uvod · web view– alat koji se koristi za provjeravanje dostupnosti ip adrese. „pivot“ –...
TRANSCRIPT
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
TEHNIČKO VELEUČILIŠTE U ZAGREBU
POLITEHNIČKI SPECIJALISTIČKI DIPLOMSKI STRUČNI STUDIJ
Specijalizacija informatika
Robert Božić
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
DIPLOMSKI RAD br. I932
Zagreb, srpanj 2018.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
TEHNIČKO VELEUČILIŠTE U ZAGREBU
POLITEHNIČKI SPECIJALISTIČKI DIPLOMSKI STRUČNI STUDIJ
Specijalizacija informatika
Robert Božić
JMBAG: 0246019327
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
DIPLOMSKI RAD br. I932
Povjerenstvo:
dr.sc. Mladen Sokele, predsjednik __________________
mag.ing.inf. Tomislav Novak, član __________________
mr.sc. Dubravko Žigman, mentor __________________
Zagreb, srpanj 2018.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
SAŽETAK DIPLOMSKOG RADA
Diplomski rad je podijeljen u 7 poglavlja. U prvom poglavlju su opisani općeniti
pojmovi koji su temelji ovog rada i bez kojih je daljnje razumijevanje rada poprilično
teško. Opisana je visoka dostupnost, redundancija i prijenos instance u maksimalne
detalje s primjerima iz života. Drugo poglavlje se odnosi na iste pojmove povezane s
Cisco ASA vatrozidima i može se gledati kao uvod u glavna 3 poglavlja diplomskog
rada. Treće poglavlje opisuje „Active/Standby“ model rada Cisco ASA vatrozida,
njegova primjena, način spajanja uređaja i konfiguracija istih. Poglavlje broj 4 opisuje
„Active/Active“ model rada Cisco ASA vatrozida, te njegovu primjenu i konfiguraciju
na uređajima. Trenutno najpoželjniji model rada kod Cisco ASA vatrozida je ASA
“clustering” koji je opisan u petom poglavlju. Unutar poglavlja je detaljno opisana
svaka stavka potrebna za konfiguraciju ASA vatrozida u klasteru. Šesto poglavlje je
vezano za analizu tržišta te je dana usporedba s ostalim proizvođačima mrežne
opreme kod kojih su također visoka dostupnost i redundancija jako bitni faktori.
Zadnje poglavlje je završna riječ i smjer u kojem se kreću nove tehnologije po pitanju
sigurnosti mreža.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
SADRŽAJ
1. OPĆENITO O POJMOVIMA.........................................................................................................2
1.1 Visoka dostupnost..................................................................................................................2
1.1.1 Primjeri...............................................................................................................................2
1.1.2 Principi...............................................................................................................................3
1.2 Redundancija...........................................................................................................................4
1.2.1 Vrste redundancije..........................................................................................................5
1.2.2 Mane....................................................................................................................................6
1.3 Prijenos instance....................................................................................................................6
1.3.1 Hijerarhija prebacivanja instanca...............................................................................7
1.3.2 Primjeri kada organizacija treba prebacivanje instanca........................................8
1.3.3 Zahtjevi za prijenos instance........................................................................................8
1.3.4 Ključni zadaci mrežnog prebacivanja instanci.......................................................11
1.4 Što je vatrozid i što vatrozid radi?....................................................................................11
2. VISOKA DOSTUPNOST I REDUNDANCIJA NA ASA VATROZIDIMA..............................13
2.1 Način rada s aktivnom i rezervnom jedinicom kod ASA vatrozida...........................13
2.2 Način rada s dvije aktivne jedinice kod ASA vatrozida...............................................13
2.3 Asa klaster..............................................................................................................................14
3. Način rada s jednom aktivnom i jednom rezervnom jedinicom.......................................15
3.1 Općenito..................................................................................................................................15
3.1.1 Hardverske potrebe.......................................................................................................15
3.1.2 Softverske potrebe........................................................................................................15
3.2 Prebacivanje instanci i veze...............................................................................................16
3.3 Sučelje za vezu kod prebacivanje instanci.....................................................................16
3.4 Spajanje veze za prijenos instanci....................................................................................17
3.5 Izbjegavanje prekinutih prijenosa instanci i podatkovnih veza.................................17
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
3.6 Mac adrese i IP adrese kod prijenosa instanci..............................................................20
3.7 Vrste prijenosa instanci.......................................................................................................21
3.7.1 Prijenos instance s ponovnom uspostavom konekcija.......................................21
3.7.2 Prijenos instance bez ponovne uspostave konekcija...........................................21
3.8 Primarni i sekundarni statusi jedinica.............................................................................21
3.9 Događaji kod prijenosa instanci........................................................................................22
3.10 Konfiguriranje prijenosa instanci s jednom aktivnom i jednom rezervnom jedinicom.......................................................................................................................................23
3.11 Konfiguracija primarne jedinice......................................................................................23
3.12 Konfiguriranje sekundarne jedinice...............................................................................24
3.13 Provjera funkcionalnosti................................................................................................25
4. Način rada s dvije aktivne jedinice.........................................................................................26
4.1 Općenito..................................................................................................................................26
4.2 Preduvjeti za prijenos instanci..........................................................................................26
4.3 Primarni i sekundarni status jedinica..............................................................................27
4.4 Inicijalizacija uređaja i sinkronizacija konfiguracije.....................................................28
4.5 Replikacija komandi.............................................................................................................29
4.6 Okidači prijenosa instanci..................................................................................................29
4.7 Događaji kod prijenosa instanci........................................................................................30
4.8 Konfiguriranje prijenosa instanci......................................................................................31
4.8.1 Konfiguriranje primarne jedinice...............................................................................31
4.8.2 Konfiguriranje sekundarne jedinice..........................................................................33
4.9 Provjera funkcionalnosti.....................................................................................................34
5.ASA KLASTER..............................................................................................................................36
5.1 Općenito..................................................................................................................................36
5.2 Kako se asa klaster stavlja u mrežu?...............................................................................36
5.2.1 Faktor skaliranja performansa....................................................................................36
5.2.2 Asa hardverski i softverski zahtjevi..........................................................................37
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.3 Početna konfiguracija i inicijalizacija...............................................................................37
5.3.1 Glavne i sporedne uloge..............................................................................................37
5.3.2 Odabir glavne jedinice..................................................................................................37
5.4 Vrste asa klaster sučelja.....................................................................................................38
5.4.1 „Spanned etherchannel“.............................................................................................38
5.4.2. Individualno sučelje.....................................................................................................38
5.5 Kontrolna veza klastera.......................................................................................................39
5.5.1 Mreža kontrolne veze klastera....................................................................................39
5.5.2 Latencija i sigurnost kontrolne veze klastera........................................................40
5.5.3 Greške kod kontrolne veze klastera..........................................................................40
5.7 Visoka dostupnost s asa klasterom.................................................................................40
5.7.1 Nadgledanje sučelja......................................................................................................40
5.7.2 Kvar sučelja ili jedinice................................................................................................41
5.7.4 Replikacija stanja konekcija........................................................................................41
5.8 Asa klaster menadžment.....................................................................................................41
5.8.1 Menadžment sučelje.....................................................................................................42
5.9 Metode optimalnog balansiranja opterećenja prometa...............................................43
5.9.1 Grupirana sučelja..........................................................................................................43
5.9.2 Upute za maksimalnu propusnost.............................................................................43
5.9.3 Redundancija kod grupiranih sučelja.......................................................................44
5.10 Kako asa klaster upravlja konekcijama?......................................................................44
5.10.1 Konekcijske role..........................................................................................................44
5.10.2 Jednostavni tok podataka.........................................................................................45
5.11 Konfiguriranje asa klastera..............................................................................................46
5.11.1 Koraci za konfiguraciju asa klastera.......................................................................46
5.11.2 Konfiguriranje klaster sučelja na svakoj jedinici.................................................46
5.11.3 Konfiguracija sučelja na glavnoj jedinici...............................................................47
5.11.4 Konfiguriranje individualnih sučelja.......................................................................47
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.11.5 Konfiguriranje grupiranih sučelja u klasteru........................................................49
5.11.6 Konfiguriranje inicijalnih postavki za glavnu jedinicu.......................................51
5.11.7 Konfiguriranje osnovnih postavki i paljenje klastera........................................52
5.11.8 Konfiguriranje sporedne jedinice............................................................................53
5.11.9 Konfiguriranje inicijalnih postavki za sporednu jedinicu.................................54
5.11.10 Konfiguriranje inicijalnih postavki i dodavanje u klaster................................55
5.12 Provjera funkcionalnosti................................................................................................57
6.ANALIZA TRŽIŠTA.......................................................................................................................58
6.1 Juniper.....................................................................................................................................58
6.1.1 Uvjeti koji okidaju prijenos instanci..........................................................................59
6.1.2 Načini rada visoke dostupnosti kod junipera.........................................................60
6.2 Checkpoint.............................................................................................................................63
6.2.1 Djeljenje opterećenja....................................................................................................63
6.2.2 Načini rada.....................................................................................................................64
6.3 Palo alto..................................................................................................................................68
7. ZAKLJUČAK.................................................................................................................................70
8.CITIRANA LITERATURA.............................................................................................................72
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Popis oznaka i kratica
„A/A“ – „Active/Active“ – Način rada uređaja s kojim je omogućena redundancija i visoka dostupnost, pri kojemu svi uređaji sudjeluju u prosljeđivanju mrežnog prometa.
„A/S“ – „Active/Standby“ – Način rada uređaja s kojim je omogućena redundancija i visoka dostupnost, pri kojoj jedan uređaj aktivno prosljeđuje promet, a drugi su u stanju pripravnosti, te počinju s radom ako uređaj koji prosljeđuje promet postane nedostupan.
„Active Directory“ - Baza podataka koja vodi evidenciju o svim objektima u sustavu, radi se o korisnicima, računalima, sigurnosnim grupama, servisima i vezana je za Microsoft operativne sustave.
„Admin“ kontekst – U načinu rada s višestrukim sigurnosnim kontekstima, „Admin“ je kontekst koji uvijek mora postojati.
„AnyConnect“ – Softver u vlasništvu Cisco-a za automatsko spajanje i odbacivanje VPN sesija.
„ARP“ – „Address Resolution Protocol“ – Protokol koji se koristi za mapiranje IP i MAC adresa.
„ASA“ – „Adaptive Security Appliance“ – Vatrozid od Cisco proizvođača mrežne opreme.
„Bootstrap“ – Program koji pokreće inicijalizaciju osnovnih softvera uređaja.
„Bridge“ grupa – Grupa u koju se postavljaju sučelja u transparentnom načinu rada vatrozida.
„Broadcast“ – Pojam koji je povezan s vrstom paketa, broadcast paketi su paketi koji su slani svim uređajima na mreži.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
„Chassis cluster“ – Način rada kod Juniper vatrozida kod kojega se jedan ponaša kao primarni uređaj, a jedan kao rezervni.
„Check-details“ – Opcija kod komande korištene kod ASA u clusteru za prikaz ne kompatibilnosti konfiguracije.
„Cluster Control Link“ – Veza između ASA koja se koristi za održavanje clustera.
„Cluster control protocol“ – Protokol koji je korišten za održavanje komunikacije i sinkronizaciju kod Checkpoint uređaja.
klaster – Grupa ili skupina uređaja koji se ponašaju kao jedna logička cjelina.
„Clustering“ – Grupiranje uređaja u zajedničku cjelinu.
„ClusterXL“ – Softverski bazirana opcija visoke dostupnosti kod Checkpoint proizvođača mrežne opreme.
„Cold standby“ – Pojam koji se koristi kod failover terminologije kada se prebacivanje instance odrađuje ručno.
„Copy running-config startup-config“ - Komanda koja se koristi za spremanje konfiguracije na ASA-ma u „flash“ memoriju.
„Crossover“ – Vrsta mrežnog kabla koja se koristi za spajanje uređaja iste namjene. (Usmjernik – Usmjernik)
„DHCP“ – „Dynamic Host Configuration Protocol“ – Protokol koji se koristi za automatsko dodjeljivanje IP adresa.
„Disaster recovery site“ – Rezervna opcija za pokretanje produkcije na rezervnoj lokaciji koja se osposobi u slučaju katastrofe na primarnoj lokaciji.
„DNS“ – „Domain Name System“ – Protokol koji se koristi za mapiranje IP adresa s domenskim imenima.
„Em0“ – Naziv sučelja kod Juniper vatrozida.
„Equal-Cost Multi-Path routing“ – Usmjernici pružaju balansiranje opterećenja prometa između jedinica koristeći statičke i dinamičke rute jednakih vrijednosti.
„EtherChannel“ – Grupiranje fizičkih sučelja koji djeluju kao zajednička logička cjelina.
„Ethernet“ – Mrežna tehnologija za lokalne mreže.
„Fabric“ portovi – Sučelja koja su korištena za održavanje komunikacije između 2 Juniper vatrozida.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
„Failover active group“ - Komanda koja se koristi na ASA-ma u failover režimu rada za postavljanje redundantne grupe u aktivni režim rada.
„Failover active“ – Komanda koja se koristi na ASA-ma u failover režimu rada za postavljanje instance da postane aktivna.
„Failover“ – Prebacivanje na rezervnu instancu u slučaju greške ili kvara na aktivnoj opremi.
„Flash“ memorija – Memorija mrežnog uređaja u koju se sprema konfiguracija i operativni sustav.
„Force“ – Opcija kod komande korištene kod ASA u clusteru za mijenjanje načina rada bez provjere konfiguracije za ne kompatibilne postavke.
„FTP“ – „File Transfer Protocol“ – Protokol koji se koristi za prebacivanje dokumenata između uređaja na mreži.
„Gbps“ – „Gigabits per second“ – Mjera brzine mrežnog prometa.
„GigabitEthernet“ – Sučelje koje je operativno na brzini gigabit po sekundi.
„Hash“ algoritam – Funkcija koja se koristi za sažimanje i identificiranje podataka.
„Health monitoring“ – Svojstvo ASA uređaja u clusteru za nadgledanje stanja jedinica u clusteru.
„Heartbeat“ – Pojam koji se koristi u IT terminologiji kada se opisuje održavanje veze između dva povezana uređaja u visoko dostupnim i redundantnim okruženjima.
„High Availability“ – Visoka dostupnost.
„Hot standby“ – Pojam koji se koristi kod failover terminologije kada se prebacivanje instance izvršava automatski, bez ljudske intervencije.
„ICMP“ – „Internet Control Message Protocol“ – Komunikacijski protokol koji se koristi kod mrežnih uređaja za slanje kontrolnih poruka.
„IP“ – „Internet Protocol“.
„IPsec“ – Sigurnosni mrežni protokol za IPv4 koji autenticira i kriptira pakete koji su slani putem mreže.
„JunosOS“ – Operativni sustav kojega koriste Juniper uređaji.
„LACP“ - „Link Aggregation Control Protocol“ - Način rada kod “EtherChannel”
„LAN“ – „Local Area Network“ – Lokalna mreža.
„Load Balancing“ – Balansiranje opterećenja mrežnog prometa.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
„Local sharing multicast“ – Način rada Checkpoint uređaja kod kojega su svi članovi aktivni.
„Local sharing unicast“ – Način rada Checkpoint uređaja kod kojega samo jedan član clustera preuzima pakete i prosljeđuje ih ostalim članovima clustera.
„MAC“ – „Media access control“ – Pojam koji se veže u serijske fizičke adrese uređaja.
„Master routing engine“ – Pojam koji se koristi za predstavljanje glavne jedinice kod Juniper proizvođača kod uređaja koji rade u “failover” režimu rada.
„Master“ – Pojam koji se koristi kod ASA clusteringa i označava glavnu aktivnu jedinicu.
„MDI/MDIX“ – „Medium-dependent interface“/“MDI crossover“ – Tipovi spajanja bakrene žice u parice.
„Mean Time Between Failures“ – Srednje vrijeme pojavljivanja kvarova.
„MPLS“ – „Multiprotocol Label Switching“ – Protokol koji se koristi za usmjeravanje mrežnog prometa.
„Multicast“ – Pojam koji se veže za komunikaciju grupe, gdje je podatkovna transmisija adresirana na grupu uređaja.
„NAT“ – „Network address translation“ – Protokol koji se koristi za translaciju IP adresa.
„New High Availability“ – Način rada kod Checkpoint uređaja kod kojih je samo jedan član clustera aktivan, dok su ostali u rezervi i postanu operativni ako aktivni postane nedostupan.
„Next Generation Firewall“ – Nova generacija vatrozida koji su operativni na aplikacijskom sloju OSI modela.
„No failover active group“ - Komanda koja se koristi na ASA-ma u failover režimu rada za postavljanje redundantne grupe u rezervni režim rada.
„No failover active“ – Komanda koja se koristi na ASA-ma u failover režimu rada za prebacivanje aktivne instance da postane rezervna.
„Normal Accident“ – Knjiga autora Charles Perrow-a u kojoj su opisane mane i ne pouzdanosti redundancije.
„OSI model“ – Model koji se koristi za opis arhitekture mreže.
„Packet forwarding engine“ – Pojam arhitekture mreže kod Juniper proizvođača koji pruža preklapanje paketa na drugom i trećem sloju OSI modela.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
„Panorama“ – Centralizirani menadžment sustav Palo Alto vatrozida.
„Ping“ – Alat koji se koristi za provjeravanje dostupnosti IP adrese.
„Pivot“ – Član clustera kod Checkpoint uređaja koji je glavni aktivni član u načinu rada „Local sharing unicast“.
„Policy-based-routing“ – Usmjernici pružaju balansiranje opterećenja prometa između jedinica koristeći usmjerničke mape i pristupne liste.
„Port-channel“ – Drugi naziv za “EtherChannel” grupiranje fizičkih sučelja u logičku cjelinu.
„Preshared“ ključ – U kriptografiji se koristi kao dijeljena tajna odnosno niz znakova za autentikaciju i potvrđivanje korisnika na mreži.
„RADIUS“ – „Remote Authentication Dial-In User Service“ – Server koji se koristi za udaljenu autentikaciju i autorizaciju na uređajima.
„Redundant routing engine“ – Pojam koji se koristi kod Juniper usmjernika kada su dva usmjernika instalirana na istu usmjerničku platformu.
„Request chassis routing-engine“ – Komanda kod Junipera koja se koristi za mijenjanje aktivne instance na glavnoj jedinici u “failover” paru.
„Reth“ – Naziv sučelja kod Juniper vatrozida.
„Round trip time“ – Vrijeme koje je potrebno paketu da otputuje od izvorišta do destinacije i vrati se nazad.
„Routed“ – Način rada vatrozida u kojem se na sučelja konfiguriraju IP adrese.
„RSA“ ključ – U kriptografiji ime za algoritam šifre javnog ključa.
„Service Level Agreement“ – „SLA“ – Ugovor potpisan od strane pružatelja usluge i klijenta u svrhu pružanja kvalitete usluge.
„Single point of failure“ – Pojam koji se u IT terminologiji koristi kada na produkciji se koristi samo jedna fizička veza, odnosno gdje je situacija bez redundancije.
“slave” – Pojam koji se koristi kod ASA clusteringa i označava rezervnu aktivnu jedinicu.
„Spanned EtherChannel“ – Sučelja spojena u zajedničku cjelinu. Korišteno kada su uređaji u clusteru.
„SSH“ – „Secure Shell“ - Protokol korišten za udaljeni pristup opremi na siguran
način.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
„SSL“ – „Secure Socket Layer“ – Protokol koji se koristi za kriptiranu komunikaciju preko interneta.
„State Synchronization“ – Svojstvo kod Checkpoint uređaja koje se koristi za sinkronizaciju stanja na uređajima u clusteru.
„Stateful failover link“ – „State Link“ – veza korištena između jedinica za slučaj prebacivanja mrežnog prometa na rezervnu jedinicu.
„Stateful packet inspection“ – Dinamičko filtriranje paketa kod vatrozida.
„Straight“ – Vrsta mrežnog kabla koja se koristi za spajanje uređaja različite svrhe. (Usmjernik – Preklopnik)
„String“ – Niz znakova.
