Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

Junos OS에서 vSRX 가상 방화벽 섀시 클러스터 구성

섀시 클러스터 개요

섀시 클러스터 는 동일한 종류의 vSRX 가상 방화벽 인스턴스 한 쌍을 클러스터로 그룹화하여 네트워크 노드 이중화를 제공합니다. 섀시 클러스터의 vSRX 가상 방화벽 인스턴스는 동일한 Junos OS 릴리스를 실행해야 하며, 각 인스턴스는 섀시 클러스터의 노드가 됩니다. 각 노드에서 제어 가상 인터페이스를 연결하여 클러스터의 두 노드에서 구성과 Junos OS 커널 상태를 동기화하는 컨트롤 플레인 을 형성합니다. 제어 링크( 가상 네트워크 또는 vSwitch)는 인터페이스 및 서비스의 이중화를 용이하게 합니다. 마찬가지로, 패브릭 가상 인터페이스를 통해 각 노드의 데이터 플레인을 연결하여 통합 데이터 플레인 을 형성합니다. 패브릭 링크(가상 네트워크 또는 vSwitch)를 통해 노드 간 플로우 처리 및 세션 이중화 관리를 수행할 수 있습니다.

컨트롤 플레인 소프트웨어는 액티브/패시브 모드에서 작동합니다. 섀시 클러스터로 구성되면, 한 노드는 기본 노드로, 다른 노드는 보조 노드로 작동하여 기본 노드에서 시스템 또는 하드웨어 장애가 발생할 경우 프로세스 및 서비스의 스테이트풀 페일오버를 보장합니다. 기본이 실패하면 보조가 컨트롤 플레인 트래픽 처리를 인계받습니다.

참고:

두 호스트에 걸쳐 섀시 클러스터를 구성하는 경우 각 호스트 물리적 인터페이스가 속하고 제어 가상 NIC(vNIC)가 사용하는 브리지에서 igmp-snooping을 비활성화합니다. 이렇게 하면 섀시 클러스터의 두 노드에서 제어 링크 하트비트를 모두 수신할 수 있습니다.

섀시 클러스터 데이터 플레인은 액티브/액티브 모드에서 작동합니다. 섀시 클러스터에서 데이터 플레인은 트래픽이 두 노드 중 하나를 통과할 때 세션 정보를 업데이트하고, 패브릭 링크를 통해 노드 간에 정보를 전송하여 페일오버가 발생할 때 설정된 세션이 손실되지 않도록 보장합니다. 액티브/액티브 모드에서 트래픽은 한 노드의 클러스터에 들어오고 다른 노드에서 나갈 수 있습니다.

섀시 클러스터 기능은 다음과 같습니다.

  • 전체 클러스터에 대한 단일 활성 컨트롤 플레인과 여러 패킷 전달 엔진을갖춘 복원력 있는 시스템 아키텍처. 이 아키텍처는 클러스터의 단일 디바이스 보기를 제공합니다.

  • 클러스터 내의 노드 간 구성 및 동적 런타임 상태 동기화Synchronization of configuration and dynamic runtime states between nodes within a cluster.

  • 물리적 인터페이스 모니터링 및 장애 매개 변수가 구성된 임계값을 초과하는 경우 페일오버.

  • 각각 gr-0/0/0 및 ip-0/0/0의 두 내부 인터페이스를 통해 캡슐화된 IPv4 또는 IPv6 트래픽을 라우팅하는 데 사용되는 GRE(Generic Routing Encapsulation) 및 IP-over-IP(IP-OVER-IP) 터널을 지원합니다. Junos OS는 시스템 시작 시 이러한 인터페이스를 생성하고 GRE 및 IP-IP 터널 처리를 위해서만 이러한 인터페이스를 사용합니다.

지정된 순간에 클러스터 노드는 보류, 기본, 보조 보류, 보조, 부적격 또는 사용 안 함 상태 중 하나일 수 있습니다. 인터페이스 모니터링, SPU(Services Processing Unit) 모니터링, 장애, 수동 페일오버 등의 여러 이벤트 유형이 상태 전환을 트리거할 수 있습니다.

