Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

섀시 클러스터 패브릭 인터페이스

섀시 클러스터의 SRX 시리즈 디바이스는 세션 동기화를 위해 패브릭(fab) 인터페이스를 사용하고 두 섀시 간의 트래픽을 전달합니다. 패브릭 링크는 동일한 LAN에 있는 두 이더넷 인터페이스 간의 물리적 연결입니다. 두 인터페이스 모두 동일한 미디어 유형이어야 합니다. 자세한 내용은 다음 항목을 참조하세요.

섀시 클러스터 패브릭 인터페이스 이해

패브릭은 클러스터의 두 노드 간의 물리적 연결이며 한 쌍의 이더넷 인터페이스를 연속적으로(각 노드에서 하나씩) 연결하여 형성됩니다.

인터페이스가 시스템에 의해 결정되는 제어 링크와 달리, 구성에서 패브릭 데이터 링크에 사용할 물리적 인터페이스를 지정합니다.

패브릭은 노드 간의 데이터 링크이며 섀시 간의 트래픽을 포워딩하는 데 사용됩니다. 다른 노드에서 처리해야 하는 노드에 도착한 트래픽은 패브릭 데이터 링크를 통해 전달됩니다. 마찬가지로, 다른 노드의 인터페이스를 통해 종료해야 하는 노드에서 처리된 트래픽은 패브릭을 통해 전달됩니다.

데이터 링크를 패브릭 인터페이스라고 합니다. 클러스터의 패킷 전달 엔진에서 전송 트래픽을 전송하고 데이터 플레인 소프트웨어의 동적 런타임 상태를 동기화하는 데 사용됩니다. 패브릭은 인증, 네트워크 주소 변환(NAT), 애플리케이션 레이어 게이트웨이(ALG) 및 IP 보안(IPsec) 세션과 같은 작업에 의해 생성된 세션 상태 개체의 동기화를 제공합니다.

시스템이 패브릭 인터페이스를 생성할 때 소프트웨어는 패킷 전송에 사용할 내부적으로 파생된 IP 주소를 할당합니다.

주의:

섀시 클러스터에서 패브릭 인터페이스를 구성한 후 두 노드 중 하나에서 패브릭 구성을 제거하면 중복 그룹 0(RG0) 보조 노드가 비활성화된 상태로 전환됩니다. (디바이스를 공장 기본 구성으로 재설정하면 패브릭 구성이 제거되므로 RG0 보조 노드가 비활성화된 상태로 전환됩니다.) 패브릭 구성이 커밋된 후에는 두 디바이스 중 하나를 공장 기본 구성으로 재설정하지 마십시오.

SRX 시리즈 방화벽에 지원되는 패브릭 인터페이스 유형(SRX300 시리즈, SRX1500, SRX1600, SRX2300, SRX4100/SRX4200, SRX4300, SRX4600, SRX5000 라인)

SRX 시리즈 섀시 클러스터의 경우, 패브릭 링크는 클러스터에 걸쳐 있는 모든 이더넷 인터페이스 쌍이 될 수 있습니다. 패브릭 링크는 모든 기가비트 이더넷 인터페이스 쌍이 될 수 있습니다. 예제:

  • SRX300, SRX320, SRX340 및 SRX345 디바이스의 경우 패브릭 링크는 모든 기가비트 이더넷 인터페이스 쌍이 될 수 있습니다. SRX380 디바이스의 경우, 패브릭 링크는 모든 10기가비트 이더넷 인터페이스 쌍이 될 수 있습니다.

  • SRX1500 및 SRX1600의 경우 패브릭 링크는 클러스터에 걸쳐 있는 모든 이더넷 인터페이스 쌍이 될 수 있습니다. 패브릭 링크는 모든 기가비트 이더넷 인터페이스 쌍 또는 10기가비트 이더넷 인터페이스 쌍이 될 수 있습니다. SRX1600에 지원되는 인터페이스 유형은 다음과 같습니다.

    • 1기가비트 이더넷(ge)

    • 10기가비트 이더넷(xe) (10기가비트 이더넷 인터페이스 SFP+ 슬롯)

    • 25 기가비트 이더넷 (et) (25 기가비트 이더넷 인터페이스 SFP28)

  • SRX4100 및 SRX4200 디바이스에 지원되는 패브릭 인터페이스 유형은 10기가비트 이더넷(xe)(10기가비트 이더넷 인터페이스 SFP+ 슬롯)입니다.