„Switchover“ – Prebacivanje na rezervnu instancu uz ljudsku intervenciju.
„SYN“ – Paket koji se koristi kod TCP protokola za uspostavu konekcije.
„SYN-ACK“ – Paket koji je odgovor na SYN paket.
„Syslog“ server – Server koji se koristi za spremanje poruka koje mu šalju mrežni uređaji u slučaju nekog događaja na mreži.
„TACACS“ – „Terminal Access Controller Access-Control System“ – Server koji se koristi za udaljenu autentikaciju i autorizaciju na uređajima.
„TCP“ – „Transmission Control Protocol“ – Transportni protokol koji garantira pouzdanu isporuku podataka u kontroliranom redoslijedu.
„Telnet“ – „Teletype Network“ – Protokol korišten za udaljeni pristup opremi na
nesiguran način.
„TFTP“ – „Trivial File Transfer Protocol“ - Protokol korišten za prijenos datoteka korištenjem UDP protokola.
„Transparent“ – Način rada vatrozida u kojem se sučelja pridružuju grupama s oznakama.
„UDP“ – „User Datagram Protocol“ – Transportni protokol koji omogućuje slanje kratkih poruka između aplikacija na umreženim uređajima.
„UPS“ – „Uninterruptible Power Supply“ – Neprekidni generator napajanja.
„Virtual MAC Adress Guard“ – Svojstvo koje se koristi za zadržavanje MAC adrese s aktivnom jedinicom.
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
„VLAN“ –„Virtual Local Area Network“ – Virtualna lokalna mreža.
„VOIP“ – „Voice over IP“ – Pojam koji se koristi u IT terminologiji kada se govori o prijenosu zvuka preko IP adresa.
„VPN“ – „Virtual Private Network“ – Virtualna privatna mreža
„WAN“ – „Wide Area Network“ – Mreža širokog područja.
„Warm standby“ – Pojam koji se koristi kod failover terminologije kada se prebacivanje instance radi poluautomatski, odnosno gdje je potrebna ljudska intervencija.
„Web hosting“ – Usluga zakupa prostora na internet poslužitelju.
„Write memory all“ – Komanda koja se koristi za spremanje konfiguracije na ASA-ma u „flash“ memoriju.
Popis slika
Slika 1 Način spajanja ASA vatrozida[9]....................................................................17
Slika 2 Način spajanja ASA vatrozida[9]....................................................................17
Slika 3 Način spajanja ASA vatrozida[9]....................................................................17
Slika 4 Način spajanja ASA vatrozida[9]....................................................................18
Slika 5 Način spajanja ASA vatrozida[9]....................................................................18
Slika 6 Način spajanja ASA vatrozida[9]....................................................................18
Slika 7 Izvršavanje komadni „show failover“ i „show failover state“ na primarnoj i
sekundarnoj jedinici u svrhu utvrđivanja „failover“ funkcionalnosti.............................24
Slika 8 Izvršavanje komandi „show failover“ na primarnoj i sekundarnoj jedinici u
svrhu provjere funkcionalnosti...................................................................................34
Slika 9 Tok podataka ASA “clustering” [12]...............................................................44
Slika 10 Izvršena naredba „show cluster info“ koja pokazuje osnovne detalje uređaja
koji su u klasteru........................................................................................................56
Slika 11 Prikaz spojenih Juniper vatrozida u „A/S“ modelu[13]..................................59
Slika 12 Prikaz spojenih Juniper vatrozida u „A/A“ modelu[13]..................................60
Popis tablica
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Tablica 1 Stanke u vremenu u odnosu sa dostupnosti..............................................9
Tablica 2 Prikaz događaja s greškom i reakcijama nakon greške kod „A/S“.............26
Tablica 3 Konfiguracija primarne jedinice za „A/S failover“........................................27
Tablica 4 Prikaz događaja s greškom i reakcijama nakon greške kod „A/A“ ............33
Tablica 5 Konfiguriranje primarne jedinice kod „A/A“ ................................................35
Tablica 6 Konfiguracija sekundarne jedinice kod „A/A“ .............................................35
Tablica 7 Konfiguriranje klaster sučelja.....................................................................47
Tablica 8 Konfiguriranje individualnih sučelja............................................................49
Tablica 9 Konfiguriranje „spanned etherchannel“ .....................................................51
Tablica 10 Konfiguriranje „bootstrap“ postavki za “master” jedinicu sa individualnim
sučeljem.....................................................................................................................52
Tablica 11 Konfiguriranje „bootstrap“ postavki za “master” jedinicu “EtherChannel”. 52
Tablica 12 Konfiguriranje osnovnih „bootstrap“ postavki i paljenje “clusteringa“ ......53
Tablica 13 Konfiguriranje „bootstrap“ postavki za “slave” jedinicu............................55
Tablica 14 Konfiguracija “EtherChannel” sučelja.......................................................55
Tablica 15 Konfiguriranje „bootstrap“ postavki i dodavanje u klaster.........................57
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
UVOD
Diplomski rad je pisan da se maksimalno pokuša čitaču objasniti važnost i svrha
visoke dostupnosti i redundancije. Visoka dostupnost i redundancija su danas
osnovna svojstva svake distribucijske mreže. Svaka ozbiljnija mreža u današnje
vrijeme si ne može dopustiti ispade u produkciji i zahtjeva 24 satni rad svojih servisa.
Svojstva visoke dostupnosti i redundancije ne garantiraju 100 postotnu sigurnost bez
ispada, ali pomažu u povećavanju dostupnosti servisa i mrežne opreme. Navedena
svojstva će najveći izazov dati dizajnerima i arhitektima mreža. Njihova
implementacija u mnogim situacijama nije jednostavna i potrebita je detaljna analiza
sustava u kojega se žele implementirati. Prilikom pisanja rada je zbog jednostavnosti
razumijevanja korišteno dosta izvedenica koje su poprilično teško prevodljive.
Korišteni su izrazi iz stručne prakse, te sve reference su direktno sa stranica
proizvođača opreme. Iz iskustva mogu reći kako je u današnje vrijeme nemoguće
odrađivati nadogradnje sustava i testiranja na mrežnoj opremi i servisima bez visoke
dostupnosti i redundancije. Smatram kako su ta svojstva jedni od najbitnijih detalja
svake mreže.
1
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
1. OPĆENITO O POJMOVIMA1.1 Visoka dostupnost
Visoka dostupnost je svojstvo koje pruža redundanciju i toleranciju kvarova. Ona je
broj spojenih uređaja koji procesuiraju i pružaju servise. Njezin cilj je osigurati da isti
servisi budu stalno dostupni čak i ako se dogodi kvar. Visoka dostupnost odnosi se
na sisteme koji su trajni i pogodni da funkcioniraju neprekidno bez ispada na duže
vrijeme. Termin podrazumijeva da su dijelovi sistema potpuno testirani u različitim
slučajevima, te da postoje usluge pri slučajevima ispada ili kvara u formama
redundantnih komponentni. [1]
Mnoge analize visoke dostupnosti u sistemima uključuju traženje najslabije veze,
bilo da je to specifični dio hardvera ili element u sistemu. Neke specifične metrike od
proizvođača su korisne za određivanje koliko dugo će neki dio hardvera izvršavati
svoje dužnosti u posebnim sistemima. Jedna od metrika korištena kod inženjera je
„Mean Time Between Failures“ (MTBF). [1]
Visoka dostupnost je karakteristika sistema koji cilja da osigura dogovoreni nivo
operativnih performansi obično u svrhu produženja rada sistema.[1]
1.1.1 Primjeri
Bolnice i podatkovni centri zahtijevaju visoku dostupnost svojih sustava da pružaju
rutinirane dnevne aktivnosti. Dostupnost se odnosi na mogućnost da korisnikova
zajednica dobiva servis, pristupa sustavu, potvrdi novi radni zadatak, ažurira ili
mijenja postojeći radni zadatak ili pokupi rezultate prijašnjeg zadatka. Ako korisnik ne
može pristupiti sustavu, s korisnikove točke gledišta sustav je nedostupan.
Kompanija poput Amazona koja prodaje artikle kroz svoje „web“ stranice zahtjeva
da njihova stranica bude stalno dostupna. Kako bi osigurali takav scenarij oni imaju
broj servera posloženih u grupu(klaster), tako da ako se dogodi da jedan od servera
doživi kvar ostali će nastaviti procesuirati i preuzeti opterećenje procesuiranja
servera koji se pokvario. Isto tako će pružiti broj rezervnih internetskih konekcija od
različitih pružatelja usluga. S time bi se dobila povezanost u slučaju gubitka
2
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
povezanosti jednog od pružatelja usluga jer bi drugi pružatelj usluga mogao preuzeti
zadaću ostvarivanja dostupnosti „web“ stranice. Oni će imati odvojene dovode
napajanja u svojim podatkovnim centrima da ako dođe do greške u prijenosu struje
da mogu imati rezervno izvorište napajanja koje održava kritične resurse upogonjene
i da produkcija nastavi s normalnim radom dok se problem ne riješi. Isto tako će imati
rezervni podatkovni centar na drugoj lokaciji („disaster recovery site“), ako dođe do
katastrofe na primarnoj stranici poput potresa da rezervna stranica može biti
iskorištena. Sve navedene preventivne mjere bi osigurale da njihova „web“ stranica
ostane uvijek dostupna na internetu i tako se ostvaruje razina visoke dostupnosti. [2]
Kod vatrozida i drugih sličnih uređaja visoka dostupnost je svojstvo odnosno
mehanizam koji održava da stanja uređaja budu sinkronizirana jedni s drugima kao i
da budu sposobni detektirati kvar i da ako se kvar dogodi aktivni uređaji znaju za to
stanje i da su sposobni preuzeti obrađivanje opterećenja od uređaja na kojem je
detektirana greška. Visoka dostupnost efektivno omogućuje dva ili više vatrozida da
se svaki od njih ponaša kao rezerva drugim vatrozidima. Svojstvo visoke dostupnosti
na svakom vatrozidu će biti opremljeno tako da detektira kvarove na različite načine
kako bi ako dođe do kvara instantno napravili “failover” (prebacivanje opterećenja
uređaja koji je u kvaru na drugi uređaj koji mu služi kao rezerva).[2]
1.1.2 Principi
Postoje tri principa sistemskog dizajna u pouzdanom inženjerstvu koji mogu
pomoći u dostizanju visoke dostupnosti.[1]
1. Eliminacija „single point of failure“. To znači dodavanje redundancije sustavu
tako da ispad komponente ne znači ispad cijelog sustava.[1]
2. Pouzdano križanje. U redundantnim sustavima, križanje točke same sa sobom
teži postojanju „single point of failure“. Pouzdani sustavi moraju pružiti
pouzdano križanje.[1]
3. Detekcija grešaka kada se dogode. Ako su dva gornja principa promatrani,
onda korisnik nikada neće vidjeti ispad aktivnosti, dok održavanje takav slučaj
mora primijetiti.[1]
3
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Dostupnost je obično predstavljena kao postotak produženog rada u tekućoj
godini. Sljedeća tablica prikazuje stanke koje će biti dozvoljene sa specifičnim
postotkom dostupnosti, s pretpostavkom kako sustav zahtjeva neprekidan rad.
„Service level agreement“ ugovori često se odnose na mjesečne stanke u slučaju da
izračunaju servisne kredite koji se slažu s mjesečnim naplatnim ciklusima. [1]
Dostupnost % Stanke po godini Stanke po
mjesecuStanke po
tjednuStanke po
danu90% 36.5 dana 72 sata 16.8 sata 2.4 sati95% 18.25 dana 36 sata 8.4 sata 1.2 sati97% 10.96 dana 21.6 sata 5.04 sata 43.2 minuta98% 7.30 dana 14.4 sata 3.36 sata 28.8 minuta99% 3.65 dana 7.20 sata 1.68 sata 14.4 minuta
99.5% 1.83 dana 3.60 sata 50.4 minuta 7.2 minuta99.8% 17.52 sata 86.23 minuta 20.16 minuta 2.88 minuta99.9% 8.76 sata 43.8 minuta 10.1 minuta 1.44 minuta
99.95% 4.38 sata 21.56 minuta 5.04 minuta 43.2 sekundi
99.99% 52.56 minuta 4.38 minuta 1.01 minuta 8.64 sekundi
99.995% 26.28 minuta 2.16 minuta 30.24 sekundi 4.32 sekundi
99.999% 5.26 minuta 25.9 sekundi 6.05 sekundi 864.3 milisekundi
99.9999% 31.5 sekundi 2.59 sekundi 604.8 milisekundi 86.4 milisekundi
99.99999% 3.15 sekundi 262.97 milisekundi
60.48 milisekundi 8.64 milisekundi
99.999999% 315.569 milisekundi
26.297 milisekundi
6.048 milisekundi
0.864 milisekundi
99.9999999% 31.5569 milisekundi
2.6297 milisekundi
0.6048 milisekundi
0.0864 milisekundi
Tablica 1 Stanke u vremenu u odnosu sa dostupnosti[1]
1.2 Redundancija
Mrežna redundancija je proces kroz kojeg dodatne ili alternativne instance mrežnih
uređaja, opreme i komunikacijskih medija su instalirane unutar mrežne infrastrukture.
4
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
To je metoda za osiguravanje mrežne dostupnosti u slučajevima da mrežni uređaj ili
put doživi kvar i nedostupnost. [3]
Mrežna redundancija je primarno implementirana u poduzetničke mrežne
infrastrukture da pruži redundantno izvorište u mrežnoj komunikaciji. Ona služi kao
rezervni mehanizam za brzo prebacivanje mrežnih operacija na redundantnu
infrastrukturu u ne planiranim događajima mrežnih ispada.[3]
Mrežna redundancija je ostvarena kroz dodatne alternativne mrežne puteve koji su
implementirani kroz redundantne rezervne usmjernike i preklopnike. Kada primarni
put postane nedostupan, alternativni put se može instantno razviti da se osigura
minimalna stanka i da se nastavi rad mrežnih servisa.[3]
U inženjerstvu redundancija je dupliciranje kritičnih komponenti ili funkcija sustava
s namjerom povećanja pouzdanosti sustava, obično u formi rezervnog sustava, ili da
se poboljšaju sistemske performanse.[4]
Strukture su obično dizajnirane s redundantnim dijelovima, osiguravajući da ako se
jedan pokvari da cijela struktura ne doživi kolaps. Struktura bez redundancije je
nazvana je rizična što znači da jedna slomljena komponenta može izazvati kolaps
cijele strukture. [4]
1.2.1 Vrste redundancije
Koriste se dvije vrste rada, a to su pasivna i aktivna redundancija.
Pasivna redundancija koristi višak kapaciteta da smanji utjecaj grešaka
komponenti. Jedna uobičajena forma pasivne redundancije je dodatna snaga
kabliranja i podupirači korišteni kod mostova. Ta dodatna snaga dozvoljava nekim
strukturalnim komponentama da padnu bez da most doživi katastrofu. Dodatna
snaga korištena u dizajnu je nazvana margina sigurnosti.[4]
Oči i uši pružaju primjere pasivne redundancije. Gubitak vida u jednom oku ne
prouzroči sljepoću, ali dubina percepcije je umanjena. Gubitak sluha na jedno uho ne
izaziva gluhoću ali, percepcija je umanjena. Propadanje performansi je često
povezano s pasivnom redundancijom kada se limitirani broj grešaka ili ispada dogodi.
[4]
5
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Aktivna redundancija eliminira propadanje performansi s monitoriranjem
performansi individualnih uređaja.[4]
Distribucija električne energije pruža primjer aktivne redundancije. Nekoliko
dalekovoda spaja svaki proizvodni pogon sa svojim klijentima. Kombinacija
dalekovoda pruža višak kapaciteta. Svaki dalekovod uključuje nadgledanje koje
detektira preopterećenje. Dalekovodi isto tako uključuju osigurače. Osigurači
isključuju dalekovode kada detektiraju preopterećenje. Struja je zatim redistribuirana
kroz preostale linije dalekovoda. Tako se dobilo prebacivanje instance bez gubitaka
što i predstavlja aktivnu redundanciju. [4]
1.2.2 Mane
Charles Perrow autor „Normal Accident“ knjige je rekao da ponekad redundancija
ima povratno paljenje i proizvodi manje i ne toliko pouzdano. Ovo se može dogoditi
na nekoliko načina:
1. Redundantni sigurnosni uređaji su operativni u kompleksnijim sistemima, što
znači da su više skloni greškama i nezgodama.[4]
2. Redundancija može voditi do zabušavanja odgovornosti radnika.[4]
3. Redundancija može voditi do povećanja produkcijskih pritisaka, rezultirajući
da sistem radi na većim brzinama, ali manje sigurno.[4]
1.3 Prijenos instance
U računalnim i povezanim tehnologijama poput umrežavanja, “failover” je
prebacivanje na redundantni ili rezervni računalni server, sistem, hardversku
komponentu ili mrežu ako dođe do ispada ili ne normalnog ponašanja od prijašnjeg
aktivnog servera, sistema, hardverske komponente ili mreže. Nadalje u tekstu će se
koristiti izvedenica “failover”. “failover” i “switchover” su u srži jednake operacije, osim
što je “failover” automatski i obično se izvršava bez upozorenja, dok “switchover”
zahtjeva ljudsku intervenciju.[5]
Sistemski dizajneri obično pružaju “failover” mogućnosti na serverima, sistemima ili
mrežama zahtijevajući gotovo kontinuiranu dostupnost i visok stupanj pouzdanosti.[5]
6
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Na serverskoj razini, “failover” automatizacija obično koristi „heartbeat“ sistem koji
povezuje dva servera. Dokle god postoji regularni “heartbeat” između glavnog
servera i drugog servera, drugi server se neće postaviti u radno stanje.[5]
Koristi se da bi sustav bio tolerantniji na ispade. “Failover” je tipično sastavni dio
sistema koji mora biti konstantno dostupan. Procedura uključuje automatsko
prebacivanje zadataka na rezervnu sistemsku komponentnu tako da je procedura
neprimjetna krajnjem korisniku i ista je osnova za kritične sustave. Glavna svrha
“failover” svojstva je da se eliminira ili barem smanji utjecaj na korisnike ako se
dogodi kvar na sustavu.[6]
Mnogi događaji mogu izazvati mrežni ili ispad servisa poput prirodnih katastrofa,
sigurnosnih napada, bagera koji presiječe optički kabel ili ispad mrežne
infrastrukture. Organizacije moraju planirati ili raspodijeliti buđet da implementiraju
odgovarajuću mrežnu infrastrukturu kako bi osigurali da njihovi podatkovni centri i
udaljeni uredi imaju zaštitu u predviđanju katastrofe. [7]
Tri kritična elementa zahtijevaju “failover” konfiguraciju : napajanje, mrežna
konekcija i serverski kapaciteti. [7]
U “failover” situaciji kod uređaja poput vatrozida, usmjernika , „WAN“ kontrolera ,
servera za balansiranje opterećenja, web servera i ostalih uređaja, podaci su
prebačeni na isti tip redundantne komponente kako bi se osigurao limitirani prekid
podatkovnih tokova i operacija. Ako primarna komponentna postane nedostupna jer
se dogodio prekid ili dogovorena stanka, sekundarna komponenta će služiti kao
rezerva i preuzeti će operacije.[7]
1.3.1 Hijerarhija prebacivanja instanca
Kada je hardver u „cold standby“ stanju “failover” se mora izvesti manualno što
iziskuje greške.[7]
Kod opcije gdje je hardver u „warm standby“ stanju rezervni sustav se pokreće u
pozadini, tako da se prebacivanje izvršava automatski. Podaci na oba sustava se
automatski sinkroniziraju. Korisniku je “failover” nalik na jako brzi automatski restart
7
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
servisa. Međutim trenutna transakcija može biti ugašena jer nije moguće da se
sinkroniziraju podaci prije ispada.[7]
Najpouzdaniji “failover” scenarij je „hot standby“ gdje oba sistema se trajno
pokreću u paraleli i podaci na oba sustava su 100 % sinkronizirani svo vrijeme.
