uvod · web view– alat koji se koristi za provjeravanje dostupnosti ip adrese. „pivot“ –...

VISOKA DOSTUPNOST I REDUNDANCIJA KOD CISCO ASA VATROZIDA

TEHNIČKO VELEUČILIŠTE U ZAGREBU

POLITEHNIČKI SPECIJALISTIČKI DIPLOMSKI STRUČNI STUDIJ

Specijalizacija informatika

Robert Božić


DIPLOMSKI RAD br. I932

Zagreb, srpanj 2018.


TEHNIČKO VELEUČILIŠTE U ZAGREBU

POLITEHNIČKI SPECIJALISTIČKI DIPLOMSKI STRUČNI STUDIJ

Specijalizacija informatika

Robert Božić

JMBAG: 0246019327


DIPLOMSKI RAD br. I932

Povjerenstvo:

dr.sc. Mladen Sokele, predsjednik __________________

mag.ing.inf. Tomislav Novak, član __________________

mr.sc. Dubravko Žigman, mentor __________________

Zagreb, srpanj 2018.


SAŽETAK DIPLOMSKOG RADA

Diplomski rad je podijeljen u 7 poglavlja. U prvom poglavlju su opisani općeniti

pojmovi koji su temelji ovog rada i bez kojih je daljnje razumijevanje rada poprilično

teško. Opisana je visoka dostupnost, redundancija i prijenos instance u maksimalne

detalje s primjerima iz života. Drugo poglavlje se odnosi na iste pojmove povezane s

Cisco ASA vatrozidima i može se gledati kao uvod u glavna 3 poglavlja diplomskog

rada. Treće poglavlje opisuje „Active/Standby“ model rada Cisco ASA vatrozida,

njegova primjena, način spajanja uređaja i konfiguracija istih. Poglavlje broj 4 opisuje

„Active/Active“ model rada Cisco ASA vatrozida, te njegovu primjenu i konfiguraciju

na uređajima. Trenutno najpoželjniji model rada kod Cisco ASA vatrozida je ASA

“clustering” koji je opisan u petom poglavlju. Unutar poglavlja je detaljno opisana

svaka stavka potrebna za konfiguraciju ASA vatrozida u klasteru. Šesto poglavlje je

vezano za analizu tržišta te je dana usporedba s ostalim proizvođačima mrežne

opreme kod kojih su također visoka dostupnost i redundancija jako bitni faktori.

Zadnje poglavlje je završna riječ i smjer u kojem se kreću nove tehnologije po pitanju

sigurnosti mreža.


SADRŽAJ

1. OPĆENITO O POJMOVIMA.........................................................................................................2

1.1 Visoka dostupnost..................................................................................................................2

1.1.1 Primjeri...............................................................................................................................2

1.1.2 Principi...............................................................................................................................3

1.2 Redundancija...........................................................................................................................4

1.2.1 Vrste redundancije..........................................................................................................5

1.2.2 Mane....................................................................................................................................6

1.3 Prijenos instance....................................................................................................................6

1.3.1 Hijerarhija prebacivanja instanca...............................................................................7

1.3.2 Primjeri kada organizacija treba prebacivanje instanca........................................8

1.3.3 Zahtjevi za prijenos instance........................................................................................8

1.3.4 Ključni zadaci mrežnog prebacivanja instanci.......................................................11

1.4 Što je vatrozid i što vatrozid radi?....................................................................................11

2. VISOKA DOSTUPNOST I REDUNDANCIJA NA ASA VATROZIDIMA..............................13

2.1 Način rada s aktivnom i rezervnom jedinicom kod ASA vatrozida...........................13

2.2 Način rada s dvije aktivne jedinice kod ASA vatrozida...............................................13

2.3 Asa klaster..............................................................................................................................14

3. Način rada s jednom aktivnom i jednom rezervnom jedinicom.......................................15

3.1 Općenito..................................................................................................................................15

3.1.1 Hardverske potrebe.......................................................................................................15

3.1.2 Softverske potrebe........................................................................................................15

3.2 Prebacivanje instanci i veze...............................................................................................16

3.3 Sučelje za vezu kod prebacivanje instanci.....................................................................16

3.4 Spajanje veze za prijenos instanci....................................................................................17

3.5 Izbjegavanje prekinutih prijenosa instanci i podatkovnih veza.................................17


3.6 Mac adrese i IP adrese kod prijenosa instanci..............................................................20

3.7 Vrste prijenosa instanci.......................................................................................................21

3.7.1 Prijenos instance s ponovnom uspostavom konekcija.......................................21

3.7.2 Prijenos instance bez ponovne uspostave konekcija...........................................21

3.8 Primarni i sekundarni statusi jedinica.............................................................................21

3.9 Događaji kod prijenosa instanci........................................................................................22

3.10 Konfiguriranje prijenosa instanci s jednom aktivnom i jednom rezervnom jedinicom.......................................................................................................................................23

3.11 Konfiguracija primarne jedinice......................................................................................23

3.12 Konfiguriranje sekundarne jedinice...............................................................................24

3.13 Provjera funkcionalnosti................................................................................................25

4. Način rada s dvije aktivne jedinice.........................................................................................26

4.1 Općenito..................................................................................................................................26

4.2 Preduvjeti za prijenos instanci..........................................................................................26

4.3 Primarni i sekundarni status jedinica..............................................................................27

4.4 Inicijalizacija uređaja i sinkronizacija konfiguracije.....................................................28

4.5 Replikacija komandi.............................................................................................................29

4.6 Okidači prijenosa instanci..................................................................................................29

4.7 Događaji kod prijenosa instanci........................................................................................30

4.8 Konfiguriranje prijenosa instanci......................................................................................31

4.8.1 Konfiguriranje primarne jedinice...............................................................................31

4.8.2 Konfiguriranje sekundarne jedinice..........................................................................33

4.9 Provjera funkcionalnosti.....................................................................................................34

5.ASA KLASTER..............................................................................................................................36

5.1 Općenito..................................................................................................................................36

5.2 Kako se asa klaster stavlja u mrežu?...............................................................................36

5.2.1 Faktor skaliranja performansa....................................................................................36

5.2.2 Asa hardverski i softverski zahtjevi..........................................................................37


5.3 Početna konfiguracija i inicijalizacija...............................................................................37

5.3.1 Glavne i sporedne uloge..............................................................................................37

5.3.2 Odabir glavne jedinice..................................................................................................37

5.4 Vrste asa klaster sučelja.....................................................................................................38

5.4.1 „Spanned etherchannel“.............................................................................................38

5.4.2. Individualno sučelje.....................................................................................................38

5.5 Kontrolna veza klastera.......................................................................................................39

5.5.1 Mreža kontrolne veze klastera....................................................................................39

5.5.2 Latencija i sigurnost kontrolne veze klastera........................................................40

5.5.3 Greške kod kontrolne veze klastera..........................................................................40

5.7 Visoka dostupnost s asa klasterom.................................................................................40

5.7.1 Nadgledanje sučelja......................................................................................................40

5.7.2 Kvar sučelja ili jedinice................................................................................................41

5.7.4 Replikacija stanja konekcija........................................................................................41

5.8 Asa klaster menadžment.....................................................................................................41

5.8.1 Menadžment sučelje.....................................................................................................42

5.9 Metode optimalnog balansiranja opterećenja prometa...............................................43

5.9.1 Grupirana sučelja..........................................................................................................43

5.9.2 Upute za maksimalnu propusnost.............................................................................43

5.9.3 Redundancija kod grupiranih sučelja.......................................................................44

5.10 Kako asa klaster upravlja konekcijama?......................................................................44

5.10.1 Konekcijske role..........................................................................................................44

5.10.2 Jednostavni tok podataka.........................................................................................45

5.11 Konfiguriranje asa klastera..............................................................................................46

5.11.1 Koraci za konfiguraciju asa klastera.......................................................................46

5.11.2 Konfiguriranje klaster sučelja na svakoj jedinici.................................................46

5.11.3 Konfiguracija sučelja na glavnoj jedinici...............................................................47

5.11.4 Konfiguriranje individualnih sučelja.......................................................................47


5.11.5 Konfiguriranje grupiranih sučelja u klasteru........................................................49

5.11.6 Konfiguriranje inicijalnih postavki za glavnu jedinicu.......................................51

5.11.7 Konfiguriranje osnovnih postavki i paljenje klastera........................................52

5.11.8 Konfiguriranje sporedne jedinice............................................................................53

5.11.9 Konfiguriranje inicijalnih postavki za sporednu jedinicu.................................54

5.11.10 Konfiguriranje inicijalnih postavki i dodavanje u klaster................................55

5.12 Provjera funkcionalnosti................................................................................................57

6.ANALIZA TRŽIŠTA.......................................................................................................................58

6.1 Juniper.....................................................................................................................................58

6.1.1 Uvjeti koji okidaju prijenos instanci..........................................................................59

6.1.2 Načini rada visoke dostupnosti kod junipera.........................................................60

6.2 Checkpoint.............................................................................................................................63

6.2.1 Djeljenje opterećenja....................................................................................................63

6.2.2 Načini rada.....................................................................................................................64

6.3 Palo alto..................................................................................................................................68

7. ZAKLJUČAK.................................................................................................................................70

8.CITIRANA LITERATURA.............................................................................................................72


Popis oznaka i kratica

„A/A“ – „Active/Active“ – Način rada uređaja s kojim je omogućena redundancija i visoka dostupnost, pri kojemu svi uređaji sudjeluju u prosljeđivanju mrežnog prometa.

„A/S“ – „Active/Standby“ – Način rada uređaja s kojim je omogućena redundancija i visoka dostupnost, pri kojoj jedan uređaj aktivno prosljeđuje promet, a drugi su u stanju pripravnosti, te počinju s radom ako uređaj koji prosljeđuje promet postane nedostupan.

„Active Directory“ - Baza podataka koja vodi evidenciju o svim objektima u sustavu, radi se o korisnicima, računalima, sigurnosnim grupama, servisima i vezana je za Microsoft operativne sustave.

„Admin“ kontekst – U načinu rada s višestrukim sigurnosnim kontekstima, „Admin“ je kontekst koji uvijek mora postojati.

„AnyConnect“ – Softver u vlasništvu Cisco-a za automatsko spajanje i odbacivanje VPN sesija.

„ARP“ – „Address Resolution Protocol“ – Protokol koji se koristi za mapiranje IP i MAC adresa.

„ASA“ – „Adaptive Security Appliance“ – Vatrozid od Cisco proizvođača mrežne opreme.

„Bootstrap“ – Program koji pokreće inicijalizaciju osnovnih softvera uređaja.

„Bridge“ grupa – Grupa u koju se postavljaju sučelja u transparentnom načinu rada vatrozida.

„Broadcast“ – Pojam koji je povezan s vrstom paketa, broadcast paketi su paketi koji su slani svim uređajima na mreži.


„Chassis cluster“ – Način rada kod Juniper vatrozida kod kojega se jedan ponaša kao primarni uređaj, a jedan kao rezervni.

„Check-details“ – Opcija kod komande korištene kod ASA u clusteru za prikaz ne kompatibilnosti konfiguracije.

„Cluster Control Link“ – Veza između ASA koja se koristi za održavanje clustera.

„Cluster control protocol“ – Protokol koji je korišten za održavanje komunikacije i sinkronizaciju kod Checkpoint uređaja.

klaster – Grupa ili skupina uređaja koji se ponašaju kao jedna logička cjelina.

„Clustering“ – Grupiranje uređaja u zajedničku cjelinu.

„ClusterXL“ – Softverski bazirana opcija visoke dostupnosti kod Checkpoint proizvođača mrežne opreme.

„Cold standby“ – Pojam koji se koristi kod failover terminologije kada se prebacivanje instance odrađuje ručno.

„Copy running-config startup-config“ - Komanda koja se koristi za spremanje konfiguracije na ASA-ma u „flash“ memoriju.

„Crossover“ – Vrsta mrežnog kabla koja se koristi za spajanje uređaja iste namjene. (Usmjernik – Usmjernik)

„DHCP“ – „Dynamic Host Configuration Protocol“ – Protokol koji se koristi za automatsko dodjeljivanje IP adresa.

„Disaster recovery site“ – Rezervna opcija za pokretanje produkcije na rezervnoj lokaciji koja se osposobi u slučaju katastrofe na primarnoj lokaciji.

„DNS“ – „Domain Name System“ – Protokol koji se koristi za mapiranje IP adresa s domenskim imenima.

„Em0“ – Naziv sučelja kod Juniper vatrozida.