  • SRX2300 및 SRX4300의 경우 패브릭 링크는 모든 기가비트 이더넷 인터페이스 쌍이 될 수 있습니다. 지원되는 패브릭 인터페이스 유형은 다음과 같습니다.

    • 10기가비트 이더넷(mge)

    • 10기가비트 이더넷(xe) (10기가비트 이더넷 인터페이스 SFP+ 슬롯)

    • 25 기가비트 이더넷 (et) (25 기가비트 이더넷 인터페이스 SFP28)

    • 100기가비트 이더넷(et) (100기가비트 이더넷 인터페이스 QSFP28 슬롯)

  • SRX4600 디바이스에 지원되는 패브릭 인터페이스 유형은 40기가비트 이더넷(et)(40기가비트 이더넷 인터페이스 QSFP 슬롯) 및 10기가비트 이더넷(xe)입니다.

  • SRX5000 라인 디바이스에 지원되는 지원 패브릭 인터페이스 유형은 다음과 같습니다.

    • 고속 이더넷

    • 기가비트 이더넷

    • 10기가비트 이더넷

    • 40기가비트 이더넷

    • 100기가비트 이더넷

      Junos OS 릴리스 12.1X46-D10 및 Junos OS 릴리스 17.3R1부터 SRX5000 라인 디바이스에서 100기가비트 이더넷 인터페이스가 지원됩니다.

      Junos OS 릴리스 19.3R1부터 SRX5K-IOC4-10G 및 SRX5K-IOC4-MRAT는 SRX5000 라인 디바이스에서 SRX5K-SPC3과 함께 지원됩니다. SRX5K-IOC4-10G MPIC는 MACsec을 지원합니다.

관리, 제어 및 패브릭 링크를 위한 포트 및 인터페이스 사용에 대한 자세한 내용은 SRX 시리즈 섀시 클러스터 슬롯 번호 매기기 이해 및 물리적 포트 및 논리적 인터페이스 이름 지정을 참조하십시오.

점보 프레임 지원

패브릭 데이터 링크는 단편화를 지원하지 않습니다. 이 상태를 수용하기 위해 점보 프레임 지원은 SRX 시리즈 방화벽에서 최대 전송 단위(MTU) 크기가 9014바이트(페이로드 9000바이트 + 이더넷 헤더의 경우 14바이트)인 링크에서 기본적으로 활성화됩니다. 데이터 링크를 전송하는 트래픽이 이 크기를 초과하지 않도록 하려면 다른 인터페이스가 패브릭 데이터 링크의 MTU 크기를 초과하지 않는 것이 좋습니다.

IOC2 및 IOC3용 SRX5000 라인 디바이스의 패브릭 인터페이스 이해

Junos OS 릴리스 15.1X49-D10을 시작으로 SRX5K-MPC3-100G10G(IOC3) 및 SRX5K-MPC3-40G10G(IOC3)가 도입됩니다.

SRX5K-MPC(IOC2)는 SRX5400, SRX5600 및 SRX5800에서 지원되는 MPC(Modular Port Concentrator)입니다. 이 인터페이스 카드는 서비스 게이트웨이에 이더넷 포트를 추가하여 다양한 네트워크 미디어 유형에 대한 물리적 연결을 제공하는 MIC(Modular Interface Card)를 수용합니다. MPC와 MIC는 섀시 클러스터를 위한 패브릭 링크를 지원합니다. SRX5K-MPC는 패브릭 포트로 10기가비트 이더넷(10x10GE MIC 포함), 40기가비트 이더넷, 100기가비트 이더넷 및 20x1GE 이더넷 포트를 제공합니다. SRX5400 디바이스에서는 SRX5K-MPC(IOC2)만 지원됩니다.

SRX5K-MPC3-100G10G(IOC3) 및 SRX5K-MPC3-40G10G(IOC3)는 SRX5400, SRX5600 및 SRX5800에서 지원되는 MPC(Modular Port Concentrator)입니다. 이러한 인터페이스 카드는 서비스 게이트웨이에 이더넷 포트를 추가하여 다양한 네트워크 미디어 유형에 대한 물리적 연결을 제공하는 MIC(Modular Interface Card)를 허용합니다. MPC와 MIC는 섀시 클러스터를 위한 패브릭 링크를 지원합니다.

서로 다른 내장 MIC가 있는 IOC3 MPC(Modular Port Concentrator)의 두 가지 유형은 24x10GE + 6x40GE MPC와 2x100GE + 4x10GE MPC입니다.

