Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS vSRX 가상 방화벽 섀시 클러스터 구성

섀시 클러스터 개요

섀시 클러스터 는 동일한 종류의 vSRX 가상 방화벽 인스턴스 쌍을 클러스터로 그룹화하여 네트워크 노드 중복을 제공합니다. 섀시 클러스터의 vSRX 가상 방화벽 인스턴스는 동일한 Junos OS 릴리스를 실행해야 하며 각 인스턴스는 섀시 클러스터의 노드가 됩니다. 각 노드의 제어 가상 인터페이스를 연결하여 구성을 동기화하고 클러스터의 두 노드에서 커널 상태를 Junos OS 컨트롤 플레인을 형성합니다. 제어 링크( 가상 네트워크 또는 vSwitch)는 인터페이스와 서비스의 중복을 용이하게 합니다. 마찬가지로, 패브릭 가상 인터페이스를 통해 해당 노드의 데이터 플레인을 연결하여 통합 데이터 플레인을 형성합니다. 패브릭 링크(가상 네트워크 또는 vSwitch)를 사용하면 교차 노드 플로우 프로세싱을 관리하고 세션 중복을 관리할 수 있습니다.

컨트롤 플레인 소프트웨어는 액티브/패시브 모드에서 작동합니다. 섀시 클러스터로 구성되면, 하나의 노드는 기본 노드로, 다른 하나는 보조로 작동하여 기본에서 시스템 또는 하드웨어 장애가 발생할 경우 프로세스 및 서비스의 스테이트풀 페일오버를 보장합니다. 기본이 실패하면 보조가 컨트롤 플레인 트래픽 처리를 맡습니다.

참고:

두 호스트에 걸쳐 섀시 클러스터를 구성하는 경우, 각 호스트 물리적 인터페이스가 속하고 제어 가상 NIC(vNIC)가 사용하는 브리지에서 igmp-snooping을 비활성화합니다. 이를 통해 섀시 클러스터의 두 노드 모두 제어 링크 하트비트에 의해 수신됩니다.

섀시 클러스터 데이터 플레인은 액티브/액티브 모드에서 작동합니다. 섀시 클러스터에서 데이터 플레인은 트래픽이 어느 노드를 통과할 때 세션 정보를 업데이트하고 패브릭 링크를 통해 노드 간에 정보를 전송하여 페일오버가 발생할 때 설정된 세션이 손실되지 않도록 보장합니다. 액티브/액티브 모드에서 트래픽은 하나의 노드에서 클러스터를 입력하고 다른 노드에서 나갈 수 있습니다.

섀시 클러스터 기능에는 다음이 포함됩니다.

  • 전체 클러스터 및 여러 패킷 전달 엔진대한 단일 액티브 컨트롤 플레인을 통한 복원력 있는 시스템 아키텍처. 이 아키텍처는 클러스터의 단일 디바이스 보기를 제공합니다.

  • 클러스터 내의 노드 간 구성 동기화 및 동적 런타임 상태.

  • 물리적 인터페이스 모니터링 및 장애 매개 변수가 구성된 임계값을 초과하면 페일오버가 가능합니다.

  • 각각 두 개의 내부 인터페이스인 gr-0/0/0 및 ip-0/0을 사용하여 캡슐화된 IPv4 또는 IPv6 트래픽을 라우팅하는 데 사용되는 GRE(Generic Routing Encapsulation) 및 IP-over-IP(IP-IP) 터널을 지원합니다. Junos OS 시스템 시작 시 이러한 인터페이스를 생성하고 GRE 및 IP-IP 터널을 처리하는 데만 이러한 인터페이스를 사용합니다.

주어진 즉시 클러스터 노드는 보류, 기본, 보조 보류, 보조, 부적격 또는 비활성화와 같은 다음 상태 중 하나에 있을 수 있습니다. 인터페이스 모니터링, SPU(Services Processing Unit) 모니터링, 실패, 수동 페일오버와 같은 여러 이벤트 유형이 상태 전환을 트리거할 수 있습니다.