섀시 클러스터 형성 활성화

두 개의 vSRX 가상 방화벽 인스턴스를 생성하여 섀시 클러스터를 구성한 다음 각 인스턴스에서 클러스터 ID와 노드 ID를 설정하여 클러스터에 조인합니다. vSRX 가상 방화벽 인스턴스가 클러스터에 가입하면 해당 클러스터의 노드가 됩니다. 고유한 노드 설정 및 관리 IP 주소를 제외하고 클러스터의 노드는 동일한 구성을 공유합니다.

레이어 2 도메인에 최대 255개의 섀시 클러스터를 구축할 수 있습니다. 클러스터와 노드는 다음과 같은 방법으로 식별됩니다.

  • 클러스터 ID(1에서 255 사이의 숫자)는 클러스터를 식별합니다.

  • 노드 ID(0에서 1 사이의 숫자)는 클러스터 노드를 식별합니다.

일반적으로 SRX 시리즈 방화벽에서는 클러스터 ID와 노드 ID가 EEPROM에 기록됩니다. vSRX 가상 방화벽 인스턴스에서 vSRX 가상 방화벽은 boot/loader.conf 에서 ID를 저장하고 읽으며 시작 시 ID를 사용하여 섀시 클러스터를 초기화합니다.

필수 구성 요소

섀시 클러스터링을 활성화하기 전에 vSRX 가상 방화벽 인스턴스가 다음 사전 요구 사항을 준수하는지 확인합니다.

  • 섀시 클러스터를 형성하는 두 vSRX 가상 방화벽 인스턴스 모두에 기본 구성을 커밋했습니다. CLI를 사용하여 vSRX 구성을 참조하십시오.

  • Junos OS에서 사용하여 show version 두 vSRX 가상 방화벽 인스턴스의 소프트웨어 버전이 동일한지 확인합니다.

  • Junos OS에서 사용하여 show system license 두 vSRX 가상 방화벽 인스턴스에 동일한 라이선스가 설치되도록 합니다.

각 vSRX 가상 방화벽 노드에서 동일한 섀시 클러스터 ID를 설정하고 vSRX 가상 방화벽 VM을 재부팅하여 섀시 클러스터 구성을 활성화해야 합니다.

  1. 운영 명령 모드에서 vSRX 가상 방화벽 노드 0의 섀시 클러스터 ID와 노드 번호를 설정합니다.
  2. 운영 명령 모드에서 vSRX 가상 방화벽 노드 1의 섀시 클러스터 ID와 노드 번호를 설정합니다.
참고:

섀시 클러스터링을 활성화하면 vSRX 가상 방화벽 인터페이스의 명명 및 vNIC에 대한 매핑이 변경됩니다. 클러스터(노드 0 및 노드 1)에 있는 한 쌍의 vSRX 가상 방화벽 VM에 대한 인터페이스 이름 및 매핑 요약은 KVM 기반 vSRX 요구 사항을 참조하십시오.

J-Web을 통한 섀시 클러스터 빠른 설정

J-Web에서 섀시 클러스터를 구성하려면:

  1. 웹 브라우저에 vSRX 가상 방화벽 노드 0 인터페이스 IP 주소를 입력합니다.
  2. vSRX 가상 방화벽 사용자 이름과 암호를 입력하고 로그인을 클릭합니다. J-Web 대시보드가 나타납니다.
  3. 왼쪽 패널에서 Configuration Wizards(구성 마법사)> Cluster(HA) Setup(클러스터(HA) 설정)을 클릭합니다. 섀시 클러스터 설정 마법사가 나타납니다. 설치 마법사의 단계에 따라 클러스터 ID와 클러스터의 두 노드를 구성하고 연결을 확인합니다.
    참고:

    섀시 클러스터 설정 마법사에 대한 자세한 내용은 J-Web에 내장된 도움말 아이콘을 사용하십시오.
    참고:

