이 페이지의 내용
멀티노드 고가용성에서 비대칭 트래픽 플로우 지원
개요
Junos OS 릴리스 23.4R1부터 멀티노드 고가용성의 SRX 시리즈 방화벽은 비대칭 트래픽 플로우를 지원합니다.
스테이트풀 서비스를 사용하거나 심층 패킷 검사를 수행하려면 방화벽이 각 플로우 세션의 양방향을 모두 확인해야 합니다.
비대칭 트래픽 플로우는 패킷 플로우가 하나의 경로(노드 1을 통해)를 사용하여 소스 네트워크에서 대상 네트워크로 이동하고 다른 반환 경로(노드 2 사용)를 취할 때 발생합니다. 이 비대칭 플로우는 트래픽이 레이어 3 라우팅 네트워크를 통해 흐를 때 발생할 수 있습니다.
일반적인 고가용성 구축에서는 네트워크 양쪽에 여러 개의 라우터와 스위치가 있습니다. 라우터는 다음 홉 경로를 사용하여 각 패킷 흐름을 전달합니다. 그러나 라우터는 반환 트래픽에 동일한 경로를 사용하지 않을 수 있습니다. 멀티노드 고가용성 설정에서 라우터는 현재 라우팅 경로를 기반으로 방화벽으로 패킷을 전송하며, 이로 인해 비대칭 트래픽 흐름이 발생할 수 있습니다
이렇게 트래픽 방향의 처리가 다르면 고가용성 노드 중 하나 또는 둘 다에서 일부 패킷이 삭제될 수 있습니다. 이는 두 노드 모두 전체 트래픽 플로우를 캡처할 수 없기 때문에 발생하며, 이는 잠재적인 불일치 및 패킷 손실로 이어집니다.
비대칭 트래픽 플로우를 처리하기 위해 멀티노드 고가용성에는 ICD(Inter Chassis Datapath)라는 추가 링크가 필요합니다. ICD는 두 노드 간에 트래픽을 라우팅할 수 있습니다. ICD를 통해 노드는 비대칭 트래픽 흐름을 원래 흐름에 대한 상태 저장 서비스 제공을 담당하는 피어 노드로 리디렉션할 수 있습니다.
이 기능을 사용하면 비대칭 트래픽 흐름과 기존(위임자) 대칭 흐름에 대해 보안 검사(예: 3방향 핸드셰이크 및 창 배율 인수를 사용한 시퀀스 확인)를 수행할 수 있습니다.
멀티노드 고가용성이 비대칭 트래픽 플로우를 지원하는 방법
비대칭 트래픽 플로우 지원 없음
그림 1과 같이 동일한 플로우의 양방향 패킷은 멀티노드 고가용성 설정에서 이웃 라우터 또는 스위치에 의해 다른 SRX 시리즈 디바이스로 전달됩니다
네트워크 B에서 네트워크 A로의 아웃바운드 트래픽은 노드 1(SRX-01)을 통과하고 반환 트래픽(인바운드 트래픽)은 노드 2(SRX-02)를 통해 네트워크 A에서 네트워크 B로 흐릅니다.
비대칭 트래픽 플로우의 경우, 동일한 플로우의 양방향 트래픽에 대한 완전한 상태 정보가 없기 때문에 SRX 시리즈 방화벽(이 예에서는 SRX-02)이 패킷을 드롭합니다.
비대칭 트래픽 플로우 지원
비대칭 트래픽 플로우를 지원하기 위해 멀티노드 고가용성은 섀시 간 데이터 경로(ICD)를 사용합니다. ICD는 고가용성 설정에서 두 SRX 시리즈 디바이스 간의 비대칭 트래픽 흐름 패킷을 전달합니다.
이 경우 멀티노드 고가용성 시스템은 노드 간에 라우팅 가능한 새 링크를 생성합니다. 이 라우팅 가능한 링크를 통해 노드는 흐름에 대한 보안 검사를 수행할 수 있는 원래 노드로 비대칭 흐름을 전달할 수 있습니다. 즉, 노드 2(SRX-02)는 인바운드 트래픽을 다음 홉 라우터 대신 노드 1(SRX-01)로 전달합니다. SRX 시리즈 방화벽은 양방향 플로우의 패킷에 대한 보안 검사를 수행합니다.
ICD(Inter Chassis Datapath)는 어떻게 작동합니까?
멀티노드 고가용성 ICD는 데이터 트래픽을 전달하고 데이터 플로우를 피어 노드로 전달합니다. 이 링크는 섀시 간 링크(ICL) 패킷을 전달하지 않습니다.
워크플로에는 다음 단계가 포함됩니다.
- 멀티노드 고가용성 노드가 데이터 패킷을 수신하면 노드에서 실행되는 보안 서비스가 패킷을 피어 노드로 전달할지 아니면 로컬에서 처리할지를 결정합니다. 패킷 전달 결정은 다음에 따라 달라집니다.
- 패킷의 플로우 세션 상태 또는 서비스 유형
- 패킷 플로우와 연관된 SRG 상태
- 피어 노드가 ICD를 통해 연결할 수 있는 경우 노드의 보안 서비스는 노드 간에 패킷을 보내고 받을 수 있습니다.