Korisnici nisu svjesni nikakvih ispada. Da bi se oba sustava pokretala kompletno
sinkronizirano, konekcije do klijenata moraju biti zrcaljene 100%.[7]
Neka poduzeća implementiraju „hot failover” i „cold failover” za disaster recovery.
Bitno je razlikovati pojmove “failover” i „disaster recovery“. “failover” je termin koji
podrazumijeva nastavak sistemske dostupnosti u prihvaćenom periodu vremena, dok
„disaster recovery“ je termin da se povrati sistemska dostupnost kada su sve
“failover” strategije u ispadu.[7]
1.3.2 Primjeri kada organizacija treba prebacivanje instanca
Mali i srednje veliki poduzetnici trebaju unutarnje i vanjsko balansiranje
opterećenja prometa i “failover” servise za povećanje asortimana za kritični promet
poput zvuka, videa i maila. Recimo lokalni dućan koji radi bankarstvo putem mreže i
naplaćuje račune putem interneta, ili kompanija koja proizvodi treba mailove, web
servise i aplikacije dostupne cijelo vrijeme.[7]
Kompanije s centralnim sjedištem i podružničkim uredima za udaljene zaposlenike
trebaju sigurnu i pouzdanu podatkovnu komunikaciju. Trebaju pouzdane
performanse i visoku dostupnost svojih “VPN” podataka, uključujući mogućnost da se
„VPN“ konekcija automatski prebaci na drugu instancu ako “WAN” veza ispadne.[7]
„Web hosting“ kompanije i pružatelji usluga trebaju agregaciju veza i “failover”
kako bi osigurali pouzdanost svojih servisa s dodatnom propusnošću i redundancijom
dostupnom do njihovih servera. Njihove kritične aplikacije se moraju pokretati 24 sata
dnevno tijekom cijele godine. Ako “WAN” veza ispadne, “failover” proces mora biti
gladak i transparentan do korisnika.[7]
1.3.3 Zahtjevi za prijenos instance
8
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Korporativne i vladine mreže se sastoje od tri osnovna elementa. To su : „LAN“,
“WAN” i mrežna infrastruktura uređaja i servisa. „LAN“ pruža međusobnu povezanost
oko jedne organizacijske lokacije. “WAN” pruža međusobnu povezanost između tih
lokacija, drugih biznis partnera i pristup do javnih mreža poput javnih preklopnih
telefonskih mreža u slučaju glasovnog prometa i Interneta za podatkovni promet.
Servisni elementi mrežne infrastrukture pružaju servise koji dozvoljavaju kontrolu
mreže i toka podataka („DNS“, „DHCP“, „FTP“) i sadrže pristup na mrežu koristeći
„Active Directory“, „RADIUS“ ili „TACACS“.[7]
Ta tri elementa trebaju razmatranje nekoliko zahtjeva za kreiranje “failover”
okruženja kod kojih je najosnovnije spajanje kabelom između dva uređaja. Drugi je
da uređaj pokreće sisteme samo kada detektira problem u prvom uređaju. Neki
sistemi imaju sposobnost da pozivaju ili šalju poruku do specifičnog tehničara ili
centra za podršku. Isto tako može postojati treća strana ili uređaj koji pokreće
rezervnu komponentu za prebacivanje kako bi se spriječila stanka.[7]
Sljedeće stavke su kritični elementi koji uključuju “failover” okruženje:
1.3.3.1 Napajanje
Ispadi struje se smatraju jednim od najčešćih razloga za mrežne i sistemske
ispade, sve kritične mrežne komponente na bilo kojem primarnom podatkovnom
centru ili “failover” lokaciji moraju biti spojeni na izvor napajanja koje ima jako veliku
dostupnost odnosno 99.999% u slučajevima podatkovnih centara.[7]
„LAN“ koji pruža kritične servise poput onih u bolnici ili banci bi trebali biti
opremljeni sa stalnim izvorima napajanja za svaku komponentnu svojih distributivnih i
pristupnih dijelova. “WAN” usmjernici, preklopnici i vatrozidi trebaju isto formu zaštite
da pruže neprekidnu komunikaciju i međukomunikaciju do eksternih stranica i drugih
javnih mreža.[7]
Veliki podatkovni centri i kritične operacije moraju se osloniti na višestruke
kompanije elektroprivrede da pruže korisnost napajanja do svojih lokacija.[7]
9
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Hitni generatori poput dizelskih agregata zajedno sa „UPS“ opremom mogu pružiti
neprekidni tok električne struje danima ako je potrebno, dok korisna snaga ne bude
obnovljena.[7]
1.3.3.2 Mrežna redundancija
Nivoi redundancije bi trebali biti određeni za primarne i rezervne mreže bazirane
na identifikaciji kritičnih mrežnih komponentni, analizi utjecaja i uspostavljenim
oporavkom ciljeva. Redundancija mrežnih uređaja bi se trebala uzeti na razmatranje.
[7]
1.3.3.3 Agregacija širokopojasnih veza
U obzir se mora uzeti redundancija i raznovrsnost “WAN” veza zajedno sa
automatiziranom “failover” opcijom. Redundancija može biti ostvarena pružajući
višestruke veze i višestruke tipove veza za jednu stranicu i između više stranica.
Recimo ako “WAN” mreža koristi „MPLS“ bilo bi pametno pružiti različite veze poput
različitih kablova, tako da ako ukupni servis nosioca ispadne, organizacija može imati
rezervnu strategiju, koja može biti satelit, ćelijski ili mikrovalni servis.[7]
Različitost veza može biti ostvarena ili s različitosti ruta, dvije ili više veza putuju
različitim rutama do svojih lokacija ili kroz različitost nosioca. Višestruki nosioci su
korišteni da pruže Internet pristup različitošću i redundancijom do kompanija koje se
oslanjaju na pristup internetu.[7]
1.3.3.4 Kapacitet propusnosti širokopojasnih veza
Nekoliko faktora kapaciteta alternativnih stranica mora biti ispravno procijenjeno u
slučaju izbjegavanja ispada izazvanih neočekivanim velikim volumenima prometa na
primarnu stranicu. Jedan faktor je kapacitet maksimuma prometa, plus dodatnih 25-
40 posto dodatnog novog maksimuma volumena prometa. Dodatni promet može doći
s drugih aplikacija poput „VOIP“ i drugih biznis aplikacija i/ili zakrčenost prometa
izazvana od klijenata, dobavljača i zaposlenika.[7]
10
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Spojena propusnost bi trebala biti dovoljno opsežna da pruži “failover” za veze
pružatelja usluga i redundanciju. Ako jedna veza ispadne, i dalje bi trebalo imati
dovoljno propusnosti za korisnike da budu produktivni. Inteligentno uravnoteženo
balansiranje prometa monitorira dostupnost propusnosti kroz mrežu i dodjeljuje
promet po prioritetu na vezu s najvećom dostupnom propusnosti u slučaju ako mora
garantirati promet koji je vremenski osjetljiv. Tako se dostavi zahtjevana propusnost
za glatku izvedbu.[7]
1.3.4 Ključni zadaci mrežnog prebacivanja instanci
- Poboljšati mrežne performanse i eliminirati mrežnu stanku za biznis-kritične i
vremenski osjetljive aplikacije.[7]
- Globalno upravljanje “WAN” resursima.[7]
- Pružiti redundantni hardverski “failover” i nadgledanje sposobnosti za kritične
aplikacije da se eliminiraju sve potencijalne točke ispada „WAN“ veza.[7]
- Uspostava pouzdane mrežne konekcije.[7]
- Osigurati upravljanje ulaznim i izlaznim prometom preko najbolje “WAN” veze.
[7]
- Pružiti “WAN” vezu ravnotežnim opterećenjem s opsežnom propusnošću za
kritične aplikacije.[7]
- Ekonomično povećanje skalabilnosti i propusnosti “WAN” konekcija.[7]
- “failover” do sekundarnih podatkovnih centara ako sve veze na primarnom
podatkovnom centru ispadnu.[7]
1.4 Što je vatrozid i što vatrozid radi?
Vatrozid je mrežni sigurnosni uređaj ili softver koji nadgleda dolazeći i odlazeći
mrežni promet i odlučuje hoće li dozvoliti ili blokirati specifični promet baziran na
definiranim sigurnosnim pravilima. Vatrozid je prva linija obrane u mrežnoj sigurnosti
zadnjih 25 godina. Oni uspostavljaju barijeru između sigurne i kontrolirane mreže
kojoj se može vjerovati i mreže kojoj se ne može vjerovati poput Interneta. Vatrozid
će zaustavljati maliciozne prijetnje i hakere da pristupe mreži ili individualnim
računalima. [8]
11
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Tradicionalni vatrozidi koriste „Stateful packet inspection“ odnosno dinamičko
filtriranje paketa. To je tehnologija koja monitorira stanja aktivnih konekcija i koristi te
informacije da odredi koji mrežni paket propustiti kroz vatrozid.[8]
U današnje doba sve više kompanija koristi „Next Generation Firewall“ koji mogu
blokirati do aplikacijskog sloja što je danas najranjivije područje u problematici
informacijske sigurnosti.[8]
12
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
2. VISOKA DOSTUPNOST I REDUNDANCIJA NA ASA VATROZIDIMA 2.1 Način rada s aktivnom i rezervnom jedinicom kod ASA vatrozida
„Active/Standby failover” omogućuje da se koristi rezervna ASA u pričuvi kako bi
preuzela funkcionalnost od jedinice koja je u ispadu. U nekim dijelovima teksta će se
umjesto „Active/Standby“ koristiti skraćenica „A/S“. Kada aktivna jedinica ispadne,
ona se promjeni u rezervnu jedinicu dok se rezervna jedinica prebaci u aktivnu
jedinicu. Jedinica koja je postala aktivna poprimila je IP adresu i MAC adresu od
jedinice koja je u ispadu i počinje prosljeđivati promet. Jedinica koja je sada u stanju
rezerve preuzima rezervnu IP adresu i MAC adresu.[9]
2.2 Način rada s dvije aktivne jedinice kod ASA vatrozida
„Active/Active failover” je jedino dostupan kod ASA pri načinu rada s više
sigurnosnih konteksta. Kod „Active/Active failover” konfiguracije, obje ASA-e mogu
prosljeđivati mrežni promet. U nekim dijelovima teksta će se kao skraćenica umjesto
„Active/Active“ koristiti „A/A“.[10]
Kod „A/A failover” opcije sigurnosni konteksti na ASA uređajima se podjele u
“failover” grupe. “failover” grupa je jednostavna logička grupa od jednog ili više
sigurnosnih konteksta. Maksimalno se mogu kreirati dvije “failover” grupe. Bilo koji ne
dodijeljeni kontekst je isto tako član prve “failover” grupe.[10]
“Failover” grupe formiraju baznu jedinicu za “failover” u „A/A“ stanju. Nadgledanje
ispada sučelja i „A/S“ statusa su sve atributi od “failover” grupe. Kada aktivna
“failover” grupa ispadne, mijenja se u rezervno stanje dok rezervna “failover” grupa
postaje aktivna. Sučelja u “failover” grupi koja postaju aktivna preuzimaju MAC i IP
adrese sučelja od “failover” grupe koja je u ispadu. Sučelja u “failover” grupi koji su
sada u rezervnom stanju preuzimaju rezervnu MAC i IP adresu.[10]
Ako je “failover” grupa u ispadu na jedinici to ne znači kako je ta jedinica u ispadu.
Jedinica može i dalje imati drugu “failover” grupu koja prosljeđuje promet na njoj.
13
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Kada se kreiraju “failover” grupe, trebali bi se kreirati na jedinici koja ima “failover”
grupu 1 u aktivnom stanju.[10]
2.3 Asa klaster
“Clustering” svojstvo za ASA vatrozide dozvoljava efektivni način skaliranja
propusnosti prometa koje mora biti pregledano od strane vatrozida. Veća propusnost
je dobivena s grupiranjem ASA u jednu logičku cjelinu. Različiti ASA uređaji
povećavaju agregaciju prometa tako da sve rade koncertno odnosno da prosljeđuju
konekcije kao jedan logički ASA uređaj. Koristeći do 8 ASA uređaja, “clustering”
dozvoljava do 100Gbps agregiranog prometa.[11]
ASA klaster ne radi aktivno uravnoteženo opterećenje toka. On pretpostavlja da
vanjski mehanizmi su na mjestu gdje osiguraju da prometni tok doseže svakog člana
u klasteru i pravilno osiguravaju ravnotežu opterećenja. Unutar klastera kontrolni
protokol je korišten da prestroji asimetrične tokove i da se otarasi tokova do drugih
jedinica ako jedna od jedinica ASA u klasteru postane preopterećena.[11]
“Clustering” je različit od tradicionalnog „A/A“ modela. U „A/A“ modelu konfiguracija
višestrukih sigurnosnih konteksta je zahtijevana. “clustering” podržava jedan i više
konteksta, kao i transparentni način rada. Jedna konfiguracija je upravljana sa svim
jedinicama unutar klastera koristeći automatsku konfiguraciju. U „A/A“ modelu dva
vatrozida su spojena zajedno sa kontrolnom vezom. U kontrastu s ASA
“clusteringom“, svaki član klastera je sposoban prosljeđivati svaki prometni tok i
može biti aktivan za sve tokove.[11]
Sve jedinice u klasteru imaju istu konfiguraciju i aktivno prosljeđuju promet. U
slučaju događaja da jedna jedinica ispadne povezivanje je upravljano kroz klaster
zahvaljujući konekcijskim informacijama koje su zamijenjene jedna s drugim unutar
klastera. Svaka konekcija je zamijenjena konekcijom koja boravi na drugoj jedinici
klastera i preuzima u slučaju ispada.[11]
14
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
3. Način rada s jednom aktivnom i jednom rezervnom jedinicom 3.1 Općenito
U „Active/Standby failover” stanju, jedna jedinica je aktivna i ona prosljeđuje
promet. Rezervna jedinica ne prosljeđuje promet aktivno. Kada se “failover” dogodi,
aktivna jedinica prebacuje se na rezervnu jedinicu, koja tada postaje aktivna. Moguće
je koristiti „A/S“ “failover” za ASA vatrozide s jednim sigurnosnim kontekstom ili ASA
vatrozide koji rade s višestrukim sigurnosnim kontekstima. Za način rada s
višestrukim sigurnosnim kontekstima, ASA može napraviti “failover” cjelokupne
jedinice, ali ne može napraviti “failover” konteksta odvojeno.[9]
3.1.1 Hardverske potrebe
Dvije jedinice u “failover” konfiguracijskom načinu rada moraju:
- Biti isti model.
- Imati isti broj i tip sučelja.
- Imati iste module instalirane.
- Imati istu količinu radne memorije.
Ako se koriste jedinice s različitim memorijama na karticama u svojoj “failover”
konfiguraciji, treba biti siguran da jedinica s manjom memorijom ima dovoljno
prostora da prilagodi softversku i konfiguracijsku datoteku. Ako nema sinkronizacija
konfiguracija, s jedinice s većom memorijom na jedinicu s manjom memorijom će biti
neuspješna.[9]
3.1.2 Softverske potrebe
Dvije jedinice u “failover” konfiguracijskom načinu rada moraju:
- Biti u istom vatrozidnom načinu rada („routed“ ili „transparent“).[9]
- Biti u istom kontekstnom načinu rada (jedan ili više konteksta).[9]
- Imati isti glavni (prvi broj) i sporedni (drugi broj) softverske verzije. Međutim
mogu se privremeno koristiti različite verzije softvera tijekom procesa
15
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
nadogradnje. Preporuka je da se napravi nadogradnja obje jedinice na iste
verzije kako bi se osigurala dugotrajna kompatibilnost.[9]
- Imati iste „AnyConnect“ verzije. Ako par “failovera“ nemaju iste verzije kada se
nadogradnja izvodi, tada se korisničke „SSL“ “VPN” konekcije okončavaju u
zadnjem koraku procesa nadogradnje. Baza podataka pokazuje sesiju bez
vlasnika i IP bazen pokazuje da je IP adresa dodijeljena tom klijentu.[9]
- Obje jedinice u “failover” konfiguraciji ne moraju imati identične licence,
kombinirane licence mogu složiti “failover” grupu licenca.[9]
3.2 Prebacivanje instanci i veze
„Failover link“ i opcionalni „stateful failover link“ su konekcije posvećene između
dviju jedinica. Sve informacije poslane preko “failover” i „state failover linka“ su slane
u ne kriptiranom formatu osim ako se ne osigura komunikacija sa „Ipsec“ tunelom ili
“failover” ključem. Ako je asa korištena za terminiranje „VPN“ tunela, ta informacija
uključuje korisnička imena, šifre i „preshared“ ključeve korištene za uspostavu tunela.
Slanje tih osjetljivih podataka u formatu bez zaštite može prouzročiti sigurnosni rizik.
Preporučuje se sigurna “failover” komunikacija sa „IPsec“ tunelom ili “failover”
ključem ako se ASA koristi za terminiranje “VPN” tunela. Dvije jedinice u “failover”
paru konstantno komuniciraju preko “failover” veze da odrede operativni status svake
jedinice.[9]
Sljedeće informacije se izmjenjuju preko “failover” veze:
- Stanje jedinice („active“ ili „standby“). [9]
- „Hello“ poruke (održavanje na životu). [9]
- Status mrežne veze. [9]
- Izmjena MAC adresa. [9]
- Konfiguracijska replikacija i sinkronizacija. [9]
3.3 Sučelje za vezu kod prebacivanje instanci
Moguće je koristiti bilo koje podatkovno sučelje (fizičko, redundantno,
“EtherChannel”) kao “failover link“, međutim ne može se specificirati sučelje koje je
trenutno konfigurirano s imenom. “Failover link“ sučelje nije konfigurirano kao
16
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
normalno mrežno sučelje. Ono postoji samo radi “failover” komunikacije. Sučelje
može biti korišteno samo kao “failover link“. ASA ne podržava dijeljenje sučelja
između korisničkih podataka i “failover” veze čak iako su različita podsučelja
konfigurirana za korisničke podatke i “failover”. Odvojeno fizičko, “EtherChannel” ili
redundantno sučelje mora biti korišteno kao “failover link“. [9]
3.4 Spajanje veze za prijenos instanci
Moguća su 2 načina:
- Koristiti preklopnik, bez ijednog drugog uređaja na istom mrežnom segmentu
kao “failover” sučelje ASA vatrozida. [9]
- Koristiti „Ethernet“ kabel za spajanje jedinica direktno, bez potrebe za
eksternim preklopnikom. [9]
Ako se ne koristi preklopnik između jedinica, a sučelje ispadne, veza je ne
uspostavljena na oba uređaja. Ovaj uvjet može spriječiti naporno rješavanje
problema jer ne možete jednostavno odrediti koja jedinica ima sučelje u ispadu. ASA
podržava „Auto-MDI/MDIX“ na bakrenim „ethernet“ portovima, tako da se može
koristiti ili križni („crossover“) ili ravni („straight“) kabel. [9]
3.5 Izbjegavanje prekinutih prijenosa instanci i podatkovnih veza
Preporučljivo je da “failover” veze i podatkovna sučelja putuju kroz različite puteve
za smanjenje šansi da sva sučelja padnu u isto vrijeme. Ako je “failover” veza u
stanju „down“, ASA može koristiti podatkovno sučelje da odredi je li “failover”
potreban. Zatim je “failover” operacija suspendirana dok se zdravlje “failover” veze ne
povrati u normalu. [9]
Primjeri dizajna elastične “failover” mreže
1. scenarij – NE PREPORUČUJE SE
17
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Ako jedan preklopnik ili set preklopnika su korišteni da spajaju oboje i “failover” i
podatkovna sučelja između ASA. U tom slučaju kada preklopnik ili veza između
preklopnika je u statusu „down“, oba ASA uređaja postaju aktivna. [9]
Slika 1 Način spajanja ASA vatrozida[9]
2. scenarij – PREPORUČUJE SE
Preporučuje se da “failover” veze ne koriste isti preklopnik kao i podatkovno
sučelje. Umjesto toga koristiti različiti preklopnik ili koristiti direktni kabel koji spaja
“failover” veze. [9]
Slika 2 Način spajanja ASA vatrozida[9]
18
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Slika 3 Način spajanja ASA vatrozida[9]
3. scenarij – PREPORUČUJE SE
Ako su ASA podatkovna sučelja spojena na više od jednog seta preklopnika tada
“failover” veza može biti spojena na jedan od preklopnika. Preferiralo bi se preklopnik
na sigurnoj unutarnjoj strani mreže. [9]
Slika 4 Način spajanja ASA vatrozida[9]
4. scenarij – PREPORUČUJE SE
Najsigurnija “failover” konfiguracija koristi redundantno sučelje na “failover” vezi.
