Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 가상 IP(VIP) LIF를 구성합니다

기여자
PDF

일부 차세대 데이터 센터에서는 여러 서브넷에서 LIF를 페일오버해야 하는 계층 3(IP) 네트워크 메커니즘을 사용합니다. ONTAP는 이러한 차세대 네트워크의 페일오버 요구사항을 충족하기 위해 VIP(가상 IP) 데이터 LIF와 관련 라우팅 프로토콜, BGP(Border Gateway Protocol)를 지원합니다.

이 작업에 대해

VIP 데이터 LIF는 서브넷의 일부가 아닌 LIF로, 동일한 IPspace에서 BGP LIF를 호스팅하는 모든 포트에서 연결할 수 있습니다. VIP 데이터 LIF는 개별 네트워크 인터페이스에 대한 호스트의 종속성을 제거합니다. 여러 개의 물리적 어댑터가 데이터 트래픽을 전달하므로 전체 로드가 단일 어댑터와 관련 서브넷에 집중되지 않습니다. VIP 데이터 LIF는 라우팅 프로토콜인 BGP(Border Gateway Protocol)를 통해 피어 라우터에 보급됩니다.

VIP 데이터 LIF는 다음과 같은 이점을 제공합니다.

  • 브로드캐스트 도메인 또는 서브넷 이상의 LIF 이동성: VIP 데이터 LIF는 BGP를 통해 각 VIP 데이터 LIF의 현재 위치를 공유함으로써 네트워크의 모든 서브넷에 페일오버할 수 있습니다.

  • 총 처리량: VIP 데이터 LIF는 여러 서브넷 또는 포트에서 데이터를 동시에 송수신할 수 있으므로 개별 포트의 대역폭을 초과하는 총 처리량을 지원할 수 있습니다.

BGP(Border Gateway Protocol) 설정

VIP LIF를 생성하기 전에 피어 라우터에 대한 VIP LIF의 존재를 알리는 데 사용되는 라우팅 프로토콜인 BGP를 설정해야 합니다.

ONTAP 9.9.1부터 VIP는 BGP 피어 그룹을 사용하여 기본 경로 자동화를 옵션으로 제공하여 구성을 간소화합니다.

ONTAP는 BGP 피어가 동일한 서브넷에 있을 때 BGP 피어를 다음 홉 라우터로 사용하여 기본 라우트를 학습할 수 있는 간단한 방법을 제공합니다. 이 기능을 사용하려면 '-use-peer-as-next-hop' 속성을 true로 설정합니다. 기본적으로 이 속성은 false 입니다.

정적 라우트가 구성된 경우 이러한 자동 기본 라우트보다 더 선호됩니다.

시작하기 전에

ASN(Autonomous System Number)이 구성된 BGP LIF에서 BGP 연결을 허용하도록 피어 라우터를 구성해야 합니다.

참고 ONTAP는 라우터에서 수신되는 라우트 알림을 처리하지 않으므로, 피어 라우터가 클러스터에 대한 라우트 업데이트를 보내지 않도록 구성해야 합니다. 이렇게 하면 피어와 통신하는 데 걸리는 시간이 단축되고 ONTAP 내의 내부 메모리 사용량이 줄어듭니다.
이 작업에 대해

BGP를 설정하려면 선택적으로 BGP 구성을 생성하고, BGP LIF를 생성하고, BGP 피어 그룹을 생성해야 합니다. ONTAP는 특정 노드에서 첫 번째 BGP 피어 그룹이 생성될 때 기본값으로 기본 BGP 구성을 자동으로 생성합니다.

BGP LIF는 피어 라우터를 사용하여 BGP TCP 세션을 설정하는 데 사용됩니다. 피어 라우터의 경우 BGP LIF는 VIP LIF에 도달하기 위한 다음 홉입니다. BGP LIF에서 페일오버가 비활성화되었습니다. BGP 피어 그룹은 피어 그룹이 사용하는 IPspace의 모든 SVM에 대한 VIP 경로를 알립니다. 피어 그룹에서 사용하는 IPspace는 BGP LIF에서 상속됩니다.