- 피어 노드가 ICD를 통해 전달된 데이터 패킷을 수신하면 구성된 정책에 따라 보안 검사를 수행합니다.
노드 간 패킷 전달에 ICD를 사용하려면 다음을 수행해야 합니다.
- 다른 노드에 대한 라우팅 가능한 경로를 사용하여 루프백 인터페이스에 ICD를 할당합니다.
- ICD에 여러 물리적 인터페이스를 할당하여 ICD가 최고의 안정성을 위해 경로 다양성을 갖도록 합니다.
ICL 및 ICD에 대한 인터페이스 계획
멀티노드 고가용성 구성에서 ICL 및 ICD 물리적 인터페이스는 비대칭 트래픽 흐름을 수용하기 위해 활성 상태이고 운영되어야 합니다. ICL 및 ICD 인터페이스는 고가용성 설정에서 노드 간의 통신을 용이하게 하며, 해당 상태는 패킷 처리에 영향을 미칩니다. 두 인터페이스 중 하나가 작동하지 않으면 비대칭 트래픽 흐름 지원에 영향을 미칩니다. 따라서 최적의 네트워크 성능을 위해 이러한 인터페이스가 제대로 작동하는지 확인하는 것이 중요합니다.
ICL에 연결된 여러 물리적 인터페이스가 있고 패킷을 처리하는 데 적극적으로 사용되는 이러한 인터페이스 중 하나가 실패하면 데이터 흐름은 ICL과 연결된 사용 가능한 다른 물리적 인터페이스를 사용하도록 전환됩니다. ICL과 관련된 모든 물리적 인터페이스가 중단되면 SRX 시리즈 방화벽은 ICL 연결을 잃게 됩니다. 이 경우 SRX 시리즈 노드는 RTO 메시지를 교환할 수 없으며 비대칭 트래픽 플로우를 지원할 수 없습니다.
멀티노드 고가용성 설정에서 ICL 및 ICD에 대해 서로 다른 루프백 인터페이스를 사용합니다.
노드는 정적 또는 동적 라우팅 프로토콜(예: BGP)을 통해 피어 노드 ICD의 IP 주소에 도달하는 경로를 학습합니다. 멀티노드 고가용성 설정은 각 SRX 시리즈 방화벽의 기존 라우팅 기능을 활용하여 패킷을 라우팅합니다.
비대칭 트래픽에 영향을 미치는 ICL 및 ICD 상태
표 1 은 노드 간의 BFD 상태가 ICL과 ICD의 할당된 물리적 인터페이스에 어떻게 의존하는지 보여줍니다.
Icl | Icd | 비대칭 트래픽 플로우에 대한 서비스 | ||
물리적 인터페이스 | BFD 상태 | 물리적 인터페이스 | BFD 상태 | |
위로 | 위로 | 위로 | 위로 | 위로 |
위로 | 위로 | 아래로 | 아래로 | 아래로 |
아래로 | 아래로 | 위로 | 위로 | 아래로 |
위로 | 아래로 | 위로 | 아래로 | 아래로 |
아래로 | 아래로 | 아래로 | 아래로 | 아래로 |
예: 멀티노드 고가용성에서 비대칭 트래픽 플로우 지원 구성
요약 이 주제를 읽고 멀티노드 고가용성 솔루션에 구축된 SRX 시리즈 방화벽의 비대칭 트래픽 플로우 지원을 구성하는 방법을 알아보십시오. 이 예에서는 SRX 시리즈 방화벽이 양쪽의 라우터에 연결된 경우(레이어 3 구축) 활성/백업 모드에서의 구성을 다룹니다.
Junos OS 릴리스 23.4R1은 비대칭 트래픽 플로우를 지원하는 새로운 기능을 제공합니다. 비대칭 라우팅은 한 방향의 패킷 경로가 원본 경로와 다른 시나리오입니다.
일반적인 고가용성 구축에서는 네트워크 양쪽에 여러 개의 라우터와 스위치가 있습니다. 라우터는 다음 홉 경로를 사용하여 각 패킷 흐름을 전달합니다. 그러나 라우터는 반환 트래픽에 동일한 경로를 사용하지 않을 수 있습니다. 멀티노드 고가용성 설정에서 라우터는 현재 라우팅 경로를 기반으로 방화벽으로 패킷을 전송하며, 이로 인해 비대칭 트래픽 흐름이 발생할 수 있습니다
비대칭 플로우를 처리하기 위해 멀티노드 고가용성 설정은 ICD(Inter Chassis Datapath)라는 새로운 링크를 활용합니다. ICD는 두 노드 간에 트래픽을 전달할 수 있습니다. 이를 통해 노드는 비대칭 트래픽 흐름을 원래 이러한 흐름에 대한 상태 저장 서비스 제공을 담당하는 피어 노드로 리디렉션할 수 있습니다.
이 구성 예시에 따라 멀티노드 고가용성을 설정하여 비대칭 플로우를 지원하고 디바이스에서 구성을 검증합니다.