„Equal-Cost Multi-Path routing“ – Usmjernici pružaju balansiranje opterećenja prometa između jedinica koristeći statičke i dinamičke rute jednakih vrijednosti.

„EtherChannel“ – Grupiranje fizičkih sučelja koji djeluju kao zajednička logička cjelina.

„Ethernet“ – Mrežna tehnologija za lokalne mreže.

„Fabric“ portovi – Sučelja koja su korištena za održavanje komunikacije između 2 Juniper vatrozida.


„Failover active group“ - Komanda koja se koristi na ASA-ma u failover režimu rada za postavljanje redundantne grupe u aktivni režim rada.

„Failover active“ – Komanda koja se koristi na ASA-ma u failover režimu rada za postavljanje instance da postane aktivna.

„Failover“ – Prebacivanje na rezervnu instancu u slučaju greške ili kvara na aktivnoj opremi.

„Flash“ memorija – Memorija mrežnog uređaja u koju se sprema konfiguracija i operativni sustav.

„Force“ – Opcija kod komande korištene kod ASA u clusteru za mijenjanje načina rada bez provjere konfiguracije za ne kompatibilne postavke.

„FTP“ – „File Transfer Protocol“ – Protokol koji se koristi za prebacivanje dokumenata između uređaja na mreži.

„Gbps“ – „Gigabits per second“ – Mjera brzine mrežnog prometa.

„GigabitEthernet“ – Sučelje koje je operativno na brzini gigabit po sekundi.

„Hash“ algoritam – Funkcija koja se koristi za sažimanje i identificiranje podataka.

„Health monitoring“ – Svojstvo ASA uređaja u clusteru za nadgledanje stanja jedinica u clusteru.

„Heartbeat“ – Pojam koji se koristi u IT terminologiji kada se opisuje održavanje veze između dva povezana uređaja u visoko dostupnim i redundantnim okruženjima.

„High Availability“ – Visoka dostupnost.

„Hot standby“ – Pojam koji se koristi kod failover terminologije kada se prebacivanje instance izvršava automatski, bez ljudske intervencije.

„ICMP“ – „Internet Control Message Protocol“ – Komunikacijski protokol koji se koristi kod mrežnih uređaja za slanje kontrolnih poruka.

„IP“ – „Internet Protocol“.

„IPsec“ – Sigurnosni mrežni protokol za IPv4 koji autenticira i kriptira pakete koji su slani putem mreže.

„JunosOS“ – Operativni sustav kojega koriste Juniper uređaji.

„LACP“ - „Link Aggregation Control Protocol“ - Način rada kod “EtherChannel”

„LAN“ – „Local Area Network“ – Lokalna mreža.

„Load Balancing“ – Balansiranje opterećenja mrežnog prometa.


„Local sharing multicast“ – Način rada Checkpoint uređaja kod kojega su svi članovi aktivni.

„Local sharing unicast“ – Način rada Checkpoint uređaja kod kojega samo jedan član clustera preuzima pakete i prosljeđuje ih ostalim članovima clustera.

„MAC“ – „Media access control“ – Pojam koji se veže u serijske fizičke adrese uređaja.

„Master routing engine“ – Pojam koji se koristi za predstavljanje glavne jedinice kod Juniper proizvođača kod uređaja koji rade u “failover” režimu rada.

„Master“ – Pojam koji se koristi kod ASA clusteringa i označava glavnu aktivnu jedinicu.

„MDI/MDIX“ – „Medium-dependent interface“/“MDI crossover“ – Tipovi spajanja bakrene žice u parice.

„Mean Time Between Failures“ – Srednje vrijeme pojavljivanja kvarova.

„MPLS“ – „Multiprotocol Label Switching“ – Protokol koji se koristi za usmjeravanje mrežnog prometa.

„Multicast“ – Pojam koji se veže za komunikaciju grupe, gdje je podatkovna transmisija adresirana na grupu uređaja.

„NAT“ – „Network address translation“ – Protokol koji se koristi za translaciju IP adresa.

„New High Availability“ – Način rada kod Checkpoint uređaja kod kojih je samo jedan član clustera aktivan, dok su ostali u rezervi i postanu operativni ako aktivni postane nedostupan.

„Next Generation Firewall“ – Nova generacija vatrozida koji su operativni na aplikacijskom sloju OSI modela.

„No failover active group“ - Komanda koja se koristi na ASA-ma u failover režimu rada za postavljanje redundantne grupe u rezervni režim rada.

„No failover active“ – Komanda koja se koristi na ASA-ma u failover režimu rada za prebacivanje aktivne instance da postane rezervna.

„Normal Accident“ – Knjiga autora Charles Perrow-a u kojoj su opisane mane i ne pouzdanosti redundancije.

„OSI model“ – Model koji se koristi za opis arhitekture mreže.

„Packet forwarding engine“ – Pojam arhitekture mreže kod Juniper proizvođača koji pruža preklapanje paketa na drugom i trećem sloju OSI modela.


„Panorama“ – Centralizirani menadžment sustav Palo Alto vatrozida.

„Ping“ – Alat koji se koristi za provjeravanje dostupnosti IP adrese.

„Pivot“ – Član clustera kod Checkpoint uređaja koji je glavni aktivni član u načinu rada „Local sharing unicast“.

„Policy-based-routing“ – Usmjernici pružaju balansiranje opterećenja prometa između jedinica koristeći usmjerničke mape i pristupne liste.

„Port-channel“ – Drugi naziv za “EtherChannel” grupiranje fizičkih sučelja u logičku cjelinu.

„Preshared“ ključ – U kriptografiji se koristi kao dijeljena tajna odnosno niz znakova za autentikaciju i potvrđivanje korisnika na mreži.

„RADIUS“ – „Remote Authentication Dial-In User Service“ – Server koji se koristi za udaljenu autentikaciju i autorizaciju na uređajima.

„Redundant routing engine“ – Pojam koji se koristi kod Juniper usmjernika kada su dva usmjernika instalirana na istu usmjerničku platformu.

„Request chassis routing-engine“ – Komanda kod Junipera koja se koristi za mijenjanje aktivne instance na glavnoj jedinici u “failover” paru.

„Reth“ – Naziv sučelja kod Juniper vatrozida.

„Round trip time“ – Vrijeme koje je potrebno paketu da otputuje od izvorišta do destinacije i vrati se nazad.

„Routed“ – Način rada vatrozida u kojem se na sučelja konfiguriraju IP adrese.

„RSA“ ključ – U kriptografiji ime za algoritam šifre javnog ključa.

„Service Level Agreement“ – „SLA“ – Ugovor potpisan od strane pružatelja usluge i klijenta u svrhu pružanja kvalitete usluge.

„Single point of failure“ – Pojam koji se u IT terminologiji koristi kada na produkciji se koristi samo jedna fizička veza, odnosno gdje je situacija bez redundancije.

“slave” – Pojam koji se koristi kod ASA clusteringa i označava rezervnu aktivnu jedinicu.

„Spanned EtherChannel“ – Sučelja spojena u zajedničku cjelinu. Korišteno kada su uređaji u clusteru.

„SSH“ – „Secure Shell“ - Protokol korišten za udaljeni pristup opremi na siguran

način.


„SSL“ – „Secure Socket Layer“ – Protokol koji se koristi za kriptiranu komunikaciju preko interneta.

„State Synchronization“ – Svojstvo kod Checkpoint uređaja koje se koristi za sinkronizaciju stanja na uređajima u clusteru.

„Stateful failover link“ – „State Link“ – veza korištena između jedinica za slučaj prebacivanja mrežnog prometa na rezervnu jedinicu.

„Stateful packet inspection“ – Dinamičko filtriranje paketa kod vatrozida.

„Straight“ – Vrsta mrežnog kabla koja se koristi za spajanje uređaja različite svrhe. (Usmjernik – Preklopnik)

„String“ – Niz znakova.

„Switchover“ – Prebacivanje na rezervnu instancu uz ljudsku intervenciju.

„SYN“ – Paket koji se koristi kod TCP protokola za uspostavu konekcije.

„SYN-ACK“ – Paket koji je odgovor na SYN paket.

„Syslog“ server – Server koji se koristi za spremanje poruka koje mu šalju mrežni uređaji u slučaju nekog događaja na mreži.

„TACACS“ – „Terminal Access Controller Access-Control System“ – Server koji se koristi za udaljenu autentikaciju i autorizaciju na uređajima.

„TCP“ – „Transmission Control Protocol“ – Transportni protokol koji garantira pouzdanu isporuku podataka u kontroliranom redoslijedu.

„Telnet“ – „Teletype Network“ – Protokol korišten za udaljeni pristup opremi na

nesiguran način.

„TFTP“ – „Trivial File Transfer Protocol“ - Protokol korišten za prijenos datoteka korištenjem UDP protokola.

„Transparent“ – Način rada vatrozida u kojem se sučelja pridružuju grupama s oznakama.

„UDP“ – „User Datagram Protocol“ – Transportni protokol koji omogućuje slanje kratkih poruka između aplikacija na umreženim uređajima.

„UPS“ – „Uninterruptible Power Supply“ – Neprekidni generator napajanja.

„Virtual MAC Adress Guard“ – Svojstvo koje se koristi za zadržavanje MAC adrese s aktivnom jedinicom.


„VLAN“ –„Virtual Local Area Network“ – Virtualna lokalna mreža.

„VOIP“ – „Voice over IP“ – Pojam koji se koristi u IT terminologiji kada se govori o prijenosu zvuka preko IP adresa.

„VPN“ – „Virtual Private Network“ – Virtualna privatna mreža

„WAN“ – „Wide Area Network“ – Mreža širokog područja.

„Warm standby“ – Pojam koji se koristi kod failover terminologije kada se prebacivanje instance radi poluautomatski, odnosno gdje je potrebna ljudska intervencija.

„Web hosting“ – Usluga zakupa prostora na internet poslužitelju.

„Write memory all“ – Komanda koja se koristi za spremanje konfiguracije na ASA-ma u „flash“ memoriju.

Popis slika

Slika 1 Način spajanja ASA vatrozida[9]....................................................................17






Slika 7 Izvršavanje komadni „show failover“ i „show failover state“ na primarnoj i

sekundarnoj jedinici u svrhu utvrđivanja „failover“ funkcionalnosti.............................24

Slika 8 Izvršavanje komandi „show failover“ na primarnoj i sekundarnoj jedinici u

svrhu provjere funkcionalnosti...................................................................................34

Slika 9 Tok podataka ASA “clustering” [12]...............................................................44

Slika 10 Izvršena naredba „show cluster info“ koja pokazuje osnovne detalje uređaja

koji su u klasteru........................................................................................................56

Slika 11 Prikaz spojenih Juniper vatrozida u „A/S“ modelu[13]..................................59

Slika 12 Prikaz spojenih Juniper vatrozida u „A/A“ modelu[13]..................................60

Popis tablica


Tablica 1 Stanke u vremenu u odnosu sa dostupnosti..............................................9

Tablica 2 Prikaz događaja s greškom i reakcijama nakon greške kod „A/S“.............26

Tablica 3 Konfiguracija primarne jedinice za „A/S failover“........................................27

Tablica 4 Prikaz događaja s greškom i reakcijama nakon greške kod „A/A“ ............33

Tablica 5 Konfiguriranje primarne jedinice kod „A/A“ ................................................35

Tablica 6 Konfiguracija sekundarne jedinice kod „A/A“ .............................................35

Tablica 7 Konfiguriranje klaster sučelja.....................................................................47

Tablica 8 Konfiguriranje individualnih sučelja............................................................49

Tablica 9 Konfiguriranje „spanned etherchannel“ .....................................................51

Tablica 10 Konfiguriranje „bootstrap“ postavki za “master” jedinicu sa individualnim

sučeljem.....................................................................................................................52

Tablica 11 Konfiguriranje „bootstrap“ postavki za “master” jedinicu “EtherChannel”. 52

Tablica 12 Konfiguriranje osnovnih „bootstrap“ postavki i paljenje “clusteringa“ ......53

Tablica 13 Konfiguriranje „bootstrap“ postavki za “slave” jedinicu............................55

Tablica 14 Konfiguracija “EtherChannel” sučelja.......................................................55

Tablica 15 Konfiguriranje „bootstrap“ postavki i dodavanje u klaster.........................57


UVOD

Diplomski rad je pisan da se maksimalno pokuša čitaču objasniti važnost i svrha

visoke dostupnosti i redundancije. Visoka dostupnost i redundancija su danas

osnovna svojstva svake distribucijske mreže. Svaka ozbiljnija mreža u današnje

vrijeme si ne može dopustiti ispade u produkciji i zahtjeva 24 satni rad svojih servisa.