섀시 클러스터 구성 활성화

2개의 vSRX 가상 방화벽 인스턴스를 생성하여 섀시 클러스터를 형성한 다음 각 인스턴스에 cluster ID 및 노드 ID를 설정하여 클러스터에 참가합니다. vSRX 가상 방화벽 인스턴스가 클러스터에 합류하면 해당 클러스터의 노드가 됩니다. 고유한 노드 설정 및 관리 IP 주소를 제외하고 클러스터의 노드는 동일한 구성을 공유합니다.

레이어 2 도메인에 최대 255개의 섀시 클러스터를 구축할 수 있습니다. 클러스터와 노드는 다음과 같은 방법으로 식별됩니다.

  • cluster ID(1~255의 숫자)가 클러스터를 식별합니다.

  • 노드 ID(0에서 1까지의 숫자)는 클러스터 노드를 식별합니다.

일반적으로 SRX 시리즈 방화벽에서 cluster ID 및 노드 ID는 EEPROM으로 작성됩니다. vSRX 가상 방화벽 인스턴스에서 vSRX 가상 방화벽 boot/loader.conf 에서 ID를 저장하고 읽고 시작 시 ID를 사용하여 섀시 클러스터를 초기화합니다.

필수 구성 요소

섀시 클러스터링을 활성화하기 전에 vSRX 가상 방화벽 인스턴스가 다음 전제 요건을 준수하도록 보장합니다.

  • 섀시 클러스터를 형성하는 vSRX 가상 방화벽 인스턴스 모두에 기본 구성을 커밋했습니다. CLI를 사용하여 vSRX 구성을 참조하십시오.

  • Junos OS 사용하여 show version 두 vSRX 가상 방화벽 인스턴스 모두 동일한 소프트웨어 버전을 갖도록 보장합니다.

  • Junos OS 사용하여 show system license vSRX 가상 방화벽 인스턴스 모두 동일한 라이선스를 설치하도록 보장합니다.

각 vSRX 가상 방화벽 노드에서 동일한 섀시 cluster ID를 설정하고 vSRX 가상 방화벽 VM을 재부팅하여 섀시 클러스터 구성을 활성화해야 합니다.

  1. 운영 명령 모드에서 섀시 cluster ID 및 노드 번호를 vSRX 가상 방화벽 노드 0에서 설정합니다.
  2. 운영 명령 모드에서 vSRX 가상 방화벽 노드 1에서 섀시 cluster ID 및 노드 번호를 설정합니다.
참고:

섀시 클러스터링을 활성화하면 vNIC에 대한 vSRX 가상 방화벽 인터페이스 명명 및 매핑이 변경됩니다. 클러스터(노드 0 및 노드 1)에서 한 쌍의 vSRX 가상 방화벽 VM에 대한 인터페이스 이름 및 매핑 요약은 KVM에서의 vSRX 대한 요구 사항을 참조하십시오.

J-Web을 통한 섀시 클러스터 빠른 설정

J-Web에서 섀시 클러스터 구성 방법:

  1. 웹 브라우저에서 vSRX 가상 방화벽 노드 0 인터페이스 IP 주소를 입력합니다.
  2. vSRX 가상 방화벽 사용자 이름과 암호를 입력하고 로그인을 클릭합니다. J-Web 대시보드가 표시됩니다.
  3. 왼쪽 패널에서 구성 마법사> 클러스터(HA) 설정을 클릭합니다. 섀시 클러스터 설정 마법사가 표시됩니다. 설정 마법사의 단계를 따라 cluster ID와 클러스터에서 두 노드를 구성하고 연결을 확인합니다.
    참고:

    J-Web에 내장된 도움말 아이콘을 사용하여 섀시 클러스터 설정 마법사에 대한 자세한 내용을 알아보시기 바랍니다.

    참고:

    Junos OS 릴리스 18.1 이상에서 구성> 디바이스 설정>클러스터(HA) 설정 으로 이동하여 섀시 클러스터 설정을 구성합니다.