가독성 점수 |
|
독서 시간 |
15분도 채 걸리지 않습니다. |
구성 시간 |
한 시간도 채 걸리지 않습니다. |
예제 사전 요구 사항
표 3 에는 구성을 지원하는 하드웨어 및 소프트웨어 구성 요소가 나열되어 있습니다.
지원되는 하드웨어 |
|
지원되는 소프트웨어 |
Junos OS 릴리스 23.4R1 |
라이선싱 요구 사항 |
멀티노드 고가용성을 구성하는 데 별도의 라이선스가 필요하지 않습니다. 라이선스는 각 SRX 시리즈마다 고유하며 멀티노드 고가용성 설정의 노드 간에 공유할 수 없습니다. 따라서 두 노드에서 동일한 라이선스를 사용해야 합니다. |
이 예에서는 업스트림 및 다운스트림 라우터로 Junos OS 릴리스 23.4R1과 함께 지원되는 SRX 시리즈 방화벽 2개와 주니퍼 네트웍스(R) MX960 유니버설 라우팅 플랫폼 2개를 사용했습니다.
시작하기 전에
혜택 |
멀티노드 고가용성의 SRX 시리즈 방화벽은 비대칭 플로우를 효율적으로 처리합니다. 이 프로세스는 이러한 패킷에 대한 상태 저장 서비스의 안정적이고 일관된 처리를 보장하여 전반적인 성능을 개선하고 네트워크의 패킷 손실과 불일치를 최소화합니다. |
자세히 알아보기 |
기능 개요
표 4 는 이 예에서 구축된 구성 요소를 간략하게 요약한 것입니다.
사용 기술 |
|
기본 확인 작업 |
|
토폴로지 그림
그림 3 은 이 예에서 사용된 토폴로지를 보여줍니다.
토폴로지에서 볼 수 있듯이 두 개의 SRX 시리즈 방화벽은 트러스트 측과 언트러스트 측에서 인접 라우터에 연결되어 BGP 인접 라우터를 형성합니다.
암호화된 논리적 ICL(Interchassis Link)은 라우팅된 네트워크를 통해 노드를 연결합니다. 노드는 네트워크에서 라우팅 가능한 IP 주소(유동 IP 주소)를 사용하여 서로 통신합니다. 일반적으로 SRX 시리즈 방화벽에서 어그리게이션 이더넷(AE) 또는 수익 이더넷 포트를 사용하여 ICL 연결을 설정할 수 있습니다. 이 예에서는 ICL에 GE 포트를 사용했습니다. 또한 최대한의 세그멘테이션을 보장하기 위해 ICL 경로에 대한 라우팅 인스턴스를 구성했습니다.
두 개의 물리적 링크(ICD)가 두 개의 SRX 시리즈 방화벽을 연결합니다. 두 노드의 물리적 인터페이스가 MNHA ICD 연결을 형성하고 있습니다. 이 예에서는 두 개의 전용 수익 인터페이스를 사용하여 ICD를 구성합니다.
루프백 인터페이스는 SRX 시리즈 및 라우터에서 IP 주소를 호스트하는 데 사용됩니다.
일반적인 고가용성 구축에서는 네트워크의 노스바운드 및 사우스바운드 쪽에 여러 개의 라우터와 스위치가 있습니다. 이 예에서는 SRX 시리즈 방화벽의 양쪽에 있는 두 개의 라우터를 사용합니다.
토폴로지 개요
이 예시에서는 SRX 시리즈 방화벽 간에 고가용성을 설정하고 비대칭 라우팅 지원을 처리하기 위한 지원을 제공하기 위한 ICD(섀시 간 데이터 경로)를 설정합니다.
일반적인 고가용성 구축에서는 네트워크의 노스바운드 및 사우스바운드 쪽에 여러 개의 라우터와 스위치가 있습니다. 이 예에서는 SRX 시리즈 방화벽의 양쪽에 있는 두 개의 라우터를 사용합니다.
표 5 와 표 6 은 이 예에서 사용되는 인터페이스 구성에 대한 세부 정보를 보여줍니다.