[9]
Slika 5 Način spajanja ASA vatrozida[9]
19
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Slika 6 Način spajanja ASA vatrozida[9]
3.6 Mac adrese i IP adrese kod prijenosa instanci
Kada se konfigurira sučelje, moguće je specificirati aktivnu IP adresu i rezervnu IP
adresu na istoj mreži. Iako preporučena rezervna adresa nije potrebna. Bez rezervne
IP adrese aktivna jedinica ne može provoditi mrežne testove da provjeri stanje
rezervnog sučelja, već može samo pratiti stanje veze. [9]
Kada je primarna jedinica ili “failover” grupa u ispadu, sekundarna jedinica
preuzima IP i MAC adrese primarne jedinice i počinje prosljeđivati promet. Jedinica
koja je sada u rezervnom stanju preuzima rezervnu IP i MAC adresu. [9]
Mrežni uređaji ne vide promjene u MAC i IP adresnom mapiranju, ne postoje
„ARP“ promijenjeni unosi ili pauze nigdje na mreži. [9]
Ako se sekundarna jedinica starta bez detektiranja primarne jedinice, sekundarna
jedinica postaje aktivna i koristi vlastitu MAC adresu zbog toga što ne zna MAC
adresu primarne jedinice. Međutim kada primarna jedinica postane dostupna,
sekundarna (aktivna) jedinica mijenja MAC adrese u one koje je koristila primarna
jedinica, što može prouzrokovati smetnje na mreži. [9]
Svojstvo „Virtual MAC Adress Guard“ se koristi protiv tih prekida jer aktivna MAC
adresa je znana sekundarnoj jedinici od početka, i ostaje ista u slučaju novog
primarnog hardvera na jedinici. U višestrukom sigurnosnom kontekstnom načinu
rada, ASA-u se može konfigurirati da generira virtualnu aktivnu i rezervnu MAC
20
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
adresu automatski. U načinu rada gdje se koristi samo jedan sigurnosni kontekst,
može se ručno konfigurirati virtualna MAC adresa. [9]
3.7 Vrste prijenosa instanci
ASA podržava dva “failover” tipa, to su „stateless“ i „stateful“ za oba načina rada
„Active/Standby“ i „Active/Active“. [9]
3.7.1 Prijenos instance s ponovnom uspostavom konekcija
Kada se “failover” dogodi u „stateless“ formi, sve aktivne konekcije su odbačene.
Klijenti moraju ponovno uspostaviti konekcije kada nova aktivna jedinica preuzme. [9]
3.7.2 Prijenos instance bez ponovne uspostave konekcija
Kada je „stateful failover“ upaljen, aktivna jedinica neprekidno prosljeđuje stanja i
informacije po konekciji do rezervne jedinice. Nakon što se “failover” dogodi, ista
konekcijska informacija je dostupna na novoj aktivnoj jedinici. [9]
3.8 Primarni i sekundarni statusi jedinica
Glavna razlika između jedinica u “failover” paru su povezanosti koja je jedinica
aktivna i koja je rezervna jedinica, naime koju IP adresu će koristiti i koja će jedinica
aktivno prosljeđivati promet. Primarna jedinica uvijek postaje aktivna ako obje
jedinice krenu u pogon u isto vrijeme. [9]
Aktivna jedinica je određena sljedećim:
- Ako se jedinica pokrene i detektira uređaj koji je već aktivan, ona postaje
rezervna jedinica. [9]
- Ako se jedinica pokrene i ne detektira uređaj, postaje aktivna jedinica. [9]
- Ako se obje jedinice pokrenu simultano, tada primarna jedinica postaje aktivna
jedinica, i sekundarna jedinica postaje rezervna jedinica. [9]
21
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
3.9 Događaji kod prijenosa instanci
Kod „A/S failovera” sve se događa na bazi jedinice. Bez obzira ako se sustav
pokreće u načinu rada višestrukih sigurnosnih konteksta, nemoguće je napraviti
“failover” za individualne grupe konteksta. [9]
Tablica pokazuje “failover” akcije za svaki “failover” događaj. Za svaki događaj s
greškom, tablica prikazuje “failover” politiku ( “failover” ili „no failover”), akciju koju je
napravila aktivna jedinica i rezervna jedinica, specijalne bilješke o “failover” uvjetima i
akcijama. [9]
DOGAĐAJ S GREŠKOM POLITIKA
AKCIJA AKTIVNE GRUPE
AKCIJA REZERVNE
GRUPE BILJEŠKE
Aktivna jedinica u
kvaru (napajanje ili
hardver). “Failover” /
Postaje aktivna, bilježi aktivnu da je
kvaru.
Ne dobivaju se „hello“ poruke na
nijednom nadgledanom
sučelju “failover” veze.
Ranije aktivna
jedinica se oporavila.
Bez “failovera”
Postaje rezervna. / /
Rezervna jedinica u
kvaru (napajanje ili
hardver).Bez
“failovera”
Obilježi rezervnu
jedinicu da je u kvaru. /
Kada je rezervna jedinica označen da
je u kvaru, tada aktivna jedinica ne pokušava “failover”.
“Failover” veza u kvaru
tijekom operacije.
Bez “failovera“
Označava “failover” vezu u kvaru
Označava “failover” vezu
u kvaru.
Trebalo bi povratiti “failover” vezu čim
je moguće jer jedinica ne može napraviti “failover”
na rezervnoj jedinici dok je “failover” veza u stanju
„down“.
“Failover” veza u kvaru pri pokretanju
Bez “failovera“
Označava “failover” vezu u kvaru.
Postaje aktivna.
Ako je “failover” veza u stanju
„down“ pri pokretanju, obje jedinice postaju
aktivne.„State link“ u
kvaru.Bez
“failovera”./ / Informacije o stanju
su zastarjele, i
22
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
sesije su završene ako dođe do
“failover”.Sučelje u kvaru na aktivnoj jedinici. “Failover”
Označava aktivnu
jedinicu u kvaru.
Postaje aktivna. /
Sučelje u kvaru na rezervnoj jedinici.
Bez “failovera” /
Označava rezervnog da
je kvaru.
Kada je rezervna jedinica označna da
je u kvaru, tada aktivna jedinica ne pokušava “failover”.
Tablica 2 Prikaz događaja s greškom i reakcijama nakon greške kod „A/S“ [9]
3.10 Konfiguriranje prijenosa instanci s jednom aktivnom i jednom rezervnom jedinicom
Da bi se konfigurirao „A/S failover” potrebno je konfigurirati osnovne “failover”
postavke na obje primarnoj i sekundarnoj jedinici. Sva druga konfiguracija se događa
na primarnoj jedinici i ona je zatim sinkronizirana sa sekundarnom jedinicom. [9]
3.11 Konfiguracija primarne jedinice
Sljedeći koraci pružaju minimalnu konfiguraciju potrebnu za paljenje “failover”
opcije na primarnoj jedinici.[6]
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1 Postaviti jedinicu da bude primarna.
ciscoasa(config)#failover lan unit primary
2Specificirati sučelje koje će
se koristiti kao “failover” veza.
ciscoasa(config)#failover lan interface folink gigabitethernet 0/3
3Dodjeliti aktivnu i rezervnu
IP adresu na “failover” vezu.
ciscoasa(config)#failover interface ip folink 172.27.48.1 255.255.255.0
standby 172.27.48.2 ciscoasa(config)#failover interface ip
folink 2001:a0a:b00::a0a:b70/64 standby 2001:a0a:b00::a0a:b71
23
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
4 Upaliti “failover” vezu.
ciscoasa(config)# interface gigabitethernet 0/3
ciscoasa(config-if)# no shutdown
5Specificirati sučelje koje se želi koristiti kao "state link".
(Opcionalno)
ciscoasa(config)#failover link folink gigabitethernet0/3
6
Ako se specificira odvojeni "state link", potrebno je
dodjeliti aktivnu i rezervnu IP adresu "state linku". IP adresa bi trebala biti na ne
korištenom „subnetu“, različitom od "failover linka". (Opcionalno)
ciscoasa(config)#failover interface ip statelink 172.27.49.1 255.255.255.0
standby 172.27.49.2
7 Paljenje odvojenog "state linka". (Opcionalno)
ciscoasa(config)#interface vlan100 ciscoasa(config-if)#no shutdown
8
Ako se želi kriptirati komunikacija između “failover” i "state link". Potrebno uspostaviti
"Ipsec" tunele na “failover” i "state link" između jedinica.
ciscoasa(config)#failover ipsec pre-shared-key a3rynsun
9 Upaliti “failover”. ciscoasa#failover
10Spremiti sistemsku konfiguraciju u flash
memoriju
ciscoasa(config)#copy running-config startup-config
Tablica 3 Konfiguracija primarne jedinice za „A/S failover“ [9]
3.12 Konfiguriranje sekundarne jedinice
Jedina konfiguracija koja je potrebna na sekundarnoj jedinici je za “failover” vezu.
Sekundarna jedinica zahtjeva ove komande za komuniciranje inicijalno s primanom
jedinicom. Nakon što primarna jedinica pošalje svoju konfiguraciju na sekundarnu
jedinicu, jedina različitost između dviju konfiguracija je “failover lan unit“ komanda,
koja identificira jedinicu kao primarnu ili sekundarnu. Ostale komande je potrebno
ponoviti kao iz konfiguracije primarne jedinice. [9]
Primjer konfiguracije sekundarne jedinice za „A/S failover”:[9]
ciscoasa2(config)#failover lan unit secondary
24
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
ciscoasa2(config)# failover lan interface folink gigabitethernet0/3 ciscoasa2(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2 ciscoasa2(config)# interface gigabitethernet 0/3 ciscoasa2(config-ifc)# no shutdown ciscoasa2(config-ifc)# failover link folink gigabitethernet0/3 ciscoasa2(config)# failover ipsec pre-shared-key a3rynsun ciscoasa2(config)# failover
3.13Provjera funkcionalnosti
Provjeru funkcionalnosti „failovera“ moguće je odraditi izvršavanjem komande
„show failover“.
Slika 7 Izvršavanje komadni „show failover“ i „show failover state“ na primarnoj i sekundarnoj jedinici u svrhu utvrđivanja „failover“ funkcionalnosti
Slika prikazuje izvršavanje komandi na primarnoj i sekundarnoj jedinici kako bi se
ustanovila i potvrdila „failover“ funkcionalnost. Prikazana su „failover“ sučelja, kada
se zadnji puta „failover“ dogodio, te koja je jedinica primarna, a koja sekundarna. S
ovim komandama se može potvrditi „A/S failover“ funkcionalnost.
25
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
4. Način rada s dvije aktivne jedinice4.1 Općenito
„A/A failover” je jedino dostupan kod ASA u načinu rada s višestrukim sigurnosnim
kontekstima. U „A/A failover” konfiguraciji oba uređaja mogu prosljeđivati mrežni
promet. Sigurnosni konteksti na ASA vatrozidu se razdvoje na “failover” grupe.
“failover” grupa je logička grupa od jednog ili više sigurnosnih konteksta. Moguće je
kreirati maksimalno dvije “failover” grupe. „Admin“ kontekst je uvijek član “failover”
grupe 1. Bilo koji ne raspoređeni sigurnosni kontekst je isto tako član “failover” grupe
1 po standardu.[10]
“Failover” grupa formira baznu jedinicu za “failover” u „A/A“ načinu rada. Kada se
kreiraju “failover” grupe, trebale bi se kreirati na jedinici koja ima “failover” grupu 1 u
aktivnom stanju. [10]
„A/A failover” generira virtualne MAC adrese za sučelja u svakoj “failover” grupi.
Ako postoji više od jednog para „A/A“ na istoj mreži, moguće je da postoji ista
standardna virtualna MAC adresa dodijeljena sučeljima na jednom paru kao što su i
dodijeljena sučeljima od drugih parova zato što su po pravilu virtualne MAC adrese
predodređene. Za izbjegavanje dupliciranja MAC adresa na mreži, treba biti siguran
da se svakom fizičkom sučelju dodijelila virtualna aktivna i rezervna MAC adresa.
[10]
4.2 Preduvjeti za prijenos instanci
„A/A failover” zahtjeva identične potrebe kao i „A/S failover”. U nastavku će se
nabrojati najznačajniji uvjeti potrebni za konfiguriranje „A/A failover” opcije. Obje
jedinice moraju imati sljedeće:
- Isti hardverski model. [10]
- Isti broj sučelja. [10]
- Iste tipove sučelja. [10]
- Imati isti glavni (prvi broj) i sporedni (drugi broj) softverske verzije. Međutim
može se privremeno koristiti različite verzije softvera tijekom procesa
26
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
nadogradnje. Preporuka je da se napravi nadogradnja obje jedinice na iste
verzije kako bi se osigurala dugotrajna kompatibilnost. [10]
- Ista softverska konfiguracija. [10]
- Isti način rada (višestruki konteksti). [10]
- Pripadajuće licence. [10]
4.3 Primarni i sekundarni status jedinica
Kao i kod „A/S“ jedna jedinica u „A/A failover” paru je dodijeljna primarnoj jedinici,
a druga jedinica sekundarnoj jedinici. Za razliku od „A/S“ dodjeljuje se oznaka koja
ukazuje koja jedinica će postati aktivna kada obje jedinice startaju simultano. [10]
Primarna i sekundarna oznaka radi dvije stvari:
- Određuje koja jedinica pruža i prosljeđuje konfiguraciju kada se uređaji
startaju istovremeno. [10]
- Određuje na kojoj jedinici se svaka “failover” grupa pojavljuje u aktivnom
stanju kada se jedinice podižu istovremeno. Svaka “failover” grupa u
konfiguraciji je konfigurirana s primarnom ili sekundarom prednosti jedinice.
Moguće je konfigurirati obje “failover” grupe da budu u aktivnom stanju na
jednoj jedinci u paru, dok na drugoj jedinici koja sadrži “failover” grupe u
rezervnom stanju. Međutim tipičnija konfiguracija je da se svakoj “failover”
grupi dodjeli različita rola prednosti kako bi obje jedinice bile aktivne. Tako se
distribuira promet kroz oba uređaja. [10]
ASA isto tako pruža balansiranje opterećenja prometa, koje je različito od
“failovera“. Oboje “failover” i balansiranje opterećenja prometa mogu postojati na istoj
konfiguraciji. [10]
Na kojoj jedinici će koja “failover” grupa biti aktivna je određeno sa:
- Kada se jedinica starta dok druga jedinica nije dostupna, obje “failover” grupe
postanu aktivne na jedinici koja se pokrenula. [10]
- Kada se jedinica starta dok druga jedinica je aktivna (s obje “failover” grupe u
aktivnom stanju), “failover” grupe ostaju u aktivnom stanju na aktivnoj jedinici
27
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
bez obzira na primarne i sekundarne prednosti “failover” grupe dokle god se
ne dogodi sljedeće:
- “Failover” se dogodi. [10]
- Ručno se forsira “failover”.[10]
- Konfiguriranje prisvojenja za “failover” grupu, koja izaziva “failover”
grupu da automatski postane aktivna na poželjnoj jedinici kada jedinica
postane dostupna. [10]
Kada se obje jedinice podignu u isto vrijeme, svaka “failover” grupa postane
aktivna na svojoj poželjnoj jedinici nakon što je konfiguracija sinkronizirana. [10]
4.4 Inicijalizacija uređaja i sinkronizacija konfiguracije
Sinkronizacija konfiguracija se dogodi kada jedna ili obje jedinice u “failover” paru
se stave u radno stanje. [10]
Kada se jedinica podigne dok je druga jedinica aktivna (s obje “failover” grupe u
aktivnim stanjima), jedinica koja se podigla kontaktira aktivnu jedinicu da dobije
„running“ konfiguraciju bez obzira na primarnu ili sekundarnu oznaku jedinice koja se
podigla. Kada se obje jedinice podignu istovremeno, sekundarna jedinica dobije
„running“ konfiguraciju od primarne jedinice. [10]
Tijekom replikacije komande unošene na jedinicu koja šalje konfiguraciju možda
se ne repliciraju ispravno na drugu jedinicu i komande unošene na jedinici koja
dobiva konfiguraciju mogu biti prebrisane s konfiguracijom koja dolazi. Preporučljivo
je da se izbjegava unošenje komandi na ijednoj jedinici u “failover” paru tijekom
konfiguracijskog replikacijskog procesa. Oviseći o veličini konfiguracije, replikacija
može trajati od nekoliko sekundi do nekoliko minuta. [10]
Na jedinici koja dobiva konfiguraciju, konfiguracija postoji samo u „running“
memoriji. Da bi se spremila konfiguracija na „flash“ memoriju nakon sinkronizacije
potrebno je unijeti komandu „write memory all“ na jedinici koja ima “failover” grupu 1
u aktivnom stanju. Komanda je replicirana na drugu jedinicu, koja nastavlja pisati
konfiguraciju u „flash“ memoriju. Koristeći riječ „all“ s ovom komandom se izaziva da
sistem i sve kontekstne konfiguracije mogu biti spremljene. [10]
28
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
4.5 Replikacija komandi
Nakon što su obje jedinice u radnom stanju, komande unošene unutar
sigurnosnog konteksta su replicirane s jedinice na kojoj je sigurnosni kontekst u
aktivnom stanju prema drugoj jedinici. [10]
Kontekst se smatra u aktivnom stanju na jedinici ako je “failover” grupa kojoj
pripada u aktivnom stanju na toj jedinici. Komande unošene su replicirane s jedinice
na kojoj je “failover” grupa 1 u aktivnom stanju na jedinicu gdje je “failover” grupa 1 u
rezervnom stanju. Komande unošene u „admin“ kontekst su replicirane s jedinice na
kojoj je “failover” grupa 1 u aktivnom stanju na jedinicu na kojoj je “failover” grupa 1 u
rezervnom stanju. [10]
Replicirane komande nisu spremljene u „flash“ memoriju kada su replicirane na
drugu jedinicu. One su dodane u „running“ konfiguraciju. Da bi spremili replicirane
komande u „flash“ memoriju na obje jedinice, koristiti „write memory“ ili „copy
running-config startup-config“ komandu na jedinici na kojoj su napravljene promjene.
Komanda je replicirana na drugu jedinicu i izaziva reakciju da je konfiguracija
spremljena u „flash“ memoriju na drugoj jedinci. [10]
4.6 Okidači prijenosa instanci
“Failover” se događa u sljedećim slučajevima:
- Jedinica ima hardversku grešku. [10]
- Jedinica ima grešku kod napajanja. [10]
- Jedinica ima softversku grešku. [10]
- Unošene su komande „no failover active“ ili „failover active“ . [10]
“Failover” se dogodi na nivou “failover” grupe kada se jedan od sljedećih događaja
dogodi:
- Previše nadgledanih sučelja u grupi ispadne. [10]
- „No failover active group“ ili „failover active group“ komanda je unošena. [10]
29
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
4.7 Događaji kod prijenosa instanci
“Failover” se događa na “failover” grupnoj bazi, ne na sistemskoj bazi. Ako se
odredi da su obje “failover” grupe aktivne na primarnoj jedinici i “failover” grupa 1
ispadne, tada “failover” grupa 2 ostaje aktivna na primarnoj jedinici dok “failover”
grupa 1 postaje aktivna na sekundarnoj jedinici. [10]
DOGAĐAJ S GREŠKOM POLITIKA
AKCIJA AKTIVNE GRUPE
AKCIJA REZERVNE
GRUPEBILJEŠKE
Jedinica doživi grešku s
napajanjem ili softversku
grešku.