    Junos OS 릴리스 18.1 이상에서 Configure>Device Settings>Cluster(HA) Setup 으로 이동하여 섀시 클러스터 설정을 구성합니다.
  4. 라디오 버튼을 사용하여 Yes, this is the secondary unit to be setup(Node 1)을 선택하여 보조 노드 Node1을 구성합니다.
  5. 다음을 클릭합니다.
  6. 보조 노드 액세스를 위해 암호 입력(Enter password), 암호 재입력(Re-enter password), 노드 0 FXP0 IP(Node 0 FXP0 IP) 및 노드 1 FXP0 IP(Node 1 FXP0 IP)와 같은 설정을 지정합니다.
  7. 다음을 클릭합니다.
  8. 보조 장치의 제어 포트 및 패브릭 포트를 선택합니다.
  9. 다음을 클릭합니다.
  10. (선택 사항) Save a backup file before proceed with shutdown using(종료를 진행하기 전에 백업 파일 저장 ) 확인란을 선택하여 섀시 클러스터에 대해 재구성합니다.
  11. 다음을 클릭합니다.
  12. 종료를 클릭하고 다른 장치에 계속 연결합니다.
  13. 브라우저 새로 고침을 클릭합니다.
  14. No, this is the primary unit to be setup(노드 0)을 선택하여 기본 노드 Node0을 구성하여 기본 유닛을 구성하고 섀시 클러스터 구성을 설정합니다.
  15. 다음을 클릭합니다.
  16. 기본 노드 액세스를 위해 암호 입력, 암호 다시 입력, 노드 0 FXP0 IP 및 노드 1 FXP0 IP와 같은 설정을 지정합니다.
  17. Next(다음)를 클릭하여 기본 장치를 다시 시작합니다.
  18. (선택 사항) 종료를 진행하기 전에 백업 파일 저장을 선택하여 계속하기 전에 현재 설정의 백업 파일을 저장합니다.
  19. Reboot and continue(재부팅 및 계속)를 클릭합니다. 재부팅을 완료한 후 보조 장치의 전원을 켜서 섀시 클러스터 연결을 설정합니다.
  20. 디바이스 콘솔에 로그인하고 정적 경로를 추가하여 J-Web 액세스를 얻습니다.
  21. J-Web에 로그인하고 왼쪽 패널에서 Configuration Wizards> Cluster (HA) Setup 을 클릭합니다. 섀시 클러스터 설정 마법사가 나타납니다.
  22. Next(다음)를 클릭하여 기본 유닛을 연결합니다.
  23. 기본 설정 DHCP 클라이언트, IP 주소, 기본 게이트웨이, 멤버 인터페이스 노드 0, 멤버 인터페이스 노드 1을 구성합니다.
  24. Next(다음)를 클릭하여 섀시 클러스터 구성을 완료합니다.
  25. 마침을 클릭하여 마법사를 종료합니다. J-Web을 사용하여 기본 노드에 액세스할 수 있습니다.

J-Web을 통한 섀시 클러스터 수동 구성

J-Web 인터페이스를 사용하여 클러스터에서 기본 Node 0 vSRX 가상 방화벽 인스턴스를 구성할 수 있습니다. 클러스터 및 노드 ID를 설정하고 각 vSRX 가상 방화벽을 재부팅하면 다음 구성이 보조 노드 1 vSRX 가상 방화벽 인스턴스에 자동으로 동기화됩니다.

구성(Configure)>섀시 클러스터(Cluster)>클러스터 구성(Cluster Configuration)을 선택합니다. 섀시 클러스터 구성 페이지가 나타납니다.

참고:

Junos OS 릴리스 18.1 이상에서 Configure>Device Settings>Cluster(HA) 설정으로 이동하여 HA 클러스터 설정을 구성합니다.

표 1 에는 HA Cluster Settings(HA 클러스터 설정) 탭의 내용이 설명되어 있습니다.

표 2 에서는 노드 설정 탭을 편집하는 방법에 대해 설명합니다.

표 3 에서는 HA 클러스터 인터페이스 테이블을 추가하거나 편집하는 방법을 설명합니다.

표 4 에서는 HA 클러스터 이중화 그룹 테이블을 추가하거나 편집하는 방법을 설명합니다.