디바이스 | 인터페이스 | 영역 | IP 주소 | 구성 대상 |
---|---|---|---|---|
SRX-01 시리즈 | 로0 | 신뢰 | 10.1.100.1/32 | ICD 링크를 통해 데이터 패킷을 전달하는 데 사용되는 로컬 전달 주소입니다. |
ge-0/0/2 | ICL-존 | 10.22.0.1/24 | ICL(Interchassis Link) | |
ge-0/0/1 및 ge-0/0/0 | 신뢰 |
|
두 개의 SRX 시리즈 방화벽을 연결하는 섀시 간 데이터 링크 | |
ge-0/0/4 | 불신(Untrust) | 10.4.0.1/24 | R2 라우터에 연결 | |
ge-0/0/3 | 신뢰 | 10.2.0.2/24 | R1 라우터에 연결 | |
SRX-02 시리즈 | 로0 | 신뢰 | 10.1.200.1/32 | ICD 링크를 통해 데이터 패킷을 전달하는 데 사용되는 로컬 전달 주소입니다. |
ge-0/0/2 | ICL 영역 | 10.22.0.2/24 | ICL(Interchassis Link) | |
|
신뢰 |
|
섀시 간 데이터 링크(ICD) | |
ge-0/0/3 | 신뢰 | 10.3.0.2/24 | R1 라우터에 연결 | |
ge-0/0/4 | 불신(Untrust) | 10.5.0.1/24 | R2 라우터에 연결 |
라우팅 디바이스의 인터페이스 및 IP 주소 구성
에 대해 구성된 | 디바이스 | 인터페이스 | IP 주소 |
---|---|---|---|
R2 | 로0 | 10.111.0.2/32 | R2의 루프백 인터페이스 주소 |
ge-0/0/0 | 10.4.0.2/24 | SRX-02에 연결 | |
ge-0/0/1 | 10.5.0.2/24 | SRX-01에 연결 | |
ge-0/0/2 | 10.6.0.1/24 | 외부 네트워크에 연결 | |
R1 | 로0 | 10.111.0.1/32 | R1의 루프백 인터페이스 주소 |
ge-0/0/0 | 10.2.0.1/24 | SRX-01에 연결 | |
ge-0/0/1 | 10.3.0.1/24 | SRX-02에 연결 | |
ge-0/0/2 | 10.1.0.1/24 | 내부 네트워크에 연결 |
구성
Junos IKE 패키지는 멀티노드 고가용성 구성을 위해 SRX 시리즈 방화벽에 필요합니다. 이 패키지는 SRX 시리즈 방화벽에서 기본 패키지 또는 옵션 패키지로 사용할 수 있습니다. 자세한 내용은 Junos IKE 패키지 지원을 참조하십시오.
패키지가 SRX 시리즈 방화벽에 기본적으로 설치되지 않는 경우 request system software add optional://junos-ike.tgz 사용하여 설치합니다. ICL 암호화에 이 단계가 필요합니다.
확인
다음 show 명령을 사용하여 이 예의 기능을 확인합니다.
명령 | 확인 작업 |
---|---|
섀시 고가용성 정보 표시 | 상태를 포함한 멀티노드 고가용성 세부 정보를 표시합니다. |
섀시 고가용성 데이터 플레인 통계 표시 |
ICD 데이터 패킷 통계를 표시합니다. |
멀티노드 고가용성 세부 정보 확인
목적
보안 디바이스에 구성된 멀티노드 고가용성 설정의 세부 정보를 보고 확인합니다.
작업
운영 모드에서 다음 명령을 실행합니다.
SRX-01 시리즈
user@srx-01> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.22.0.1 Local Forwarding IP: 10.1.100.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Configured BFD Detection Time: 5 * 400ms Cold Sync Status: COMPLETE Peer Forwarding IP: 10.1.200.1 Interface: lo0.0 Peer ICD Conn State: UP Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: INELIGIBLE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: N/A System Integrity Check: COMPLETE Failure Events: [ IP ] Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
SRX-02 시리즈
user@srx-02> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.22.0.2 Local Forwarding IP: 10.1.200.1 HA Peer Information: Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Configured BFD Detection Time: 5 * 400ms Cold Sync Status: COMPLETE Peer Forwarding IP: 10.1.100.1 Interface: lo0.0 Peer ICD Conn State: UP Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: ACTIVE Activeness Priority: 1 Preemption: DISABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : INELIGIBLE Health Status: UNHEALTHY Failover Readiness: NOT READY
의미
명령 출력에서 다음 세부 정보를 확인합니다.
-
로컬 노드 및 피어 노드 세부 정보(예: IP 주소 및 ID).
-
필드는
Peer ICD Conn State: UP
ICD 링크가 설정되어 작동 중임을 나타냅니다.
ICD 데이터 패킷 통계 확인
목적
ICD가 작동하고 노드 간의 데이터 패킷 전송을 용이하게 하는지 확인합니다.
작업
운영 모드에서 다음 명령을 실행합니다.
user@srx-01> show chassis high-availability data-plane statistics Services Synchronized: Service name RTOs sent RTOs received Translation context 0 0 Incoming NAT 0 0 Resource manager 0 0 DS-LITE create 0 0 Session create 0 0 IPv6 session create 0 0 IPv4/6 session RTO ACK 0 0 Session close 0 0 IPv6 session close 0 0 Session change 0 0 IPv6 session change 0 0 ALG Support Library 0 0 Gate create 0 0 Session ageout refresh requests 0 0 IPv6 session ageout refresh requests 0 0 Session ageout refresh replies 0 0 IPv6 session ageout refresh replies 0 0 IPSec VPN 0 0 Firewall user authentication 0 0 MGCP ALG 0 0 H323 ALG 0 0 SIP ALG 0 0 SCCP ALG 0 0 PPTP ALG 0 0 JSF PPTP ALG 0 0 RPC ALG 0 0 RTSP ALG 0 0 RAS ALG 0 0 MAC address learning 0 0 GPRS GTP 0 0 GPRS SCTP 0 0 GPRS FRAMEWORK 0 0 JSF RTSP ALG 0 0 JSF SUNRPC MAP 0 0 JSF MSRPC MAP 0 0 DS-LITE delete 0 0 JSF SLB 0 0 APPID 0 0 JSF MGCP MAP 0 0 JSF H323 ALG 0 0 JSF RAS ALG 0 0 JSF SCCP MAP 0 0 JSF SIP MAP 0 0 PST_NAT_CREATE 0 0 PST_NAT_CLOSE 0 0 PST_NAT_UPDATE 0 0 JSF TCP STACK 0 0 JSF IKE ALG 0 0 Packet stats Pkts sent Pkts received ICD Data 1035 1286
의미
필드는 ICD Data
ICD가 멀티노드 고가용성 설정에서 비대칭 트래픽 플로우를 라우팅하고 있음을 나타냅니다.
