화성에 따라 노드 간에 이동하는 가상 IP(VIP) 주소를 호스팅해야 합니다. 호스트의 구성은 정적인 상태로 유지되며, 보안 디바이스 페일오버는 호스트의 관점에서 매끄럽게 이루어집니다.

SRX 시리즈 방화벽에서 정적 경로 또는 동적 라우팅을 생성하여 직접 연결되지 않은 다른 네트워크에 도달해야 합니다.

그림 9: 하이브리드 구축 Hybrid Deployment

하이브리드 모드 SRX 시리즈 방화벽은 레이어 2 측에서 VIP 주소를 사용하여 트래픽을 유도합니다. 장애 조치 중에 IP 주소가 변경되지 않도록 VMAC 주소를 사용하여 VIP에 대한 정적 ARP를 선택적으로 구성할 수 있습니다.

이제 멀티노드 고가용성(Multinode High Availability)의 구성 요소와 기능을 자세히 알아보겠습니다.

서비스 이중화 그룹

서비스 중복 그룹(SRG)은 멀티노드 고가용성 설정에서 페일오버 장치입니다. SRG에는 두 가지 유형이 있습니다.

  • SRG0 - IPsec VPN 서비스를 제외한 레이어 4-레이어 7에서 보안 서비스를 관리합니다. SRG0은 어느 시점에서나 두 노드 모두에서 활성 모드로 작동합니다. SRG0에서 각 보안 세션은 대칭 플로우의 노드를 트래버스해야 하며, 이러한 플로우의 백업은 다른 노드에 완전히 상태 동기화되며
  • SRG1+— 하이브리드 및 기본 게이트웨이 모드를 위해 IPsec 서비스 및 가상 IP를 관리하고 다른 노드에 백업됩니다. SRG1은 한 노드에서 활성 모드, 다른 노드의 백업 노드에서 작동합니다.

그림 10 은 멀티노드 고가용성 설정에서 SRG0 및 SRG1을 보여줍니다.

그림 10: 멀티노드 고가용성(Active-Backup 모드) Single SRG Support in Multinode High Availability (Active-Backup Mode) 에서 단일 SRG 지원

그림 11 은 멀티노드 고가용성 설정에서 SRG0 및 SRG1+를 보여줍니다.

그림 11: 멀티노드 고가용성(액티브-액티브 모드) Multi SRG Support in Multinode High Availability (Active-Active Mode) 의 멀티 SRG 지원

Junos OS 릴리스 22.4R1부터 멀티 SRG1(SRG1+)을 지원하는 액티브-액티브 모드에서 작동하도록 멀티노드 고가용성을 구성할 수 있습니다. 이 모드에서 일부 SRG는 하나의 노드에서 활성 상태로 유지되고 일부 SRG는 다른 노드에서 활성 상태로 유지됩니다. 특정 SRG는 항상 액티브 백업 모드에서 작동합니다. 하나의 노드에서 활성 모드로 작동하고 다른 노드에서 백업 모드로 작동합니다. 이 경우 두 노드 모두 활성 SRG1 포워딩 스테이트풀 서비스를 가질 수 있습니다. 각 노드에는 SRG1+에 할당된 서로 다른 부동 IP 주소 세트가 있습니다.

참고:

Junos OS 릴리스 22.4R1부터 멀티노드 고가용성 설정에서 최대 20개 SRG를 구성할 수 있습니다.

표 3 은 멀티노드 고가용성 설정에서 SRG의 동작을 설명합니다.

표 3: 멀티노드 고가용성의 서비스 이중화 그룹 세부 정보
활성 노드 구성 옵션 실패 시 관련 서비스 중복 그룹(SRG) 매니지드 서비스 동기화 유형 으로 작동
SRG0 IPsec VPN을 제외한 보안 서비스 L4-L7을 관리합니다. 액티브/액티브 모드 보안 서비스의 상태 저장 동기화 실패한 노드에서 처리된 트래픽은 상태 저장 방식으로 정상 노드로 전환됩니다.
  • 장애 발생 중 종료 옵션
  • 장애 경로 옵션에 설치
SRG1+ 관련 보안 서비스를 통해 IPsec 및 가상 IP 주소 관리 액티브/백업 모드 보안 서비스의 상태 저장 동기화 실패한 노드에서 처리된 트래픽은 상태 저장 방식으로 정상 노드로 전환됩니다.
  • 액티브/백업 신호 경로
  • 구축 유형
  • 능동성 우선 순위 및 선점
  • 가상 IP 주소(기본 게이트웨이 구축의 경우)
  • 능동성 조사
  • 백업에서 패킷 처리 옵션

  • BFD 모니터링

  • IP 모니터링
  • 인터페이스 모니터링
참고:

SRG1+에서 모니터링(BFD 또는 IP 또는 인터페이스) 옵션을 구성할 때 SRG0에서 shutdown-on-failure 옵션을 구성하지 않는 것이 좋습니다.