ONTAP 9.16.1부터는 BGP 피어 그룹에서 MD5 인증이 지원되어 BGP 세션을 보호합니다. MD5가 활성화되면 승인된 피어 사이에서만 BGP 세션을 설정 및 처리할 수 있으므로 권한이 없는 행위자에 의한 세션 중단을 방지할 수 있습니다.

network bgp peer-group modify 명령에 다음 필드가 network bgp peer-group create 추가되었습니다.

  • -md5-enabled <true/false>

  • -md5-secret <md5 secret in string or hex format>

이러한 매개 변수를 사용하면 보안을 강화하기 위해 MD5 서명을 사용하여 BGP 피어 그룹을 구성할 수 있습니다. MD5 인증 사용에 적용되는 요구 사항은 다음과 같습니다.

  • 매개 변수가 (으)로 설정된 true 경우에만 매개 변수를 -md5-enabled 지정할 수 -md5-secret 있습니다.

  • MD5 BGP 인증을 활성화하려면 IPsec을 전역적으로 활성화해야 합니다. BGP LIF는 활성 IPsec 구성을 가질 필요가 없습니다. 을 "유선 암호화를 통해 IP 보안(IPsec)을 구성합니다"참조하십시오.

  • NetApp는 ONTAP 컨트롤러에서 MD5를 구성하기 전에 라우터에 MD5를 구성하는 것이 좋습니다.

ONTAP 9.9.1부터 다음 필드가 추가되었습니다.

  • -asn 또는 -peer-asn (4바이트 값) 특성 자체는 새로운 것이 아니지만 4바이트 정수를 사용합니다.

  • -med

  • -use-peer-as-next-hop

경로 우선 순위 지정을 위해 MED(Multi-Exit Discriminator) 지원을 통해 고급 경로 선택을 수행할 수 있습니다. Med는 라우터에 트래픽에 가장 적합한 경로를 선택하도록 지시하는 BGP 업데이트 메시지의 선택적 속성입니다. MED는 부호 없는 32비트 정수(0-4294967295)이며 더 낮은 값을 사용하는 것이 좋습니다.

ONTAP 9.8부터 이러한 필드는 'network BGP peer-group' 명령에 추가되었습니다.

  • -asn-prepend-type

  • -asn-prepend-count

  • -community

이러한 BGP 특성을 사용하면 를 BGP 피어 그룹에 대한 경로 및 커뮤니티 속성으로 구성할 수 있습니다.

참고 ONTAP는 위의 BGP 속성을 지원하지만 라우터는 이를 인정할 필요가 없습니다. NetApp은 라우터에서 지원하는 속성을 확인하고 그에 따라 BGP 피어 그룹을 구성할 것을 적극 권장합니다. 자세한 내용은 라우터에서 제공한 BGP 설명서를 참조하십시오.
단계

  1. 고급 권한 레벨에 로그인합니다.

    세트 프리빌리지 고급

  2. 선택 사항: 다음 작업 중 하나를 수행하여 BGP 구성을 생성하거나 클러스터의 기본 BGP 구성을 수정합니다.

    1. BGP 구성 생성:

      network bgp config create -node {node_name | local} -asn <asn_number> -holdtime
<hold_time> -routerid <router_id>
      참고

      • -routerid 매개 변수는 AS 도메인 내에서만 고유해야 하는 점분리 십진수 32비트 값을 허용합니다. NetApp은 고유성을 보장하는 노드 관리 IP(v4) 주소를 사용할 것을 <router_id> 권장합니다.

      • ONTAP BGP는 32비트 ASN 숫자를 지원하지만 표준 10진수 표기법만 지원됩니다. 사설 ASN에 대해 4259840001 대신 65000.1과 같은 점선 ASN 표기법은 지원되지 않습니다.