모든 장치에서 명령 설정
모든 장치에서 명령 출력을 설정합니다.
SRX-01(노드 1)
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.22.0.1 set chassis high-availability local-id local-forwarding-ip 10.1.100.1 set chassis high-availability peer-id 2 peer-ip 10.22.0.2 set chassis high-availability peer-id 2 interface ge-0/0/2.0 set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 2 peer-forwarding-ip 10.1.200.1 set chassis high-availability peer-id 2 peer-forwarding-ip interface lo0.0 set chassis high-availability peer-id 2 peer-forwarding-ip liveness-detection minimum-interval 1000 set chassis high-availability peer-id 2 peer-forwarding-ip liveness-detection multiplier 5 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 2 set chassis high-availability services-redundancy-group 1 deployment-type routing set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 activeness-probe dest-ip 10.111.0.1 set chassis high-availability services-redundancy-group 1 activeness-probe dest-ip src-ip 10.11.0.1 set chassis high-availability services-redundancy-group 1 monitor ip 10.10.10.1 set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.4.0.2 src-ip 10.4.0.1 set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.4.0.2 session-type singlehop set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.4.0.2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/1 set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security pki ca-profile Root-CA ca-identity Root-CA set security pki ca-profile Root-CA enrollment url http://10.157.69.204/certsrv/mscep/mscep.dll set security pki ca-profile Root-CA revocation-check disable set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust interfaces lo0.0 set security zones security-zone icl-zone host-inbound-traffic system-services ike set security zones security-zone icl-zone host-inbound-traffic system-services ping set security zones security-zone icl-zone host-inbound-traffic system-services high-availability set security zones security-zone icl-zone host-inbound-traffic system-services ssh set security zones security-zone icl-zone host-inbound-traffic protocols bfd set security zones security-zone icl-zone host-inbound-traffic protocols bgp set security zones security-zone icl-zone interfaces ge-0/0/2.0 set interfaces ge-0/0/0 description icd-1 set interfaces ge-0/0/0 unit 0 family inet address 10.100.100.2/24 set interfaces ge-0/0/1 description icd-2 set interfaces ge-0/0/1 unit 0 family inet address 10.200.200.2/24 set interfaces ge-0/0/2 description interchassis_link set interfaces ge-0/0/2 unit 0 family inet address 10.22.0.1/24 set interfaces ge-0/0/3 description trust set interfaces ge-0/0/3 unit 0 family inet address 10.2.0.2/24 set interfaces ge-0/0/4 description untrust set interfaces ge-0/0/4 unit 0 family inet address 10.4.0.1/24 set interfaces lo0 description trust set interfaces lo0 unit 0 family inet address 10.1.100.1/32 set policy-options policy-statement mnha-route-policy term 1 from protocol static set policy-options policy-statement mnha-route-policy term 1 from protocol direct set policy-options policy-statement mnha-route-policy term 1 from condition active_route_exists set policy-options policy-statement mnha-route-policy term 1 then metric 10 set policy-options policy-statement mnha-route-policy term 1 then accept set policy-options policy-statement mnha-route-policy term 2 from protocol static set policy-options policy-statement mnha-route-policy term 2 from protocol direct set policy-options policy-statement mnha-route-policy term 2 from condition backup_route_exists set policy-options policy-statement mnha-route-policy term 2 then metric 20 set policy-options policy-statement mnha-route-policy term 2 then accept set policy-options policy-statement mnha-route-policy term 3 from protocol static set policy-options policy-statement mnha-route-policy term 3 from protocol direct set policy-options policy-statement mnha-route-policy term 3 then metric 30 set policy-options policy-statement mnha-route-policy term 3 then accept set policy-options policy-statement mnha-route-policy term default then reject set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table inet.0 set protocols bgp group trust type internal set protocols bgp group trust local-address 10.2.0.2 set protocols bgp group trust export mnha-route-policy set protocols bgp group trust local-as 65000 set protocols bgp group trust bfd-liveness-detection minimum-interval 500 set protocols bgp group trust bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group trust bfd-liveness-detection multiplier 3 set protocols bgp group trust neighbor 10.2.0.1 set protocols bgp group untrust type internal set protocols bgp group untrust local-address 10.4.0.1 set protocols bgp group untrust export mnha-route-policy set protocols bgp group untrust local-as 65000 set protocols bgp group untrust bfd-liveness-detection minimum-interval 500 set protocols bgp group untrust bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group untrust bfd-liveness-detection multiplier 3 set protocols bgp group untrust neighbor 10.4.0.2 set routing-options autonomous-system 65000 set routing-options static route 10.1.0.0/24 next-hop 10.2.0.1 set routing-options static route 10.6.0.0/24 next-hop 10.4.0.2 set routing-options static route 10.111.0.1/32 next-hop 10.2.0.1 set routing-options static route 10.111.0.2/32 next-hop 10.4.0.2 set routing-options static route 10.1.200.1/32 next-hop 10.200.200.1 set routing-options static route 10.1.200.1/32 next-hop 10.100.100.1