능동성 결정 및 실행

멀티노드 고가용성 설정에서 활성도는 노드 수준이 아닌 서비스 수준에서 결정됩니다. 액티브/백업 상태는 SRG 수준에 있고 트래픽은 활성 SRG로 스티어링됩니다. SRG0은 두 노드 모두에서 활성 상태로 유지되는 반면, SRG1은 각 노드에서 활성 또는 백업 상태를 유지할 수 있습니다.

부팅 시 활성 노드로 특정 노드를 인수하기를 원하는 경우 다음 중 하나를 수행할 수 있습니다.

  • 노드가 위치한 경로에 대한 기본 설정을 포함하도록 업스트림 라우터를 구성합니다.
  • 능동성 우선 순위를 구성합니다.
  • 노드 ID가 더 높은 노드(위의 두 옵션이 구성되지 않은 경우)가 활성 역할을 맡도록 허용합니다.

멀티노드 고가용성 설정에서 두 SRX 시리즈 방화벽은 처음에 유동 IP 주소의 경로를 업스트림 라우터에 보급합니다. SRX 시리즈 방화벽이 보급하는 두 경로 사이에는 특정한 선호가 없습니다. 그러나 라우터는 구성된 메트릭에 따라 경로 중 하나에 대해 고유한 기본 설정을 가질 수 있습니다.

그림 12 는 능동성 결정 및 활성화 정책 적용을 위한 일련의 이벤트를 나타냅니다.

그림 12: 활동성 결정 및 실행 Activeness Determination and Enforcement
  1. 부팅 시 디바이스는 보류 상태를 입력하고 지속적인 조사를 시작합니다. 디바이스는 활성도 결정 프로브를 위한 대상 IP 주소로 업스트림 라우터의 소스 IP 주소 및 IP 주소로 유동 IP 주소(activeness-probing 소스 IP 주소)를 사용합니다.

  2. 프로브 대상 IP 주소를 호스팅하는 라우터는 기본 라우팅 경로에서 사용할 수 있는 SRX 시리즈 방화벽에 회신합니다. 다음 예시에서 SRX-1은 업스트림 라우터로부터 응답을 받습니다.

    그림 13: 활동성 결정 및 실행 Activeness Determination and Enforcement

  3. SRX-1은 프로브 응답을 받았기 때문에 활성 역할로 자신을 촉진합니다. SRX-1은 역할 변경을 다른 디바이스에 전달하고 활성 역할을 합니다.

  4. 활성화가 결정된 후 활성 노드(SRX-1):

    • 부동 IP 주소를 호스팅합니다.
    • 인접 BGP neighbor에 대한 선호도가 높은 경로를 보급합니다.
    • 트래픽을 그리는 모든 원격 및 로컬 경로에 대해 활성(상위) 선호 경로를 계속 보급합니다.
    • ICL을 통해 활성 노드 상태를 다른 노드에 통보합니다.

  5. 다른 디바이스(SRX-2)는 조사를 중단하고 백업 역할을 맡습니다. 백업 노드는 기본(하위) 우선 순위를 보급하여 업스트림 라우터가 패킷을 백업 노드로 전달하지 않도록 보장합니다.

멀티노드 고가용성 모듈은 노드가 활성 역할로 이동할 때 SRG에 대한 활성 및 백업 신호 경로를 라우팅 테이블 추가합니다. 노드 실패의 경우, ICL은 중단되고 현재 활성 노드는 활성 역할을 해제하고 활성 신호 경로를 제거합니다. 이제 백업 노드는 프로브를 통해 조건을 감지하고 활성 역할로 전환합니다. 경로 선호가 교체되어 모든 트래픽이 새 활성 노드로 이동합니다.