Svojstva visoke dostupnosti i redundancije ne garantiraju 100 postotnu sigurnost bez

ispada, ali pomažu u povećavanju dostupnosti servisa i mrežne opreme. Navedena

svojstva će najveći izazov dati dizajnerima i arhitektima mreža. Njihova

implementacija u mnogim situacijama nije jednostavna i potrebita je detaljna analiza

sustava u kojega se žele implementirati. Prilikom pisanja rada je zbog jednostavnosti

razumijevanja korišteno dosta izvedenica koje su poprilično teško prevodljive.

Korišteni su izrazi iz stručne prakse, te sve reference su direktno sa stranica

proizvođača opreme. Iz iskustva mogu reći kako je u današnje vrijeme nemoguće

odrađivati nadogradnje sustava i testiranja na mrežnoj opremi i servisima bez visoke

dostupnosti i redundancije. Smatram kako su ta svojstva jedni od najbitnijih detalja

svake mreže.

1


1. OPĆENITO O POJMOVIMA1.1 Visoka dostupnost

Visoka dostupnost je svojstvo koje pruža redundanciju i toleranciju kvarova. Ona je

broj spojenih uređaja koji procesuiraju i pružaju servise. Njezin cilj je osigurati da isti

servisi budu stalno dostupni čak i ako se dogodi kvar. Visoka dostupnost odnosi se

na sisteme koji su trajni i pogodni da funkcioniraju neprekidno bez ispada na duže

vrijeme. Termin podrazumijeva da su dijelovi sistema potpuno testirani u različitim

slučajevima, te da postoje usluge pri slučajevima ispada ili kvara u formama

redundantnih komponentni. [1]

Mnoge analize visoke dostupnosti u sistemima uključuju traženje najslabije veze,

bilo da je to specifični dio hardvera ili element u sistemu. Neke specifične metrike od

proizvođača su korisne za određivanje koliko dugo će neki dio hardvera izvršavati

svoje dužnosti u posebnim sistemima. Jedna od metrika korištena kod inženjera je

„Mean Time Between Failures“ (MTBF). [1]

Visoka dostupnost je karakteristika sistema koji cilja da osigura dogovoreni nivo

operativnih performansi obično u svrhu produženja rada sistema.[1]

1.1.1 Primjeri

Bolnice i podatkovni centri zahtijevaju visoku dostupnost svojih sustava da pružaju

rutinirane dnevne aktivnosti. Dostupnost se odnosi na mogućnost da korisnikova

zajednica dobiva servis, pristupa sustavu, potvrdi novi radni zadatak, ažurira ili

mijenja postojeći radni zadatak ili pokupi rezultate prijašnjeg zadatka. Ako korisnik ne

može pristupiti sustavu, s korisnikove točke gledišta sustav je nedostupan.

Kompanija poput Amazona koja prodaje artikle kroz svoje „web“ stranice zahtjeva

da njihova stranica bude stalno dostupna. Kako bi osigurali takav scenarij oni imaju

broj servera posloženih u grupu(klaster), tako da ako se dogodi da jedan od servera

doživi kvar ostali će nastaviti procesuirati i preuzeti opterećenje procesuiranja

servera koji se pokvario. Isto tako će pružiti broj rezervnih internetskih konekcija od

različitih pružatelja usluga. S time bi se dobila povezanost u slučaju gubitka

2


povezanosti jednog od pružatelja usluga jer bi drugi pružatelj usluga mogao preuzeti

zadaću ostvarivanja dostupnosti „web“ stranice. Oni će imati odvojene dovode

napajanja u svojim podatkovnim centrima da ako dođe do greške u prijenosu struje

da mogu imati rezervno izvorište napajanja koje održava kritične resurse upogonjene

i da produkcija nastavi s normalnim radom dok se problem ne riješi. Isto tako će imati

rezervni podatkovni centar na drugoj lokaciji („disaster recovery site“), ako dođe do

katastrofe na primarnoj stranici poput potresa da rezervna stranica može biti

iskorištena. Sve navedene preventivne mjere bi osigurale da njihova „web“ stranica

ostane uvijek dostupna na internetu i tako se ostvaruje razina visoke dostupnosti. [2]

Kod vatrozida i drugih sličnih uređaja visoka dostupnost je svojstvo odnosno

mehanizam koji održava da stanja uređaja budu sinkronizirana jedni s drugima kao i

da budu sposobni detektirati kvar i da ako se kvar dogodi aktivni uređaji znaju za to

stanje i da su sposobni preuzeti obrađivanje opterećenja od uređaja na kojem je

detektirana greška. Visoka dostupnost efektivno omogućuje dva ili više vatrozida da

se svaki od njih ponaša kao rezerva drugim vatrozidima. Svojstvo visoke dostupnosti

na svakom vatrozidu će biti opremljeno tako da detektira kvarove na različite načine

kako bi ako dođe do kvara instantno napravili “failover” (prebacivanje opterećenja

uređaja koji je u kvaru na drugi uređaj koji mu služi kao rezerva).[2]

1.1.2 Principi

Postoje tri principa sistemskog dizajna u pouzdanom inženjerstvu koji mogu

pomoći u dostizanju visoke dostupnosti.[1]

1. Eliminacija „single point of failure“. To znači dodavanje redundancije sustavu

tako da ispad komponente ne znači ispad cijelog sustava.[1]

2. Pouzdano križanje. U redundantnim sustavima, križanje točke same sa sobom

teži postojanju „single point of failure“. Pouzdani sustavi moraju pružiti

pouzdano križanje.[1]

3. Detekcija grešaka kada se dogode. Ako su dva gornja principa promatrani,

onda korisnik nikada neće vidjeti ispad aktivnosti, dok održavanje takav slučaj

mora primijetiti.[1]

3


Dostupnost je obično predstavljena kao postotak produženog rada u tekućoj

godini. Sljedeća tablica prikazuje stanke koje će biti dozvoljene sa specifičnim

postotkom dostupnosti, s pretpostavkom kako sustav zahtjeva neprekidan rad.

„Service level agreement“ ugovori često se odnose na mjesečne stanke u slučaju da

izračunaju servisne kredite koji se slažu s mjesečnim naplatnim ciklusima. [1]

Dostupnost % Stanke po godini Stanke po

mjesecuStanke po

tjednuStanke po

danu90% 36.5 dana 72 sata 16.8 sata 2.4 sati95% 18.25 dana 36 sata 8.4 sata 1.2 sati97% 10.96 dana 21.6 sata 5.04 sata 43.2 minuta98% 7.30 dana 14.4 sata 3.36 sata 28.8 minuta99% 3.65 dana 7.20 sata 1.68 sata 14.4 minuta

99.5% 1.83 dana 3.60 sata 50.4 minuta 7.2 minuta99.8% 17.52 sata 86.23 minuta 20.16 minuta 2.88 minuta99.9% 8.76 sata 43.8 minuta 10.1 minuta 1.44 minuta

99.95% 4.38 sata 21.56 minuta 5.04 minuta 43.2 sekundi

99.99% 52.56 minuta 4.38 minuta 1.01 minuta 8.64 sekundi

99.995% 26.28 minuta 2.16 minuta 30.24 sekundi 4.32 sekundi

99.999% 5.26 minuta 25.9 sekundi 6.05 sekundi 864.3 milisekundi

99.9999% 31.5 sekundi 2.59 sekundi 604.8 milisekundi 86.4 milisekundi

99.99999% 3.15 sekundi 262.97 milisekundi

60.48 milisekundi 8.64 milisekundi

99.999999% 315.569 milisekundi

26.297 milisekundi

6.048 milisekundi

0.864 milisekundi

99.9999999% 31.5569 milisekundi

2.6297 milisekundi

0.6048 milisekundi

0.0864 milisekundi

Tablica 1 Stanke u vremenu u odnosu sa dostupnosti[1]

1.2 Redundancija

Mrežna redundancija je proces kroz kojeg dodatne ili alternativne instance mrežnih

uređaja, opreme i komunikacijskih medija su instalirane unutar mrežne infrastrukture.

4


To je metoda za osiguravanje mrežne dostupnosti u slučajevima da mrežni uređaj ili

put doživi kvar i nedostupnost. [3]

Mrežna redundancija je primarno implementirana u poduzetničke mrežne

infrastrukture da pruži redundantno izvorište u mrežnoj komunikaciji. Ona služi kao

rezervni mehanizam za brzo prebacivanje mrežnih operacija na redundantnu

infrastrukturu u ne planiranim događajima mrežnih ispada.[3]

Mrežna redundancija je ostvarena kroz dodatne alternativne mrežne puteve koji su

implementirani kroz redundantne rezervne usmjernike i preklopnike. Kada primarni

put postane nedostupan, alternativni put se može instantno razviti da se osigura

minimalna stanka i da se nastavi rad mrežnih servisa.[3]

U inženjerstvu redundancija je dupliciranje kritičnih komponenti ili funkcija sustava

s namjerom povećanja pouzdanosti sustava, obično u formi rezervnog sustava, ili da

se poboljšaju sistemske performanse.[4]

Strukture su obično dizajnirane s redundantnim dijelovima, osiguravajući da ako se

jedan pokvari da cijela struktura ne doživi kolaps. Struktura bez redundancije je

nazvana je rizična što znači da jedna slomljena komponenta može izazvati kolaps

cijele strukture. [4]

1.2.1 Vrste redundancije

Koriste se dvije vrste rada, a to su pasivna i aktivna redundancija.

Pasivna redundancija koristi višak kapaciteta da smanji utjecaj grešaka

komponenti. Jedna uobičajena forma pasivne redundancije je dodatna snaga

kabliranja i podupirači korišteni kod mostova. Ta dodatna snaga dozvoljava nekim

strukturalnim komponentama da padnu bez da most doživi katastrofu. Dodatna

snaga korištena u dizajnu je nazvana margina sigurnosti.[4]

Oči i uši pružaju primjere pasivne redundancije. Gubitak vida u jednom oku ne

prouzroči sljepoću, ali dubina percepcije je umanjena. Gubitak sluha na jedno uho ne

izaziva gluhoću ali, percepcija je umanjena. Propadanje performansi je često

povezano s pasivnom redundancijom kada se limitirani broj grešaka ili ispada dogodi.

[4]

5


Aktivna redundancija eliminira propadanje performansi s monitoriranjem

performansi individualnih uređaja.[4]

Distribucija električne energije pruža primjer aktivne redundancije. Nekoliko

dalekovoda spaja svaki proizvodni pogon sa svojim klijentima. Kombinacija

dalekovoda pruža višak kapaciteta. Svaki dalekovod uključuje nadgledanje koje

detektira preopterećenje. Dalekovodi isto tako uključuju osigurače. Osigurači

isključuju dalekovode kada detektiraju preopterećenje. Struja je zatim redistribuirana

kroz preostale linije dalekovoda. Tako se dobilo prebacivanje instance bez gubitaka

što i predstavlja aktivnu redundanciju. [4]

1.2.2 Mane

Charles Perrow autor „Normal Accident“ knjige je rekao da ponekad redundancija

ima povratno paljenje i proizvodi manje i ne toliko pouzdano. Ovo se može dogoditi

na nekoliko načina:

1. Redundantni sigurnosni uređaji su operativni u kompleksnijim sistemima, što

znači da su više skloni greškama i nezgodama.[4]

2. Redundancija može voditi do zabušavanja odgovornosti radnika.[4]

3. Redundancija može voditi do povećanja produkcijskih pritisaka, rezultirajući

da sistem radi na većim brzinama, ali manje sigurno.[4]

1.3 Prijenos instance

U računalnim i povezanim tehnologijama poput umrežavanja, “failover” je

prebacivanje na redundantni ili rezervni računalni server, sistem, hardversku

komponentu ili mrežu ako dođe do ispada ili ne normalnog ponašanja od prijašnjeg

aktivnog servera, sistema, hardverske komponente ili mreže. Nadalje u tekstu će se

koristiti izvedenica “failover”. “failover” i “switchover” su u srži jednake operacije, osim

što je “failover” automatski i obično se izvršava bez upozorenja, dok “switchover”

zahtjeva ljudsku intervenciju.[5]

Sistemski dizajneri obično pružaju “failover” mogućnosti na serverima, sistemima ili

mrežama zahtijevajući gotovo kontinuiranu dostupnost i visok stupanj pouzdanosti.[5]