  4. 보조 노드 Node1을 구성합니다 . 예, 이것은 라디오 버튼을 사용하여 설정(노드 1)할 보조 장치입니다 .
  5. 다음을 클릭합니다.
  6. 보조 노드 액세스를 위한 암호 입력, 암호 재입성, 노드 0 FXP0 IP, Node 1 FXP0 IP 와 같은 설정을 지정합니다.
  7. 다음을 클릭합니다.
  8. 보조 장치의 제어 포트 및 패브릭 포트를 선택합니다.
  9. 다음을 클릭합니다.
  10. (선택 사항) 섀시 클러스터용으로 다시 구성하려면 확인란 을 사용하여 종료를 진행하기 전에 백업 파일을 저장 을 선택합니다.
  11. 다음을 클릭합니다.
  12. Shutdown을 클릭하고 다른 장치로 계속 연결합니다.
  13. 브라우저 새로 고침을 클릭합니다.
  14. No를 선택하여 기본 노드 Node0을 구성합니다. 이것은 기본 유닛을 구성하고 섀시 클러스터 구성을 설정하기 위한 기본 유닛(노드 0) 입니다.
  15. 다음을 클릭합니다.
  16. 기본 노드 액세스를 위한 암호 입력, 암호 재입성, 노드 0 FXP0 IP, Node 1 FXP0 IP 와 같은 설정을 지정합니다.
  17. 다음을 클릭하여 기본 장치를 다시 시작합니다.
  18. (선택 사항) shutdown을 진행하기 전에 백업 파일을 저장하여 진행하기 전에 현재 설정의 백업 파일을 저장합니다.
  19. 재부팅을 클릭하고 계속합니다. 재부팅을 완료한 후 보조 유닛의 전원을 켜서 섀시 클러스터 연결을 설정합니다.
  20. 디바이스 콘솔에 로그인하고 정적 경로를 추가하여 J-Web 액세스를 얻습니다.
  21. J-Web에 로그인하고 왼쪽 패널에서 구성 마법사> CLUSTER(HA) 설정을 클릭합니다. 섀시 클러스터 설정 마법사가 표시됩니다.
  22. 다음을 클릭하여 기본 장치를 연결합니다.
  23. 기본 설정 DHCP 클라이언트, IP 주소, 기본 게이트웨이, 멤버 인터페이스 노드 0, 멤버 인터페이스 노드 1을 구성합니다.
  24. 다음을 클릭하여 섀시 클러스터 구성을 완료합니다.
  25. 마침을 클릭하여 마법사를 종료합니다. J-Web을 사용하여 기본 노드에 액세스할 수 있습니다.

J-Web을 사용하여 섀시 클러스터 수동 구성

J-Web 인터페이스를 사용하여 클러스터에서 기본 노드 0 vSRX 가상 방화벽 인스턴스를 구성할 수 있습니다. 클러스터 및 노드 ID를 설정하고 각 vSRX 가상 방화벽 재부팅하면 다음 구성이 보조 노드 1 vSRX 가상 방화벽 인스턴스에 자동으로 동기화됩니다.

구성>섀시 클러스터>클러스터 구성을 선택합니다. 섀시 클러스터 구성 페이지가 표시됩니다.

참고:

Junos OS 릴리스 18.1 이상부터 구성> 디바이스 설정> HA(Device Settings>Cluster) 설정을 이동하여 HA 클러스터 설정을 구성합니다.

표 1 에서는 HA 클러스터 설정 탭의 내용을 설명합니다.

표 2 에서는 노드 설정 탭을 편집하는 방법을 설명합니다.

표 3 에서는 HA 클러스터 인터페이스 테이블을 추가하거나 편집하는 방법을 설명합니다.

표 4 에서는 HA 클러스터 중복 그룹 테이블을 추가하거나 편집하는 방법을 설명합니다.

표 1: 섀시 클러스터 구성 페이지

필드

함수

노드 설정

Node ID

Node ID를 표시합니다.