      2바이트 ASN이 포함된 샘플:

      network bgp config create -node node1 -asn 65502 -holdtime 180 -routerid 1.1.1.1

      4바이트 ASN이 포함된 샘플:

    network bgp config create -node node1 -asn 85502 -holdtime 180 -routerid 1.1.1.1

    1. 기본 BGP 구성을 수정합니다.

      network bgp defaults modify -asn <asn_number> -holdtime <hold_time>
network bgp defaults modify -asn 65502 -holdtime 60

      • <asn_number> ASN 번호를 지정합니다. ONTAP 9.8부터 BGP의 ASN은 2바이트 비음수를 지원합니다. 16비트 숫자입니다(1 - 65534 사용 가능한 값). ONTAP 9.9.1부터 BGP용 ASN은 4바이트 비음의 정수(1 ~ 4294967295)를 지원합니다. 기본 ASN은 65501입니다. ASN 23456은 4바이트 ASN 기능을 발표하지 않는 피어와의 ONTAP 세션 설정을 위해 예약되어 있습니다.

      • <hold_time> 보류 시간을 초 단위로 지정합니다. 기본값은 180입니다.

        참고 ONTAP는 여러 IPspaces에 대해 BGP를 구성한 경우에도 하나의 글로벌, <hold_time><router_id><asn_number> 지원합니다. BGP와 모든 IP 라우팅 정보는 하나의 IPspace 내에서 완전히 격리된다. IPspace는 가상 라우팅 및 전달(VRF) 인스턴스와 같습니다.

  3. 시스템 SVM을 위한 BGP LIF 생성:

    기본 IPspace의 경우 SVM 이름은 클러스터 이름입니다. 추가 IPspace의 경우 SVM 이름은 IPspace 이름과 동일합니다.

    network interface create -vserver <system_svm> -lif <lif_name> -service-policy default-route-announce -home-node <home_node> -home-port <home_port> -address <ip_address> -netmask <netmask>

    BGP LIF에 대한 'default-route-공지' 서비스 정책 또는 "management-BGP" 서비스가 포함된 사용자 지정 서비스 정책을 사용할 수 있습니다.

    network interface create -vserver cluster1 -lif bgp1 -service-policy default-route-announce -home-node cluster1-01 -home-port e0c -address 10.10.10.100 -netmask 255.255.255.0

  4. 원격 피어 라우터로 BGP 세션을 설정하고 피어 라우터에 보급된 VIP 라우트 정보를 구성하는 데 사용되는 BGP 피어 그룹을 생성합니다.

    샘플 1: 자동 기본 경로 없이 피어 그룹을 생성합니다

    이 경우 관리자는 BGP 피어에 대한 정적 경로를 생성해야 합니다.

    network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}
    network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800

    샘플 2: 자동 기본 라우트가 있는 피어 그룹을 생성합니다

    network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-use-peer-as-next-hop true} {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}
    network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -use-peer-as-next-hop true -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800

    샘플 3: MD5가 활성화된 피어 그룹을 만듭니다

    1. IPsec 활성화:

      보안 IPsec config modify -is -enabled true

    2. MD5가 활성화된 BGP 피어 그룹을 생성합니다.

      network bgp peer-group create -ipspace Default -peer-group <group_name> -bgp-lif bgp_lif -peer-address <peer_router_ip_address> {-md5-enabled true} {-md5-secret <md5 secret in string or hex format>}

      16진수 키 사용 예:

      network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret 0x7465737420736563726574

      문자열 사용 예:

    network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret "test secret"
참고 BGP 피어 그룹을 생성한 후 명령을 실행하면 가상 이더넷 포트(v0a..v0z, v1a…​ 로 시작)가 network port show 나열됩니다. 이 인터페이스의 MTU는 항상 1500으로 보고됩니다. 트래픽에 사용되는 실제 MTU는 트래픽을 전송할 때 결정되는 물리적 포트(BGP LIF)에서 파생됩니다.

가상 IP(VIP) 데이터 LIF를 생성합니다

VIP 데이터 LIF는 라우팅 프로토콜인 BGP(Border Gateway Protocol)를 통해 피어 라우터에 보급됩니다.

시작하기 전에

  • BGP 피어 그룹을 설정하고 LIF를 생성할 SVM을 위한 BGP 세션을 활성화해야 합니다.

  • BGP LIF 서브넷의 BGP 라우터 또는 다른 라우터에 대한 정적 경로는 SVM의 나가는 VIP 트래픽을 위해 생성해야 합니다.

  • 나가는 VIP 트래픽이 사용 가능한 모든 경로를 활용할 수 있도록 다중 경로 라우팅을 켜야 합니다.