“Failover”
Postane rezervna,
označi se da je u ispadu.
Postane aktivna.
Kada jedinica u “failover” paru ispadne, bilo koja aktivna
“failover” grupa na toj jedinici je označena da je
u ispadu i postane aktivna
na drugoj jedinici.
Greška na sučelju na aktivnoj
“failover” grupi. “Failover”
Označava aktivnu grupu
u ispadu.Postane aktivna. /
Greška na sučelju na rezervnoj
“failover” grupi.
Bez “failovera”. /
Označi rezervnu grupu
u ispadu.
Kada je rezervna “failover” grupa u ispadu, aktivna “failover” grupa ne pokušava
ponovni “failover”.
Oporavak ranije aktivne “failover”
grupe.
Bez “failovera”. / /
Osim ako nije konfigurirana
„failover group preemption“ (prisvojenje),
“failover” grupe ostaju aktivne na
trenutnim jedinicama.
Greška “failover” veze na startanju.
Bez “failovera”.
Postane aktivna.
Postane aktivna.
Ako dođe do greške veze pri startanju, obje “failover” grupe
30
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
postanu aktivne na obje jedinice.
„Stateful failover link“ greška.
Bez “failovera”. / /
Informacija o stanju postaje
zastarjela i sesije su
okončane ako se “failover” dogodi.
Greška “failover” veze tijekom
rada.
Bez “failovera”. / /
Svaka jedinica označuje “failover”
instancu u ispadu. Trebala bi se povratiti “failover” veza
što je prije moguće jer
jedinica ne može napraviti
“failover” na rezervnu jedinicu
dokle god je “failover” veza u
ispadu.Tablica 4 Prikaz događaja s greškom i reakcijama nakon greške kod „A/A“ [10]
4.8 Konfiguriranje prijenosa instanci
Sastoji se od 3 koraka:
1. Konfiguriranje primarne jedinice. [10]
2. Konfiguriranje sekundarne jedinice. [10]
3. Konfiguriranje opcionalnih „A/A failover” postavki. [10]
4.8.1 Konfiguriranje primarne jedinice
KORAK OBJAŠNJENJE KOMANDA PRIMJER
31
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
1
Za podatkovno sučelje, za menadžment IP adresu ili za
menadžment sučelje, konfigurirati aktivnu i rezervnu IP adresu.
Konfigurirati adrese sučelja unutar svakog konteksta. Koristiti „change
to context“ komandu za prebacivanje između konteksta.
ciscoasa(config)# changeto context ciscoasa/context(config)# interface ciscoasa/context(config-
if)#ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2 ciscoasa/context(config-if)# ipv6 adddress 3ffe:c00:0:1::576/64
standby
2Vratiti se u sistemski prostor za
izvršavanje komandi.ciscoasa/context(config)#
changeto system
3Imenuje se jedinica kao primarna
jedinica.ciscoasa(config)#failover lan unit
primary
4Specificira se sučelje koji će se koristiti kao “failover” sučelje.
ciscoasa(config)#failover lan interface folink GigabitEthernet0/3
5
Dodijeliti aktivne i rezervne IP adrese na “failover” vezu. Mogu se
dodjeliti IPv4 ili IPv6 adrese na sučelje. Ne mogu se postaviti obje
IP adrese na “failover” vezu. Rezervna IP adresa mora biti u istom subnetu kao aktivna IP
adresa. Nije potrebno identificirati masku rezervne IP adrese. IP
adresa i MAC adresa na “failover” vezi se ne mijenjaju prilikom
“failovera“. Aktivna IP adresa za “failover” vezu uvijek ostaje s
primarnom jedinicom dok rezervna IP adresa ostaje sa sekundarnom
jedinicom.
ciscoasa(config)#failover interface ip folink 172.27.48.1
255.255.255.0 standby 172.27.48.2
ciscoasa(config)#failover interface ip folink 2001:a0a:b00::a0a:b70/64
standby
6
Specificira se sučelje koje će se koristiti kao „Stateful failover link“.
(Opcionalno)
ciscoasa(config)#failover link folink GigabitEthernet0/2
7
Dodijeliti aktivnu i rezervnu IP adresu za „stateful failover link“.
(Opcionalno)
ciscoasa(config)#failover interface ip folink 172.27.48.1
255.255.255.0 standby 172.27.48.2
ciscoasa(config)#failover interface ip statelink
2001:a1a:b00::a0a:a70/64 standby 2001:a1a:b00::a0a:a71
8Uključuje se sučelje.
ciscoasa(config)# interface GigabitEthernet 0/3
ciscoasa(config-if)#no shutdown
32
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
9
Konfiguriraju se “failover” grupe Moguće je imati samo 2 “failover” grupe. Komanda „failover group“ kreira specifičnu “failover” grupu ako ona ne postoji i ulazi se u
konfiguracijski način rada “failover” grupe. Za svaku “failover” grupu, specificirati da li ima primarne ili sekundarne prednosti koristeći
„primary“ ili „secondary“ komande. Moguće je dodijeliti iste prednosti
na obje “failover” grupe. Kako bi se promet dijelio na više uređaja,
potrebno je različite prednosti staviti na različite grupe.
ciscoasa(config)#failover group 1 ciscoasa(config-fover-
group)#primary ciscoasa(config-fover-group)#exit
ciscoasa(config)#failover group 2 ciscoasa(config-fover-
group)#secondary ciscoasa(config-fover-group)#exit
10
Dodjeliti svaki korisnički kontekst svojoj “failover” grupi.
ciscoasa(config)# context Eng ciscoasa(config-context)# join-
failover-group 1 ciscoasa(config.context)#exit
11 Paljenje “failovera”. ciscoasa(config)#failover
12Spremanje sistemske konfiguracije
u „flash“ memoriju.ciscoasa(config)#copy running-
config startup-configTablica 5 Konfiguriranje primarne jedinice kod „A/A“ [10]
4.8.2 Konfiguriranje sekundarne jedinice
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1
Specificira se sučelje koje će se koristiti kao “failover” sučelje. Sučelju
se dodjeljuje argument ime kao I argument fizičkog sučelja. Argument
fizičkog sučelja je ime fizičkog sučelja, kao Ethernet1. Ovo sučelje se ne bi trebalo koristiti za nijednu drugu prigodu (osim opcionalno za
“stateful failover link”)
ciscoasa2(config)#failover lan interface folink
GigabitEthernet0/3
2
Dodjeljuje se aktivna i rezervna IP adresa na “failover” vezu. Moguće je
postaviti ili IPv4 ili IPv6 adresu na vezu, nije moguće koristiti obje adrese na sučelju. Rezervna IP
adresa mora biti u istom subnetu kao I aktivna IP adresa. Nije potrebno
dodavati subnet masku za rezervnu adresu. IP I MAC adresa “failover”
ciscoasa2(config)#failover interface ip folink 172.27.48.1
255.255.255.0 standby 172.27.48.2
ciscoasa2(config)#failover interface ip folink
2001:a0a:b00:a0a:b70/64 standby
2001:a0a:b00::a0a:b71
33
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
veze se ne mijenja tijekom “failover” procesa. Aktivna IP adresa za
“failover” vezu ostaje kod primarne jedinice, a rezervna IP adresa ostaje
kod sekundarne jedinice.
3 Uključuje se sučelje.
ciscoasa2(config)#interface GigabitEthernet0/3
ciscoasa2(config-if)#no shutdown
4
Imenuje se ova jedinica kao sekundarna jedinica. Ovaj korak je
opcionalan jer jedinice su imenovane kao sekundarne osim ako se prije nije konfiguriralo drugačije. (Opcionalno)
ciscoasa2(config)#failover lan unit secondary
5
Uključuje se “failover”. Nakon što se uključio “failover”, aktivna jedinica
šalje konfiguraciju u “running” memoriju rezervne jedinice.
ciscoasa2(config)#failover
6 Sprema konfiguraciju u flash memoriju.
ciscoasa2#copy running-config startup-config
7
Ako je potrebno forsirati bilo koju “failover” grupu koja je aktivna na
primarnoj jedinici da bude aktivna na sekundarnoj jedinici.
ciscoasa2(config)#no failover active group 1
Tablica 6 Konfiguracija sekundarne jedinice kod „A/A“ [10]
4.9 Provjera funkcionalnosti
Provjeru funkcionalnosti „failovera“ moguće je odraditi izvršavanjem komande
„show failover“.
34
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Slika 8 Izvršavanje komandi „show failover“ na primarnoj i sekundarnoj jedinici u svrhu provjere funkcionalnosti
Slika 8 prikazuje provjeru funkcionalnosti „failovera“ i na njoj je moguće vidjeti koja
sučelja su „failover“ sučelja, kada se zadnji puta „failover“ dogodio, te koji je uređaj
primaran, a koji sekundaran u „A/A“ načinu rada. S ovom komandom se jasno može
potvrditi funkcionalnost „failovera“ i provjeriti jesu li uređaji upareni.
35
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.ASA KLASTER5.1 Općenito
U daljnjem tekstu će se često navoditi engleska riječ “clustering” što u prijevodu
znači grupiranje. “clustering” dozvoljava stavljanje više vatrozida da zajedno
funkcioniraju kao jedan logički uređaj. Klaster pruža pogodnosti jednog uređaj dok
isto tako ostvaruje povećanu propusnost i redundanciju višestrukih uređaja.[12]
5.2 Kako se asa klaster stavlja u mrežu?
Klaster sadrži višestruke vatrozide koji se ponašaju kao jedna jedinica. Da bi se
ponašale kao klaster ASA vatrozidi trebaju sljedeću infrastrukturu:
- Izolirane matične ploče visokih brzina u mreži za komunikaciju unutar klastera,
znanu kao „cluster link control“. [12]
- Menadžment pristup do svakog ASA uređaja za konfiguriranje i nadgledanje.
[12]
Kada se postavi klaster u mreži, usmjernici moraju moći raspoređivati opterećenje
prometa koji dolazi i odlazi od klastera koristeći jednu od metoda:
1. „Spanned EtherChannel“ – Sučelja na više članova klastera su grupirana u
jedan “EtherChannel”. “EtherChannel” pruža balansiranje opterećenja
prometa između jedinica. [12]
2. „Policy-based-routing“ – Usmjernici pružaju balansiranje opterećenja
prometa između jedinica koristeći usmjerničke mape i pristupne liste. [12]
3. „Equal-Cost Multi-Path routing“ – Usmjernici pružaju balansiranje
opterećenja prometa između jedinica koristeći statičke i dinamičke rute
jednakih vrijednosti. [12]
5.2.1 Faktor skaliranja performansa
Kada se kombinira više jedinica u klaster, očekuju se približne performanse:
- 70 % kombinirane propusnosti. [12]
- 60 % maksimalnih konekcija. [12]
- 50 % konekcija po sekundi. [12]
36
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.2.2 Asa hardverski i softverski zahtjevi
Sve jedinice u klasteru:
- Moraju biti isti model s istom radnom memorijom. Ne moraju imati istu veličinu
„flash“ memorije. [12]
- Mora pokretati identični softver. [12]
- Moraju biti na istoj geografskoj lokaciji. [12]
- Moraju biti u istom načinu rada sigurnosnih konteksta. [12]
- Moraju biti u istom vatrozidnom načinu rada. [12]
- Novi članovi klastera moraju koristiti iste „SSL“ enkripcijske postavke kao
“master” jedinica za inicijalni „cluster control link“. [12]
5.3 Početna konfiguracija i inicijalizacija
Na svakom uređaju, konfigurira se minimalna „bootstrap“ konfiguracija uključujući
ime za klaster, “cluster control link” sučelje i druge postavke za klaster. Prva jedinica
na kojoj se uključi “clustering” tipično postaje “master” jedinica. Kada se uključi
“clustering” na drugim jedinicama, one se pridružuju klasteru kao „slave” jedinice.
[12]
5.3.1 Glavne i sporedne uloge
Jedan član klastera je “master” jedinica. “master” jedinica je određena s
postavkom prioriteta u „bootstrap“ konfiguraciji. Prioritet je postavljen između 1 i 100,
gdje je 1 najveći prioritet. Svi ostali članovi su “slave” jedinice. Kada se kreira prvi
klaster, prva jedinica koja se doda postaje “master” jedinica jer je za sada jedina
jedinica u klasteru.
Potrebno je odraditi svu konfiguraciju na “master” jedinici i zatim se konfiguracija
replicira na „slave“ jedinice. U slučajevima poput sučelja, konfiguracija “master”
jedinice je zrcaljena na svim “slave” jedinicama. Ako konfigurirate „GigabitEthernet
0/1“ kao unutarnje sučelje i „GigabitEthernet 0/0“ kao vanjsko sučelje, tada su ta
sučelja također korištena na “slave” jedinicama kao unutarnja i vanjska sučelja. [12]
5.3.2 Odabir glavne jedinice
37
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Članovi klastera komuniciraju preko “cluster control linka” za odabir “master”
jedinice:
1. Kada se upali “clustering” za jedinicu (ili kada se prvi put pokrene s upaljenim
“clusteringom“), jedinica svima šalje zahtjev u razmaku od svake 3 sekunde za
odabir “master” jedinice. [12]
2. Svaka druga jedinica s većim prioritetom odgovara na odabirni zahtjev,
prioritet je postavljen između 1 i 100, gdje je 1 najveći prioritet. [12]
3. Ako nakon 45 sekundi, jedinica ne dobije odgovor od nijedne jedinice s većim
prioritetom, postaje “master” jedinica. [12]
4. Ako se jedinica s većim prioritetom kasnije pridruži klasteru, ona ne postaje
automatski “master” jedinica. Postojeća “master” jedinica uvijek ostaje
“master” osim ako prestane odgovarati na poruke, u tom slučaju je novi
“master” odabran. [12]
Ako su višestruke jedinice izjednačene s najvećim prioritetom, za određivanje
“master” jedinice se koristi ime klaster jedinice i serijski broj. [12]
Moguće je ručno postaviti jedinicu da postane “master”. Ako se forsira “master”
promjena, tada su sve konekcije odbačene i potrebno je ponovno uspostaviti
konekcije na novoj “master” jedinici. [12]
5.4 Vrste asa klaster sučelja
Podatkovna sučelja se mogu konfigurirati kao „Spanned EtherChannel“ ili kao
individualna sučelja. Sva podatkovna sučelja u klasteru moraju biti istog tipa. [12]
5.4.1 „Spanned etherchannel“
Može se grupirati jedno ili više sučelja po jedinici u “EtherChannel” koji obuhvaća
sve jedinice u klasteru. “EtherChannel” agregira promet kroz sve dostupna aktivna
sučelja u kanalu. „Spanned EtherChannel“ može biti konfiguriran u „routed“ ili
„transparent“ vatrozidnom načinu rada. U „routed“ načinu rada “EtherChannel” je
konfiguriran kao „routed“ sučelje s jednom IP adresom. U „transparent“ načinu rada,
IP adresa je dodijeljena „bridge“ grupi, a ne sučelju. [12]
38
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.4.2. Individualno sučelje
Individualna sučelja su normalna „routed“ sučelja, svako sa svojom vlastitom
lokalnom IP adresom. Konfiguracija sučelja mora biti konfigurirana samo na “master”
jedinici. Konfiguracija sučelja dopušta postaviti bazen IP adresa koji će biti korišten
za dodijeljeno sučelje na klaster članovima, uključujući jedan za “master”. Glavna
klaster IP adresa je fiksirana adresa za klaster koja uvijek pripada trenutnoj “master”
jedinici. Glavna IP klaster adresa pruža dosljedni menadžment pristup adresi, kada
se “master” jedinica promjeni. Glavna klaster IP adresa se premjesti na novu
“master” jedinicu, tako da se menadžment za klaster nastavi neprimjetno. [12]
Preporučljivo je korištenje „Spanned EtherChannel“ umjesto individualnih sučelja
jer individualna sučelja leže na usmjerničkim protokolima koji balansiraju opterećenje
prometa, a usmjernički protokoli često imaju sporu konvergenciju tijekom kvara na
vezi. [12]
5.5 Kontrolna veza klastera Svaka jedinica mora odrediti barem jedno hardversko sučelje kao “cluster control
link”.
Promet “cluster control linka” uključuje oba kontrolni i podatkovni promet. [12]
Kontrolni promet uključuje:
- Odabir “master” jedinice. [12]
- Replikaciju konfiguracije. [12]
- Nadgledanje stanja klastera.[12]
Podatkovni promet uključuje:
- Replikacija stanja. [12]
- Vlasništvo konekcijskih upita i prosljeđivanje podatkovnih paketa. [12]
5.5.1 Mreža kontrolne veze klastera
Svaki “cluster control link” ima IP adresu na istom segmentu. Taj segment bi
trebao biti izoliran od drugog prometa i treba uključivati samo ASA “cluster control
39
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
link” sučelja. Za dvočlani klaster, ne uključuje se “cluster control link” direktno iz
jedne ASA-e u drugu. Ako direktno spojite sučelja, kada jedna jedinica ispadne,
“cluster control link” ispadne i tako ostatak zdravlja jedinice ispadne. Ako spojite
“cluster control link” kroz preklopnik tada “cluster control link” ostaje aktivan za
zdravu jedinicu. [12]
5.5.2 Latencija i sigurnost kontrolne veze klastera
Za osiguranje “cluster control link” funkcionalnosti, treba biti siguran da „round-trip
time“ (RTT) između jedinica je manji od 5 milisekundi. [12]
Za provjeru latencije, napraviti „ping“ na „cluster control linku“ između jedinica.
“cluster control link” mora biti siguran i pouzdan, bez odbačenih paketa i bez paketa
dostavljenih van redoslijeda. [12]
5.5.3 Greške kod kontrolne veze klastera
Ako “cluster control link” ispadne za jedinicu, tada je “clustering” ugašen.
Podatkovna sučelja su ugašena dok se ručno ponovno ne uspostavi “clustering” na
svakoj jedinici na koju je utjecao ispad. Kada ASA postane ne aktivna, sva
podatkovna sučelja su ugašena, dok samo menadžment sučelje može slati i primati
promet. Menadžment sučelje ostaje aktivno koristeći IP adresu koju je jedinica dobila
iz klaster bazena IP adresa. Međutim ako se restarta, i ako je jedinica i dalje ne
aktivna u klasteru, menadžment sučelje nije dostupno, jer tada koristi glavnu IP
adresu, koja je ista kao kod “master” jedinice. Mora se koristiti konzolni port za
daljnju konfiguraciju. [12]
5.7 Visoka dostupnost s asa klasterom
“master” jedinica nadgleda sve “slave” jedinice šaljući im poruke za održavanje
veze preko “cluster control linka” periodički, s time da je period konfigurabilan. Svaka
“slave” jedinica nadgleda “master” jedinicu koristeći isti mehanizam. [12]
40
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.7.1 Nadgledanje sučelja
Svaka jedinica nadgleda status veze svih hardverskih sučelja koji se koriste, i
obavještava “master” jedinicu pri promjeni statusa. [12]
„Spanned EtherChannel“ koristi „Link Aggregation Control Protocol“ („LACP“).
Svaka jedinica nadgleda status veze i „LACP“ protokolne poruke da odredi da li je
port još uvijek aktivan u “EtherChannel”. Statusom je obaviještena “master” jedinica.