표 1: 섀시 클러스터 구성 페이지

필드

함수

노드 설정

노드 ID

노드 ID를 표시합니다.

클러스터 ID

노드에 대해 구성된 클러스터 ID를 표시합니다.

Host Name(호스트 이름)

노드의 이름을 표시합니다.

백업 라우터

라우팅 엔진이 섀시 클러스터의 중복 그룹 0에 대한 보조 상태에 있는 동안 게이트웨이로 사용되는 라우터를 표시합니다.

관리 인터페이스

노드의 관리 인터페이스를 표시합니다.

IP 주소

노드의 관리 IP 주소를 표시합니다.

상태

중복 그룹의 상태를 표시합니다.

  • Primary–Redundancy 그룹이 활성화되어 있습니다.

  • 보조-중복 그룹은 수동적입니다.

섀시 클러스터>HA 클러스터 설정>인터페이스

이름

물리적 인터페이스 이름을 표시합니다.

구성원 인터페이스/IP 주소

인터페이스에 대해 구성된 멤버 인터페이스 이름 또는 IP 주소를 표시합니다.

이중화 그룹

중복 그룹을 표시합니다.

섀시 클러스터>HA 클러스터 설정>이중화 그룹

그룹

중복 그룹 ID 번호를 표시합니다.

선점

선택한 선점 옵션을 표시합니다.

  • True–기본 역할은 우선 순위에 따라 선점될 수 있습니다.

  • False–우선 순위에 따라 기본 역할을 선점할 수 없습니다.

Gratuitous ARP 수

섀시 클러스터에서 새로 선택된 기본 디바이스가 다른 네트워크 디바이스에 존재를 알리기 위해 보내는 Gratuitous ARP(Address Resolution Protocol) 요청 수를 표시합니다.

노드 우선 순위

해당 노드의 중복 그룹에 할당된 우선 순위를 표시합니다. 우선 순위가 가장 높은 적격 노드가 중복 그룹의 기본 노드로 선택됩니다.

표 2: 노드 설정 구성 세부 정보 편집

필드

함수

작업

노드 설정

Host Name(호스트 이름)

호스트의 이름을 지정합니다.

호스트의 이름을 입력합니다.

백업 라우터

라우팅 엔진이 섀시 클러스터의 중복 그룹 0에 대한 보조 상태에 있는 동안 게이트웨이로 사용되는 디바이스를 표시합니다.

백업 라우터의 IP 주소를 입력합니다.

대상

Ip

대상 주소를 추가합니다.

Add(추가)를 클릭합니다.

삭제

대상 주소를 삭제합니다.

삭제를 클릭합니다.

인터페이스

인터페이스

라우터에 사용할 수 있는 인터페이스를 지정합니다.

참고:

각 패브릭 링크에 대해 두 개의 인터페이스를 추가하고 편집할 수 있습니다.

옵션을 선택합니다.

Ip

인터페이스 IP 주소를 지정합니다.

인터페이스 IP 주소를 입력합니다.

추가

인터페이스를 추가합니다.

Add(추가)를 클릭합니다.

삭제

인터페이스를 삭제합니다.

삭제를 클릭합니다.
표 3: HA 클러스터 인터페이스 구성 세부 정보 추가

필드

함수

작업

패브릭 링크 > 패브릭 링크 0(fab0)

인터페이스

패브릭 링크 0을 지정합니다.

인터페이스 IP 패브릭 링크 0을 입력합니다.

추가

패브릭 인터페이스 0을 추가합니다.

Add(추가)를 클릭합니다.

삭제

패브릭 인터페이스 0을 삭제합니다.

삭제를 클릭합니다.

패브릭 링크 > 패브릭 링크 1(fab1)

인터페이스

패브릭 링크 1을 지정합니다.

패브릭 링크 1의 인터페이스 IP를 입력합니다.

추가

패브릭 인터페이스 1을 추가합니다.

Add(추가)를 클릭합니다.

삭제

패브릭 인터페이스 1을 삭제합니다.

삭제를 클릭합니다.

이중화 이더넷

인터페이스

각 섀시에 하나씩 두 개의 물리적 이더넷 인터페이스로 구성된 논리적 인터페이스를 지정합니다.