경로 선호 광고의 스위치는 SRX 시리즈 방화벽에 구성된 라우팅 정책의 일부입니다. 조건에 활성 신호 경로를 if-route-exists 포함하도록 라우팅 정책 구성해야 합니다.

기본 게이트웨이 구축의 경우

두 노드가 동시에 부팅되는 경우, 멀티노드 고가용성 시스템은 SRG의 구성된 우선 순위 값을 사용하여 활성도를 결정합니다. 활성도 적용은 활성 SRG1+를 가진 노드가 가상 IP(VIP) 주소와 가상 MAC(VMAC) 주소를 소유할 때 발생합니다. 이 작업은 양쪽의 스위치로 GARP(Gratuitous ARP)를 트리거하고 스위치의 MAC 테이블을 업데이트합니다.

하이브리드 구축용

능동성 적용은 구성된 신호 경로가 해당 경로 보급과 함께 활성화를 적용할 때 레이어 3 측에서 발생합니다. 레이어 2 측에서 SRX 시리즈 방화벽은 스위치 레이어에 Gratuitous ARP(GARP)를 트리거하고 VIP 및 VMAC 주소를 소유합니다.

페일오버가 발생하고 이전 백업 노드가 활성 역할로 전환되면 경로 선호가 교체되어 모든 트래픽을 새 활성 노드로 유도합니다.

능동성 우선 순위 및 선점

SRG1+에 대한 선점 우선 순위(1-254)를 구성합니다. 두 노드에서 선점 값을 구성해야 합니다. 선점 옵션은 노드가 페일오버에서 복구할 때 트래픽이 항상 지정된 노드로 되돌아가도록 보장합니다.

다음 샘플에서와 같이 SRG1+에 대한 능동성 우선 순위와 선점 구성이 가능합니다.

전체 구성 예 는 레이어 3 네트워크에서 멀티노드 고가용성 구성을 참조하십시오.

노드가 ICL을 통해 서로 통신할 수 있는 한, Activeness 우선 순위는 존중됩니다.

Activeness 프로브 설정 구성

Junos OS 22.4R1, 기본 게이트웨이(스위칭) 및 멀티노드 고가용성 하이브리드 구축에서 다음 문을 사용하여 선택적으로 액티브니스 프로브 매개 변수를 구성할 수 있습니다.

프로브 간격은 대상 IP 주소로 전송된 프로브 간의 기간을 설정합니다. 프로브 간격을 1,000밀리초로 설정할 수 있습니다.

승수 값은 백업 노드가 피어 노드로부터 activeness-probes에 대한 응답을 수신하지 못할 경우 백업 노드가 활성 상태로 전환되는 기간을 결정합니다.

기본값은 2이고 최소 값은 2이며, 최대 값은 15입니다.

예: 승수 값을 2로 구성하는 경우 백업 노드가 2초 후에 피어 노드로부터 activeness 프로빙 요청에 대한 응답을 수신하지 않으면 활성 상태로 전환됩니다.

스위칭 및 minimal-interval 하이브리드 구축에서 및 을(를) 구성할 multiplier 수 있습니다.

하이브리드 모드 구축에서 활성도 결정에 대한 프로브 대상 IP 세부 정보를 구성한 경우(명령문을 사용activeness-probe dest-ip), 및 minimal-interval 값을 구성 multiplier 하지 마십시오. VIP 기반 Activeness 프로브를 사용할 때 이러한 매개 변수를 구성합니다.

복원력 및 페일오버

멀티노드 고가용성 솔루션은 서비스 수준에서 이중화를 지원합니다. 서비스 수준 이중화는 노드 전반에서 컨트롤 플레인을 동기화하는 데 필요한 노력을 최소화합니다.

멀티노드 고가용성 설정이 활성도를 결정한 후 ICL을 통해 후속 고가용성(HA) 상태를 협상합니다. 백업 노드는 플로팅 IP 주소를 사용하여 ICMP 프로브를 보냅니다. ICL이 작동하면 노드는 프로브에 대한 응답을 받고 백업 노드로 유지됩니다. ICL이 중단되고 프로브 응답이 없으면 백업 노드가 활성 노드로 전환됩니다.

이전 백업 노드의 SRG1은 이제 활성 상태로 전환되고 계속 원활하게 작동합니다. 전환이 발생하면 떠다니는 IP 주소가 활성 SRG1에 할당됩니다. 이러한 방식으로 IP 주소는 활성 노드와 백업 노드 사이에 떠 있으며 연결된 모든 호스트에 도달 가능한 상태를 유지합니다. 따라서 트래픽은 중단 없이 계속 플로우합니다.

