멀티노드 고가용성 구축을 위한 환경 준비
이 주제에서는 멀티노드 고가용성 배치를 위한 환경을 준비하기 위한 세부사항을 제공합니다.
디바이스 모델
멀티노드 고가용성에서는 노드와 동일한 SRX 시리즈 방화벽 모델을 사용해야 합니다. 예를 들어, SRX5600을 하나의 노드로 사용하는 경우 다른 SRX5600을 다른 노드로 사용해야 합니다
SRX5000 라인 디바이스의 경우, SPC, NPC 및 IOC의 슬롯 배치와 유형이 동일한지 확인합니다.
소프트웨어 버전
참여하는 보안 디바이스에 호환되는 버전의 Junos OS를 설치합니다.
최신 Junos IKE 패키지
멀티노드 고가용성 솔루션에서 ICL 암호화를 활성화하려면 IKE 패키지를 설치해야 합니다.
기본적으로 SRX 시리즈 방화벽이 부팅되면 레거시 IKE 아키텍처가 실행됩니다. 새로운 IKE(Internet Key Exchange) 아키텍처를 활성화하려면 새로운 Junos IKE 패키지를 설치해야 합니다. 이것은 Junos OS 소프트웨어 다운로드 이미지에 포함된 옵션 패키지입니다.
다음 명령을 사용하여 IKE(Internet Key Exchange) 패키지를 설치합니다.
user@host> request system software add optional://junos-ike.tgz
Junos IKE 패키지를 설치한 후 인스턴스의 후속 소프트웨어 업그레이드를 위해 Junos IKE 패키지는 디바이스에 설치된 새로운 Junos OS 릴리스에서 자동으로 업그레이드됩니다.
소프트웨어 라이선스
멀티노드 고가용성 기능에 대한 특정 라이선스는 필요하지 않습니다. 그러나 라이선스는 각 SRX 시리즈마다 고유하며 멀티노드 고가용성 설정의 노드 간에 공유할 수 없습니다. 따라서 두 노드 모두에서 동일한 라이선스를 사용해야 합니다. 두 SRX 시리즈 방화벽 모두에 동일한 라이선스 세트가 없는 경우, 시스템을 구축할 준비가 되지 않은 것입니다.
네트워크 접근성
멀티노드 고가용성 설정의 두 노드 모두 ICL 경로를 사용하여 서로 연결할 수 있어야 합니다. 이 경로는 (ICL의 암호화 여부와 관계없이) IP 주소, 프로토콜 및 포트 세부 정보를 사용합니다. 방화벽 또는 기타 검사가 있는 경우 노드 간에 이 통신이 허용되는지 확인해야 합니다.
각 노드에 사용하는 유동 IP 주소는 네트워크를 통해 라우팅 가능한 IP(논리적 라우팅 경로)여야 합니다.
ICL을 루프백 인터페이스(lo0) 또는 어그리게이션 이더넷 인터페이스(ae0)에 바인딩하고 최고의 복원력을 위해 경로 다양성을 보장하는 둘 이상의 물리적 링크(LAG/LACP)를 보유하는 것이 좋습니다. 또한 SRX 시리즈 방화벽의 수익 이더넷 포트를 사용하여 ICL 연결을 설정할 수 있습니다. 수익 인터페이스의 전송 트래픽을 고가용성(HA) 트래픽과 분리해야 합니다.
IP 주소 고려 사항
표 1 은 멀티노드 고가용성 구축을 위한 IPv4 및 IPv6 주소 지원에 대한 세부 정보를 제공합니다.
| MNHA 구축 유형 | : 레이어 3 네트워크(양쪽 끝에 라우터), | 하이브리드 네트워크(한쪽 끝에 라우터, 다른 쪽 끝에 스위치), | 기본 게이트웨이(양쪽 끝에 스위치) |
|---|---|---|---|
| IP 모니터링을 위한 IPv4 및 IPv6 주소 |
예 | 예 | 예 |
| 활성 프로빙을 위한 IPv4 및 IPv6 주소 |
예 | 예 | 예 |
| 가상 IPv4 및 IPv6 주소 |
해당 사항 없음 | 예 | 예 |
MNHA 설정의 services-중복-group 구성에서 활성 신호 경로, 백업 신호 경로 및 장애 시 설치 경로 옵션에 대한 IPv6 주소 구성에 사용할 수 있습니다.
멀티노드 고가용성 설정에서 논리적 인터페이스(IFL)당 하나의 VIP만 구성합니다. 다중 VIP 또는 이중 스택 사용은 지원되지 않습니다.
멀티노드 고가용성 구성에서 IP 주소 풀 사용
멀티노드 고가용성에서 여러 SRG(액티브-액티브 모드)를 구성하는 경우 액세스 프로필에서 SRG가 사용하는 주소 풀이 겹치지 않아야 합니다. 또한 다른 SRG에 연결된 호스트에 대해 RADIUS 서버에 구성된 주소와 주소 풀이 고유해야 합니다.
예: 다음 샘플은 액세스 프로필 localpool localpool2 과 SRG1 및 SRG2에 대한 주소 풀 구성을 각각 보여줍니다.
[edit] set groups manha_config_group access profile localpool address-assignment pool v4-pool1 set groups manha_config_group access profile localpool2 authentication-order none set groups manha_config_group access profile localpool2 address-assignment pool v4-pool2 set groups manha_config_group access address-assignment pool v4-pool1 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 low 192.0.2.1 set groups manha_config_group access address-assignment pool v4-pool1 family inet range v41 high 192.0.2.127 set groups manha_config_group access address-assignment pool v4-pool2 family inet network 192.0.2.0/24 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 low 192.0.2.128 set groups manha_config_group access address-assignment pool v4-pool2 family inet range v41 high 192.0.2.255
이 예에서 서비스 중복 그룹(SRG1 및 SRG2)은 동일한 네트워크(192.0.2.0/24)에 있습니다. 그러나 주소 풀의 IP 주소는 중첩을 피하기 위해 분산됩니다(SRG1의 경우 192.0.2.1/24—192.0.2.127, SRG2의 경우 192.0.2.128—192.0.2.255).
마찬가지로 RADIUS 서버의 사용자 구성에 고유한 IP 주소와 주소 풀을 사용해야 합니다.
두 SRG의 호스트에 동일한 주소를 할당하는 경우 멀티노드 고가용성은 새 호스트를 삭제하고 다음 메시지와 함께 IKE 협상을 중단합니다.
AUTHENTICATION_FAILED as the AUTH response
시스템 로그에 다음 메시지가 표시됩니다.
Duplicate assigned IPv4 received, delete new peer
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.