SRX-02(노드 2)
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.22.0.2 set chassis high-availability local-id local-forwarding-ip 200.1.1.1 set chassis high-availability peer-id 1 peer-ip 10.22.0.1 set chassis high-availability peer-id 1 interface ge-0/0/2.0 set chassis high-availability peer-id 1 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 1 peer-forwarding-ip 100.1.1.1 set chassis high-availability peer-id 1 peer-forwarding-ip interface lo0.0 set chassis high-availability peer-id 1 peer-forwarding-ip liveness-detection minimum-interval 1000 set chassis high-availability peer-id 1 peer-forwarding-ip liveness-detection multiplier 5 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 1 set chassis high-availability services-redundancy-group 1 deployment-type routing set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 activeness-probe dest-ip 10.111.0.1 set chassis high-availability services-redundancy-group 1 activeness-probe dest-ip src-ip 10.11.0.1 set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.5.0.2 src-ip 10.5.0.1 set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.5.0.2 session-type singlehop set chassis high-availability services-redundancy-group 1 monitor bfd-liveliness 10.5.0.2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 set chassis high-availability services-redundancy-group 1 activeness-priority 1 set security pki ca-profile Root-CA ca-identity Root-CA set security pki ca-profile Root-CA enrollment url http://10.157.69.204/certsrv/mscep/mscep.dll set security pki ca-profile Root-CA revocation-check disable set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust interfaces lo0.0 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone icl-zone host-inbound-traffic system-services ike set security zones security-zone icl-zone host-inbound-traffic system-services ping set security zones security-zone icl-zone host-inbound-traffic system-services high-availability set security zones security-zone icl-zone host-inbound-traffic system-services ssh set security zones security-zone icl-zone host-inbound-traffic protocols bfd set security zones security-zone icl-zone host-inbound-traffic protocols bgp set security zones security-zone icl-zone interfaces ge-0/0/2.0 set interfaces ge-0/0/0 description icd-1 set interfaces ge-0/0/0 unit 0 family inet address 10.100.100.1/24 set interfaces ge-0/0/1 description icd-2 set interfaces ge-0/0/1 unit 0 family inet address 10.200.200.1/24 set interfaces ge-0/0/2 description interchassis_link set interfaces ge-0/0/2 unit 0 family inet address 10.22.0.2/24 set interfaces ge-0/0/3 description trust set interfaces ge-0/0/3 unit 0 family inet address 10.3.0.2/24 set interfaces ge-0/0/4 description untrust set interfaces ge-0/0/4 unit 0 family inet address 10.5.0.1/24 set interfaces lo0 description trust set interfaces lo0 unit 0 family inet address 10.1.200.1/32 set policy-options route-filter-list ipsec 10.6.0.0/16 orlonger set policy-options route-filter-list loopback 10.11.0.0/24 orlonger set policy-options policy-statement mnha-route-policy term 1 from protocol static set policy-options policy-statement mnha-route-policy term 1 from protocol direct set policy-options policy-statement mnha-route-policy term 1 from condition active_route_exists set policy-options policy-statement mnha-route-policy term 1 then metric 10 set policy-options policy-statement mnha-route-policy term 1 then accept set policy-options policy-statement mnha-route-policy term 2 from protocol static set policy-options policy-statement mnha-route-policy term 2 from protocol direct set policy-options policy-statement mnha-route-policy term 2 from condition backup_route_exists set policy-options policy-statement mnha-route-policy term 2 then metric 20 set policy-options policy-statement mnha-route-policy term 2 then accept set policy-options policy-statement mnha-route-policy term 3 from protocol static set policy-options policy-statement mnha-route-policy term 3 from protocol direct set policy-options policy-statement mnha-route-policy term 3 then metric 30 set policy-options policy-statement mnha-route-policy