Cluster ID

노드에 대해 구성된 cluster ID를 표시합니다.

호스트 이름

노드 이름을 표시합니다.

백업 라우터

은(는) 게이트웨이로 사용되는 라우터를 표시하고 라우팅 엔진 섀시 클러스터에서 중복 그룹 0의 보조 상태에 있습니다.

관리 인터페이스

노드의 관리 인터페이스를 표시합니다.

IP 주소

노드의 관리 IP 주소를 표시합니다.

상태

중복 그룹의 상태를 표시합니다.

  • 기본-중복 그룹이 활성화되어 있습니다.

  • 2차 이중화 그룹은 수동적입니다.

섀시 클러스터>HA 클러스터 설정>인터페이스

이름

물리적 인터페이스 이름을 표시합니다.

멤버 인터페이스/IP 주소

인터페이스에 대해 구성된 멤버 인터페이스 이름 또는 IP 주소를 표시합니다.

이중화 그룹

중복 그룹을 표시합니다.

섀시 클러스터>HA 클러스터 설정>Redundancy Group

그룹

중복 그룹 식별 번호를 표시합니다.

선점

선택한 선점 옵션을 표시합니다.

  • True–기본 역할은 우선 순위에 따라 선점할 수 있습니다.

  • False–기본 역할은 우선 순위에 따라 선점할 수 없습니다.

Gratuitous ARP 수

섀시 클러스터에서 새로 선출된 기본 디바이스가 다른 네트워크 디바이스에 존재를 알리기 위해 보내는 무상 ARP(Address Resolution Protocol) 요청 수를 표시합니다.

Node Priority

해당 노드에서 중복 그룹에 할당된 우선순위를 표시합니다. 우선 순위가 가장 높은 적격 노드가 중복 그룹의 기본 노드로 선택됩니다.

표 2: 노드 설정 구성 세부 정보 편집

필드

함수

작업

노드 설정

호스트 이름

호스트 이름을 지정합니다.

호스트 이름을 입력합니다.

백업 라우터

게이트웨이로 사용되는 디바이스를 표시하고 라우팅 엔진 섀시 클러스터에서 중복 그룹 0의 보조 상태에 있습니다.

백업 라우터의 IP 주소를 입력합니다.

대상

Ip

대상 주소를 추가합니다.

추가를 클릭합니다.

삭제

대상 주소를 삭제합니다.

삭제를 클릭합니다.

인터페이스

인터페이스

라우터에 사용할 수 있는 인터페이스를 지정합니다.

참고:

각 패브릭 링크에 대해 두 개의 인터페이스를 추가 및 편집할 수 있습니다.

옵션을 선택합니다.

Ip

인터페이스 IP 주소를 지정합니다.

인터페이스 IP 주소를 입력합니다.

추가

인터페이스를 추가합니다.

추가를 클릭합니다.

삭제

인터페이스를 삭제합니다.

삭제를 클릭합니다.

표 3: HA 클러스터 인터페이스 구성 세부 정보 추가

필드

함수

작업

패브릭 링크 > 패브릭 링크 0(fab0)

인터페이스

패브릭 링크 0을 지정합니다.

인터페이스 IP 패브릭 링크 0을 입력합니다.

추가

패브릭 인터페이스 0을 추가합니다.

추가를 클릭합니다.

삭제

패브릭 인터페이스 0을 삭제합니다.

삭제를 클릭합니다.

패브릭 링크 > 패브릭 링크 1(fab1)

인터페이스

패브릭 링크 1을 지정합니다.

패브릭 링크 1에 대한 인터페이스 IP를 입력합니다.

추가

패브릭 인터페이스 1을 추가합니다.

추가를 클릭합니다.

삭제

패브릭 인터페이스 1을 삭제합니다.

삭제를 클릭합니다.

이중 이더넷

인터페이스

각 섀시에 하나씩 두 개의 물리적 이더넷 인터페이스로 구성된 논리적 인터페이스를 지정합니다.

