섀시 클러스터 컨트롤 플레인 인터페이스
컨트롤 플레인 인터페이스를 사용하여 섀시 클러스터의 SRX 시리즈 방화벽에 있는 라우팅 엔진 간에 커널 상태를 동기화할 수 있습니다. 컨트롤 플레인 인터페이스는 클러스터의 두 노드 간에 링크를 제공합니다.
컨트롤 플레인 인터페이스는 이 링크를 사용하여 다음을 수행할 수 있습니다.
-
노드 검색을 전달합니다.
-
클러스터의 세션 상태를 유지 관리합니다.
-
구성 파일에 액세스합니다.
-
노드 전반에서 활력 신호를 감지합니다.
섀시 클러스터 컨트롤 플레인 및 컨트롤 링크
액티브 또는 백업 모드에서 작동하는 컨트롤 플레인 소프트웨어는 클러스터의 기본 노드에서 활성화되는 Junos OS의 필수적인 부분입니다. 상태, 구성 및 기타 정보를 보조 노드의 비활성 라우팅 엔진에 전달하여 중복을 달성합니다. 기본 라우팅 엔진이 실패하면 보조 라우팅 엔진이 제어를 맡을 준비가 됩니다.
컨트롤 플레인 소프트웨어:
-
라우팅 엔진에서 실행됩니다.
-
두 노드의 인터페이스를 포함하여 전체 섀시 클러스터 시스템을 감독합니다.
-
각 노드의 패킷 포워딩 엔진(PFE)을 포함하여 시스템 및 데이터 플레인 리소스를 관리합니다.
-
제어 링크에서 구성을 동기화합니다.
-
AAA(Authentication, Authorization, and Accounting) 기능을 포함한 세션을 구축하고 유지합니다.
-
애플리케이션별 신호 전송 프로토콜을 관리합니다.
-
텔넷 연결과 같은 관리 세션을 설정하고 유지합니다.
-
섀시 클러스터 노드에서 비대칭 라우팅을 처리합니다.
-
라우팅 상태, ARP(Address Resolution Protocol) 처리 및 DHCP(Dynamic Host Configuration Protocol) 처리를 관리합니다.
컨트롤 플레인 소프트웨어의 정보는 다음 두 가지 경로를 따릅니다.
-
기본 노드(라우팅 엔진이 활성화된 노드)에서 제어 정보는 라우팅 엔진에서 로컬 패킷 포워딩 엔진으로 흐릅니다.
-
제어 정보는 제어 링크를 가로질러 보조 노드의 라우팅 엔진 및 패킷 포워딩 엔진으로 흐릅니다.
기본 라우팅 엔진에서 실행되는 컨트롤 플레인 소프트웨어는 전체 클러스터의 상태를 유지합니다. 컨트롤 플레인 소프트웨어와 동일한 노드에서 실행되는 프로세스만 상태 정보를 업데이트할 수 있습니다. 기본 라우팅 엔진은 보조 노드의 상태를 동기화하고 모든 호스트 트래픽을 처리합니다.
섀시 클러스터 제어 링크
제어 인터페이스는 클러스터의 두 노드 간에 제어 링크를 제공하며, 업데이트를 라우팅하고 노드 페일오버를 트리거하는 하트비트 및 임계값 정보와 같은 컨트롤 플레인 신호 트래픽에 사용됩니다. 또한 제어 링크는 노드 간의 구성을 동기화합니다. 구성 문을 클러스터에 제출하면 제어 링크가 구성을 자동으로 동기화합니다.
제어 링크는 노드 전반에 세션 상태, 구성 및 활력 상태를 전송하기 위해 전용 프로토콜에 의존합니다.
Junos OS 릴리스 19.3R1부터 SRX5K-RE3-128G 디바이스가 SRX5000 시리즈 방화벽의 SRX5K-SPC3 디바이스와 함께 지원됩니다. 제어 인터페이스 ixlv0 및 igb0은 SRX5K-RE3-128G 디바이스를 구성하는 데 사용됩니다. 제어 링크는 컨트롤 플레인, 데이터 플레인 및 하트비트 메시지 간의 통신을 제어합니다.
섀시 클러스터의 단일 제어 링크
섀시 클러스터의 단일 제어 링크의 경우, 제어 링크 연결 및 구성에 대해 두 노드 모두에서 동일한 제어 포트를 사용해야 합니다.
예를 들어, 포트 0을 노드 0의 제어 포트로 구성하는 경우 포트 0을 노드 1의 제어 포트로 구성해야 합니다. 포트는 케이블로 연결해야 합니다.