6


Na serverskoj razini, “failover” automatizacija obično koristi „heartbeat“ sistem koji

povezuje dva servera. Dokle god postoji regularni “heartbeat” između glavnog

servera i drugog servera, drugi server se neće postaviti u radno stanje.[5]

Koristi se da bi sustav bio tolerantniji na ispade. “Failover” je tipično sastavni dio

sistema koji mora biti konstantno dostupan. Procedura uključuje automatsko

prebacivanje zadataka na rezervnu sistemsku komponentnu tako da je procedura

neprimjetna krajnjem korisniku i ista je osnova za kritične sustave. Glavna svrha

“failover” svojstva je da se eliminira ili barem smanji utjecaj na korisnike ako se

dogodi kvar na sustavu.[6]

Mnogi događaji mogu izazvati mrežni ili ispad servisa poput prirodnih katastrofa,

sigurnosnih napada, bagera koji presiječe optički kabel ili ispad mrežne

infrastrukture. Organizacije moraju planirati ili raspodijeliti buđet da implementiraju

odgovarajuću mrežnu infrastrukturu kako bi osigurali da njihovi podatkovni centri i

udaljeni uredi imaju zaštitu u predviđanju katastrofe. [7]

Tri kritična elementa zahtijevaju “failover” konfiguraciju : napajanje, mrežna

konekcija i serverski kapaciteti. [7]

U “failover” situaciji kod uređaja poput vatrozida, usmjernika , „WAN“ kontrolera ,

servera za balansiranje opterećenja, web servera i ostalih uređaja, podaci su

prebačeni na isti tip redundantne komponente kako bi se osigurao limitirani prekid

podatkovnih tokova i operacija. Ako primarna komponentna postane nedostupna jer

se dogodio prekid ili dogovorena stanka, sekundarna komponenta će služiti kao

rezerva i preuzeti će operacije.[7]

1.3.1 Hijerarhija prebacivanja instanca

Kada je hardver u „cold standby“ stanju “failover” se mora izvesti manualno što

iziskuje greške.[7]

Kod opcije gdje je hardver u „warm standby“ stanju rezervni sustav se pokreće u

pozadini, tako da se prebacivanje izvršava automatski. Podaci na oba sustava se

automatski sinkroniziraju. Korisniku je “failover” nalik na jako brzi automatski restart

7


servisa. Međutim trenutna transakcija može biti ugašena jer nije moguće da se

sinkroniziraju podaci prije ispada.[7]

Najpouzdaniji “failover” scenarij je „hot standby“ gdje oba sistema se trajno

pokreću u paraleli i podaci na oba sustava su 100 % sinkronizirani svo vrijeme.

Korisnici nisu svjesni nikakvih ispada. Da bi se oba sustava pokretala kompletno

sinkronizirano, konekcije do klijenata moraju biti zrcaljene 100%.[7]

Neka poduzeća implementiraju „hot failover” i „cold failover” za disaster recovery.

Bitno je razlikovati pojmove “failover” i „disaster recovery“. “failover” je termin koji

podrazumijeva nastavak sistemske dostupnosti u prihvaćenom periodu vremena, dok

„disaster recovery“ je termin da se povrati sistemska dostupnost kada su sve

“failover” strategije u ispadu.[7]

1.3.2 Primjeri kada organizacija treba prebacivanje instanca

Mali i srednje veliki poduzetnici trebaju unutarnje i vanjsko balansiranje

opterećenja prometa i “failover” servise za povećanje asortimana za kritični promet

poput zvuka, videa i maila. Recimo lokalni dućan koji radi bankarstvo putem mreže i

naplaćuje račune putem interneta, ili kompanija koja proizvodi treba mailove, web

servise i aplikacije dostupne cijelo vrijeme.[7]

Kompanije s centralnim sjedištem i podružničkim uredima za udaljene zaposlenike

trebaju sigurnu i pouzdanu podatkovnu komunikaciju. Trebaju pouzdane

performanse i visoku dostupnost svojih “VPN” podataka, uključujući mogućnost da se

„VPN“ konekcija automatski prebaci na drugu instancu ako “WAN” veza ispadne.[7]

„Web hosting“ kompanije i pružatelji usluga trebaju agregaciju veza i “failover”

kako bi osigurali pouzdanost svojih servisa s dodatnom propusnošću i redundancijom

dostupnom do njihovih servera. Njihove kritične aplikacije se moraju pokretati 24 sata

dnevno tijekom cijele godine. Ako “WAN” veza ispadne, “failover” proces mora biti

gladak i transparentan do korisnika.[7]

1.3.3 Zahtjevi za prijenos instance

8


Korporativne i vladine mreže se sastoje od tri osnovna elementa. To su : „LAN“,

“WAN” i mrežna infrastruktura uređaja i servisa. „LAN“ pruža međusobnu povezanost

oko jedne organizacijske lokacije. “WAN” pruža međusobnu povezanost između tih

lokacija, drugih biznis partnera i pristup do javnih mreža poput javnih preklopnih

telefonskih mreža u slučaju glasovnog prometa i Interneta za podatkovni promet.

Servisni elementi mrežne infrastrukture pružaju servise koji dozvoljavaju kontrolu

mreže i toka podataka („DNS“, „DHCP“, „FTP“) i sadrže pristup na mrežu koristeći

„Active Directory“, „RADIUS“ ili „TACACS“.[7]

Ta tri elementa trebaju razmatranje nekoliko zahtjeva za kreiranje “failover”

okruženja kod kojih je najosnovnije spajanje kabelom između dva uređaja. Drugi je

da uređaj pokreće sisteme samo kada detektira problem u prvom uređaju. Neki

sistemi imaju sposobnost da pozivaju ili šalju poruku do specifičnog tehničara ili

centra za podršku. Isto tako može postojati treća strana ili uređaj koji pokreće

rezervnu komponentu za prebacivanje kako bi se spriječila stanka.[7]

Sljedeće stavke su kritični elementi koji uključuju “failover” okruženje:

1.3.3.1 Napajanje

Ispadi struje se smatraju jednim od najčešćih razloga za mrežne i sistemske

ispade, sve kritične mrežne komponente na bilo kojem primarnom podatkovnom

centru ili “failover” lokaciji moraju biti spojeni na izvor napajanja koje ima jako veliku

dostupnost odnosno 99.999% u slučajevima podatkovnih centara.[7]

„LAN“ koji pruža kritične servise poput onih u bolnici ili banci bi trebali biti

opremljeni sa stalnim izvorima napajanja za svaku komponentnu svojih distributivnih i

pristupnih dijelova. “WAN” usmjernici, preklopnici i vatrozidi trebaju isto formu zaštite

da pruže neprekidnu komunikaciju i međukomunikaciju do eksternih stranica i drugih

javnih mreža.[7]

Veliki podatkovni centri i kritične operacije moraju se osloniti na višestruke

kompanije elektroprivrede da pruže korisnost napajanja do svojih lokacija.[7]

9


Hitni generatori poput dizelskih agregata zajedno sa „UPS“ opremom mogu pružiti

neprekidni tok električne struje danima ako je potrebno, dok korisna snaga ne bude

obnovljena.[7]

1.3.3.2 Mrežna redundancija

Nivoi redundancije bi trebali biti određeni za primarne i rezervne mreže bazirane

na identifikaciji kritičnih mrežnih komponentni, analizi utjecaja i uspostavljenim

oporavkom ciljeva. Redundancija mrežnih uređaja bi se trebala uzeti na razmatranje.

[7]

1.3.3.3 Agregacija širokopojasnih veza

U obzir se mora uzeti redundancija i raznovrsnost “WAN” veza zajedno sa

automatiziranom “failover” opcijom. Redundancija može biti ostvarena pružajući

višestruke veze i višestruke tipove veza za jednu stranicu i između više stranica.

Recimo ako “WAN” mreža koristi „MPLS“ bilo bi pametno pružiti različite veze poput

različitih kablova, tako da ako ukupni servis nosioca ispadne, organizacija može imati

rezervnu strategiju, koja može biti satelit, ćelijski ili mikrovalni servis.[7]

Različitost veza može biti ostvarena ili s različitosti ruta, dvije ili više veza putuju

različitim rutama do svojih lokacija ili kroz različitost nosioca. Višestruki nosioci su

korišteni da pruže Internet pristup različitošću i redundancijom do kompanija koje se

oslanjaju na pristup internetu.[7]

1.3.3.4 Kapacitet propusnosti širokopojasnih veza

Nekoliko faktora kapaciteta alternativnih stranica mora biti ispravno procijenjeno u

slučaju izbjegavanja ispada izazvanih neočekivanim velikim volumenima prometa na

primarnu stranicu. Jedan faktor je kapacitet maksimuma prometa, plus dodatnih 25-

40 posto dodatnog novog maksimuma volumena prometa. Dodatni promet može doći

s drugih aplikacija poput „VOIP“ i drugih biznis aplikacija i/ili zakrčenost prometa

izazvana od klijenata, dobavljača i zaposlenika.[7]

10


Spojena propusnost bi trebala biti dovoljno opsežna da pruži “failover” za veze

pružatelja usluga i redundanciju. Ako jedna veza ispadne, i dalje bi trebalo imati

dovoljno propusnosti za korisnike da budu produktivni. Inteligentno uravnoteženo

balansiranje prometa monitorira dostupnost propusnosti kroz mrežu i dodjeljuje

promet po prioritetu na vezu s najvećom dostupnom propusnosti u slučaju ako mora

garantirati promet koji je vremenski osjetljiv. Tako se dostavi zahtjevana propusnost

za glatku izvedbu.[7]

1.3.4 Ključni zadaci mrežnog prebacivanja instanci

- Poboljšati mrežne performanse i eliminirati mrežnu stanku za biznis-kritične i

vremenski osjetljive aplikacije.[7]

- Globalno upravljanje “WAN” resursima.[7]

- Pružiti redundantni hardverski “failover” i nadgledanje sposobnosti za kritične

aplikacije da se eliminiraju sve potencijalne točke ispada „WAN“ veza.[7]

- Uspostava pouzdane mrežne konekcije.[7]

- Osigurati upravljanje ulaznim i izlaznim prometom preko najbolje “WAN” veze.

[7]

- Pružiti “WAN” vezu ravnotežnim opterećenjem s opsežnom propusnošću za

kritične aplikacije.[7]

- Ekonomično povećanje skalabilnosti i propusnosti “WAN” konekcija.[7]

- “failover” do sekundarnih podatkovnih centara ako sve veze na primarnom

podatkovnom centru ispadnu.[7]

1.4 Što je vatrozid i što vatrozid radi?

Vatrozid je mrežni sigurnosni uređaj ili softver koji nadgleda dolazeći i odlazeći

mrežni promet i odlučuje hoće li dozvoliti ili blokirati specifični promet baziran na

definiranim sigurnosnim pravilima. Vatrozid je prva linija obrane u mrežnoj sigurnosti

zadnjih 25 godina. Oni uspostavljaju barijeru između sigurne i kontrolirane mreže

kojoj se može vjerovati i mreže kojoj se ne može vjerovati poput Interneta. Vatrozid

će zaustavljati maliciozne prijetnje i hakere da pristupe mreži ili individualnim

računalima. [8]

11


Tradicionalni vatrozidi koriste „Stateful packet inspection“ odnosno dinamičko

filtriranje paketa. To je tehnologija koja monitorira stanja aktivnih konekcija i koristi te

informacije da odredi koji mrežni paket propustiti kroz vatrozid.[8]

U današnje doba sve više kompanija koristi „Next Generation Firewall“ koji mogu

blokirati do aplikacijskog sloja što je danas najranjivije područje u problematici

informacijske sigurnosti.[8]

12


2. VISOKA DOSTUPNOST I REDUNDANCIJA NA ASA VATROZIDIMA 2.1 Način rada s aktivnom i rezervnom jedinicom kod ASA vatrozida

„Active/Standby failover” omogućuje da se koristi rezervna ASA u pričuvi kako bi

preuzela funkcionalnost od jedinice koja je u ispadu. U nekim dijelovima teksta će se

umjesto „Active/Standby“ koristiti skraćenica „A/S“. Kada aktivna jedinica ispadne,

ona se promjeni u rezervnu jedinicu dok se rezervna jedinica prebaci u aktivnu

jedinicu. Jedinica koja je postala aktivna poprimila je IP adresu i MAC adresu od

jedinice koja je u ispadu i počinje prosljeđivati promet. Jedinica koja je sada u stanju

rezerve preuzima rezervnu IP adresu i MAC adresu.[9]

2.2 Način rada s dvije aktivne jedinice kod ASA vatrozida

„Active/Active failover” je jedino dostupan kod ASA pri načinu rada s više

sigurnosnih konteksta. Kod „Active/Active failover” konfiguracije, obje ASA-e mogu

prosljeđivati mrežni promet. U nekim dijelovima teksta će se kao skraćenica umjesto

„Active/Active“ koristiti „A/A“.[10]

Kod „A/A failover” opcije sigurnosni konteksti na ASA uređajima se podjele u

“failover” grupe. “failover” grupa je jednostavna logička grupa od jednog ili više

sigurnosnih konteksta. Maksimalno se mogu kreirati dvije “failover” grupe. Bilo koji ne

dodijeljeni kontekst je isto tako član prve “failover” grupe.[10]

“Failover” grupe formiraju baznu jedinicu za “failover” u „A/A“ stanju. Nadgledanje

ispada sučelja i „A/S“ statusa su sve atributi od “failover” grupe. Kada aktivna

“failover” grupa ispadne, mijenja se u rezervno stanje dok rezervna “failover” grupa

postaje aktivna. Sučelja u “failover” grupi koja postaju aktivna preuzimaju MAC i IP

adrese sučelja od “failover” grupe koja je u ispadu. Sučelja u “failover” grupi koji su

sada u rezervnom stanju preuzimaju rezervnu MAC i IP adresu.[10]

Ako je “failover” grupa u ispadu na jedinici to ne znači kako je ta jedinica u ispadu.