컨트롤 플레인과 데이터 플레인 상태 모두를 요구하는 IPsec VPN과 같은 서비스는 노드 전반에 걸쳐 동기화됩니다. 이 서비스 기능에 대해 활성 노드가 실패할 때마다 컨트롤 플레인과 데이터 플레인 모두 동시에 백업 노드에 실패합니다.

노드는 다음 메시지를 사용하여 데이터를 동기화합니다.

  • 애플리케이션 메시지 제어를 라우팅 엔진 라우팅 엔진
  • 구성 관련 메시지 라우팅 엔진
  • 데이터 플레인 RTO 메시지

ICL(Interchassis Link) 암호화

멀티노드 고가용성에서 활성 및 백업 노드는 라우팅된 네트워크를 통해 연결되거나 직접 연결된 ICL(interchassis link)을 사용하여 서로 통신합니다. ICL은 논리적 IP 링크이며 네트워크에서 라우팅 가능한 IP 주소를 사용하여 설정됩니다.

노드는 ICL을 사용하여 컨트롤 플레인과 데이터 플레인 상태를 동기화합니다. ICL 통신은 공유 또는 신뢰할 수 없는 네트워크를 통해 전달될 수 있으며 ICL을 통해 전송된 패킷은 항상 신뢰할 수 없는 경로를 통과할 수 있습니다. 따라서 IPsec 표준을 사용하여 트래픽을 암호화하여 ICL을 통과하는 패킷을 보호해야 합니다.

IPsec은 ICL에 대한 암호화 터널을 설정하여 트래픽을 보호합니다. HA 링크 암호화를 적용하면 HA 트래픽은 안전한 암호화된 터널을 통해서만 노드 간에 흐릅니다. HA 링크 암호화 없이는 노드 간의 통신이 안전하지 않을 수 있습니다.

ICL에 대한 HA 링크를 암호화하려면,

  • 다음 명령을 사용하여 SRX 시리즈 방화벽에 Junos IKE 패키지를 설치합니다.

    request system software add optional://junos-ike.tgz .

  • HA 트래픽에 대한 VPN 프로필을 구성하고 두 노드 모두에 대한 프로필을 적용합니다. SRX 시리즈 방화벽 간에 협상된 IPsec 터널은 IKEv2 프로토콜을 사용합니다.

  • IPsec VPN 구성에 ha-link-encryption 문이 포함되었는지 확인합니다. 예: user@host#은 보안 ipsec vpn vpn-name ha-link-encryption를 설정합니다.

ICL 설정에는 다음을 권장합니다.

  • 포화 상태가 될 가능성이 낮은 포트 및 네트워크 사용
  • 전용 HA 포트(제어 및 패브릭 포트(SRX 시리즈 방화벽에서 사용 가능한 경우)를 사용하지 않음

  • ICL을 루프백 인터페이스(lo0) 또는 어그리게이션 이더넷 인터페이스(ae0)에 연결하고 최고 복원력을 위해 경로 다양성을 보장하는 두 개 이상의 물리적 링크(LAG/LACP)를 갖습니다.

  • SRX 시리즈 방화벽에서 수익 이더넷 포트를 사용하여 ICL 연결을 설정할 수 있습니다. 수익 인터페이스의 전송 트래픽을 고가용성(HA) 트래픽과 분리해야 합니다.

자세한 내용은 멀티노드 고가용성 구성 을 참조하십시오.

ICL을 위한 PKI 기반 링크 암호화

Junos OS 릴리스 22.3R1부터 멀티노드 고가용성(Multinode High Availability)의 ICL(interchassis link)에 대한 PKI 기반 링크 암호화를 지원합니다. 이 지원의 일부로 이제 두 노드에서 로컬 키페어, 로컬 인증서 및 인증서 서명 요청과 같은 노드별 PKI 개체를 생성하고 저장할 수 있습니다. 개체는 로컬 노드에 따라 지정되며 두 노드의 특정 위치에 저장됩니다.

노드 로컬 개체를 사용하면 ICL 암호화에 사용되는 PKI 개체와 두 엔드포인트 간에 생성된 IPsec VPN 터널에 사용되는 PKI 개체를 구별할 수 있습니다.