    다중 경로 라우팅이 활성화되지 않은 경우 나가는 모든 VIP 트래픽은 단일 인터페이스에서 이동합니다.

단계

  1. VIP 데이터 LIF 생성:

    network interface create -vserver <svm_name> -lif <lif_name> -role data -data-protocol
{nfs|cifs|iscsi|fcache|none|fc-nvme} -home-node <home_node> -address <ip_address> -is-vip true -failover-policy broadcast-domain-wide

    네트워크 인터페이스 생성 명령으로 홈 포트를 지정하지 않으면 VIP 포트가 자동으로 선택됩니다.

    기본적으로 VIP 데이터 LIF는 각 IPspace에 대해 'VIP'라는 시스템 생성 브로드캐스트 도메인에 속해 있습니다. VIP 브로드캐스트 도메인은 수정할 수 없습니다.

    VIP 데이터 LIF는 IPspace의 BGP LIF를 호스팅하는 모든 포트에서 동시에 연결할 수 있습니다. 로컬 노드에서 VIP의 SVM을 위한 활성 BGP 세션이 없는 경우, VIP 데이터 LIF는 해당 SVM을 위해 BGP 세션이 설정된 노드에서 다음 VIP 포트로 페일오버됩니다.

  2. BGP 세션이 VIP 데이터 LIF의 SVM에 대한 UP 상태인지 확인합니다.

    network bgp vserver-status show

Node        Vserver  bgp status
	    ----------  -------- ---------
	    node1       vs1      up

    노드의 SVM에 대해 BGP 상태가 'down'이면 VIP 데이터 LIF가 SVM에 대해 BGP 상태가 가동 중인 다른 노드로 페일오버됩니다. 모든 노드에서 BGP 상태가 '소유'인 경우 VIP 데이터 LIF는 어느 곳에서나 호스팅할 수 없으며 LIF 상태가 '다운'입니다.

BGP 관리를 위한 명령입니다

ONTAP 9.5부터 ONTAP에서 BGP 세션을 관리하기 위해 'network BGP' 명령어를 사용한다.

BGP 구성 관리

원하는 작업

이 명령 사용…​

BGP 구성을 생성합니다

network bgp config create

BGP 구성을 수정합니다

network bgp config modify

BGP 구성을 삭제합니다

network bgp config delete

BGP 구성을 표시합니다

network bgp config show

VIP LIF의 SVM에 대한 BGP 상태를 표시합니다

network bgp vserver-status show

BGP 기본값을 관리합니다

원하는 작업

이 명령 사용…​

BGP 기본값을 수정합니다

network bgp defaults modify

BGP 기본값을 표시합니다

network bgp defaults show

BGP 피어 그룹을 관리합니다

원하는 작업

이 명령 사용…​

BGP 피어 그룹을 생성합니다

network bgp peer-group create

BGP 피어 그룹을 수정합니다

network bgp peer-group modify

BGP 피어 그룹을 삭제합니다

network bgp peer-group delete

BGP 피어 그룹 정보를 표시합니다

network bgp peer-group show

BGP 피어 그룹의 이름을 바꿉니다

network bgp peer-group rename

MD5를 사용하여 BGP 피어 그룹을 관리합니다

ONTAP 9.16.1부터 기존 BGP 피어 그룹에서 MD5 인증을 사용하거나 사용하지 않도록 설정할 수 있습니다.

참고 기존 BGP 피어 그룹에서 MD5를 활성화 또는 비활성화하면 BGP 연결이 종료되고 MD5 구성 변경 사항을 적용하기 위해 다시 생성됩니다.

원하는 작업

이 명령 사용…​

기존 BGP 피어 그룹에서 MD5를 활성화합니다

network bgp peer-group modify -ipspace Default -peer-group <group_name> -bgp-lif <bgp_lif> -peer-address <peer_router_ip_address> -md5-enabled true -md5-secret <md5 secret in string or hex format>

기존 BGP 피어 그룹에서 MD5를 비활성화합니다

network bgp peer-group modify -ipspace Default -peer-group <group_name> -bgp-lif <bgp_lif> -md5-enabled false
관련 정보

"ONTAP 명령 참조입니다"