Jedinica može i dalje imati drugu “failover” grupu koja prosljeđuje promet na njoj.

13


Kada se kreiraju “failover” grupe, trebali bi se kreirati na jedinici koja ima “failover”

grupu 1 u aktivnom stanju.[10]

2.3 Asa klaster

“Clustering” svojstvo za ASA vatrozide dozvoljava efektivni način skaliranja

propusnosti prometa koje mora biti pregledano od strane vatrozida. Veća propusnost

je dobivena s grupiranjem ASA u jednu logičku cjelinu. Različiti ASA uređaji

povećavaju agregaciju prometa tako da sve rade koncertno odnosno da prosljeđuju

konekcije kao jedan logički ASA uređaj. Koristeći do 8 ASA uređaja, “clustering”

dozvoljava do 100Gbps agregiranog prometa.[11]

ASA klaster ne radi aktivno uravnoteženo opterećenje toka. On pretpostavlja da

vanjski mehanizmi su na mjestu gdje osiguraju da prometni tok doseže svakog člana

u klasteru i pravilno osiguravaju ravnotežu opterećenja. Unutar klastera kontrolni

protokol je korišten da prestroji asimetrične tokove i da se otarasi tokova do drugih

jedinica ako jedna od jedinica ASA u klasteru postane preopterećena.[11]

“Clustering” je različit od tradicionalnog „A/A“ modela. U „A/A“ modelu konfiguracija

višestrukih sigurnosnih konteksta je zahtijevana. “clustering” podržava jedan i više

konteksta, kao i transparentni način rada. Jedna konfiguracija je upravljana sa svim

jedinicama unutar klastera koristeći automatsku konfiguraciju. U „A/A“ modelu dva

vatrozida su spojena zajedno sa kontrolnom vezom. U kontrastu s ASA

“clusteringom“, svaki član klastera je sposoban prosljeđivati svaki prometni tok i

može biti aktivan za sve tokove.[11]

Sve jedinice u klasteru imaju istu konfiguraciju i aktivno prosljeđuju promet. U

slučaju događaja da jedna jedinica ispadne povezivanje je upravljano kroz klaster

zahvaljujući konekcijskim informacijama koje su zamijenjene jedna s drugim unutar

klastera. Svaka konekcija je zamijenjena konekcijom koja boravi na drugoj jedinici

klastera i preuzima u slučaju ispada.[11]

14


3. Način rada s jednom aktivnom i jednom rezervnom jedinicom 3.1 Općenito

U „Active/Standby failover” stanju, jedna jedinica je aktivna i ona prosljeđuje

promet. Rezervna jedinica ne prosljeđuje promet aktivno. Kada se “failover” dogodi,

aktivna jedinica prebacuje se na rezervnu jedinicu, koja tada postaje aktivna. Moguće

je koristiti „A/S“ “failover” za ASA vatrozide s jednim sigurnosnim kontekstom ili ASA

vatrozide koji rade s višestrukim sigurnosnim kontekstima. Za način rada s

višestrukim sigurnosnim kontekstima, ASA može napraviti “failover” cjelokupne

jedinice, ali ne može napraviti “failover” konteksta odvojeno.[9]

3.1.1 Hardverske potrebe

Dvije jedinice u “failover” konfiguracijskom načinu rada moraju:

- Biti isti model.

- Imati isti broj i tip sučelja.

- Imati iste module instalirane.

- Imati istu količinu radne memorije.

Ako se koriste jedinice s različitim memorijama na karticama u svojoj “failover”

konfiguraciji, treba biti siguran da jedinica s manjom memorijom ima dovoljno

prostora da prilagodi softversku i konfiguracijsku datoteku. Ako nema sinkronizacija

konfiguracija, s jedinice s većom memorijom na jedinicu s manjom memorijom će biti

neuspješna.[9]

3.1.2 Softverske potrebe

Dvije jedinice u “failover” konfiguracijskom načinu rada moraju:

- Biti u istom vatrozidnom načinu rada („routed“ ili „transparent“).[9]

- Biti u istom kontekstnom načinu rada (jedan ili više konteksta).[9]

- Imati isti glavni (prvi broj) i sporedni (drugi broj) softverske verzije. Međutim

mogu se privremeno koristiti različite verzije softvera tijekom procesa

15


nadogradnje. Preporuka je da se napravi nadogradnja obje jedinice na iste

verzije kako bi se osigurala dugotrajna kompatibilnost.[9]

- Imati iste „AnyConnect“ verzije. Ako par “failovera“ nemaju iste verzije kada se

nadogradnja izvodi, tada se korisničke „SSL“ “VPN” konekcije okončavaju u

zadnjem koraku procesa nadogradnje. Baza podataka pokazuje sesiju bez

vlasnika i IP bazen pokazuje da je IP adresa dodijeljena tom klijentu.[9]

- Obje jedinice u “failover” konfiguraciji ne moraju imati identične licence,

kombinirane licence mogu složiti “failover” grupu licenca.[9]

3.2 Prebacivanje instanci i veze

„Failover link“ i opcionalni „stateful failover link“ su konekcije posvećene između

dviju jedinica. Sve informacije poslane preko “failover” i „state failover linka“ su slane

u ne kriptiranom formatu osim ako se ne osigura komunikacija sa „Ipsec“ tunelom ili

“failover” ključem. Ako je asa korištena za terminiranje „VPN“ tunela, ta informacija

uključuje korisnička imena, šifre i „preshared“ ključeve korištene za uspostavu tunela.

Slanje tih osjetljivih podataka u formatu bez zaštite može prouzročiti sigurnosni rizik.

Preporučuje se sigurna “failover” komunikacija sa „IPsec“ tunelom ili “failover”

ključem ako se ASA koristi za terminiranje “VPN” tunela. Dvije jedinice u “failover”

paru konstantno komuniciraju preko “failover” veze da odrede operativni status svake

jedinice.[9]

Sljedeće informacije se izmjenjuju preko “failover” veze:

- Stanje jedinice („active“ ili „standby“). [9]

- „Hello“ poruke (održavanje na životu). [9]

- Status mrežne veze. [9]

- Izmjena MAC adresa. [9]

- Konfiguracijska replikacija i sinkronizacija. [9]

3.3 Sučelje za vezu kod prebacivanje instanci

Moguće je koristiti bilo koje podatkovno sučelje (fizičko, redundantno,

“EtherChannel”) kao “failover link“, međutim ne može se specificirati sučelje koje je

trenutno konfigurirano s imenom. “Failover link“ sučelje nije konfigurirano kao

16


normalno mrežno sučelje. Ono postoji samo radi “failover” komunikacije. Sučelje

može biti korišteno samo kao “failover link“. ASA ne podržava dijeljenje sučelja

između korisničkih podataka i “failover” veze čak iako su različita podsučelja

konfigurirana za korisničke podatke i “failover”. Odvojeno fizičko, “EtherChannel” ili

redundantno sučelje mora biti korišteno kao “failover link“. [9]

3.4 Spajanje veze za prijenos instanci

Moguća su 2 načina:

- Koristiti preklopnik, bez ijednog drugog uređaja na istom mrežnom segmentu

kao “failover” sučelje ASA vatrozida. [9]

- Koristiti „Ethernet“ kabel za spajanje jedinica direktno, bez potrebe za

eksternim preklopnikom. [9]

Ako se ne koristi preklopnik između jedinica, a sučelje ispadne, veza je ne

uspostavljena na oba uređaja. Ovaj uvjet može spriječiti naporno rješavanje

problema jer ne možete jednostavno odrediti koja jedinica ima sučelje u ispadu. ASA

podržava „Auto-MDI/MDIX“ na bakrenim „ethernet“ portovima, tako da se može

koristiti ili križni („crossover“) ili ravni („straight“) kabel. [9]

3.5 Izbjegavanje prekinutih prijenosa instanci i podatkovnih veza

Preporučljivo je da “failover” veze i podatkovna sučelja putuju kroz različite puteve

za smanjenje šansi da sva sučelja padnu u isto vrijeme. Ako je “failover” veza u

stanju „down“, ASA može koristiti podatkovno sučelje da odredi je li “failover”

potreban. Zatim je “failover” operacija suspendirana dok se zdravlje “failover” veze ne

povrati u normalu. [9]

Primjeri dizajna elastične “failover” mreže

1. scenarij – NE PREPORUČUJE SE

17


Ako jedan preklopnik ili set preklopnika su korišteni da spajaju oboje i “failover” i

podatkovna sučelja između ASA. U tom slučaju kada preklopnik ili veza između

preklopnika je u statusu „down“, oba ASA uređaja postaju aktivna. [9]

Slika 1 Način spajanja ASA vatrozida[9]

2. scenarij – PREPORUČUJE SE

Preporučuje se da “failover” veze ne koriste isti preklopnik kao i podatkovno

sučelje. Umjesto toga koristiti različiti preklopnik ili koristiti direktni kabel koji spaja

“failover” veze. [9]


18




Ako su ASA podatkovna sučelja spojena na više od jednog seta preklopnika tada

“failover” veza može biti spojena na jedan od preklopnika. Preferiralo bi se preklopnik

na sigurnoj unutarnjoj strani mreže. [9]



Najsigurnija “failover” konfiguracija koristi redundantno sučelje na “failover” vezi.

[9]


19



3.6 Mac adrese i IP adrese kod prijenosa instanci

Kada se konfigurira sučelje, moguće je specificirati aktivnu IP adresu i rezervnu IP

adresu na istoj mreži. Iako preporučena rezervna adresa nije potrebna. Bez rezervne

IP adrese aktivna jedinica ne može provoditi mrežne testove da provjeri stanje

rezervnog sučelja, već može samo pratiti stanje veze. [9]

Kada je primarna jedinica ili “failover” grupa u ispadu, sekundarna jedinica

preuzima IP i MAC adrese primarne jedinice i počinje prosljeđivati promet. Jedinica

koja je sada u rezervnom stanju preuzima rezervnu IP i MAC adresu. [9]

Mrežni uređaji ne vide promjene u MAC i IP adresnom mapiranju, ne postoje

„ARP“ promijenjeni unosi ili pauze nigdje na mreži. [9]

Ako se sekundarna jedinica starta bez detektiranja primarne jedinice, sekundarna

jedinica postaje aktivna i koristi vlastitu MAC adresu zbog toga što ne zna MAC

adresu primarne jedinice. Međutim kada primarna jedinica postane dostupna,

sekundarna (aktivna) jedinica mijenja MAC adrese u one koje je koristila primarna

jedinica, što može prouzrokovati smetnje na mreži. [9]

Svojstvo „Virtual MAC Adress Guard“ se koristi protiv tih prekida jer aktivna MAC

adresa je znana sekundarnoj jedinici od početka, i ostaje ista u slučaju novog

primarnog hardvera na jedinici. U višestrukom sigurnosnom kontekstnom načinu

rada, ASA-u se može konfigurirati da generira virtualnu aktivnu i rezervnu MAC

20


adresu automatski. U načinu rada gdje se koristi samo jedan sigurnosni kontekst,

može se ručno konfigurirati virtualna MAC adresa. [9]

3.7 Vrste prijenosa instanci

ASA podržava dva “failover” tipa, to su „stateless“ i „stateful“ za oba načina rada

„Active/Standby“ i „Active/Active“. [9]

3.7.1 Prijenos instance s ponovnom uspostavom konekcija

Kada se “failover” dogodi u „stateless“ formi, sve aktivne konekcije su odbačene.