로컬 노드에서 실행되는 다음 명령을 사용하여 노드별 PKI 객체와 함께 작동할 수 있습니다.

로컬 노드에 대한 프라이빗/퍼블릭 키 페어 생성

보안 pki node-local 생성 키 페어 요청

로컬 노드에서 로컬 디지털 인증서 생성 및 등록
노드별 인증서 삭제
노드별 로컬 인증서 및 인증서 요청을 표시합니다.

멀티노드 고가용성(Multinode High Availability)의 보안 디바이스에서 자동 재등록 옵션을 구성한 경우, 재등록 트리거 시 ICL이 중단되면 두 디바이스 모두 CA 서버에 동일한 인증서를 별도로 등록하고 동일한 CRL 파일을 다운로드합니다. 멀티노드 고가용성이 ICL을 다시 설정하면 설정은 하나의 로컬 인증서만 사용합니다. 백업 노드의 명령을 사용하여 인증서를 활성 노드에서 백업 노드로 user@host> request security pki sync-from-peer 동기화해야 합니다.

인증서를 동기화하지 않으면 피어 노드 간의 인증서 불일치 문제는 다음 재등록이 될 때까지 지속됩니다.

선택적으로 노드에서 키페어를 생성하기 전에 두 노드에서 TPM(신뢰할 수 있는 플랫폼 모듈)을 활성화할 수 있습니다. 신뢰할 수 있는 플랫폼 모듈을 사용하여 SRX 시리즈 디바이스의 비밀을 바인딩하는 방법을 참조하십시오.

분리-뇌 검출 및 방지

두 멀티노드 고가용성 노드 간의 ICL이 중단되고 두 노드가 서로 연결되어 피어 노드의 상태를 더 이상 수집할 수 없을 때 분할-뇌 검출 또는 능동 충돌이 발생합니다.

2개의 SRX 시리즈 방화벽이 멀티노드 고가용성 설정의 일부인 시나리오를 고려하십시오. SRX-1을 로컬 노드로, SRX-2를 원격 노드로 고려할 수 있습니다. 로컬 노드는 현재 활성 역할을 하고 있으며 업스트림 라우터는 로컬 노드에 대한 우선 순위 경로가 더 높습니다.

사례 1: 액티브 노드 가동 중

  • 프로브 대상 IP 주소를 호스팅하는 업스트림 라우터는 두 노드에서 ICMP 프로브를 수신합니다.

  • 업스트림 라우터는 활성 노드에만 회신합니다. 구성은 활성 노드에 대한 더 높은 선호 경로를 가지고 있기 때문에

  • 활성 노드는 활성 역할을 유지합니다.

액티브 노드가 다운된 경우

노드 간의 ICL이 중단되면 두 노드 모두 ICMP 프로브(Activeness Determination Probe)를 시작합니다. 노드는 부동 IP 주소(Activeness 결정 IP 주소)를 프로브의 대상 IP 주소로 업스트림 라우터의 소스 IP 주소 및 IP 주소로 사용합니다.

  • 원격 노드는 능동성 결정 프로브를 다시 시작합니다.
  • 프로브 대상 IP 주소를 호스팅하는 라우터가 더 높은 선호 경로(이전 활성 노드)를 잃고 원격 노드에 응답합니다.
  • 프로브 결과는 원격 노드에 성공하고 원격 노드는 활성 상태로 전환됩니다.

위의 사례에서와 같이, 능동성 결정 프로브와 업스트림 라우터에서 더 높은 경로 선호 구성은 한 노드가 항상 활성 역할에 유지되도록 보장하고 분할-뇌가 일어나는 것을 방지합니다.

또한 ICMP 패킷에 도달하여 프로브 대상 IP 주소를 호스팅하는 라우터까지 허용해야 합니다.

자세한 내용은 레이어 3에서 멀티노드 고가용성 구성 을 참조하십시오.

기본 게이트웨이 구축

기본 게이트웨이 구축에서는 ICL 연결이 중단되면 SRX 시리즈 방화벽이 서로 통신할 수 없습니다. 이 경우 두 디바이스 모두 활성 역할을 주장할 가능성이 있습니다. 이를 방지하기 위해 백업 노드에서 가상 IP로의 ICMP 기반 핑을 사용하는 멀티노드 고가용성 프로브를 제공합니다. 다음과 같은 시나리오가 가능합니다.