term 3 then accept set policy-options policy-statement mnha-route-policy term default then reject set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table inet.0 set protocols bgp group trust type internal set protocols bgp group trust local-address 10.3.0.2 set protocols bgp group trust export mnha-route-policy set protocols bgp group trust local-as 65000 set protocols bgp group trust bfd-liveness-detection minimum-interval 500 set protocols bgp group trust bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group trust bfd-liveness-detection multiplier 3 set protocols bgp group trust neighbor 10.3.0.1 set protocols bgp group untrust type internal set protocols bgp group untrust local-address 10.5.0.1 set protocols bgp group untrust export mnha-route-policy set protocols bgp group untrust local-as 65000 set protocols bgp group untrust bfd-liveness-detection minimum-interval 500 set protocols bgp group untrust bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group untrust bfd-liveness-detection multiplier 3 set protocols bgp group untrust neighbor 10.5.0.2 set routing-options autonomous-system 65000 set routing-options static route 10.1.0.0/24 next-hop 10.3.0.1 set routing-options static route 10.6.0.0/24 next-hop 10.5.0.2 set routing-options static route 10.111.0.1/32 next-hop 10.3.0.1 set routing-options static route 10.111.0.2/32 next-hop 10.5.0.2 set routing-options static route 10.1.100.1/32 next-hop 10.200.200.2 set routing-options static route 10.1.100.1/32 next-hop 10.100.100.2
라우터 -1
set interfaces ge-0/0/0 description ha set interfaces ge-0/0/0 unit 0 family inet address 10.2.0.1/24 set interfaces ge-0/0/1 description ha set interfaces ge-0/0/1 unit 0 family inet address 10.3.0.1/24 set interfaces ge-0/0/2 description lan set interfaces ge-0/0/2 unit 0 family inet address 10.1.0.1/24 set interfaces lo0 description loopback set interfaces lo0 unit 0 family inet address 10.111.0.1/32 primary set interfaces lo0 unit 0 family inet address 10.111.0.1/32 preferred set routing-options autonomous-system 65000 set protocols bgp group mnha_r0 type internal set protocols bgp group mnha_r0 local-address 10.2.0.1 set protocols bgp group mnha_r0 local-as 65000 set protocols bgp group mnha_r0 bfd-liveness-detection minimum-interval 500 set protocols bgp group mnha_r0 bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group mnha_r0 bfd-liveness-detection multiplier 3 set protocols bgp group mnha_r0 neighbor 10.2.0.2 set protocols bgp group mnha_r0_b type internal set protocols bgp group mnha_r0_b local-address 10.3.0.1 set protocols bgp group mnha_r0_b local-as 65000 set protocols bgp group mnha_r0_b bfd-liveness-detection minimum-interval 500 set protocols bgp group mnha_r0_b bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group mnha_r0_b bfd-liveness-detection multiplier 3 set protocols bgp group mnha_r0_b neighbor 10.3.0.2
라우터-2
set interfaces ge-0/0/0 description HA set interfaces ge-0/0/0 unit 0 family inet address 10.4.0.2/24 set interfaces ge-0/0/1 description HA set interfaces ge-0/0/1 unit 0 family inet address 10.5.0.2/24 set interfaces ge-0/0/2 description trust set interfaces ge-0/0/2 unit 0 family inet address 10.6.0.1/24 set interfaces lo0 description loopback set interfaces lo0 unit 0 family inet address 10.111.0.2/32 primary set interfaces lo0 unit 0 family inet address 10.111.0.2/32 preferred set routing-options autonomous-system 65000 set protocols bgp group mnha_r0 type internal set protocols bgp group mnha_r0 local-address 10.4.0.2 set protocols bgp group mnha_r0 local-as 65000 set protocols bgp group mnha_r0 bfd-liveness-detection minimum-interval 500 set protocols bgp group mnha_r0 bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group mnha_r0 bfd-liveness-detection multiplier 3 set protocols bgp group mnha_r0 neighbor 10.4.0.1 set protocols bgp group mnha_r0_b type internal set protocols bgp group mnha_r0_b local-address 10.5.0.2 set protocols bgp group mnha_r0_b local-as 65000 set protocols bgp group mnha_r0_b bfd-liveness-detection minimum-interval 500 set protocols bgp group mnha_r0_b bfd-liveness-detection minimum-receive-interval 500 set protocols bgp group mnha_r0_b bfd-liveness-detection multiplier 3 set protocols bgp group mnha_r0_b neighbor 10.5.0.1
구성 출력 표시
구성 모드에서 , , show security zones
및 show interfaces
를 입력하여 show high availability
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
SRX-01(노드 1)
user@srx-01# show chassis high-availability local-id { 1; local-ip 10.22.0.1; local-forwarding-ip 100.1.1.1; } peer-id 2 { peer-ip 10.22.0.2; interface ge-0/0/2.0; vpn-profile IPSEC_VPN_ICL; peer-forwarding-ip { 200.1.1.1; interface lo0.0; liveness-detection { minimum-interval 1000; multiplier 5; } } liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 0 { peer-id { 2; } } services-redundancy-group 1 { deployment-type routing; peer-id { 2; } activeness-probe { dest-ip { 10.111.0.1; src-ip 10.11.0.1; } } monitor { ip 10.10.10.1; bfd-liveliness 10.4.0.2 { src-ip 10.4.0.1; session-type singlehop; interface ge-0/0/4.0; } interface { ge-0/0/1; } } active-signal-route { 10.39.1.1; } backup-signal-route { 10.39.1.2; } preemption; activeness-priority 200; }