Klijenti moraju ponovno uspostaviti konekcije kada nova aktivna jedinica preuzme. [9]

3.7.2 Prijenos instance bez ponovne uspostave konekcija

Kada je „stateful failover“ upaljen, aktivna jedinica neprekidno prosljeđuje stanja i

informacije po konekciji do rezervne jedinice. Nakon što se “failover” dogodi, ista

konekcijska informacija je dostupna na novoj aktivnoj jedinici. [9]

3.8 Primarni i sekundarni statusi jedinica

Glavna razlika između jedinica u “failover” paru su povezanosti koja je jedinica

aktivna i koja je rezervna jedinica, naime koju IP adresu će koristiti i koja će jedinica

aktivno prosljeđivati promet. Primarna jedinica uvijek postaje aktivna ako obje

jedinice krenu u pogon u isto vrijeme. [9]

Aktivna jedinica je određena sljedećim:

- Ako se jedinica pokrene i detektira uređaj koji je već aktivan, ona postaje

rezervna jedinica. [9]

- Ako se jedinica pokrene i ne detektira uređaj, postaje aktivna jedinica. [9]

- Ako se obje jedinice pokrenu simultano, tada primarna jedinica postaje aktivna

jedinica, i sekundarna jedinica postaje rezervna jedinica. [9]

21


3.9 Događaji kod prijenosa instanci

Kod „A/S failovera” sve se događa na bazi jedinice. Bez obzira ako se sustav

pokreće u načinu rada višestrukih sigurnosnih konteksta, nemoguće je napraviti

“failover” za individualne grupe konteksta. [9]

Tablica pokazuje “failover” akcije za svaki “failover” događaj. Za svaki događaj s

greškom, tablica prikazuje “failover” politiku ( “failover” ili „no failover”), akciju koju je

napravila aktivna jedinica i rezervna jedinica, specijalne bilješke o “failover” uvjetima i

akcijama. [9]

DOGAĐAJ S GREŠKOM POLITIKA

AKCIJA AKTIVNE GRUPE

AKCIJA REZERVNE

GRUPE BILJEŠKE

Aktivna jedinica u

kvaru (napajanje ili

hardver). “Failover” /

Postaje aktivna, bilježi aktivnu da je

kvaru.

Ne dobivaju se „hello“ poruke na

nijednom nadgledanom

sučelju “failover” veze.

Ranije aktivna

jedinica se oporavila.

Bez “failovera”

Postaje rezervna. / /

Rezervna jedinica u

kvaru (napajanje ili

hardver).Bez

“failovera”

Obilježi rezervnu

jedinicu da je u kvaru. /

Kada je rezervna jedinica označen da

je u kvaru, tada aktivna jedinica ne pokušava “failover”.

“Failover” veza u kvaru

tijekom operacije.

Bez “failovera“

Označava “failover” vezu u kvaru

Označava “failover” vezu

u kvaru.

Trebalo bi povratiti “failover” vezu čim

je moguće jer jedinica ne može napraviti “failover”

na rezervnoj jedinici dok je “failover” veza u stanju

„down“.

“Failover” veza u kvaru pri pokretanju

Bez “failovera“

Označava “failover” vezu u kvaru.

Postaje aktivna.

Ako je “failover” veza u stanju

„down“ pri pokretanju, obje jedinice postaju

aktivne.„State link“ u

kvaru.Bez

“failovera”./ / Informacije o stanju

su zastarjele, i

22


sesije su završene ako dođe do

“failover”.Sučelje u kvaru na aktivnoj jedinici. “Failover”

Označava aktivnu

jedinicu u kvaru.

Postaje aktivna. /

Sučelje u kvaru na rezervnoj jedinici.

Bez “failovera” /

Označava rezervnog da

je kvaru.

Kada je rezervna jedinica označna da

je u kvaru, tada aktivna jedinica ne pokušava “failover”.

Tablica 2 Prikaz događaja s greškom i reakcijama nakon greške kod „A/S“ [9]

3.10 Konfiguriranje prijenosa instanci s jednom aktivnom i jednom rezervnom jedinicom

Da bi se konfigurirao „A/S failover” potrebno je konfigurirati osnovne “failover”

postavke na obje primarnoj i sekundarnoj jedinici. Sva druga konfiguracija se događa

na primarnoj jedinici i ona je zatim sinkronizirana sa sekundarnom jedinicom. [9]

3.11 Konfiguracija primarne jedinice

Sljedeći koraci pružaju minimalnu konfiguraciju potrebnu za paljenje “failover”

opcije na primarnoj jedinici.[6]

KORAK OBJAŠNJENJE KOMANDA PRIMJER

1 Postaviti jedinicu da bude primarna.

ciscoasa(config)#failover lan unit primary

2Specificirati sučelje koje će

se koristiti kao “failover” veza.

ciscoasa(config)#failover lan interface folink gigabitethernet 0/3

3Dodjeliti aktivnu i rezervnu

IP adresu na “failover” vezu.

ciscoasa(config)#failover interface ip folink 172.27.48.1 255.255.255.0

standby 172.27.48.2 ciscoasa(config)#failover interface ip

folink 2001:a0a:b00::a0a:b70/64 standby 2001:a0a:b00::a0a:b71

23


4 Upaliti “failover” vezu.

ciscoasa(config)# interface gigabitethernet 0/3

ciscoasa(config-if)# no shutdown

5Specificirati sučelje koje se želi koristiti kao "state link".

(Opcionalno)

ciscoasa(config)#failover link folink gigabitethernet0/3

6

Ako se specificira odvojeni "state link", potrebno je

dodjeliti aktivnu i rezervnu IP adresu "state linku". IP adresa bi trebala biti na ne

korištenom „subnetu“, različitom od "failover linka". (Opcionalno)

ciscoasa(config)#failover interface ip statelink 172.27.49.1 255.255.255.0

standby 172.27.49.2

7 Paljenje odvojenog "state linka". (Opcionalno)

ciscoasa(config)#interface vlan100 ciscoasa(config-if)#no shutdown

8

Ako se želi kriptirati komunikacija između “failover” i "state link". Potrebno uspostaviti

"Ipsec" tunele na “failover” i "state link" između jedinica.

ciscoasa(config)#failover ipsec pre-shared-key a3rynsun

9 Upaliti “failover”. ciscoasa#failover

10Spremiti sistemsku konfiguraciju u flash

memoriju

ciscoasa(config)#copy running-config startup-config

Tablica 3 Konfiguracija primarne jedinice za „A/S failover“ [9]

3.12 Konfiguriranje sekundarne jedinice

Jedina konfiguracija koja je potrebna na sekundarnoj jedinici je za “failover” vezu.

Sekundarna jedinica zahtjeva ove komande za komuniciranje inicijalno s primanom

jedinicom. Nakon što primarna jedinica pošalje svoju konfiguraciju na sekundarnu

jedinicu, jedina različitost između dviju konfiguracija je “failover lan unit“ komanda,

koja identificira jedinicu kao primarnu ili sekundarnu. Ostale komande je potrebno

ponoviti kao iz konfiguracije primarne jedinice. [9]

Primjer konfiguracije sekundarne jedinice za „A/S failover”:[9]

ciscoasa2(config)#failover lan unit secondary

24


ciscoasa2(config)# failover lan interface folink gigabitethernet0/3 ciscoasa2(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2 ciscoasa2(config)# interface gigabitethernet 0/3 ciscoasa2(config-ifc)# no shutdown ciscoasa2(config-ifc)# failover link folink gigabitethernet0/3 ciscoasa2(config)# failover ipsec pre-shared-key a3rynsun ciscoasa2(config)# failover

3.13Provjera funkcionalnosti

Provjeru funkcionalnosti „failovera“ moguće je odraditi izvršavanjem komande

„show failover“.

Slika 7 Izvršavanje komadni „show failover“ i „show failover state“ na primarnoj i sekundarnoj jedinici u svrhu utvrđivanja „failover“ funkcionalnosti

Slika prikazuje izvršavanje komandi na primarnoj i sekundarnoj jedinici kako bi se

ustanovila i potvrdila „failover“ funkcionalnost. Prikazana su „failover“ sučelja, kada

se zadnji puta „failover“ dogodio, te koja je jedinica primarna, a koja sekundarna. S

ovim komandama se može potvrditi „A/S failover“ funkcionalnost.

25


4. Način rada s dvije aktivne jedinice4.1 Općenito

„A/A failover” je jedino dostupan kod ASA u načinu rada s višestrukim sigurnosnim

kontekstima. U „A/A failover” konfiguraciji oba uređaja mogu prosljeđivati mrežni

promet. Sigurnosni konteksti na ASA vatrozidu se razdvoje na “failover” grupe.

“failover” grupa je logička grupa od jednog ili više sigurnosnih konteksta. Moguće je

kreirati maksimalno dvije “failover” grupe. „Admin“ kontekst je uvijek član “failover”

grupe 1. Bilo koji ne raspoređeni sigurnosni kontekst je isto tako član “failover” grupe

1 po standardu.[10]

“Failover” grupa formira baznu jedinicu za “failover” u „A/A“ načinu rada. Kada se

kreiraju “failover” grupe, trebale bi se kreirati na jedinici koja ima “failover” grupu 1 u

aktivnom stanju. [10]

„A/A failover” generira virtualne MAC adrese za sučelja u svakoj “failover” grupi.

Ako postoji više od jednog para „A/A“ na istoj mreži, moguće je da postoji ista

standardna virtualna MAC adresa dodijeljena sučeljima na jednom paru kao što su i

dodijeljena sučeljima od drugih parova zato što su po pravilu virtualne MAC adrese

predodređene. Za izbjegavanje dupliciranja MAC adresa na mreži, treba biti siguran

da se svakom fizičkom sučelju dodijelila virtualna aktivna i rezervna MAC adresa.

[10]

4.2 Preduvjeti za prijenos instanci

„A/A failover” zahtjeva identične potrebe kao i „A/S failover”. U nastavku će se

nabrojati najznačajniji uvjeti potrebni za konfiguriranje „A/A failover” opcije. Obje

jedinice moraju imati sljedeće:

- Isti hardverski model. [10]

- Isti broj sučelja. [10]

- Iste tipove sučelja. [10]

- Imati isti glavni (prvi broj) i sporedni (drugi broj) softverske verzije. Međutim

može se privremeno koristiti različite verzije softvera tijekom procesa

26


nadogradnje. Preporuka je da se napravi nadogradnja obje jedinice na iste

verzije kako bi se osigurala dugotrajna kompatibilnost. [10]

- Ista softverska konfiguracija. [10]

- Isti način rada (višestruki konteksti). [10]

- Pripadajuće licence. [10]

4.3 Primarni i sekundarni status jedinica

Kao i kod „A/S“ jedna jedinica u „A/A failover” paru je dodijeljna primarnoj jedinici,

a druga jedinica sekundarnoj jedinici. Za razliku od „A/S“ dodjeljuje se oznaka koja

ukazuje koja jedinica će postati aktivna kada obje jedinice startaju simultano. [10]

Primarna i sekundarna oznaka radi dvije stvari:

- Određuje koja jedinica pruža i prosljeđuje konfiguraciju kada se uređaji

startaju istovremeno. [10]

- Određuje na kojoj jedinici se svaka “failover” grupa pojavljuje u aktivnom

stanju kada se jedinice podižu istovremeno. Svaka “failover” grupa u

konfiguraciji je konfigurirana s primarnom ili sekundarom prednosti jedinice.