  • ICL 다운 및 액티브 노드 업

    활성 노드는 가상 IP 주소를 소유하므로 ICMP 프로브를 사용하여 활성 노드가 가상 IP에 핑되면 프로브가 성공합니다. 백업 노드는 백업 상태로 유지됩니다.

  • ICL 및 액티브 노드 다운

    백업 노드는 ICMP 프로브를 사용하여 가상 IP 핑을 합니다. 활성 노드가 중단되었으므로 VIP를 호스팅하지 않으며 IP 기반 프로브에 응답하지 않습니다. 따라서 지정된 수의 장애가 발생한 후 백업 노드가 활성 상태로 전환됩니다.

    자세한 내용은 기본 게이트웨이 구축에서 멀티노드 고가용성 구성 을 참조하십시오.

하이브리드 구축

분리된 뇌 방지를 위해 레이어 3 측면 또는 레이어 2 측면을 사용할 수 있습니다. 동시에 하나의 방법만 사용할 수 있습니다. 레이어 2 측면을 사용하는 경우, 멀티노드 고가용성(Multinode High Availability)은 "기본 게이트웨이 모드 구축"에 설명된 VIP 프로빙 방법을 사용합니다. 레이어 3 측면을 사용하면 "경로 모드"에 설명된 활성도 결정 프로브(ICMP 프로브) 방법이 사용됩니다.

기본 게이트웨이 구축에서 멀티노드 고가용성 구성 또는 레이어 3에서 멀티노드 고가용성 구성을 참조하십시오.

분리된 뇌 방지 메커니즘에도 불구하고, 이론적으로 노드는 여전히 활성 상태로 들어갈 수 있습니다. 이는 ICL이 중단되고 프로브 라우터에 다른 네트워크 문제가 동시에 발생할 때 발생합니다. 이 때문에 프로브 라우터는 두 노드의 프로브 요청에 회신합니다. 이 경우 상황이 개선되고 ICL이 작동하면 노드 중 하나가 activeness-priority 구성에 따라 활성 역할을 수행합니다. Activeness-Priority 구성을 사용할 수 없는 경우 로컬 ID가 낮은 노드가 백업 역할을 합니다.

멀티노드 고가용성 모니터링

고가용성 장애 감지는 내부 장애를 위해 시스템, 소프트웨어 및 하드웨어를 모두 모니터링합니다. 이 시스템은 또한 인터페이스 모니터링, BFD 경로 모니터링 및 IP 모니터링을 사용하여 네트워크 연결 문제 또는 링크 연결을 모니터링하여 더 멀리 떨어진 대상의 도달 가능성을 감지할 수 있습니다.

표 4 는 멀티노드 고가용성에서 사용되는 다양한 모니터링 유형에 대한 세부 정보를 제공합니다.

표 4: 멀티노드 고가용성 모니터링 유형
몬티토링 유형 탐지 유형 범위 란 무엇인가
BFD 모니터링 실제 링크와 함께 링크 레이어를 검사하여 다음 홉에 대한 도달 가능성을 모니터링합니다.
  • 경로 실패
  • 링크 장애
  • 라우팅 연결 내 장애 감지
  • 직접 연결/다음 홉을 넘어 장애를 감지할 의도는 없습니다.
IP 모니터링

직접 연결된 인터페이스 또는 다음 홉을 넘어 있는 호스트 또는 서비스에 대한 연결을 모니터링합니다.

  • 경로 실패
  • 링크 장애
  • 더 먼 호스트 또는 서비스에서 발생하는 실패를 감지합니다.
  • 직접 연결된 링크 또는 다음 홉 실패에서 발생하는 장애를 감지하기 위한 것이 아닙니다.
인터페이스 모니터링

링크 레이어가 작동하는지 여부를 검사합니다.

 링크 장애
  • 직접 연결된 링크 또는 다음 홉에서 장애를 감지하고, 더 멀리 떨어진 호스트 또는 서비스에 대한 연결을 감지합니다.

  • 모니터링 경로에 대한 의도 없음

멀티노드 고가용성에서 모니터링 시 호스트 또는 서비스에 대한 연결 실패를 감지하면 영향을 받는 경로를 다운/사용 불가능한 것으로 표시하고 영향을 받는 노드에 해당 서비스 경로 그룹(SRG)을 부적격(Ineligible)으로 표시합니다. 영향을 받는 SRG는 트래픽 중단을 일으키지 않고 스테이트풀 방식으로 다른 노드로 전환됩니다.