전력 및 열 제약으로 인해 24x10GE + 6x40GE의 PIC 4개 전원을 모두 켤 수 없습니다. 최대 2개의 PIC의 전원을 동시에 켤 수 있습니다.

set chassis fpc <slot> pic <pic> power off 명령을 사용하여 전원을 켤 PIC를 선택합니다.

섀시 클러스터의 SRX5400, SRX5600 및 SRX5800 디바이스에서 SRX5K-MPC3-40G10G(IOC3)의 패브릭 링크가 포함된 PIC의 전원을 꺼서 대체 PIC를 켤 때, 항상 다음 사항을 확인합니다.

  • 새 패브릭 링크는 켜져 있는 새 PIC에 구성됩니다. RTO 손실을 최소화하려면 하나 이상의 패브릭 링크가 존재하고 온라인 상태여야 합니다.

  • 섀시 클러스터는 액티브-패시브 모드에 있어 대체 링크가 온라인 상태가 되면 RTO 손실을 최소화합니다.

  • 켜져 있는 PIC에 대체 패브릭 링크가 구성되지 않은 경우, 패브릭 링크가 없기 때문에 두 노드 간의 RTO 동기 통신이 중지되고 섀시 클러스터 세션 상태가 백업되지 않습니다. 명령을 사용하여 show chassis cluster interfaces 잘못된 섀시 클러스터 상태를 나타내는 이 시나리오의 CLI 출력을 볼 수 있습니다.

세션 RTO 이해하기

액티브/액티브 모드에서 작동하는 데이터 플레인 소프트웨어는 플로우 처리 및 세션 상태 중복을 관리하고 전송 트래픽을 처리합니다. 특정 세션에 속하는 모든 패킷은 동일한 노드에서 처리되어 동일한 보안 처리가 적용됩니다. 시스템은 세션이 활성화된 노드를 식별하고 처리를 위해 패킷을 해당 노드로 전달합니다. (패킷이 처리된 후, 패킷 포워딩 엔진은 송신 인터페이스가 존재하는 노드로 패킷을 전송합니다(노드가 로컬 노드가 아닌 경우).

세션(또는 플로우) 이중화를 제공하기 위해 데이터 플레인 소프트웨어는 패브릭 데이터 링크에서 런타임 객체(RTO)라는 특수 페이로드 패킷을 한 노드에서 다른 노드로 전송하여 상태를 동기화합니다. RTO는 노드 간에 세션에 대한 정보를 전송하여 장애 조치가 발생할 경우 세션의 일관성과 안정성을 보장하므로 시스템이 기존 세션에 속하는 트래픽을 계속 처리할 수 있습니다. 세션 정보가 두 노드 간에 항상 동기화되도록 하기 위해 데이터 플레인 소프트웨어는 전송 트래픽보다 RTO에 전송 우선 순위를 부여합니다.

데이터 플레인 소프트웨어는 UDP 및 TCP 세션에 대한 RTO를 생성하고 상태 변경을 추적합니다. 또한 GRE(Generic Routing Encapsulation) 및 IPsec과 같은 IPv4 패스스루 프로토콜에 대한 트래픽을 동기화합니다.

세션 동기화를 위한 RTO는 다음과 같습니다.

  • 첫 번째 패킷에서 세션 생성 RTO

  • 세션 삭제 및 수명 초과 RTO

  • 다음을 포함한 변경 관련 RTO:

    • TCP 상태 변경

    • 시간 제한 동기화 요청 및 응답 메시지

    • 방화벽(핀홀) 및 하위 세션 핀홀에서 임시 개구부를 만들고 삭제하기 위한 RTO

데이터 포워딩 이해

Junos OS의 경우, 플로우 처리는 해당 플로우에 대한 세션이 설정되고 활성화된 단일 노드에서 발생합니다. 이 접근 방식은 세션에 속한 모든 패킷에 동일한 보안 조치가 적용되도록 합니다.

섀시 클러스터는 한 노드의 인터페이스에서 트래픽을 수신하고 다른 노드의 인터페이스로 전송할 수 있습니다. (액티브/액티브 모드에서 트래픽에 대한 수신 인터페이스는 한 노드에 존재하고 해당 송신 인터페이스는 다른 노드에 존재할 수 있습니다.)

이 순회는 다음과 같은 경우에 필요합니다.