섀시 클러스터의 이중 제어 링크
섀시 클러스터에서 이중 제어 링크를 직접 연결해야 합니다. 교차 연결, 즉 한 노드의 포트 0을 다른 노드의 포트 1에 연결하거나 그 반대로 연결하는 것은 작동하지 않습니다.
이중 제어 링크의 경우, 다음과 같은 연결을 설정해야 합니다:
-
노드 0의 제어 포트 0을 노드 1의 제어 포트 0에 연결합니다.
-
노드 0의 제어 포트 1을 노드 1의 제어 포트 1에 연결합니다.
섀시 클러스터 제어 링크의 암호화
섀시 클러스터 제어 링크는 구성 및 활성화할 수 있는 암호화된 보안 기능(옵션)을 지원합니다.
주니퍼 네트웍스 보안 문서에서는 고가용성(HA) 제어 링크를 언급할 때 섀시 클러스터를 사용합니다. 명령에서 섀시 클러스터 대신 사용되는 약어 ha를 계속 볼 수 있습니다.
텔넷 액세스가 비활성화된 상태에서 제어 링크 액세스는 해커가 시스템에 로그인하는 것을 방지합니다.
디바이스 간의 내부 통신에 내부 IPsec 키를 사용하여 기본 노드에서 보조 노드로 섀시 클러스터 링크를 통과하는 구성 정보가 암호화됩니다. IPsec 키가 없으면 공격자는 트래픽에 액세스하거나 트래픽을 관찰할 수 없습니다.
이 기능을 활성화하려면 구성 명령을 실행합니다 set security ipsec internal security-association manual encryption ike-ha-link-encryption enable .
이 구성을 활성화하려면 두 노드를 모두 재부팅해야 합니다.
IPsec을 사용하는 섀시 클러스터 제어 링크의 암호화는 SRX4600 방화벽, SRX5000 시리즈 방화벽 및 vSRX 가상 방화벽 플랫폼에서 지원됩니다.
섀시 클러스터가 이미 구성된 IPsec 키로 실행 중인 경우, 디바이스를 재부팅하지 않고 키를 변경할 수 있습니다. 이 경우 한 노드에서만 키를 변경해야 합니다.
IPsec 키 암호화가 구성된 경우 내부 보안 연결(SA) 계층에서 구성을 변경하려면 두 노드를 모두 재부팅해야 합니다. 구성된 IKE(Internet Key Exchange) 섀시 클러스터 링크 암호화 알고리즘을 확인하려면 의 show security internal-security-association출력을 확인합니다.
| SRX 시리즈 방화벽 | 설명 |
|---|---|
| SRX5400, SRX5600 및 SRX5800 |
기본적으로 모든 제어 포트는 비활성화됩니다. 디바이스의 각 SPC(Services Processing Card)에는 2개의 제어 포트가 있으며, 각 디바이스에는 여러 개의 SPC를 연결할 수 있습니다. 섀시 클러스터에서 제어 링크를 설정하려면 각 디바이스( |
| SRX4600 |
전용 10기가비트 이더넷 컨트롤 포트 및 패브릭 포트는 섀시 클러스터에서 사용할 수 있습니다. SRX4600 방화벽에는 제어 링크 구성이 필요하지 않습니다. 그러나 섀시 클러스터 구축을 위해 패브릭 링크를 명시적으로 구성해야 합니다. 제어 포트에 대해 1기가비트 이더넷 인터페이스를 구성하려면 운영 CLI 명령 문을 |
| SRX4100 및 SRX4200 |
전용 섀시 클러스터 제어 포트를 사용할 수 있습니다. 제어 링크 구성은 필요하지 않습니다. 전용 컨트롤 링크 포트 및 패브릭 링크 포트를 포함하여 모든 SRX4100 포트 및 SRX4200 포트에 대한 자세한 내용은 SRX 시리즈 섀시 클러스터 슬롯 번호 매기기 및 물리적 포트 및 논리적 인터페이스 이름 지정 이해를 참조하십시오. 디바이스가 클러스터 모드가 아닌 경우, 전용 섀시 클러스터 포트는 수익 포트 또는 트래픽 포트로 사용할 수 없습니다. |
| SRX2300, SRX4120 및 SRX4300 |
디바이스는 MACsec을 지원하는 이중 전용 제어 포트를 사용합니다. |
| SRX1600 |
디바이스는 MACsec을 지원하는 이중 전용 제어 포트를 사용합니다. |
| SRX1500 |
장치는 전용 제어 포트를 사용합니다. |
| SRX300, SRX320, SRX340, SRX345 및 SRX380. |
제어 링크는 ge-0/0/1 인터페이스를 사용합니다. |
관리 링크, 제어 링크 및 패브릭 링크의 포트 사용 및 인터페이스 사용에 대한 자세한 내용은 SRX 시리즈 섀시 클러스터 슬롯 번호 지정 이해 및 물리적 포트 및 논리적 인터페이스 이름 지정을 참조하십시오.