트래픽 손실 방지를 위해 멀티노드 고가용성(Multinode High Availability)은 다음과 같은 예방 조치를 취합니다.

  • 레이어 3 모드 - 트래픽이 올바르게 리디렉션되도록 경로가 다시 그려지게 됩니다.
  • 기본 게이트웨이 또는 하이브리드 모드 - SRG의 새로운 액티브 노드는 트래픽의 재라우팅을 보장하기 위해 연결된 스위치에 GARP(Gratuitous ARP)를 보냅니다.

멀티노드 고가용성 장애 시나리오

다음 섹션에서는 가능한 장애 시나리오에 대해 설명합니다. 장애를 감지하는 방법, 취해야 할 복구 작업, 해당하는 경우 장애로 인한 시스템에 미치는 영향.

노드 실패

하드웨어 장애

  • 원인 - 장애가 발생한 하드웨어 구성 요소 또는 전력 장애와 같은 환경 문제.
  • 탐지 — 멀티노드 고가용성
    • 영향을 받는 디바이스/노드에 액세스할 수 없음
    • SRG1 상태는 하드웨어 장애가 있는 노드에서 으로 변경합니다 INELIGIBLE .
  • 영향 그림 14와 같이 트래픽이 다른 노드(정상인 경우)로 페일오버됩니다. .
    그림 14: 멀티노드 고가용성 Hardware Failure in Multinode High Availability 하드웨어 장애
  • 복구 - 섀시 하드웨어 장애를 제거하면 장애 복구가 이루어집니다(예: 실패한 하드웨어 구성 요소를 교체 또는 복구).
  • 결과 - 다음 명령을 사용하여 상태를 확인합니다.

시스템/소프트웨어 장애

  • 원인 - 소프트웨어 프로세스 또는 서비스 장애 또는 운영 체제 문제.
  • 탐지 — 멀티노드 고가용성
    • 영향을 받는 디바이스/노드에 액세스할 수 없음
    • 시스템/소프트웨어 장애가 있는 상태에서 영향을 받는 노드의 시스템 상태를 INELIGIBLE 으로 변경합니다.
  • 영향 그림 15와 같이 정상일 경우 트래픽이 다른 노드로 페일오버됩니다.
    그림 15: 멀티노드 고가용성 Software Failure in Multinode High Availability 소프트웨어 장애
  • 복구 - 문제가 해결되면 운영 중단에서 자동으로 및 정상으로 복구됩니다. 활성 역할을 수행한 백업 노드는 계속 활성화됩니다. 이전 활성 노드는 백업 노드로 유지됩니다.
  • 결과 - show chassis 고가용성 정보 상세 명령을 사용하여 상태를 확인합니다.

네트워크/연결 실패

물리적 인터페이스(링크) 실패

  • 원인 - 인터페이스 장애는 네트워크 장비 중단 또는 물리적 케이블의 중단 또는 일관되지 않은 구성으로 인해 발생할 수 있습니다.
  • 탐지 — 멀티노드 고가용성
    • 영향을 받는 디바이스/노드에 액세스할 수 없습니다.
    • SRG1 상태는 네트워크 또는 연결 실패가 있는 영향을 받는 노드에서 (인터페이스 모니터가 구성된 경우) 변경 INELIGIBLE 됩니다. 또한 BFD 또는 IP 모니터링으로 경로 연결을 감지하고 구성된 작업을 기반으로 이벤트를 트리거할 수 있습니다.
  • 영향 - 인터페이스의 링크 상태 변경이 페일오버를 트리거합니다. 백업 노드는 활성 역할을 하며, 실패한 노드에서 실행 중인 서비스는 그림 16과 같이 다른 노드로 마이그레이션됩니다.
    그림 16: 인터페이스 실패 Interface Failure

  • 구성 - BFD 모니터링 및 인터페이스 모니터링을 구성하려면 다음 구성 문을 사용합니다.

    트래픽 플로우에 중요한 모든 링크를 모니터링해야 합니다.

    전체 구성 세부 정보를 위해 레이어 3 네트워크에서 멀티노드 고가용 성 구성 또는 기본 게이트웨이 구축에서 멀티노드 고가용성 구성 을 확인하십시오.