[12]
Kod individualnih sučelja svaka jedinica radi nadgledanje vlastitih sučelja i
obavještava statuse sučelja “master” jedinici. [12]
5.7.2 Kvar sučelja ili jedinice
Kada je „health monitoring“ upaljen, jedinica je maknuta iz klastera ako je u kvaru
ili ako su sučelja u kvaru. Ako je sučelje u ispadu na posebnoj jedinici, ali isto sučelje
je aktivno na drugim jedinicama, tada je jedinica maknuta iz klastera. Kada jedinica
u klasteru postane nedostupna, konekcije koje je držala ta jedinica su neprimjetno
proslijeđene na druge jedinice. Informacija o stanjima prometnog toka je podijeljena
preko “cluster control linka”. Ako “master” jedinica ispadne, onda drugi član klastera s
najvećim prioritetom postaje “master”.[12]
5.7.4 Replikacija stanja konekcija
Svaka konekcija ima jednog vlasnika i barem jednog rezervnog vlasnika u
klasteru. Rezervni vlasnik ne preuzima konekcije prilikom kvara. Umjesto toga
sprema TCP/UDP informacije stanja, tako da se konekcija može neprimjetno
prebaciti na novog vlasnika u slučaju kvara. Ako vlasnik postane nedostupan, prva
jedinica koja primi paket od konekcije kontaktira rezervnog vlasnika o relevantnom
stanju informacija tako da on može postati novi vlasnik. [12]
41
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Sve jedinice u klasteru dijele jednu konfiguraciju. Osim inicijalne „bootstrap“
konfiguracije, promjene konfiguracije se mogu raditi samo na “master” jedinici, i
promjene su automatski replicirane na sve druge jedinice u klasteru.[12]
5.8 Asa klaster menadžment
Preporuča se spajanje svih jedinica na jednu menađment mrežu. Ta mreža je
odvojena od “cluster control linka”. [12]
5.8.1 Menadžment sučelje
Za menadžment sučelje se preporučuje korištenje jednog od sučelja posvećenih
menadžmentu. Može se konfigurirati menadžment sučelje kao individualno sučelje ili
kao „Spanned EtherChannel“ sučelje. [12]
Preporučljivo je korištenje individualnih sučelja za menadžment, bez obzira koristi
li se „Spanned EtherChannel“ za podatkovna sučelja. Individualna sučelja dopuštaju
spajanje direktno na pojedinačnu jedinicu ako je potrebno, dok „Spanned
EtherChannel“ sučelje samo dopušta udaljeno spajanje na trenutnu “master” jedinicu.
[12]
Ako koristite „Spanned EtherChannel“ sučelje kao način rada i konfigurirate
menadžment sučelje kao individualno sučelje, tada nije moguće upaliti dinamičko
usmjeravanje za menadžment sučelje već je potrebno koristiti statičku rutu. [12]
Za individualna sučelja, glavna klaster IP adresa je fiksna adresa za klaster koja
uvijek pripada trenutnoj “master” jedinici. Za svako sučelje potrebno je konfigurirati
raspon adresa tako da svaka jedinica, uključujući “master” jedinicu, može koristiti
lokalnu adresu iz raspona. Glavna klaster IP adresa pruža dosljedni menadžment
pristup na adresu. Kada se “master” jedinica promjeni, glavna klaster IP adresa se
mijenja na novu “master” jedinicu, tako da menadžment klastera nastavlja
neprekidan rad. Lokalna IP adresa je korištena za usmjeravanje, i korisna je kod
traženja i rješavanja problema. [12]
Moguće je upravljati klasterom spajanjem na glavnu klaster IP adresu, koja je
uvijek pridodijeljena “master” jedinici. Da bi se upravljalo s individualnim članom,
moguće se spojiti na lokalnu IP adresu. [12]
Za izlazni menadžment promet poput „TFTP“ ili „syslog“, svaka jedinica uključujući
“master” jedinicu koristi lokalnu IP adresu da se spoji na server. Za „Spanned
42
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
EtherChannel“ sučelja, moguće je konfigurirati samo jednu IP adresu, i ta IP adresa
je uvijek pridodijeljena “master” jedinici. Nije moguće direktno se spojiti na “slave”
jedinicu koristeći “EtherChannel” sučelje, stoga se preporučuje konfiguriranje
menadžment sučelja kao individualno sučelje kako bi se moglo spojiti na svaku
jedinicu. [12]
Osim „bootstrap“ konfiguracije, sav menadžment i nadgledanje se može raditi na
“master” jedinici. Sa “master” jedinice mogu se pratiti statistike, korištenje resursa, ili
druge informacije nadgledanja svih jedinica. Isto tako može se pokrenuti komanda
svim jedinicama u klasteru i replicirati konzolnu poruku sa “slave” jedinice do “master”
jedinice. [12]
Kada se kreira „RSA“ ključ na “master” jedinici, ključ je repliciran na sve “slave”
jedinice. Ako postoji „SSH“ sesija na glavnoj klaster IP adresi, dogodit će se
isključenje ako “master” jedinica ispadne. Nova “master” jedinica koristi isti ključ za
„SSH“ konekcije, tako da nije potrebno ažurirati spremljeni „SSH“ ključ kada se
ponovno spoji na novu “master” jedinicu. [12]
5.9 Metode optimalnog balansiranja opterećenja prometa
5.9.1 Grupirana sučelja
Moguće je grupirati jedno ili više sučelja po jedinici u “EtherChannel” koji obuhvaća
sve jedinice u klasteru. “EtherChannel” agregira promet kroz sva dostupna aktivna
sučelja u kanalu. [12]
“EtherChannel” metoda balansiranja opterećenja prometa je preporučena metoda
pred drugima zbog:
- Bržeg otkrivanje greške. [12]
- Bržeg vremena konvergencije. [12]
- Lakše konfiguracije. [12]
5.9.2 Upute za maksimalnu propusnost
Da bi se ostvarila maksimalna propusnost, preporučuje se sljedeće:
43
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
- Koristiti „hash“ algoritam koji je simetričan, što znači da paketi iz oba smjera
će imati isti „hash“, i bit će slani na istu ASA-u u „Spanned EtherChannel“.
Preporučeno je korištenje izvorišne i destinacijske IP adrese ili izvorišnog i
destinacijskog porta kao „hash“ algoritam. [12]
- Koristiti isti tip linijske kartice kada se ASA-e spajaju na preklopnik tako da je
„hash“ algoritam dodijeljen svim paketima jednak. [12]
5.9.3 Redundancija kod grupiranih sučelja
“EtherChannel” je napravljen u redundanciji. On nadgleda protokolni status veze
za sve veze. Ako jedna veza padne, promet je izbalansiran između preostalih veza.
Ako sve veze “EtherChannel” padnu na posebnoj jedinici, ali ostale jedinice su
aktivne, tada je jedinica maknuta iz klastera.[12]
5.10 Kako asa klaster upravlja konekcijama?
5.10.1 Konekcijske role
Postoje 3 različite ASA role definirane za svaku konekciju:
1. „Owner“ je jedinica koja na početku dobije konekciju. „Owner“ upravlja „TCP“
stanjem i procesuira pakete. Konekcija ima samo jednog vlasnika. [12]
2. “Director“ je jedinica koji rukovodi potragom vlasničkog zahtjeva od „forwarder“
jedinice i isto tako upravlja konekcijskim stanjima gdje služi kao rezerva ako vlasnik
bude u ispadu. Kada „owner“ dobije novu konekciju, odabire „directora“ bazirano na
„hashu“ izvorišne i destinacijske IP adrese i „TCP“ porta i šalje poruku direktoru da
registrira novu konekciju. Ako paket dođe na neku drugu jedinicu koja nije „owner“,
jedinica upita direktora koja je jedinica „owner“ da mu može proslijediti pakete.
Konekciju ima samo jedan „director“. [12]
3.„Forwarder“ je jedinica koji prosljeđuje paket do „ownera“. Ako „forwarder“ dobije
paket od konekcije koje nije vlasnik, upitkuje „directora“ za „ownera“, i uspostavlja tok
prema „owneru“ za bilo koji drugi paket ako ga dobije za tu konekciju. „Director“ isto
može biti „forwarder“. Ako „forwarder“ dobije „SYN-ACK“ paket, može izvući „owner“
jedinicu direktno iz „SYN“ kolačića u paketu, tako da ne mora pitati „directora“ za
44
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
informaciju. Za kratkotrajne tokove kao kod „DNS“ i „ICMP“ protokola umjesto upita
„forwarderu“ momentalno šalje pakete „directoru“, koji ih onda šalje svojem „owneru“.
Konekcija može imati više „forwardera“. Najefikasnija propusnost je dobivena s
dobrom metodom balansiranja opterećenja prometa gdje nema „forwardera“ i svi
paketi konekcije su dobiven od „ownera“. [12]
5.10.2 Jednostavni tok podataka
Slika 9 Tok podataka ASA “clustering” [12]
1. „SYN“ paket potječe od klijenta i dostavljen je na ASA-u koja postaje „owner“.
„Owner“ kreira tok, šifrira „owner“ informacije u „SYN“ kolačiću, i prosljeđuje ih
prema serveru. [12]
2. „SYN-ACK“ paket potječe od servera i dostavljen je na drugu ASA-u. Ta ASA
je „forwarder“. [12]
3. Zato što „forwarder“ ne posjeduje konekciju, on dekodira „owner“ informaciju
od „SYN“ kolačića, kreira proslijednički tok do „ownera“ i prosljeđuje „SYN-
ACK“ do „ownera“. [12]
4. „Owner“ šalje ažuriranu informaciju do direktora i prosljeđuje „SYN-ACK“ do
klijenta
5. Direktor dobiva ažuriranu informaciju od „ownera“ i kreira tok do „ownera“ i
bilježi „TCP“ stanje informacije kao i „owner“. „Director“ se ponaša kao rezerva
„owneru“ za konekciju. [12]
45
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
6. Bilo koji sljedeći paket koji je dostavljen „forwarderu“, bit će proslijeđen
„owneru“. [12]
7. Ako su paketi dostavljeni na bilo koju dodatnu jedinicu, oni će pitati „directora“
za „ownera“ i uspostaviti tok. [12]
8. Bilo koja promjena stanja za rezultat toka je u ažurnosti od „ownera“ prema
„directoru“. [12]
5.11 Konfiguriranje asa klastera
Za paljenje ili gašenje “clusteringa“ potrebno je koristiti konzolnu konekciju. [12]
5.11.1 Koraci za konfiguraciju asa klastera
1. Kompletirati svu prekonfiguraciju na preklopnicima i ASA-ma uključujući
preduvjete za ASA “clustering”. [12]
2. Kablirati opremu. Prije konfiguriranja “clusteringa“, kablirati “cluster control
link” mrežu, menadžment mrežu i podatkovne mreže. [12]
3. Konfigurirati način rada za sučelja. Moguće je konfigurirati jedan tip sučelja za
“clustering” „Spanned EtherChannel“ ili individualna sučelja. [12]
4. Konfigurirati sučelja za “clustering” na „master” jedinici. Nemoguće je upaliti
“clustering” ako sučelja nisu spremna za “clustering”. [12]
5. Konfigurirati „bootstrap“ postavke i upaliti “clustering” na “master” jedinici.
6. Konfigurirati „bootstrap“ postavke za svaku “slave” jedinicu. [12]
7. Konfigurirati sigurnosnu politiku na “master” jedinici. Konfiguracija je
replicirana na “slave” jedinice. [12]
5.11.2 Konfiguriranje klaster sučelja na svakoj jedinici
Potrebno je postaviti način rada odvojeno na svakoj ASA-i koju se želi dodati u
klaster. „Transparent“ način rada podržava samo „Spanned EtherChannel“. Za
višestruke sigurnosne kontekste, konfigurirati ovu postavku u sistemskom
konfiguracijskom prostoru. [12]
5.11.2.1 Detaljni koraci
46
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1
"check-details" komanda pokazuje bilo koju ne kompatibilnu
konfiguraciju. Komanda služi za provjeru konfiguracije bez obzira koji način rada se odabere. Način
rada se ne mijenja s ovom komandom.
ciscoasa(config)# cluster interface-mode spanned check-details
2
Postavljanje načina rada sučelja za “clustering”. Ne postoji
standardna postavka, odnosno potrebno je eksplicitno izabrati način rada. Ako niste postavili
način rada, nemoguće je upaliti “clustering”. „Force“ opcija mijenja
način rada bez provjere konfiguracije za ne kompatibilne postavke. Bez „force“ opcije, ako postoji bilo koja ne kompatibilna
konfiguracija, bit će potrebno izbrisati konfiguraciju i restartati,
isto tako potrebito će biti spojiti se na konzolni port za
rekonfiguriranje menadžment pristupa. Ako je vaša konfiguracija
kompatibilna način rada je promijenjen i konfiguracija je
sačuvana.
ciscoasa(config)#cluster interface-mode spanned force
Tablica 7 Konfiguriranje klaster sučelja[12]
5.11.3 Konfiguracija sučelja na glavnoj jedinici
Potrebno je promijeniti svako sučelje koje je trenutno konfigurirano s IP adresom,
da bude spremno za klaster prije nego se upali “clustering”. Preporučljivo je da se
nanovo konfiguriraju sva sučelja tako da je kompletna konfiguracija sinkronizirana s
novim klaster članovima. Mogu se konfigurirati podatkovna sučelja „Spanned
EtherChannel“ ili individualna sučelja. Svaka metoda koristi različiti mehanizam za
balansiranje opterećenja prometa. Jedino se menadžment sučelje može konfigurirati
da bude individualno sučelje čak i u „Spanned EtherChannel“ načinu rada. [12]
47
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.11.4 Konfiguriranje individualnih sučelja
Individualna sučelja su normalna usmjernička sučelja, svaki sa svojom vlastitom IP
adresom uzetom iz bazena IP adresa. Glavna klaster IP adresa je fiksirana za klaster
koji uvijek pripada trenutnoj “master” jedinici. U „Spanned EtherChannel“ načinu rada
poželjno je konfiguriranje menadžment sučelja kao individualno sučelje. Individualno
menadžment sučelje dozvoljava spajanje direktno na svaku jedinicu ako je potrebno,
dok „Spanned EtherChannel“ sučelje samo dozvoljava spajanje na trenutnu “master”
jedinicu. [12]
Prilikom načina rada s višestrukim sigurnosnim kontekstima, potrebno je pružiti
proceduru u svakom kontekstu. Individualna sučelja zahtijevaju konfiguraciju
balansiranja opterećenja prometa na susjednim uređajima. Eksterno balansiranje
opterećenja nije potrebno za menadžment sučelje. Sučelja korištena za menadžment
ne mogu biti redundantna sučelja. [12]
5.11.4.1 Detaljni koraci
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1
Konfigurira se bazen lokalnih IP adresa (IPv4 i/ili IPv6). Jedna će biti dodijeljena svako klaster jedinici za
sučelje. Potrebno je uključiti najmanje toliko adresa koliko je
jedinica u klasteru. Ako je u planu proširivati klaster, moraju se uključiti dodatne adrese. Glavna klaster IP
adresa koja pripada “master” jedinici nije dio ovog bazena. Potrebno je
rezervirati IP adresu na istoj mreži za glavnu klaster IP adresu. Svakom članu klastera je dodijeljen članski
identifikator kada se pridruži klasteru. ID je određen lokalnom IP adresom
korištenom iz bazena.
ciscoasa(config)# ip local pool ins 192.168.1.2-192.168.1.9
ciscoasa(config-if)# ipv6 local pool insipv6 2001:DB8::1002/32
8
2 Pristupiti načinu rada za konfiguraciju sučelja.
ciscoasa(config)# interface tengigabitethernet 0/8
48
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
3Postavlja se sučelje u način rada
samo za menađment, gdje ne prosljeđuje promet.
ciscoasa(config-if)# management-only
4
Postavlja se glavna klaster IP adresa i identificira bazen klastera. Ova IP adresa mora biti na istoj mreži kao i klaster adrese iz bazena, ali ne biti
dio bazena.
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
cluster-pool insciscoasa(config-if)# ipv6 address 2001:DB8::1002/32 cluster-pool
insipv6
5 Postavlja se sigurnosni nivo, gdje je broj između 0 i 100.
ciscoasa(config-if)# security-level 100
6 Upaliti sučelje ciscoasa(config-if)# no shutdownTablica 8 Konfiguriranje individualnih sučelja[12]
5.11.5 Konfiguriranje grupiranih sučelja u klasteru
Obuhvaća sve ASA-e u klasteru i pruža balansiranje opterećenja prometa kao dio
„EtherChannel“ operacije. Potrebno se nalaziti u „Spanned EtherChannel“
konfiguraciji sučelja. [12]
Za višestruke sigurnosne kontekste, konfigurirati ovu postavku u sistemskom
konfiguracijskom prostoru. Za transparentni način rada potrebno je konfigurirati
„bridge“ grupu. [12]
5.11.5.1 Detaljni koraci
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1
Specificira se sučelje kojega se želi dodati u grupu. Prvo sučelje u grupi određuje tip i brzinu za sva druga
sučelja u grupi.
ciscoasa(config)# interface gigabitethernet 0/0
2
Dodijeliti sučelje “EtherChannel” sa „channel_id“ između 1 i 48. Samo je „active“ način rada podržan za
„Spanned EtherChannel“.
ciscoasa(config-if)# channel-group 1 mode active
3 Paljenje sučelja. ciscoasa(config-if)# no shutdown
4 Specificira se „port-channel“ sučelje.
ciscoasa(config)# interface port-channel 1
5 Postavlja “EtherChannel” u „Spanned EtherChannel“.
ciscoasa(config-if)# port-channel span-cluster
49
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
6
Moguće je postaviti „Ethernet“ postavke za „port-channel“ sučelje
da se nadglasaju postavke postavljene na individualnim sučeljima. Ova metoda pruža
prečac da se postave ti parametri jer se ti parametri moraju slagati za
sva sučelja u „channel“ grupi.
7
Ako se kreira VLAN podsučelje na taj “EtherChannel”, napraviti to sada, ostatak procedure leži na
podsučeljima.
ciscoasa(config)# interface port-channel 1.10
ciscoasa(config-if)# vlan 10
8
Dodijeliti sučelje kontekstu. Za način rada s višestrukim
sigurnosnim kontekstima ostatak konfiguracije sučelja se događa
unutar svakog konteksta.
ciscoasa(config)# context adminciscoasa(config)# allocate-interface
port-channel1ciscoasa(config)# changeto context
adminciscoasa(config-if)# interface port-
channel 1
9
Imenovati sučelje, ime je „string“ do 48 znakova, i nije osjetljiv na velika i mala slova, moguće je promijeniti ime samo ponovno unijeti komandu
sa novom vrijednosti.
ciscoasa(config-if)# nameif inside
10
Ovisi o načinu rada vatrozida. „ROUTED“ -postavlja se IPv4 i/ili IPv6 adresa. „TRANSPARENT“
način rada - dodijeliti sučelje „bridge“ grupi, gdje se odabere broj
od 1 do 100 za oznaku grupe. Moguće je postaviti do 4 sučelja u „bridge“ grupu. Ne može se isto sučelje postaviti u više „bridge“
grupa.
„ROUTED“ ciscoasa(config-if)# ip address
10.1.1.1 255.255.255.0ciscoasa(config-if)# ipv6 address
2001:DB8::1001/32 "TRANSPARENT"
ciscoasa(config-if)# bridge-group 1
11
Potrebno je konfigurirati MAC adresu za „Spanned EtherChannel“
tako da se MAC adresa ne promjeni kada trenutna “master” jedinica napusti klaster. S ručno konfiguriranom MAC adresom, MAC adresa ostaje s trenutnom
“master” jedinicom.
ciscoasa(config-if)# mac-address 000C.F142.4CDE
Tablica 9 Konfiguriranje „spanned etherchannel“ [12]
50
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.11.6 Konfiguriranje inicijalnih postavki za glavnu jedinicu
Svaka jedinica u klasteru zahtjeva „bootstrap“ konfiguraciju da bi se pridružila
klasteru. Tipično prva jedinica koju konfigurirate da se pridruži klasteru će biti
“master”. Nakon paljenja “clustering” opcije, nakon perioda odabira, klaster odabire
“master” jedinicu. Sa samo jednom jedinicom u klasteru inicijalno, ta jedinica će
postati “master” jedinica. Naknadno dodana jedinica u klaster će biti “slave” jedinica.
[12]
5.11.6.1 Paljenje sučelja kontrolne klaster veze
Potrebno je upaliti “cluster control link” sučelje prije nego ga se pridruži klasteru.
Kasnije će se identificirati sučelje kao “cluster control link” kada se upali “clustering”.