  • 패킷이 한 노드에서 처리되지만 다른 노드의 송신 인터페이스로 전달되어야 하는 경우

  • 패킷이 한 노드의 인터페이스에 도착하지만 다른 노드에서 처리되어야 하는 경우

    패킷에 대한 수신 및 송신 인터페이스가 한 노드에 있지만 세션이 다른 노드에서 설정되었기 때문에 패킷이 다른 노드에서 처리되어야 하는 경우, 패킷은 데이터 링크를 두 번 트래버스해야 합니다. VoIP(Voice-over-IP) 세션과 같은 일부 복잡한 미디어 세션의 경우가 이에 해당할 수 있습니다.

패브릭 데이터 링크 장애 및 복구 이해하기

침입 탐지 및 방지(IDP) 서비스는 장애 조치를 지원하지 않습니다. 이러한 이유로 장애 조치 전에 존재했던 세션에는 침입 탐지 및 방지(IDP) 서비스가 적용되지 않습니다. 침입 탐지 및 방지(IDP) 서비스는 새 기본 노드에서 생성된 새 세션에 적용됩니다.

패브릭 데이터 링크는 섀시 클러스터에 매우 중요합니다. 링크를 사용할 수 없는 경우 트래픽 포워딩 및 RTO 동기화에 영향을 미쳐 트래픽 손실과 예측할 수 없는 시스템 동작을 초래할 수 있습니다.

이러한 가능성을 없애기 위해 Junos OS는 패브릭 모니터링을 사용하여 패브릭 링크에 주기적으로 프로브를 전송하여 패브릭 링크 또는 이중 패브릭 링크 구성의 경우 두 패브릭 링크가 활성 상태인지 확인합니다. Junos OS가 패브릭 결함을 감지하면 보조 노드의 RG1+ 상태가 부적격으로 변경됩니다. 패브릭 프로브는 수신되지 않았지만 패브릭 인터페이스가 활성화된 경우 패브릭 결함이 발생했다고 판단합니다. 이 상태에서 복구하려면 두 패브릭 링크가 모두 온라인 상태로 돌아와야 하며 프로브 교환을 시작해야 합니다. 이런 일이 발생하는 즉시, 이전에 부적격 노드의 모든 FPC가 재설정됩니다. 그런 다음 온라인 상태가 되고 클러스터에 다시 연결됩니다.

보조 노드가 비활성화되어 있는 동안 구성을 변경하는 경우, 노드를 재부팅한 후 명령을 실행하여 commit 구성을 동기화합니다. 구성을 변경하지 않은 경우 구성 파일은 기본 노드의 구성 파일과 동기화된 상태로 유지됩니다.

Junos OS 릴리스 12.1X47-D10 및 Junos OS 릴리스 17.3R1부터는 SRX5800, SRX5600 및 SRX5400 디바이스에서 패브릭 모니터링 기능이 기본적으로 활성화됩니다.

Junos OS 릴리스 12.1X47-D10 및 Junos OS 릴리스 17.3R1부터는 패브릭 링크 복구 및 동기화가 자동으로 수행됩니다.

기본 노드와 보조 노드가 모두 정상(즉, 장애가 없음)이고 패브릭 링크가 다운되면 보조 노드의 RG1+ 이중화 그룹이 부적격하게 됩니다. 노드 중 하나가 비정상이면(즉, 장애가 있는 경우) 이 노드(기본 또는 보조 노드)의 RG1+ 이중화 그룹이 부적격하게 됩니다. 두 노드가 모두 비정상이고 패브릭 링크가 다운되면 보조 노드의 RG1+ 이중화 그룹이 부적격하게 됩니다. 패브릭 링크가 작동하면 RG1+가 부적격한 노드는 모든 서비스 처리 장치에서 콜드 동기화를 수행하고 활성 대기로 전환됩니다.

  • RG0이 비정상 노드에서 기본인 경우 RG0은 비정상 노드에서 정상 노드로 장애 조치(failover)됩니다. 예를 들어, 노드 0이 RG0+의 기본이고 노드 0이 비정상 상태가 되면 노드 0의 RG1+는 패브릭 링크 장애 66초 후에 부적합 상태로 전환되고 RG0+는 정상 노드인 노드 1로 장애 조치됩니다.

  • RG1+만 부적격 상태로 전환됩니다. RG0은 계속해서 기본 또는 보조 상태입니다.

show chassis cluster interfaces CLI 명령을 사용하여 패브릭 링크의 상태를 확인합니다.