  • 복구 - 실패한 인터페이스를 복구/교체할 때 복구합니다. 네트워크/연결 실패가 복구된 후 SRG1은 부적합 상태에서 백업 상태로 이동합니다. 새로운 활성 노드는 업스트림 라우터에 더 나은 메트릭을 계속 보급하고 트래픽을 처리합니다.
  • 결과 - 다음 명령을 사용하여 상태를 확인합니다.

  • 인터페이스 구성에 대한 정보는 레이어 3 네트워크에서 멀티노드 고가용성 구성, 하이브리드 구축에서 멀티노드 고가용성 구성, 기본 게이트웨이 구축에서 멀티노드 고가용성 구성, 인터페이스 문제 해결을 참조하십시오.

ICL(Interchassis Link) 실패

  • 원인 - ICL 실패는 네트워크 중단 또는 일관되지 않은 구성 때문일 수 있습니다.
  • 탐지 — 멀티노드 고가용성에서 노드는 서로 도달할 수 없으며 ICMP 프로브(Activeness Determination Probe)를 시작합니다.
  • 영향 — 멀티노드 고가용성 시스템에서 ICL은 활성 노드와 백업 노드를 연결합니다. ICL이 다운되면 두 디바이스 모두 이 변경 사항을 알아차리고 Activeness 프로브(ICMP 프로브)를 시작합니다. Activeness 프로브는 각 SRG1+에 대해 활성 역할을 수행할 수 있는 노드를 결정하기 위해 수행됩니다. 프로브 결과를 기반으로 노드 중 하나가 활성 상태로 전환됩니다.

    그림 17과 같이 SRX-1과 SRX-2 간의 ICL은 중단되었습니다. 두 디바이스는 서로 연결하지 못하고 활성도 프로브를 업스트림 라우터에 전송하기 시작할 수 없습니다. SRX-1은 라우터 구성에서 더 높은 선호 경로에 있으므로 활성 역할을 수행하여 트래픽을 계속 처리하고 더 높은 선호 경로를 보급합니다. 다른 하나는 백업 역할을 합니다.

    그림 17: 멀티노드 고가용성 ICL Failure in Multinode High Availability ICL 장애

  • 구성 - Activeness 프로빙을 구성하려면 다음 구성 문을 사용합니다.

    전체 구성 세부 정보는 레이어 3 네트워크에서 멀티노드 고가용성 구성 을 참조하십시오.

  • 결과 - 다음 명령을 사용하여 상태를 확인합니다.

  • 복구 - 노드 중 하나가 활성 역할을 맡으면 멀티노드 고가용성이 콜드 동기화 프로세스를 다시 시작하고 컨트롤 플레인 서비스(IPSec VPN)를 다시 동기화합니다. SRG 상태 정보는 노드 간에 다시 교환됩니다.

노드가 분리된 상태로 유지됨

  • 원인 - 멀티노드 고가용성 설정에서 노드는 재부팅 후 분리된 상태로 유지되며 관련 인터페이스는 다음과 같은 경우 계속 다운 상태를 유지합니다.

    • 섀시 간 링크(ICL)는 콜드싱크 완료될 때까지 부팅한 후 다른 노드에 연결되지 않습니다.

    • 옵션은 shutdown-on-failure SRG0에 구성됩니다.

      참고:

      위의 원인은 다른 디바이스가 서비스가 중단된 경우에도 발생할 수 있습니다.
  • 탐지 - SRG0 상태는 명령 출력에서와 같이 ISOLATED 표시됩니다.

  • 복구 - 다른 노드가 온라인에 연결되고 ICL이 시스템 정보를 교환하거나 문을 제거하고 구성을 커밋할 때 노드가 shutdown-on-failure 자동으로 복구됩니다.

    문을 제거하려면 을(를) delete chassis high-availability services-redundancy-group 0 shutdown-on-failure 사용합니다.

    위의 솔루션이 사용자 환경에 적합하지 않은 경우 옵션을 사용할 install-on-failure-route 수 있습니다. 이 옵션에서 멀티노드 고가용성 설정은 SRG1+에서 사용할 수 있는 active-signal-route 및 backup-signal-route 접근 방식과 유사한 라우팅 정책 옵션을 사용하여 위의 상황을 보다 그레이스풀하게 처리하기 위해 정의된 신호 경로를 사용합니다.

더 보기