Konfiguracija “cluster control link” sučelja nije replicirana sa “master” jedinice na
“slave” jedinice. Međutim moraju se koristiti iste postavke konfiguracije na svakoj
jedinici. Potrebno je konfigurirati “cluster control link” sučelje na svakoj jedinici
pojedinačno. [12]
5.11.6.2 Detaljni koraci za individualno sučelje
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1 Odabrati sučelje.ciscoasa(config)#
interface tengigabitethernet 0/6
2
Samo je potrebno upaliti sučelje, ne
treba mu se konfigurirati ime niti
drugi parametri.
ciscoasa(config-if)# no shutdown
Tablica 10 Konfiguriranje „bootstrap“ postavki za “master” jedinicu s individualnim sučeljem[12]
5.11.6.3 Detaljni koraci za etherchannel sučelje
51
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1 Odabrati sučelje. ciscoasa(config)# interface tengigabitethernet 0/6
2
Dodijeliti fizičko sučelje u
“EtherChannel” sa argumentom
„channel ID“ sa brojem između 1 i 48. Preporučuje se
korištenje „ON“ načina rada za
“cluster control link” sučelje da se smanji nepotrebni promet na “cluster control linku".
ciscoasa(config-if)# channel-group 1 mode on
3 Paljenje sučelja ciscoasa(config-if)# no shutdown
4
Ponoviti za svako dodatno sučelje
kojega se želi dodati u “EtherChannel”.
ciscoasa(config)# interface tengigabitethernet 0/7
ciscoasa(config-if)# channel-group 1 mode on
ciscoasa(config-if)# no shutdown
Tablica 11 Konfiguriranje „bootstrap“ postavki za “master” jedinicu “EtherChannel”[12]
5.11.7 Konfiguriranje osnovnih postavki i paljenje klastera
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1
Specificira se maksimalna jedinica za transmisiju za
“cluster control link” sučelje, između 64 i 65535 bajta, standardno je 1500 bajta.
Preporučuje se postavka MTU do 1600 bajta ili više.
Ciscoasa(config)# mtu cluster 9000
2
Imenuje se klaster i ulazi se u klaster konfiguraciju. Ime može
sadržavati 1 do 38 znakova. Moguće je konfigurirati jednu klaster grupu po jedinici. Svi
članovi klastera moraju koristiti isto ime.
Ciscoasa(config)# cluster group pod1
52
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
3
Imenuje se član klastera s jedinstvenim znakovljem od 1 do 38 znakova. Svaka jedinica
mora imati jedinstveno ime, duplicirano ime neće biti
dodano klasteru.
Ciscoasa(cfg-cluster)# local-unit unit1
4
Specificira se “cluster control link” sučelje, gdje se preferira “EtherChannel”. Podsučelja i
menadžment sučelja nisu dozvoljena. Potrebno je
specificirati „IPv4“ adresu, „IPv6“ nije podržan za ovo
sučelje.
Ciscoasa(cfg-cluster)# cluster-interface port-
channel2 ip 192.168.1.1 255.255.255.0
5
Postaviti prioritet ove jedinice za “master” jedinicu, odabir
između 1 i 100, gdje je 1 najveći prioritet.
Ciscoasa(cfg-cluster)# priority 1
6
Postavljanje autentikacijskog ključa za kontrolni promet na „cluster control linku“. Ključ može biti „string“ od 1 do 63
znaka.
Ciscoasa(cfg-cluster)# key chuntheunavoidable
7
Paljenje “clusteringa“. Kada se unese „enable“ komanda, ASA skenira konfiguraciju koja se
pokreće zbog ne kompatibilnih komandi za svojstva koji nisu
podržana “clusteringom“, uključujući komande koje mogu biti prezentirane u standardnoj konfiguraciji. Koristi „noconfirm“
argument da se izbjegne potvrda i brisanje ne
kompatibilnih komandi automatski. Za upaljenu prvu
jedinicu, događa se odabir “master” jedinice. Kako je prva jedinica jedini član klastera do
sad, postat će “master” jedinica.
Ciscoasa(cfg-cluster)# enable
Tablica 12 Konfiguriranje osnovnih „bootstrap“ postavki i paljenje “clusteringa“ [12]
5.11.8 Konfiguriranje sporedne jedinice
Sljedeći primjer konfigurira menadžment sučelje, „EtherChannel“ za “cluster
control link” i onda se pali “clustering” za ASA-u nazvanu unit1. [12]
53
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Ciscoasa2(config)#ip local pool mgmt 10.1.1.2-10.1.1.9
Ciscoasa2(config)#ipv6 local pool mgmtipv6 2001:DB8::1002/32 8
Ciscoasa2(config)#interface management 0/0
Ciscoasa2(config-if)#nameif management
Ciscoasa2(config-if)#ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt
Ciscoasa2(config-if)#ipv6 address 2001:DB8::1001/32 cluster-pool mgmtipv6
Ciscoasa2(config-if)#security-level 100
Ciscoasa2(config-if)#management-only
Ciscoasa2(config-if)#no shutdown
Ciscoasa2(config)#interface tengigabitethernet 0/6
Ciscoasa2(config-if)#channel-group 1 mode on
Ciscoasa2(config-if)#no shutdown
Ciscoasa2(config)#interface tengigabitethernet 0/7
Ciscoasa2(config-if)#channel-group 1 mode on
Ciscoasa2(config-if)#no shutdown
Ciscoasa2(config)#cluster group pod1
Ciscoasa2(cfg-config)#local-unit unit1
Ciscoasa2(cfg-config)#cluster-interface port-channel1 ip 192.168.1.2 255.255.255.0
Ciscoasa2(cfg-config)#priority 1
Ciscoasa2(cfg-config)#key chuntheunavoidable
Ciscoasa2(cfg-config)#enable noconfirm
5.11.9 Konfiguriranje inicijalnih postavki za sporednu jedinicu
Potrebno je koristiti konzolni port da se upali ili ugasi “clustering”. Ne može se
koristiti „Telnet“ ili „SSH“. [12]
S iznimkom “cluster control linka”, bilo koje sučelje u konfiguraciji mora biti
konfigurirano s bazenom IP klastera ili kao „Spanned EtherChannel“ prije paljenja
“clusteringa“ oviseći o načinu rada sučelja. [12]
54
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
5.11.9.2 Sučelje kontrolne klaster veze
Potrebno je konfigurirati isto “cluster control link” sučelje kako je konfigurirano na
“master” jedinici. [12]
Koraci za individualno sučelje:
KORAK OBJAŠNJENJE
KOMANDA PRIMJER
1
Ući u konfiguraciju
sučelja.
ciscoasa(config)# interface
tengigabitethernet 0/6
2
Potrebno je samo upaliti sučelje, ne treba mu se konfigurirati ime niti drugi parametri.
ciscoasa(config-if)# no shutdown
Tablica 13 Konfiguriranje „bootstrap“ postavki za “slave” jedinicu[12]
Koraci za “EtherChannel” sučelje:
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1 Ući u konfiguraciju sučelja. ciscoasa(config)# interface tengigabitethernet 0/6
2
Dodijeliti fizičko sučelje u “EtherChannel” sa
„channel ID“ sa brojem između 1 i 48.
ciscoasa(config-if)# channel-group 1 mode on
3 Paljenje “EtherChannel” sučelja. ciscoasa(config-if)# no shutdown
4Ponoviti za svako dodatno
sučelje kojega želite dodati u “EtherChannel”.
ciscoasa(config)# interface tengigabitethernet 0/7
ciscoasa(config-if)# channel-group 1 mode on
ciscoasa(config-if)# no shutdownTablica 14 Konfiguracija “EtherChannel” sučelja[12]
5.11.10 Konfiguriranje inicijalnih postavki i dodavanje u klaster
55
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
KORAK OBJAŠNJENJE KOMANDA PRIMJER
1
Specificira se maksimalna jedinica za transmisiju za
“cluster control link” sučelje, između 64 i 65535 bajta, standardno je 1500 bajta.
Preporučuje se postavka MTU do 1600 bajta ili više.
Ciscoasa(config)# mtu cluster 9000
2
Imenuje se klaster i ulazi se u klaster konfiguraciju. Ime može
sadržavati 1 do 38 znakova. Moguće je konfigurirati jednu klaster grupu po jedinici. Svi
članovi klastera moraju koristiti isto ime.
Ciscoasa(config)# cluster group pod1
3
Imenuje se član klastera s jedinstvenim znakovljem od 1 do 38 znakova. Svaka jedinica
mora imati jedinstveno ime, duplicirano ime neće biti
dodano klasteru.
Ciscoasa(cfg-cluster)# local-unit unit1
4
Specificira se “cluster control link” sučelje, gdje se preferira “EtherChannel”. Podsučelja i
menađment sučelja nisu dozvoljena. Potrebno je
specificirati „IPv4“ adresu, „IPv6“ nije podržan za ovo
sučelje.
Ciscoasa(cfg-cluster)# cluster-interface port-
channel2 ip 192.168.1.1 255.255.255.0
5
Postaviti prioritet ove jedinice za “master” jedinicu, odabir
između 1 i 100, gdje je 1 najveći prioritet.
Ciscoasa(cfg-cluster)# priority 1
6
Postavljanje autentikacijskog ključa za kontrolni promet na „cluster control linku“. Ključ može biti string od 1 do 63
znaka.
Ciscoasa(cfg-cluster)# key chuntheunavoidable
7
Paljenje “clusteringa“. Mogu se izbjeći bilo kakve konfiguracijske ne kompatibilnosti, korištenjem „enable as-slave“ komande.
Ciscoasa(cfg-cluster)# enable as-slave
56
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Ova komanda osigurava da “slave” se pridruži klasteru s nikakvom mogućnosti da postane “master”. Njegova konfiguracija je prepisana sa sinkroniziranom konfiguracijom od “master” jedinice.
Tablica 15 Konfiguriranje „bootstrap“ postavki i dodavanje u klaster[12]
5.12 Provjera funkcionalnosti Provjeru funkcionalnosti klastera moguće je provjeriti s komandom „show cluster
info“.
Slika 10 Izvršena naredba „show cluster info“ koja pokazuje osnovne detalje uređaja koji su u klasteru.
Na slici 10 je izvršena komanda „show cluster info“ koja pokazuje kako se u
klasteru nalaze dva uređaja s imenima Ciscoasa i Ciscoasa2. S komandom je vidljivo
kako se za način rada sučelja odabrao „spanned etherchannel“, isto tako vidljivo je
vrijeme od kada su uređaji u klasteru, te njihove IP i MAC adrese. S ovom
komandom je moguće potvrditi funkcionalnost konfiguracije klastera.
57
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
6.ANALIZA TRŽIŠTA6.1 Juniper
“Redundant routing engine” su dva usmjernička uređaja koja su instalirana na istu
usmjerničku platformu. Jedan ima funkciju “master” jedinice dok drugi se drži kao
rezerva ukoliko “master” uređaj ispadne. [13]
Kada je usmjernički uređaj konfiguriran kao “master”, on ima cjelokupne
funkcionalnosti. On dobiva i šalje usmjerničke informacije, gradi održava usmjerničke
tablice, komunicira sa sučeljima i „Packet Forwarding Engine“ komponentama i ima
potpunu kontrolu nad svojom šasijom. Kada je usmjernički uređaj konfiguriran kao
rezerva, on ne komunicira sa „Packet Forwarding Engine“ ili komponentama šasije.
[13]
“Failover” sa “master routing engine“ na rezervni „routing engine” se događa
automatski kada “master routing engine“ doživi hardversku grešku ili kada se
konfigurirao softver koji podržava promjene u upravljanju bazirane na specifičnim
uvjetima. Isto tako možete ručno promijeniti „routing engine mastership“ izdavanjem
jedne od komandi „request chassis routing-engine“.[13]
Kada se “failover” ili “switchover” dogodi, rezervni „routing engine“ uzima kontrolu
nad sustavom kao novi “master routing engine“.[13]
Ako „graceful routing engine switchover“ nije konfiguriran kada rezervni „routing
engine“ postaje “master”, on resetira konekcije i preuzima vlastitu verziju kernela do
„packet forwarding engine“ komponentni. Promet je isprekidan dok se „packet
58
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
forwarding engine“ ne reinicijalizira. Svi kernel i prosljeđivački procesi su restartani.
[13]
Ako je „graceful routing engine switchover“ konfiguriran na sučeljima i kernel
informacije su očuvane. “Switchover” je brži jer „packet forwarding engines“ nisu
resetirani. Novi “master routing engine“ resetira usmjerničke protokolne procese.[13]
Ako „graceful routing engine switchover” i „nonstop active routing“ su konfigurirani,
promet nije isprekidan tijekom “switchovera“. Sučelja, kernel i usmjerničke protokolne
informacije su očuvane.[13]
Ako „graceful routing engine switchover“ i „graceful restart“ su konfigurirani, promet
nije isprekidan tijekom “switchovera“. Sučelja i kernel informacije su očuvane.
Ekstenzija „graceful restart“ protokola brzo skuplja i vraća usmjerničke informacije od
svojih susjednih usmjernika.[13]
6.1.1 Uvjeti koji okidaju prijenos instanci
Sljedeći događaji mogu rezultirati automatskom promjenom „routing engine“
upravljača:
- Usmjernička platforma doživi hardversku pogrešku. Promjena u upravljanju
„routing engine“ dogodi se ako “routing engine” ili povezani host modul ili
podsustav se iznenada isključi. Isto tako moguće je konfigurirati rezervni
“routing engine” da preuzme upravljanje ako detektira grešku na tvrdom disku
na „master routing engine”.[13]
- Ukoliko usmjernička platforma doživi softverski kvar, poput razbijanja kernela
ili zaključavanja procesora. Potrebno je konfigurirati rezervni “routing engine”
da preuzme upravljanje kada se detektira gubitak signala koji održava
komunikaciju.[13]
- Ako usmjernička platforma doživi grešku na „em0“ sučelju na “master routing
engine”. Potrebno je konfigurirati rezervni “routing engine” da preuzme
upravljanje kada detektira grešku na „em0“ sučelju.[13]
- Ako specifični softverski proces ispadne. Moguće je konfigurirati rezervni
“routing engine” da preuzme upravljanje kada jedan ili više specifičnih procesa
ispadne najmanje 4 puta u razmaku od 30 sekundi.[13]
59
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Ako se bilo koji od ovih uvjeta pojavi, poruka je spremljena i rezervni “routing
engine” preuzima upravljanje. Po standardu alarm je generiran kada rezervni “routing
engine” postane aktivan. Nakon što rezervni “routing engine” preuzme upravljanje, on
nastavlja funkciju kao “master” čak iako se originalno konfigurirani “master routing
engine” vratio u normalu. Potrebno je ručno ga povratiti u prethodni status.[13]
6.1.2 Načini rada visoke dostupnosti kod junipera
Juniper uređaji SRX serije podržavaju način rada visoke dostupnosti za
redundanciju. Moguće je upogoniti SRX uređaje da rade u visoko dostupnom načinu
rada. Postoje dva tipa visoko dostupnog načina rada kod Junipera: „Active/Active“ i
„Active/Pasive“.[13]
6.1.2.1 Active/pasive
Slika 11 Prikaz spojenih Juniper vatrozida u „A/S“ modelu[13]
Na slici su prikazana 2 SRX 240 usmjernika u klasteru te se nazivaju čvor 0 i čvor
1. U „active/pasive“ načinu rada čvor 0 aktivno šalje podatkovni promet dok čvor 1
pasivno čeka da čvor 0 ispadne. Pri ispadu čvor 0, čvor 1 će prosljeđivati promet.
Dokle god je čvor 0 aktivan on aktivno sinkronizira sesije do čvora 1, međutim nisu
sve informacije sinkronizirane. Primjera radi ako čvor 0 ispadne dok je učio rute od
„OSPF“ protokola tada se neće moći potpuno sinkronizirati s usmjernikom čvora 1.
60
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Ovo je mana ovakvog načina rada. Na slici postoje dva „reth“ sučelja, „reth0“ i „reth1“
u istoj redundantnoj grupi 1. „Reth0“ je za Internet i reth 1 je za internu mrežu. [13]
U ovom načinu rada, čvor 0 ima cijelo opterećenje prometa dok čvor 1 je
slobodan. Ovaj način rada je najčešće korišten u srednje velikim mrežama gdje
balansirano opterećenje prometa nije potrebno. Kod implementacije ovog načina
rada postoji rizik. Rizik je taj da čvor 1 uređaj može biti van funkcije i kada čvor 0
ispadne jer do sada čvor 1 nije slao ni primao promet. Uređaj je bio besposlen dugo
vremena i sada odjedanput mora prosljeđivati cijeli promet. [13]
6.1.2.2 Active/active
Kod „A/A“ načina rada oba uređaj u visokoj dostupnosti istovremeno prosljeđuju
promet. Ovaj način rada je jednak „active/pasive“ ali dvostruko konfiguriran.
Usmjernici u klasteru su aktivni za svoju vlastitu redundantnu grupu. Sinkronizacija
se događa na oba uređaja. Prednost ovog načina rada pred „active/pasive“ načinom
je da i rezervni usmjernik prosljeđuje promet i osigurava se da rezervni uređaj je
spreman i ispravno funkcionira. „Active/Active“ je odličan dizajn jer se potvrđuje
funkcionalnost rezervnog usmjernika i promet se primjereno balansira između
uređaja. S druge strane ovaj način rada je dosta težak kada je potrebno rješavati
probleme s obzirom na to da promet prolazi kroz oba uređaja. Administratori moraju
provesti više vremena za traženjem problema na oba uređaja. Ovaj način rada je
korišten u mrežama gdje je potrebna dostupnost od 100 % bez obzira na
kompleksnost rješavanja problema.[13]
61
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Slika 12 Prikaz spojenih Juniper vatrozida u „A/A“ modelu[13]
Na gornjoj slici se nalaze 2 SRX 240 usmjernika u klasteru čvor 0 i čvor 1. U ovom
načinu rada oba usmjernika šalju i primaju promet simultano. Sada se može reći
kako imamo dva „active/pasive“ načina rada konfiguriranih na svakom uređaju.[13]
„JunosOS“ pruža visoku dostupnost na SRX serijama uređaja koristeći „chassis
clustering“. SRX serija vatrozida može biti konfigurirana u klaster načinu rada, gdje je
par uređaja spojen zajedno i konfigurirani su da djeluju poput jednog čvora. [13]
Za SRX seriju uređaja, koja se ponaša kao „stateful“ vatrozid važno je sačuvati
stanje prometa između 2 uređaja. U postavkama klastera pri događajima grešaka,
postojanost sesija je potrebno tako da uspostavljene sesije nisu odbačene čak iako
uređaj s greškom prosljeđuje promet.[13]
Kada je konfiguriran klaster dva čvora podupiru jedan drugoga. Jedan čvor se
ponaša kao primarni uređaj i drugi kao sekundarni osiguravajući uređaj koji djeluje
ako dođe do sistemskih i hardverskih pogrešaka. Ako primarni uređaj ispadne,
sekundarni uređaj će preuzeti prosljeđivanje prometa. Čvorovi u klasteru su spojeni
zajedno sa 2 veze zvane kontrolnim vezama i sa „fabric linkom“.[13]
6.1.2.3 Prednosti klastera
62
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Sprječava kvar na jednom uređaju da napravi gubitak konekcije. Pruža visoku
dostupnost između uređaja kada su spojene razne podružnice i udaljene stranice do
velikih korporacijskih ureda. Utjecajem „chassis cluster” svojstva, poduzeća mogu
osigurati povezanost pri događajima ispada uređaja i veza.[13]
6.1.2.4 Kako klaster radi?
Kontrolni portovi na čvorovima su povezani da formiraju kontroliranu cjelinu koja
sinkronizira konfiguraciju i stanje kernela kako bi olakšali visoku dostupnost sučelja i
uređaja. Podatkovna cjelina na dotičnim čvorovima je spojena preko „fabric“ portova
da formira ujedinjenu podatkovnu cjelinu. Kada se kreira „chassis cluster”, kontrolni
portovi na dotičnim čvorovima su spojeni da formiraju kontrolnu cjelinu koja
sinkronizira konfiguraciju i stanje kernela da bi se olakšala visoka dostupnost sučelja
i servisa.[13]
„Fabric link“ dozvoljava menadžment toka čvorova koji se križaju i za menadžment
redundancija sesija.[13]
Softver za kontroliranje cjeline je operativan u aktivnom ili rezervnom načinu rada.