참조

예: 섀시 클러스터 패브릭 인터페이스 구성

이 예에서는 섀시 클러스터 패브릭을 구성하는 방법을 보여 줍니다. 패브릭은 클러스터의 노드 간 백투백 데이터 연결입니다. 다른 노드에서 처리하거나 다른 노드의 인터페이스를 통해 종료해야 하는 한 노드의 트래픽은 패브릭을 통과합니다. 세션 상태 정보도 패브릭으로 전달됩니다.

요구 사항

시작하기 전에 섀시 클러스터 ID 및 섀시 클러스터 노드 ID를 설정합니다. 예: 섀시 클러스터의 보안 디바이스에 대한 노드 ID 및 클러스터 ID 설정을 참조하십시오.

개요

섀시 클러스터에 있는 대부분의 SRX 시리즈 방화벽에서는 노드 간의 패브릭 역할을 하도록 기가비트 이더넷 인터페이스 또는 10기가비트 인터페이스 한 쌍을 구성할 수 있습니다.

패브릭 인터페이스에서는 필터, 정책 또는 서비스를 구성할 수 없습니다. 패브릭 링크에서는 단편화가 지원되지 않습니다. 패브릭 인터페이스의 최대 MTU 크기는 9014바이트이고 다른 인터페이스의 최대 MTU 크기는 8900바이트입니다. 멤버 링크의 점보 프레임 지원은 기본적으로 활성화됩니다.

이 예에서는 패브릭 링크를 구성하는 방법을 보여 줍니다.

동일한 유형의 인터페이스만 패브릭 하위 요소로 구성할 수 있으며, 및 fab1에 대해 fab0 동일한 수의 하위 링크를 구성해야 합니다.

스위치를 통해 각 패브릭 링크를 연결하는 경우 해당 스위치 포트에서 점보 프레임 기능을 활성화해야 합니다. 두 패브릭 링크가 모두 동일한 스위치를 통해 연결된 경우 RTO-프로브 쌍은 하나의 가상 LAN(VLAN)에 있어야 하고 데이터 쌍은 다른 VLAN에 있어야 합니다. 여기에서도 점보 프레임 기능은 해당 스위치 포트에서 활성화되어야 합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

섀시 클러스터 패브릭을 구성하려면 다음을 수행합니다.

  • 패브릭 인터페이스를 지정합니다.

결과

구성 모드에서 명령을 입력하여 show interfaces 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

간결성을 위해 이 show 명령 출력은 이 예와 관련된 구성만 포함합니다. 시스템의 다른 구성은 생략 부호(...)로 대체되었습니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

섀시 클러스터 패브릭 확인

목적

섀시 클러스터 패브릭을 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show interfaces terse | match fab .

섀시 클러스터 데이터 플레인 인터페이스 확인

목적

섀시 클러스터 데이터 플레인 인터페이스 상태를 표시합니다.

행동

CLI에서 명령을 입력합니다.show chassis cluster data-plane interfaces

섀시 클러스터 데이터 플레인 통계 보기

목적

섀시 클러스터 데이터 플레인 통계를 표시합니다.

행동

CLI에서 명령을 입력합니다.show chassis cluster data-plane statistics

섀시 클러스터 데이터 플레인 통계 지우기

표시된 섀시 클러스터 데이터 플레인 통계를 지우려면, CLI에서 명령을 입력합니다 clear chassis cluster data-plane statistics :

참조

관련 설명서

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
19.3R1 시리즈
Junos OS 릴리스 19.3R1부터 SRX5K-IOC4-10G 및 SRX5K-IOC4-MRAT는 SRX5000 라인 디바이스에서 SRX5K-SPC3과 함께 지원됩니다. SRX5K-IOC4-10G MPIC는 MACsec을 지원합니다.
15.1X49-D10
Junos OS 릴리스 15.1X49-D10을 시작으로 SRX5K-MPC3-100G10G(IOC3) 및 SRX5K-MPC3-40G10G(IOC3)가 도입됩니다.
12.1X47
Junos OS 릴리스 12.1X47-D10 및 Junos OS 릴리스 17.3R1부터는 SRX5800, SRX5600 및 SRX5400 디바이스에서 패브릭 모니터링 기능이 기본적으로 활성화됩니다.
12.1X47
Junos OS 릴리스 12.1X47-D10 및 Junos OS 릴리스 17.3R1부터는 패브릭 링크 복구 및 동기화가 자동으로 수행됩니다.
12.1X46
Junos OS 릴리스 12.1X46-D10 및 Junos OS 릴리스 17.3R1부터 SRX5000 라인 디바이스에서 100기가비트 이더넷 인터페이스가 지원됩니다.