user@srx-01# show interfaces ge-0/0/0 { description icd-1; unit 0 { family inet { address 10.100.100.2/24; } } } ge-0/0/1 { description icd-2; unit 0 { family inet { address 10.200.200.2/24; } } } ge-0/0/2 { description interchassis_link; unit 0 { family inet { address 10.22.0.1/24; } } } ge-0/0/3 { description trust; unit 0 { family inet { address 10.2.0.2/24; } } } ge-0/0/4 { description untrust; unit 0 { family inet { address 10.4.0.1/24; } } } lo0 { description trust; unit 0 { family inet { address 10.1.100.1/32; } } }
user@srx-01# show security zones security-zone untrust { host-inbound-traffic { system-services { ike; ping; } protocols { bfd; bgp; } } interfaces { ge-0/0/4.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; ge-0/0/1.0; ge-0/0/0.0; lo0.0; } } security-zone icl-zone { host-inbound-traffic { system-services { ike; ping; high-availability; ssh; } protocols { bfd; bgp; } } interfaces { ge-0/0/2.0; } }
user@srx-01# show policy-options policy-statement mnha-route-policy { term 1 { from { protocol [ static direct ]; condition active_route_exists; } then { metric 10; accept; } } term 2 { from { protocol [ static direct ]; condition backup_route_exists; } then { metric 20; accept; } } term 3 { from protocol [ static direct ]; then { metric 30; accept; } } term default { then reject; } } condition active_route_exists { if-route-exists { address-family { inet { 10.39.1.1/32; table inet.0; } } } } condition backup_route_exists { if-route-exists { address-family { inet { 10.39.1.2/32; table inet.0; } } } }
user@srx-01# show routing-options autonomous-system 65000; static { route 10.1.0.0/24 next-hop 10.2.0.1; route 10.6.0.0/24 next-hop 10.4.0.2; route 10.111.0.1/32 next-hop 10.2.0.1; route 10.111.0.2/32 next-hop 10.4.0.2; route 10.1.200.1/32 next-hop [ 10.200.200.1 10.100.100.1 ]; }
SRX-02(노드 2)
user@srx-02# show chassis high-availability local-id { 2; local-ip 10.22.0.2; local-forwarding-ip 200.1.1.1; } peer-id 1 { peer-ip 10.22.0.1; interface ge-0/0/2.0; vpn-profile IPSEC_VPN_ICL; peer-forwarding-ip { 100.1.1.1; interface lo0.0; liveness-detection { minimum-interval 1000; multiplier 5; } } liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 0 { peer-id { 1; } } services-redundancy-group 1 { deployment-type routing; peer-id { 1; } activeness-probe { dest-ip { 10.111.0.1; src-ip 10.11.0.1; } } monitor { bfd-liveliness 10.5.0.2 { src-ip 10.5.0.1; session-type singlehop; interface ge-0/0/4.0; } } active-signal-route { 10.39.1.1; } backup-signal-route { 10.39.1.2; } activeness-priority 1; }
user@srx-02# show security zones security-zone untrust { host-inbound-traffic { system-services { ike; ping; } protocols { bfd; bgp; } } interfaces { ge-0/0/4.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; lo0.0; ge-0/0/1.0; ge-0/0/0.0; } } security-zone icl-zone { host-inbound-traffic { system-services { ike; ping; high-availability; ssh; } protocols { bfd; bgp; } } interfaces { ge-0/0/2.0; } }
user@srx-02# show interfaces ge-0/0/0 { description icd-1; unit 0 { family inet { address 10.100.100.1/24; } } } ge-0/0/1 { description icd-2; unit 0 { family inet { address 10.200.200.1/24; } } } ge-0/0/2 { description interchassis_link; unit 0 { family inet { address 10.22.0.2/24; } } } ge-0/0/3 { description trust; unit 0 { family inet { address 10.3.0.2/24; } } } ge-0/0/4 { description untrust; unit 0 { family inet { address 10.5.0.1/24; } } } lo0 { description trust; unit 0 { family inet { address 10.1.200.1/32; } } }
user@srx-02# show policy-options route-filter-list ipsec { 10.6.0.0/16 orlonger; } route-filter-list loopback { 10.11.0.0/24 orlonger; } policy-statement mnha-route-policy { term 1 { from { protocol [ static direct ]; condition active_route_exists; } then { metric 10; accept; } } term 2 { from { protocol [ static direct ]; condition backup_route_exists; } then { metric 20; accept; } } term 3 { from protocol [ static direct ]; then { metric 30; accept; } } term default { then reject; } } condition active_route_exists { if-route-exists { address-family { inet { 10.39.1.1/32; table inet.0; } } } } condition backup_route_exists { if-route-exists { address-family { inet { 10.39.1.2/32; table inet.0; } } } }
user@srx-02# show routing-options autonomous-system 65000; static { route 10.1.0.0/24 next-hop 10.3.0.1; route 10.6.0.0/24 next-hop 10.5.0.2; route 10.111.0.1/32 next-hop 10.3.0.1; route 10.111.0.2/32 next-hop 10.5.0.2; route 10.1.100.1/32 next-hop [ 10.200.200.2 10.100.100.2 ]; }