U „chassis clusteru“, dva čvora podupiru jedan drugoga, s jednim čvorom koji se
ponaša kao primarni uređaj i drugim koji je sekundarni, osiguravajući “failover”
procese i servise pri događajima sistemskih i hardverskih kvarova.[13]
Softver za određivanje podatkovne cjeline je operativan u „active/active“ načinu
rada. U „chassis clusteru“, informacije sesija su nadograđene prometom koji putuje
prema oba uređaja i te informacije su odašiljane između čvorova preko „fabric linka“
koji garantira da uspostavljene sesije neće biti odbačene ako se dogodi “failover”. U
„A/A“ načinu rada moguće je da promet ulazi u klaster kroz jedan čvor, a izlazi kroz
drugi. Kada se uređaj priključi klasteru, on postaje čvor tog klastera.[13]
6.2 Checkpoint
“ClusterXL“ je softverski bazirana opcija visoke dostupnosti i dijeljenja opterećenja
koja distribuira mrežni promet između klastera redundantnih sigurnosnih prolaza.[14]
“ClusterXL“ pruža:
63
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
- Transparentni “failover” u slučaju kvara uređaja.[14]
- Za kritična okruženja nultu toleranciju na stanke u produkciji (kada se koristi
sinkronizacija stanja).[14]
- Poboljšanu propusnost (u modulima djeljenja opterećenja).[14]
- Transparentnu nadogradnju.[14]
Svi uređaji u klasteru su svjesni konekcija koje prolaze kroz svaki od uređaja.
Članovi klastera sinkroniziraju svoje konekcije i statusne informacije kroz sigurnu
sinkroniziranu mrežu.[14]
“ClusterXL“ uređaje povezuje “cluster control protocol“ (CCP), koji je korišten da
prosljeđuje sinkronizaciju i druge informacije između članova klastera. [14]
6.2.1 Djeljenje opterećenja
“ClusterXL“ dijeli opterećenje i distribuira promet unutar klastera tako da totalna
propusnost višestrukih uređaja je povećana. U konfiguraciji dijeljenja opterećenja, svi
funkcionalni uređaji u klasteru su aktivni i barataju mrežnim prometom.[14]
Ako bilo koji individulni Checkpoint uređaj u klasteru postane nedostupan, događa
se transparentni “failover” do preostalih operativnih uređaja u klasteru i na taj način
pruža visoku dostupnost. Sve konekcije su djeljene između preostalih uređaja bez
prekidanja.[14]
“ClusterXL“ koristi jedinstvene IP i MAC adrese za svakog člana klastera i
virtualne IP adrese za klaster. klaster adrese sučelja ne pripadaju nijednom sučelju
uređaja. Svaki član klastera ima tri sučelja: jedno eksterno sučelje, jedno interno
sučelje i jedno za sinkronizaciju. Sučelja članova klastera okrenuti su jedan prema
drugom i spojeni preko preklopnika, usmjernika ili „VLAN“ preklopnika. Sva sučelja
članova klastera kojim su spojeni članovi moraju biti u istoj mreži.[14]
6.2.2 Načini rada
“ClusterXL“ ima 4 načina rada u kojima je zaposlen: [14]
- „Load Sharing Multicast“ način rada
64
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
- „Load Sharing Unicast“ način rada
- „New High Availability“ način rada
- „High Availability Legacy“ način rada
6.2.2.1 Dijeljenje opterećenja grupnim porukama
Omogućava da se distribuira mrežni promet između članova klastera. U kontrastu
s visokom dostupnošću, gdje samo jedan član je aktivan u bilo koje vrijeme, svi
članovi klastera u „load sharing“ opciji su aktivni i klaster je odgovoran za
razdjeljivanje prometa svakom članu. Dodjela zadatka je funkcija odluke koja ispituje
svaki paket koji prolazi kroz klaster i određuje koji član će ga rukovoditi. Prema tome
„load sharing cluster” iskorištava svakog člana klastera što obično vodi do povećanja
totalne propusnosti.[14]
Važno je shvatiti da “clusterXL load sharing“ kada je kombiniran sa sinkronizacijom
stanja pruža soluciju visoke dostupnosti također. Kada su svi klaster članovi aktivni,
promet je podjednako distribuiran između uređaja. U slučaju “failover” događaja
izazvanog s problemom u jednom od članova, procesuiranje svih konekcija člana koji
je u kvaru će se odmah proslijediti na druge članove.[14]
“ClusterXL“ pruža dvije odvojene „Load Sharing“ solucije: „Multicast“ i „Unicast“.
Dva načina rada razlikuju se u načinu na koji članovi dobivaju pakete poslane
klasteru. [14]
„Multicast“ mehanizam koji je pružen od mrežnog sloja dozvoljava da nekoliko
sučelja dijeli jednu fizičku MAC adresu. To znači da je moguće odabrati sučelje s
jednim segmentom koji će dobivati pakete slane danoj MAC adresi.[14]
“ClusterXL“ koristi „multicast“ mehanizam da udruži virtualne klaster IP adrese sa
svim klaster članovima. Vežući te IP adrese sa „multicast“ MAC adresama, osigurava
se da svi paketi slani do klastera se ponašaju kao prolaz i dosegnu se svi članovi
klastera. Svaki član zatim odlučuje hoće li procesuirati paket ili ne. Ova odluka je
jezgra „load Sharing“ mehanizma, potrebno je osigurati da barem jedan član
procesuira svaki paket (tako da promet nije blokiran) i da se ne dogodi da dva člana
procesuiraju isti paket(da promet ne bude dupliciran).[14]
65
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Dodatna potreba funkcija odluke je da usmjeri svaku konekciju kroz jedan prolaz,
tako osigura da paketi koji pripadaju jednoj konekciji budu procesuirani od istog
člana. Nažalost ova potreba ne može biti provedena i u nekim slučajevima paketi od
iste konekcije će biti upravljani s različitim članovima. “ClusterXL“ upravlja ovakvim
situacijama koristeći mehanizam sinkroniziranja stanja, koji zrcali konekcije na svim
klaster članovima.[13]
6.2.2.2 Dijeljenje opterećenja s jednosmjernim porukama
„Load Sharing Unicast“ način rada pruža „load sharing“ soluciju prilagođenu
okruženju gdje „multicast“ ne može biti operativan. U ovom načinu rada jedan član
klastera referiran kao „pivot“ je udružen s klaster virtualnom IP adresom i prema
tome je jedini član koji prima pakete koji su slani prema klasteru. „Pivot“ je odgovoran
za prosljeđivanje paketa do drugih članova klastera, kreiranjem „load Sharing“
mehanizma. Distribucija je izvedena primjenom funkcije odluke na svakom paketu,
na isti način kako je riješeno u „load sharing multicast“ načinu rada. Razlika je da
samo jedan član izvodi tu selekciju. Bilo koji član koji nije „pivot“ , a dobije
proslijeđeni paket će ga procesuirati, bez primjene funkcije odluke. Može se primijetiti
da je član koji nije „pivot“ i dalje aktivan jer oni pružaju usmjeravačke i vatrozidne
zadatke na dijelu prometa.[14]
Čak iako su „pivot“ članovi odgovorni za procese odluke i dalje se ponašaju kao
sigurnosni prolazi koji procesuiraju pakete.[14]
Kada se dogodi “failover” kod člana koji nije „pivot“, konekcije kojima je on
rukovodio su redistribuirane između aktivnih klaster članova, pružajući iste
mogućnosti visoke dostupnosti. Kada se „pivot“ član susretne s problemom, regularni
“failover” se dogodi i kao dodatak odabere se novi „pivot“ član. „Pivot“ član je uvijek
aktivni član s najvećim prioritetom. To znači da kada se bivši „pivot“ član oporavi, on
će povratiti svoju prijašnju rolu.[14]
6.2.2.3 Nasljedna visoka dostupnost
Pruža mogućnosti visoke dostupnosti u klaster okruženju. To znači da klaster
može pružiti vatrozidne servise čak iako se susretnu s problemom, što kod jednog
66
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
uređaja rezultira kompletnim gubitkom povezanosti. Kada se kombinira s CheckPoint
sinkronizacijom stanja, “clusterXL“ visoka dostupnost može održavati konekcije kroz
“failover” događaje. Visoka dostupnost pruža rezervni mehanizam, koji organizacije
mogu koristiti da smanje rizik od neočekivanih stanki, posebno u kritičnim
okruženjima. [14]
Da bi se postigao cilj, “clusterXL new high availability“ način rada određuje jednog
člana klastera da bude aktivni uređaj, dok ostali članovi ostaju u stanju pripravnosti.
Virtualna IP adresa klastera je povezana s fizičkim mrežnim sučeljem od aktivnog
uređaja. Prema tome sav promet usmjeren na klaster je zapravo usmjeren i filtriran
od strane aktivnog člana. Rola svakog člana klastera je odabrana s pripadajućim
prioritetom tako da aktivni član ima najveći prioritet. U dodatku roli kao vatrozidni
prolaz aktivni član je isto tako odgovoran za obavještavanje članova koji su u stanju
pripravnosti o bilo kakvim promjenama unutar konekcija ili statusnih tablica kako bi
ostali članovi imali vjerodostojne pravovremene informacije o stanju na mreži.[14]
Kadgod klaster detektira problem u aktivnom članu koji je dovoljno ozbiljan da se
dogodi “failover” događaj, on prosljeđuje role aktivnog člana na jednog od članova
koji je u stanju pripravnosti (člana s najvećim prioritetom). Ako je primijenjeno stanje
sinkronizacije, bilo koja otvorena konekcija je prepoznata od strane novog aktivnog
uređaja i upravljana je suglasno s njezinim zadnje znanim stanjem. Pri oporavljanju
člana s najvećim prioritetom, rola aktivnog uređaja može i ne mora biti prebačena
natrag na tog člana, oviseći o korisnikovoj konfiguraciji. [14]
Važno je zamijetiti da se klaster može susreti s problemom na uređaju koji je u
stanju pripravnosti. Ako do toga dođe ti uređaji nisu uzimani u obzir za rolu aktivnog
uređaja ako dođe do “failovera”.[14]
6.2.2.4 Prijenos instance
“Failover” se dogodi kada uređaj više nije u stanju pružiti određene funkcije. Kada
se to dogodi drugi uređaj preuzima njegovu ulogu. Kod „load sharing“ konfiguracije,
ako jedan sigurnosni uređaj u klasteru ispadne, njegove konekcije su distribuirane
među preostalim uređajima. Svi uređaji u „load sharing“ konfiguraciji su sinkronizirani
pa ne dolazi do prekida konekcija.[14]
67
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
U konfiguraciji kod visoke dostupnosti, ako jedan sigurnosni uređaj u klasteru
ispadne, drugi uređaj postane aktivan i preuzima konekcije koje su bile na prijašnjem
uređaju. Ako se ne koristi „State Synchronization“, postojeće konekcije će se zatvoriti
kada se “failover” dogodi, i nove će se otvoriti. [14]
Kako bi svakom članu rekao da je prisutan i u funkciji, “clusterXL“ “cluster control
protocol“ upravlja održavanjem povezanosti među klaster članovima. Ako istekne
izvjesno predodređeno vrijeme i ne dobije se nikakva poruka od člana klastera,
pretpostavlja se da je član klastera u ispadu i dogodi se “failover”. [14]
6.3 Palo alto
Moguće je postaviti 2 Palo Alto vatrozida kao visoko dostupni par. Visoka
dostupnost dozvoljava da se minimizira vrijeme stanki s osiguranjem da je rezervni
vatrozid dostupan pri događajima kada glavni vatrozid ispadne. Vatrozidi u visoko
dostupnom paru koriste posvećene ili dolazne visoko dostupne portove na
vatrozidima da sinkroniziraju podatke-mreže, objekata, i konfiguracijske politike i da
isto tako održavaju stanja informacija. Konfiguracije svojstava na vatrozidima poput
menadžment IP adresa na sučeljima ili administratorskih profila, visoko dostupnih
specifičnih konfiguracija, spremljenih podataka ili aplikacijskog komandnog centra, te
informacije nisu dijeljene između parova vatrozida. Za ujedinjenje aplikacija i
pregleda spremljenih podataka preko visokodostupnih parova potrebno je koristiti
„Panoramu“ odnosno Palo Alto centralizirani menadžment sustav.[15]
Kada se dogodi kvar na vatrozidu u visoko dostupnom paru i rezervni uređaj
preuzme zadatak osiguravanja prometa.[15]
Visoka dostupnost je razvoj kod kojega su dva vatrozida postavljena u grupu i
njihove konfiguracije su sinkronizirane kako bi se izbjegao „single point of failure“ na
mreži. “Heartbeat” povezanost između vatrozida osigurava glatki “failover” pri
događajima kada uređaj ispadne. Postavljanje 2 vatrozida u visoko dostupni par
pruža redundanciju, dozvoljava i osigurava kontinuitet biznisa.[15]
68
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
Palo Alto podržava „stateful active/passive“ ili „active/active“ visoku dostupnost
sesija i sinkronizaciju konfiguracija.[15]
„Active/Pasive“ – jedan vatrozid aktivno upravlja prometom dok je drugi
sinkroniziran i spreman napraviti tranziciju u aktivno stanje ako dođe do “failovera”. U
ovom načinu rada oba vatrozida dijele iste konfiguracijske postavke i jedan aktivno
upravlja prometom dokle god put, veza ili mreža ne postane nedostupna ili doživi
kvar. Kada aktivni vatrozid ispadne, pasivni vatrozid odradi tranziciju u aktivno stanje
i preuzima ulogu. [15]
„Active/Active“ – oba vatrozida u paru su aktivna i prosljeđuju promet i odrađuju
posao sinkronizirano kako bi održali postavke sesija i vlasništvo nad sesijama. Oba
vatrozida individualno upravljaju sesijskim tablicama i usmjerničkim tablicama i
sinkroniziraju ih međusobno. „A/A“ visoka dostupnost je podržana u virtualnom
okruženju kao i kod razvoja na sloju 3 OSI modela.[15]
Kod odabira da li koristiti „A/P“ ili „A/A“ način rada:
- „A/P“ način rada ima jednostavnost dizajna. Ima značajno lakše metode za
rješavanje problema kod usmjeravanja i prometnog toka. „A/P“ način rada
podržava razvoj na sloju 2 „OSI“ modela, dok „A/A“ ne podržava.[15]
- „A/A“ način rada zahtjeva naprednije dizajnerske koncepte koji mogu rezultirati
kod kompleksnijih mreža. Oviseći o tome kako se implementira „A/A“ visoka
dostupnost, moguće da je potrebna dodatna konfiguracija poput aktiviranja
mrežnih protokola na oba vatrozida, repliciranja „NAT“ bazena, i razvoja
„floating“ IP adresa da se pruži ispravni “failover”. Zato što oba vatrozida
procesuiraju promet, vatrozidi koriste dodatne koncepte sesijskih vlasnika i
sesijskih postavki da izvedu inspekciju sadržaja na sloju 7 „OSI“ modela. „A/A“
način rada je preporučen ako svaki vatrozid treba vlastitu usmjerničku
instancu i zahtjeva se redundancija u stvarnom vremenu na oba vatrozida u
isto vrijeme. „A/A“ način rada ima brži “failover” i može upravljati prometom s
velikim opterećenjem bolje nego „A/P“ način rada zato što oba vatrozida
prosljeđuju promet.[15]
U „A/A“ načinu rada , visoko dostupni par se može koristiti da privremeno
procesuira više prometa nego li jedan vatrozid pri normalnim uvjetima to može
69
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
napraviti. Međutim to ne bi trebala biti norma jer greška na jednom vatrozidu ima za
posljedicu da se sav promet preusmjeri na preostali vatrozid u visoko dostupnom
paru. Prilikom dizajna mora se imati na umu da preostali vatrozid procesuira
maksimalni kapacitet opterećenja prometa s upaljenom inspekcijom sadržaja. Ako se
kod dizajniranja ne vodi računa o kapacitetu preostalog vatrozida, visoka latencija i/ili
greške kod aplikacija će se događati.[15]
7. ZAKLJUČAK Internet je postao osnova za provođenje posla i komunikacije s klijentima,
partnerima i zaposlenicima. Mrežne performanse, pouzdanost i vrijeme rada su
osnova za pokretanje dnevnih operacija mnogih organizacija. Mrežne stanke ne
samo da koštaju novaca i rade gubitak produkcije, one isto tako negativno utječu na
reputaciju kompanije među partnerima i klijentima. Kada se procjenjuje kako izbjeći
mrežne ispade, važno je da se procjene mnoge opcije dostupnosti kako bi se
osigurala visoka dostupnost, produženi rad i optimalne mrežne performanse. Bitno je
ispitati opcije koje neće samo pomoći da se izbjegne mrežni ispad, nego isto tako
koje će biti dostupne i ekonomične.
Praktični rad diplomskog rada sam napravio uz trenutni posao kao inženjer za
komunikacijske sustave. Sva tri modela rada sam imao priliku dizajnirati, konfigurirati
i postaviti u produkcijsku okolinu, što me je i navelo da pišem ovu temu rada. S
obzirom na to da prema poslodavcu imam obvezu poslovne tajne, nisam smio
iznositi detaljne podatke. Konfiguracija i spajanje uređaja u sva tri modela rada je
poprilično jednostavna ako se radi o testnoj okolini. Međutim pri postavljanju ovakvih
modela rada u postojeću produkcijsku infrastrukturu, puno veći fokus se stavlja na
izoliranje produkcijskog prometa kako ne bi došlo do prekida. Prije početka rada na
visoko dostupnim modelima potrebno je imati teoretsko znanje o temi. Napominjem
to jer sam i sam u radu pogriješio tako da sam prvo konfigurirao uređaje ne znajući
što radim. Iz tog razloga je veliki fokus u diplomskom radu stavljen na teoriju. S
70
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
obzirom na to da se mrežni uređaji danas okreću SDN tehnologiji, tipkanje
konfiguracija će zamijeniti skripte što će budućim mrežnim uređajima olakšati posao,
no zahtijevati će od njih puno jaču teoretsku podlogu.
Stanje tržišta sigurnosne mrežne opreme se kreće u smjeru zaštite do aplikativnog
sloja „OSI modela“. Na scenu nastupaju vatrozidi nove generacije koji će puno veći
fokus imati na zaštitu nego na propusnost mrežnog prometa. Takav stav će zadati
dodatne poteškoće kod implementacije vatrozida na mrežu. Cisco je odlučio da će se
ASA vatrozidi ugasiti, te do kraja ove godine će isti izaći iz proizvodnje. Naravno
Cisco će i dalje još nekoliko godina imati podršku za uređaje. Budući sigurnosni
uređaji Cisco proizvođača su Firepower vatrozidi nove generacije koji će isto tako
morati imati fokus na visoku dostupnost i redundanciju jer bez tih svojstava mreža se
ne može smatrati sigurnom.
71
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
8.CITIRANA LITERATURA
[1] https://en.wikipedia.org/wiki/High_availability
[2] http://www.internet-computer-security.com/Firewall/Failover.html /
[3] https://www.techopedia.com/definition/29305/network-redundancy
[4] https://en.wikipedia.org/wiki/Redundancy_(engineering)
[5] https://en.wikipedia.org/wiki/failover
[6] https://searchstorage.techtarget.com/definition/failover (6)
[7] http://www.ecessa.com/wp-content/uploads/2015/02/Everything-You-Need-To-
Know-About-Network-Failover.pdf
[8] https://www.cisco.com/c/en/us/products/security/firewalls/what-is-a-firewall.html
[9] https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/
config/ha_active_standby.html
[10] https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/
config/ha_active_active.html
[11] https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Data_Center/
VMDC/ASA_cluster/ASA_cluster/ASA_cluster.html
72
VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA
[12] https://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/
asa_90_cli_config/ha_cluster.html
[13]
https://www.juniper.net/documentation/en_US/junos/information-products/pathway-
pages/config-guide-high-availability/high-availability.pdf
[14] https://sc1.checkpoint.com/documents/R76/CP_R76_clusterXL_AdminGuide/
7292.htm
[15] https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/high-
availability
73