Moguće je konfigurirati obje “failover” grupe da budu u aktivnom stanju na

jednoj jedinci u paru, dok na drugoj jedinici koja sadrži “failover” grupe u

rezervnom stanju. Međutim tipičnija konfiguracija je da se svakoj “failover”

grupi dodjeli različita rola prednosti kako bi obje jedinice bile aktivne. Tako se

distribuira promet kroz oba uređaja. [10]

ASA isto tako pruža balansiranje opterećenja prometa, koje je različito od

“failovera“. Oboje “failover” i balansiranje opterećenja prometa mogu postojati na istoj

konfiguraciji. [10]

Na kojoj jedinici će koja “failover” grupa biti aktivna je određeno sa:

- Kada se jedinica starta dok druga jedinica nije dostupna, obje “failover” grupe

postanu aktivne na jedinici koja se pokrenula. [10]

- Kada se jedinica starta dok druga jedinica je aktivna (s obje “failover” grupe u

aktivnom stanju), “failover” grupe ostaju u aktivnom stanju na aktivnoj jedinici

27


bez obzira na primarne i sekundarne prednosti “failover” grupe dokle god se

ne dogodi sljedeće:

- “Failover” se dogodi. [10]

- Ručno se forsira “failover”.[10]

- Konfiguriranje prisvojenja za “failover” grupu, koja izaziva “failover”

grupu da automatski postane aktivna na poželjnoj jedinici kada jedinica

postane dostupna. [10]

Kada se obje jedinice podignu u isto vrijeme, svaka “failover” grupa postane

aktivna na svojoj poželjnoj jedinici nakon što je konfiguracija sinkronizirana. [10]

4.4 Inicijalizacija uređaja i sinkronizacija konfiguracije

Sinkronizacija konfiguracija se dogodi kada jedna ili obje jedinice u “failover” paru

se stave u radno stanje. [10]

Kada se jedinica podigne dok je druga jedinica aktivna (s obje “failover” grupe u

aktivnim stanjima), jedinica koja se podigla kontaktira aktivnu jedinicu da dobije

„running“ konfiguraciju bez obzira na primarnu ili sekundarnu oznaku jedinice koja se

podigla. Kada se obje jedinice podignu istovremeno, sekundarna jedinica dobije

„running“ konfiguraciju od primarne jedinice. [10]

Tijekom replikacije komande unošene na jedinicu koja šalje konfiguraciju možda

se ne repliciraju ispravno na drugu jedinicu i komande unošene na jedinici koja

dobiva konfiguraciju mogu biti prebrisane s konfiguracijom koja dolazi. Preporučljivo

je da se izbjegava unošenje komandi na ijednoj jedinici u “failover” paru tijekom

konfiguracijskog replikacijskog procesa. Oviseći o veličini konfiguracije, replikacija

može trajati od nekoliko sekundi do nekoliko minuta. [10]

Na jedinici koja dobiva konfiguraciju, konfiguracija postoji samo u „running“

memoriji. Da bi se spremila konfiguracija na „flash“ memoriju nakon sinkronizacije

potrebno je unijeti komandu „write memory all“ na jedinici koja ima “failover” grupu 1

u aktivnom stanju. Komanda je replicirana na drugu jedinicu, koja nastavlja pisati

konfiguraciju u „flash“ memoriju. Koristeći riječ „all“ s ovom komandom se izaziva da

sistem i sve kontekstne konfiguracije mogu biti spremljene. [10]

28


4.5 Replikacija komandi

Nakon što su obje jedinice u radnom stanju, komande unošene unutar

sigurnosnog konteksta su replicirane s jedinice na kojoj je sigurnosni kontekst u

aktivnom stanju prema drugoj jedinici. [10]

Kontekst se smatra u aktivnom stanju na jedinici ako je “failover” grupa kojoj

pripada u aktivnom stanju na toj jedinici. Komande unošene su replicirane s jedinice

na kojoj je “failover” grupa 1 u aktivnom stanju na jedinicu gdje je “failover” grupa 1 u

rezervnom stanju. Komande unošene u „admin“ kontekst su replicirane s jedinice na

kojoj je “failover” grupa 1 u aktivnom stanju na jedinicu na kojoj je “failover” grupa 1 u

rezervnom stanju. [10]

Replicirane komande nisu spremljene u „flash“ memoriju kada su replicirane na

drugu jedinicu. One su dodane u „running“ konfiguraciju. Da bi spremili replicirane

komande u „flash“ memoriju na obje jedinice, koristiti „write memory“ ili „copy

running-config startup-config“ komandu na jedinici na kojoj su napravljene promjene.

Komanda je replicirana na drugu jedinicu i izaziva reakciju da je konfiguracija

spremljena u „flash“ memoriju na drugoj jedinci. [10]

4.6 Okidači prijenosa instanci

“Failover” se događa u sljedećim slučajevima:

- Jedinica ima hardversku grešku. [10]

- Jedinica ima grešku kod napajanja. [10]

- Jedinica ima softversku grešku. [10]

- Unošene su komande „no failover active“ ili „failover active“ . [10]

“Failover” se dogodi na nivou “failover” grupe kada se jedan od sljedećih događaja

dogodi:

- Previše nadgledanih sučelja u grupi ispadne. [10]

- „No failover active group“ ili „failover active group“ komanda je unošena. [10]

29


4.7 Događaji kod prijenosa instanci

“Failover” se događa na “failover” grupnoj bazi, ne na sistemskoj bazi. Ako se

odredi da su obje “failover” grupe aktivne na primarnoj jedinici i “failover” grupa 1

ispadne, tada “failover” grupa 2 ostaje aktivna na primarnoj jedinici dok “failover”

grupa 1 postaje aktivna na sekundarnoj jedinici. [10]

DOGAĐAJ S GREŠKOM POLITIKA

AKCIJA AKTIVNE GRUPE

AKCIJA REZERVNE

GRUPEBILJEŠKE

Jedinica doživi grešku s

napajanjem ili softversku

grešku.

“Failover”

Postane rezervna,

označi se da je u ispadu.

Postane aktivna.

Kada jedinica u “failover” paru ispadne, bilo koja aktivna

“failover” grupa na toj jedinici je označena da je

u ispadu i postane aktivna

na drugoj jedinici.

Greška na sučelju na aktivnoj

“failover” grupi. “Failover”

Označava aktivnu grupu

u ispadu.Postane aktivna. /

Greška na sučelju na rezervnoj

“failover” grupi.

Bez “failovera”. /

Označi rezervnu grupu

u ispadu.

Kada je rezervna “failover” grupa u ispadu, aktivna “failover” grupa ne pokušava

ponovni “failover”.

Oporavak ranije aktivne “failover”

grupe.

Bez “failovera”. / /

Osim ako nije konfigurirana

„failover group preemption“ (prisvojenje),

“failover” grupe ostaju aktivne na

trenutnim jedinicama.

Greška “failover” veze na startanju.

Bez “failovera”.

Postane aktivna.

Postane aktivna.

Ako dođe do greške veze pri startanju, obje “failover” grupe

30


postanu aktivne na obje jedinice.

„Stateful failover link“ greška.


Informacija o stanju postaje

zastarjela i sesije su

okončane ako se “failover” dogodi.

Greška “failover” veze tijekom

rada.


Svaka jedinica označuje “failover”

instancu u ispadu. Trebala bi se povratiti “failover” veza

što je prije moguće jer

jedinica ne može napraviti

“failover” na rezervnu jedinicu

dokle god je “failover” veza u

ispadu.Tablica 4 Prikaz događaja s greškom i reakcijama nakon greške kod „A/A“ [10]

4.8 Konfiguriranje prijenosa instanci

Sastoji se od 3 koraka:

1. Konfiguriranje primarne jedinice. [10]

2. Konfiguriranje sekundarne jedinice. [10]

3. Konfiguriranje opcionalnih „A/A failover” postavki. [10]

4.8.1 Konfiguriranje primarne jedinice


31


1

Za podatkovno sučelje, za menadžment IP adresu ili za

menadžment sučelje, konfigurirati aktivnu i rezervnu IP adresu.

Konfigurirati adrese sučelja unutar svakog konteksta. Koristiti „change

to context“ komandu za prebacivanje između konteksta.

ciscoasa(config)# changeto context ciscoasa/context(config)# interface ciscoasa/context(config-

if)#ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2 ciscoasa/context(config-if)# ipv6 adddress 3ffe:c00:0:1::576/64

standby

2Vratiti se u sistemski prostor za

izvršavanje komandi.ciscoasa/context(config)#

changeto system

3Imenuje se jedinica kao primarna

jedinica.ciscoasa(config)#failover lan unit

primary

4Specificira se sučelje koji će se koristiti kao “failover” sučelje.

ciscoasa(config)#failover lan interface folink GigabitEthernet0/3

5

Dodijeliti aktivne i rezervne IP adrese na “failover” vezu. Mogu se

dodjeliti IPv4 ili IPv6 adrese na sučelje. Ne mogu se postaviti obje

IP adrese na “failover” vezu. Rezervna IP adresa mora biti u istom subnetu kao aktivna IP

adresa. Nije potrebno identificirati masku rezervne IP adrese. IP

adresa i MAC adresa na “failover” vezi se ne mijenjaju prilikom

“failovera“. Aktivna IP adresa za “failover” vezu uvijek ostaje s

primarnom jedinicom dok rezervna IP adresa ostaje sa sekundarnom

jedinicom.

ciscoasa(config)#failover interface ip folink 172.27.48.1

255.255.255.0 standby 172.27.48.2

ciscoasa(config)#failover interface ip folink 2001:a0a:b00::a0a:b70/64

standby

6

Specificira se sučelje koje će se koristiti kao „Stateful failover link“.

(Opcionalno)

ciscoasa(config)#failover link folink GigabitEthernet0/2

7

Dodijeliti aktivnu i rezervnu IP adresu za „stateful failover link“.

(Opcionalno)

ciscoasa(config)#failover interface ip folink 172.27.48.1

255.255.255.0 standby 172.27.48.2

ciscoasa(config)#failover interface ip statelink

2001:a1a:b00::a0a:a70/64 standby 2001:a1a:b00::a0a:a71

8Uključuje se sučelje.

ciscoasa(config)# interface GigabitEthernet 0/3

ciscoasa(config-if)#no shutdown

32


9

Konfiguriraju se “failover” grupe Moguće je imati samo 2 “failover” grupe. Komanda „failover group“ kreira specifičnu “failover” grupu ako ona ne postoji i ulazi se u

konfiguracijski način rada “failover” grupe. Za svaku “failover” grupu, specificirati da li ima primarne ili sekundarne prednosti koristeći

„primary“ ili „secondary“ komande. Moguće je dodijeliti iste prednosti

na obje “failover” grupe. Kako bi se promet dijelio na više uređaja,

potrebno je različite prednosti staviti na različite grupe.

ciscoasa(config)#failover group 1 ciscoasa(config-fover-

group)#primary ciscoasa(config-fover-group)#exit

ciscoasa(config)#failover group 2 ciscoasa(config-fover-

group)#secondary ciscoasa(config-fover-group)#exit

10

Dodjeliti svaki korisnički kontekst svojoj “failover” grupi.

ciscoasa(config)# context Eng ciscoasa(config-context)# join-

failover-group 1 ciscoasa(config.context)#exit

11 Paljenje “failovera”. ciscoasa(config)#failover

12Spremanje sistemske konfiguracije

u „flash“ memoriju.ciscoasa(config)#copy running-

config startup-configTablica 5 Konfiguriranje primarne jedinice kod „A/A“ [10]

4.8.2 Konfiguriranje sekundarne jedinice


1

Specificira se sučelje koje će se koristiti kao “failover” sučelje. Sučelju

se dodjeljuje argument ime kao I argument fizičkog sučelja. Argument

fizičkog sučelja je ime fizičkog sučelja, kao Ethernet1. Ovo sučelje se ne bi trebalo koristiti za nijednu drugu prigodu (osim opcionalno za

“stateful failover link”)

ciscoasa2(config)#failover lan interface folink

GigabitEthernet0/3

2

Dodjeljuje se aktivna i rezervna IP adresa na “failover” vezu. Moguće je

postaviti ili IPv4 ili IPv6 adresu na vezu, nije moguće koristiti obje adrese na sučelju. Rezervna IP

adresa mora biti u istom subnetu kao I aktivna IP adresa. Nije potrebno

dodavati subnet masku za rezervnu adresu. IP I MAC adresa “failover”

ciscoasa2(config)#failover interface ip folink 172.27.48.1

255.255.255.0 standby 172.27.48.2

ciscoasa2(config)#failover interface ip folink

2001:a0a:b00:a0a:b70/64 standby

2001:a0a:b00::a0a:b71

33


veze se ne mijenja tijekom “failover” procesa. Aktivna IP adresa za

“failover” vezu ostaje kod primarne jedinice, a rezervna IP adresa ostaje

kod sekundarne jedinice.