논리적 인터페이스를 입력합니다.

Ip

중복 이더넷 IP 주소를 지정합니다.

중복 이더넷 IP 주소를 입력합니다.

이중화 그룹

섀시 클러스터의 중복 그룹 ID 번호를 지정합니다.

목록에서 중복 그룹을 선택합니다.

추가

중복 이더넷 IP 주소를 추가합니다.

Add(추가)를 클릭합니다.

삭제

중복 이더넷 IP 주소를 삭제합니다.

삭제를 클릭합니다.
표 4: 중복 그룹 구성 세부 정보 추가

필드

함수

작업

이중화 그룹

중복 그룹 이름을 지정합니다.

이중화 그룹 이름을 입력합니다.

기본 선점 허용

우선 순위가 더 높은 노드가 중복 그룹에 대한 페일오버를 시작할 수 있습니다.

참고:

기본적으로 이 기능은 비활성화되어 있습니다. 비활성화되면 우선 순위가 더 높은 노드가 중복 그룹 페일오버를 시작하지 않습니다(모니터링되는 인터페이스에 대해 식별된 잘못된 네트워크 연결과 같은 다른 요인으로 인해 페일오버가 발생하지 않는 한).

Gratuitous ARP 수

새로 선택된 기본이 활성 중복 이더넷 인터페이스 하위 링크에서 전송하여 중복 이더넷 인터페이스 링크에서 기본 역할의 변경을 네트워크 디바이스에 알리기 위해 무상 주소 확인 프로토콜 요청의 수를 지정합니다.

1에서 16 사이의 값을 입력합니다. 기본값은 4입니다.

node0 우선 순위

중복 그룹에 대한 node0의 우선순위 값을 지정합니다.

노드 우선 순위 번호를 0으로 입력합니다.

node1 우선 순위

중복 그룹에 대한 node1의 우선순위 값을 지정합니다.

노드 우선 순위 번호를 1로 선택합니다.

인터페이스 모니터

    

인터페이스

클러스터에 대해 생성할 중복 이더넷 인터페이스의 수를 지정합니다.

목록에서 인터페이스를 선택합니다.

무게

모니터링할 인터페이스의 가중치를 지정합니다.

1에서 125 사이의 값을 입력합니다.

추가

중복 그룹에서 모니터링할 인터페이스를 각각의 가중치와 함께 추가합니다.

Add(추가)를 클릭합니다.

삭제

중복 그룹에서 모니터링할 인터페이스를 각각의 가중치와 함께 삭제합니다.

구성된 목록에서 인터페이스를 선택하고 삭제를 클릭합니다.

IP 모니터링

무게

IP 모니터링에 대한 전역 가중치를 지정합니다.

0에서 255 사이의 값을 입력합니다.

임계값

IP 모니터링에 대한 전역 임계값을 지정합니다.

0에서 255 사이의 값을 입력합니다.

재시도 횟수

연결성 실패를 선언하는 데 필요한 재시도 횟수를 지정합니다.

5에서 15 사이의 값을 입력합니다.

재시도 간격

재시도 사이의 시간 간격(초)을 지정합니다.

1에서 30 사이의 값을 입력합니다.

모니터링할 IPV4 주소

Ip

연결성을 모니터링할 IPv4 주소를 지정합니다.

IPv4 주소를 입력합니다.

무게

모니터링할 중복 그룹 인터페이스의 가중치를 지정합니다.

가중치를 입력합니다.

인터페이스

이 IP 주소를 모니터링하는 데 사용할 논리적 인터페이스를 지정합니다.

논리적 인터페이스 주소를 입력합니다.

보조 IP 주소

보조 링크에서 패킷을 모니터링하기 위한 소스 주소를 지정합니다.

보조 IP 주소를 입력합니다.

추가

모니터링할 IPv4 주소를 추가합니다.

Add(추가)를 클릭합니다.

삭제

모니터링할 IPv4 주소를 삭제합니다.

목록에서 IPv4 주소를 선택하고 삭제를 클릭합니다.

또한보십시오