예: 제어 링크를 위한 섀시 클러스터 제어 포트 구성
이 예는 디바이스에서 섀시 클러스터 제어 포트를 구성하는 방법을 보여줍니다: SRX5400, SRX5600 및 SRX5800. 제어 링크를 설정하려면 각 디바이스에서 사용할 제어 포트를 구성해야 합니다.
요구 사항
시작하기 전에:
섀시 클러스터 제어 링크를 이해합니다. 섀시 클러스터 컨트롤 플레인 및 컨트롤 링크 이해를 참조하십시오.
디바이스의 제어 포트를 물리적으로 연결합니다. 섀시 클러스터 생성을 위한 SRX 시리즈 디바이스 연결을 참조하십시오.
개요
제어 링크 트래픽은 SPC(Services Processing Card)의 스위치를 통과하여 다른 노드에 도달합니다. SRX 시리즈 방화벽에서 섀시 클러스터 포트는 섀시 클러스터의 SPC에 있습니다. 기본적으로 SRX5400 디바이스, SRX5600 디바이스 및 SRX5800 디바이스의 모든 제어 포트가 비활성화됩니다. 제어 링크를 설정하려면 제어 포트를 연결하고, 제어 포트를 구성하고, 섀시 클러스터를 구성합니다.
이 예는 다음과 같은 FPC(Flexible PIC Concentrator) 및 제어 링크로 포트를 사용하여 제어 포트를 구성합니다.
- FPC 4, 포트 0
- FPC 10, 포트 0
구성
절차
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
{primary:node0}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
set chassis cluster control-ports fpc 4 port 0
set chassis cluster control-ports fpc 10 port 0
단계별 절차
제어 포트를 섀시 클러스터의 제어 링크로 구성하는 방법:
제어 포트를 지정합니다.
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node0}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 4 port 0
{primary:node1}[edit]
user@host# set chassis cluster control-ports fpc 10 port 0
결과
구성 모드에서 명령을 입력하여 show chassis cluster 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
간결성을 위해 이 show 명령 출력은 이 예와 관련된 구성만 포함합니다. 시스템의 다른 구성은 생략 부호(...)로 대체되었습니다.
user@host# show chassis cluster
...
control-ports {
fpc 4 port 0;
fpc 10 port 0;
}
...
디바이스를 구성한 후 구성 모드에서 을(를) 입력 commit 하십시오.
섀시 클러스터 상태 확인
목적
섀시 클러스터 상태를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show chassis cluster status .
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 0 primary no no
node1 0 secondary no no
의미
show chassis cluster status 명령을 사용하여 섀시 클러스터의 디바이스가 서로 통신하는지 확인합니다. 앞의 출력은 하나의 디바이스가 기본 노드이고 다른 디바이스가 보조 노드이므로 섀시 클러스터가 제대로 작동하고 있음을 보여줍니다.
섀시 클러스터 컨트롤 플레인 통계 확인
목적
섀시 클러스터 컨트롤 플레인 통계를 표시합니다.
행동
CLI에서 명령을 입력합니다.show chassis cluster control-plane statistics
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 124
Heartbeat packets received: 125
Fabric link statistics:
Child link 0
Probes sent: 124
Probes received: 125
{primary:node1}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Control link 1:
Heartbeat packets sent: 258698
Heartbeat packets received: 258693
Fabric link statistics:
Child link 0
Probes sent: 258690
Probes received: 258690
Child link 1
Probes sent: 258505
Probes received: 258505
참조
섀시 클러스터 컨트롤 플레인 통계 지우기
표시된 섀시 클러스터 컨트롤 플레인 통계를 지우려면, CLI에서 명령을 입력합니다 clear chassis cluster control-plane statistics :
{primary:node1}
user@host> clear chassis cluster control-plane statistics
Cleared control-plane statistics
섀시 클러스터에서 독립형 모드로 변경
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.