예: SRX5000 라인에서 IP 모니터링 구성
이 예에서는 섀시 클러스터가 활성화된 상태에서 SRX 시리즈 방화벽을 모니터링하는 방법을 보여줍니다.
요구 사항
하드웨어 구성이 동일한 SRX5800 서비스 게이트웨이 2개, SRX 시리즈 방화벽 1개와 EX8208 이더넷 스위치 1개가 필요합니다.
두 개의 SRX5800 디바이스를 물리적으로 연결하고(패브릭 및 제어 포트의 경우 백투백) 동일한 모델인지 확인합니다. 클러스터에서 이 두 디바이스를 구성/추가합니다.
개요
IP 주소 모니터링은 구성된 IP 주소의 엔드 투 엔드 도달 가능성을 확인하고, 중복 이더넷 인터페이스(RETH라고 함) 인터페이스의 하위 링크를 통해 연결할 수 없을 때 중복 그룹이 자동으로 장애 조치되도록 합니다. 특정 IP 주소를 모니터링하여 네트워크의 업스트림 디바이스에 연결할 수 있는지 여부를 결정하도록 클러스터에 있는 두 디바이스의 중복 그룹을 구성할 수 있습니다.
섀시 클러스터 설정에서 reth 인터페이스에 여러 IP 주소를 구성할 때, IP 모니터링은 기본 노드의 해당 reth 인터페이스에 대해 구성된 IP 주소 목록의 첫 번째 IP 주소와 백업 노드의 해당 reth 인터페이스에 대해 구성된 보조 IP 주소 목록의 첫 번째 IP 주소를 사용합니다. 첫 번째 IP 주소는 접두사(넷마스크)가 가장 작은 주소입니다.
이 예에서는 SRX 시리즈 방화벽에서 IP 모니터링을 설정하는 방법을 보여줍니다.
IP 모니터링은 NP-IOC 카드에서 지원되지 않습니다.
IP 모니터링은 SRX 시리즈 방화벽에서 MIC 온라인/오프라인 상태를 지원하지 않습니다.
토폴로지
그림 1은(는) 본 예제에서 사용되는 토폴로지를 나타냅니다.
이 예에서는 섀시 클러스터에 있는 두 개의 SRX5800 디바이스가 EX8208 이더넷 스위치를 통해 SRX1500 디바이스에 연결됩니다. 이 예에서는 클러스터의 각 노드에서 중복 이더넷 인터페이스를 통해 도달할 수 있는 주요 업스트림 리소스를 모니터링하도록 중복 그룹을 구성하는 방법을 보여줍니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치하도록 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 .[edit]commit
set chassis cluster reth-count 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 199 set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80 set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 set chassis cluster redundancy-group 1 ip-monitoring retry-count 10 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-4/0/1 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3
SRX 시리즈 방화벽에서 IP 모니터링 구성
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
SRX 시리즈 방화벽에서 IP 모니터링 구성 방법:
중복 이더넷 인터페이스의 수를 지정합니다.
{primary:node0}[edit] user@host# set chassis cluster reth-count 1클러스터의 각 노드에서 우선 순위에 대한 중복 그룹의 우선 순위를 지정합니다. 높은 숫자가 우선합니다.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 200 user@host# set chassis cluster redundancy-group 1 node 1 priority 199중복 이더넷 인터페이스를 redundancy-group 1로 구성합니다.
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 192.0.2.1/24노드 0과 노드 1의 중복 이더넷 인터페이스에 대한 하위 인터페이스를 할당합니다.
{primary:node0}[edit] user@host# set interfaces ge-0/0/1 gigether-options redundant-parent reth0 user@host# set interfaces ge-4/0/1 gigether-options redundant-parent reth0모니터링할 IP 주소에 대한 정적 경로를 구성합니다.
{primary:node0}[edit] user@host# set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3글로벌 가중치 및 글로벌 임계값을 사용하여 중복 그룹 1에서 IP 모니터링을 구성합니다.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80재시도 간격을 지정합니다.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3재시도 횟수를 지정합니다.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10모니터링할 IP 주소에 가중치를 할당하고, 모니터링 중인 IP를 추적하기 위해 보조 노드에서 ICMP 패킷을 전송하는 데 사용할 보조 IP 주소를 구성합니다.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2주:중복 이더넷(reth0) IP 주소 은(는) 노드 0에서 ICMP 패킷을 전송하여 모니터링되는 IP의 도달 가능성을 확인하는 데 사용됩니다.192.0.2.1/24
보조 IP 주소 은(는) reth0 IP 주소와 동일한 네트워크에 속해야 합니다.192.0.2.2
보조 IP 주소는 모니터링되는 IP의 도달 가능성을 확인하기 위해 노드 1에서 ICMP 패킷을 보내는 데 사용됩니다.
검증
구성이 제대로 작동하는지 확인합니다.
- 섀시 클러스터 상태 확인 - 페일오버 전
- 섀시 클러스터 IP 모니터링 상태 확인 - 페일오버 전
- 섀시 클러스터 상태 확인 - 페일오버 후
- 섀시 클러스터 IP 모니터링 상태 확인 - 페일오버 후
섀시 클러스터 상태 확인 - 페일오버 전
목적
페일오버 전에 섀시 클러스터 상태, 페일오버 상태 및 이중화 그룹 정보를 확인합니다.
작업
운영 모드에서 show chassis cluster status 명령을 입력합니다.
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 0 node0 200 primary no no node1 199 secondary no no
섀시 클러스터 IP 모니터링 상태 확인 - 페일오버 전
목적
장애 조치(failover) 전에 두 노드에서 모니터링 중인 IP 상태와 두 노드의 장애 조치(failover) 횟수를 확인합니다.
작업
운영 모드에서 show chassis cluster ip-monitoring status redundancy-group 1 명령을 입력합니다.
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a
섀시 클러스터 상태 확인 - 페일오버 후
목적
페일오버 후 섀시 클러스터 상태, 페일오버 상태 및 이중화 그룹 정보를 확인합니다.
IP 주소에 연결할 수 없는 경우 다음 출력이 표시됩니다.
작업
운영 모드에서 show chassis cluster status 명령을 입력합니다.
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 0 secondary no no node1 199 primary no no
섀시 클러스터 IP 모니터링 상태 확인 - 페일오버 후
목적
장애 조치(failover) 후 두 노드에서 모니터링되는 IP 상태와 두 노드의 장애 조치(failover) 횟수를 확인합니다.
작업
운영 모드에서 show chassis cluster ip-monitoring status redundancy-group 1 명령을 입력합니다.
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 unreachable 1 unknown node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a