논리적 인터페이스를 입력합니다.

Ip

중복 이더넷 IP 주소를 지정합니다.

중복 이더넷 IP 주소를 입력합니다.

이중화 그룹

섀시 클러스터에서 중복 그룹 ID 번호를 지정합니다.

목록에서 중복 그룹을 선택합니다.

추가

중복 이더넷 IP 주소를 추가합니다.

추가를 클릭합니다.

삭제

중복 이더넷 IP 주소를 삭제합니다.

삭제를 클릭합니다.

표 4: 중복 그룹 구성 세부 정보 추가

필드

함수

작업

이중화 그룹

중복 그룹 이름을 지정합니다.

중복 그룹 이름을 입력합니다.

기본권의 선점 허용

더 나은 우선순위를 가진 노드가 중복 그룹에 대한 페일오버를 시작할 수 있도록 허용합니다.

참고:

기본적으로 이 기능은 비활성화됩니다. 비활성화된 경우, 더 나은 우선순위를 가진 노드는 중복 그룹 페일오버를 시작하지 않습니다(모니터링된 인터페이스에 대해 식별된 결함 있는 네트워크 연결과 같은 다른 요인이 페일오버를 유발하지 않는 한).

Gratuitous ARP 수

새로 선출된 기본이 활성 중복 이더넷 인터페이스 하위 링크에서 전송하여 네트워크 디바이스에 중복 이더넷 인터페이스 링크의 기본 역할 변경을 알리도록 하는 Gratuitous 주소 확인 프로토콜 요청 수를 지정합니다.

1에서 16까지의 값을 입력합니다. 기본값은 4입니다.

node0 우선 순위

중복 그룹에 대한 node0의 우선 순위 값을 지정합니다.

노드 우선 순위 번호를 0으로 입력합니다.

node1 우선 순위

중복 그룹에 대한 node1의 우선 순위 값을 지정합니다.

노드 우선 순위 번호를 1로 선택합니다.

인터페이스 모니터

   

인터페이스

클러스터에 생성할 중복 이더넷 인터페이스의 수를 지정합니다.

목록에서 인터페이스를 선택합니다.

무게

모니터링할 인터페이스의 가중치를 지정합니다.

1에서 125까지의 값을 입력합니다.

추가

중복 그룹이 모니터링할 인터페이스를 해당 가중치와 함께 추가합니다.

추가를 클릭합니다.

삭제

각 가중치와 함께 중복 그룹이 모니터링할 인터페이스를 삭제합니다.

구성된 목록에서 인터페이스를 선택하고 삭제를 클릭합니다.

IP 모니터링

무게

IP 모니터링을 위한 전역 가중치를 지정합니다.

0에서 255까지의 값을 입력합니다.

임계값

IP 모니터링을 위한 글로벌 임계값을 지정합니다.

0에서 255까지의 값을 입력합니다.

재시도 수

도달 가능성 실패를 선언하는 데 필요한 재시도 횟수를 지정합니다.

5에서 15까지의 값을 입력합니다.

재시도 간격

재시도 사이의 시간 간격을 초 단위로 지정합니다.

1에서 30까지의 값을 입력합니다.

모니터링할 IPV4 주소

Ip

도달 가능성을 위해 모니터링할 IPv4 주소를 지정합니다.

IPv4 주소를 입력합니다.

무게

모니터링할 중복 그룹 인터페이스의 가중치를 지정합니다.

무게를 입력합니다.

인터페이스

이 IP 주소를 모니터링할 논리적 인터페이스를 지정합니다.

논리적 인터페이스 주소를 입력합니다.

보조 IP 주소

보조 링크에서 패킷을 모니터링하기 위한 소스 주소를 지정합니다.

보조 IP 주소를 입력합니다.

추가

모니터링할 IPv4 주소를 추가합니다.

추가를 클릭합니다.

삭제

모니터링할 IPv4 주소를 삭제합니다.

목록에서 IPv4 주소를 선택하고 삭제를 클릭합니다.