3 Uključuje se sučelje.

ciscoasa2(config)#interface GigabitEthernet0/3

ciscoasa2(config-if)#no shutdown

4

Imenuje se ova jedinica kao sekundarna jedinica. Ovaj korak je

opcionalan jer jedinice su imenovane kao sekundarne osim ako se prije nije konfiguriralo drugačije. (Opcionalno)

ciscoasa2(config)#failover lan unit secondary

5

Uključuje se “failover”. Nakon što se uključio “failover”, aktivna jedinica

šalje konfiguraciju u “running” memoriju rezervne jedinice.

ciscoasa2(config)#failover

6 Sprema konfiguraciju u flash memoriju.

ciscoasa2#copy running-config startup-config

7

Ako je potrebno forsirati bilo koju “failover” grupu koja je aktivna na

primarnoj jedinici da bude aktivna na sekundarnoj jedinici.

ciscoasa2(config)#no failover active group 1

Tablica 6 Konfiguracija sekundarne jedinice kod „A/A“ [10]

4.9 Provjera funkcionalnosti

Provjeru funkcionalnosti „failovera“ moguće je odraditi izvršavanjem komande

„show failover“.

34


Slika 8 Izvršavanje komandi „show failover“ na primarnoj i sekundarnoj jedinici u svrhu provjere funkcionalnosti

Slika 8 prikazuje provjeru funkcionalnosti „failovera“ i na njoj je moguće vidjeti koja

sučelja su „failover“ sučelja, kada se zadnji puta „failover“ dogodio, te koji je uređaj

primaran, a koji sekundaran u „A/A“ načinu rada. S ovom komandom se jasno može

potvrditi funkcionalnost „failovera“ i provjeriti jesu li uređaji upareni.

35


5.ASA KLASTER5.1 Općenito

U daljnjem tekstu će se često navoditi engleska riječ “clustering” što u prijevodu

znači grupiranje. “clustering” dozvoljava stavljanje više vatrozida da zajedno

funkcioniraju kao jedan logički uređaj. Klaster pruža pogodnosti jednog uređaj dok

isto tako ostvaruje povećanu propusnost i redundanciju višestrukih uređaja.[12]

5.2 Kako se asa klaster stavlja u mrežu?

Klaster sadrži višestruke vatrozide koji se ponašaju kao jedna jedinica. Da bi se

ponašale kao klaster ASA vatrozidi trebaju sljedeću infrastrukturu:

- Izolirane matične ploče visokih brzina u mreži za komunikaciju unutar klastera,

znanu kao „cluster link control“. [12]

- Menadžment pristup do svakog ASA uređaja za konfiguriranje i nadgledanje.

[12]

Kada se postavi klaster u mreži, usmjernici moraju moći raspoređivati opterećenje

prometa koji dolazi i odlazi od klastera koristeći jednu od metoda:

1. „Spanned EtherChannel“ – Sučelja na više članova klastera su grupirana u

jedan “EtherChannel”. “EtherChannel” pruža balansiranje opterećenja

prometa između jedinica. [12]

2. „Policy-based-routing“ – Usmjernici pružaju balansiranje opterećenja

prometa između jedinica koristeći usmjerničke mape i pristupne liste. [12]

3. „Equal-Cost Multi-Path routing“ – Usmjernici pružaju balansiranje

opterećenja prometa između jedinica koristeći statičke i dinamičke rute

jednakih vrijednosti. [12]

5.2.1 Faktor skaliranja performansa

Kada se kombinira više jedinica u klaster, očekuju se približne performanse:

- 70 % kombinirane propusnosti. [12]

- 60 % maksimalnih konekcija. [12]

- 50 % konekcija po sekundi. [12]

36


5.2.2 Asa hardverski i softverski zahtjevi

Sve jedinice u klasteru:

- Moraju biti isti model s istom radnom memorijom. Ne moraju imati istu veličinu

„flash“ memorije. [12]

- Mora pokretati identični softver. [12]

- Moraju biti na istoj geografskoj lokaciji. [12]

- Moraju biti u istom načinu rada sigurnosnih konteksta. [12]

- Moraju biti u istom vatrozidnom načinu rada. [12]

- Novi članovi klastera moraju koristiti iste „SSL“ enkripcijske postavke kao

“master” jedinica za inicijalni „cluster control link“. [12]

5.3 Početna konfiguracija i inicijalizacija

Na svakom uređaju, konfigurira se minimalna „bootstrap“ konfiguracija uključujući

ime za klaster, “cluster control link” sučelje i druge postavke za klaster. Prva jedinica

na kojoj se uključi “clustering” tipično postaje “master” jedinica. Kada se uključi

“clustering” na drugim jedinicama, one se pridružuju klasteru kao „slave” jedinice.

[12]

5.3.1 Glavne i sporedne uloge

Jedan član klastera je “master” jedinica. “master” jedinica je određena s

postavkom prioriteta u „bootstrap“ konfiguraciji. Prioritet je postavljen između 1 i 100,

gdje je 1 najveći prioritet. Svi ostali članovi su “slave” jedinice. Kada se kreira prvi

klaster, prva jedinica koja se doda postaje “master” jedinica jer je za sada jedina

jedinica u klasteru.

Potrebno je odraditi svu konfiguraciju na “master” jedinici i zatim se konfiguracija

replicira na „slave“ jedinice. U slučajevima poput sučelja, konfiguracija “master”

jedinice je zrcaljena na svim “slave” jedinicama. Ako konfigurirate „GigabitEthernet

0/1“ kao unutarnje sučelje i „GigabitEthernet 0/0“ kao vanjsko sučelje, tada su ta

sučelja također korištena na “slave” jedinicama kao unutarnja i vanjska sučelja. [12]

5.3.2 Odabir glavne jedinice

37


Članovi klastera komuniciraju preko “cluster control linka” za odabir “master”

jedinice:

1. Kada se upali “clustering” za jedinicu (ili kada se prvi put pokrene s upaljenim

“clusteringom“), jedinica svima šalje zahtjev u razmaku od svake 3 sekunde za

odabir “master” jedinice. [12]

2. Svaka druga jedinica s većim prioritetom odgovara na odabirni zahtjev,

prioritet je postavljen između 1 i 100, gdje je 1 najveći prioritet. [12]

3. Ako nakon 45 sekundi, jedinica ne dobije odgovor od nijedne jedinice s većim

prioritetom, postaje “master” jedinica. [12]

4. Ako se jedinica s većim prioritetom kasnije pridruži klasteru, ona ne postaje

automatski “master” jedinica. Postojeća “master” jedinica uvijek ostaje

“master” osim ako prestane odgovarati na poruke, u tom slučaju je novi

“master” odabran. [12]

Ako su višestruke jedinice izjednačene s najvećim prioritetom, za određivanje

“master” jedinice se koristi ime klaster jedinice i serijski broj. [12]

Moguće je ručno postaviti jedinicu da postane “master”. Ako se forsira “master”

promjena, tada su sve konekcije odbačene i potrebno je ponovno uspostaviti

konekcije na novoj “master” jedinici. [12]

5.4 Vrste asa klaster sučelja

Podatkovna sučelja se mogu konfigurirati kao „Spanned EtherChannel“ ili kao

individualna sučelja. Sva podatkovna sučelja u klasteru moraju biti istog tipa. [12]

5.4.1 „Spanned etherchannel“

Može se grupirati jedno ili više sučelja po jedinici u “EtherChannel” koji obuhvaća

sve jedinice u klasteru. “EtherChannel” agregira promet kroz sve dostupna aktivna

sučelja u kanalu. „Spanned EtherChannel“ može biti konfiguriran u „routed“ ili

„transparent“ vatrozidnom načinu rada. U „routed“ načinu rada “EtherChannel” je

konfiguriran kao „routed“ sučelje s jednom IP adresom. U „transparent“ načinu rada,

IP adresa je dodijeljena „bridge“ grupi, a ne sučelju. [12]

38


5.4.2. Individualno sučelje

Individualna sučelja su normalna „routed“ sučelja, svako sa svojom vlastitom

lokalnom IP adresom. Konfiguracija sučelja mora biti konfigurirana samo na “master”

jedinici. Konfiguracija sučelja dopušta postaviti bazen IP adresa koji će biti korišten

za dodijeljeno sučelje na klaster članovima, uključujući jedan za “master”. Glavna

klaster IP adresa je fiksirana adresa za klaster koja uvijek pripada trenutnoj “master”

jedinici. Glavna IP klaster adresa pruža dosljedni menadžment pristup adresi, kada

se “master” jedinica promjeni. Glavna klaster IP adresa se premjesti na novu

“master” jedinicu, tako da se menadžment za klaster nastavi neprimjetno. [12]

Preporučljivo je korištenje „Spanned EtherChannel“ umjesto individualnih sučelja

jer individualna sučelja leže na usmjerničkim protokolima koji balansiraju opterećenje

prometa, a usmjernički protokoli često imaju sporu konvergenciju tijekom kvara na

vezi. [12]

5.5 Kontrolna veza klastera Svaka jedinica mora odrediti barem jedno hardversko sučelje kao “cluster control

link”.

Promet “cluster control linka” uključuje oba kontrolni i podatkovni promet. [12]

Kontrolni promet uključuje:

- Odabir “master” jedinice. [12]

- Replikaciju konfiguracije. [12]

- Nadgledanje stanja klastera.[12]

Podatkovni promet uključuje:

- Replikacija stanja. [12]

- Vlasništvo konekcijskih upita i prosljeđivanje podatkovnih paketa. [12]

5.5.1 Mreža kontrolne veze klastera

Svaki “cluster control link” ima IP adresu na istom segmentu. Taj segment bi

trebao biti izoliran od drugog prometa i treba uključivati samo ASA “cluster control

39


link” sučelja. Za dvočlani klaster, ne uključuje se “cluster control link” direktno iz

jedne ASA-e u drugu. Ako direktno spojite sučelja, kada jedna jedinica ispadne,

“cluster control link” ispadne i tako ostatak zdravlja jedinice ispadne. Ako spojite

“cluster control link” kroz preklopnik tada “cluster control link” ostaje aktivan za

zdravu jedinicu. [12]

5.5.2 Latencija i sigurnost kontrolne veze klastera

Za osiguranje “cluster control link” funkcionalnosti, treba biti siguran da „round-trip

time“ (RTT) između jedinica je manji od 5 milisekundi. [12]

Za provjeru latencije, napraviti „ping“ na „cluster control linku“ između jedinica.

“cluster control link” mora biti siguran i pouzdan, bez odbačenih paketa i bez paketa

dostavljenih van redoslijeda. [12]

5.5.3 Greške kod kontrolne veze klastera

Ako “cluster control link” ispadne za jedinicu, tada je “clustering” ugašen.

Podatkovna sučelja su ugašena dok se ručno ponovno ne uspostavi “clustering” na

svakoj jedinici na koju je utjecao ispad. Kada ASA postane ne aktivna, sva

podatkovna sučelja su ugašena, dok samo menadžment sučelje može slati i primati

promet. Menadžment sučelje ostaje aktivno koristeći IP adresu koju je jedinica dobila

iz klaster bazena IP adresa. Međutim ako se restarta, i ako je jedinica i dalje ne

aktivna u klasteru, menadžment sučelje nije dostupno, jer tada koristi glavnu IP

adresu, koja je ista kao kod “master” jedinice. Mora se koristiti konzolni port za

daljnju konfiguraciju. [12]

5.7 Visoka dostupnost s asa klasterom

“master” jedinica nadgleda sve “slave” jedinice šaljući im poruke za održavanje

veze preko “cluster control linka” periodički, s time da je period konfigurabilan. Svaka

“slave” jedinica nadgleda “master” jedinicu koristeći isti mehanizam. [12]

40


5.7.1 Nadgledanje sučelja

Svaka jedinica nadgleda status veze svih hardverskih sučelja koji se koriste, i

obavještava “master” jedinicu pri promjeni statusa. [12]

„Spanned EtherChannel“ koristi „Link Aggregation Control Protocol“ („LACP“).

Svaka jedinica nadgleda status veze i „LACP“ protokolne poruke da odredi da li je

port još uvijek aktivan u “EtherChannel”. Statusom je obaviještena “master” jedinica.

[12]

Kod individualnih sučelja svaka jedinica radi nadgledanje vlastitih sučelja i

obavještava statuse sučelja “master” jedinici. [12]

5.7.2 Kvar sučelja ili jedinice

Kada je „health monitoring“ upaljen, jedinica je maknuta iz klastera ako je u kvaru

ili ako su sučelja u kvaru. Ako je sučelje u ispadu na posebnoj jedinici, ali isto sučelje

je aktivno na drugim jedinicama, tada je jedinica maknuta iz klastera. Kada jedinica

u klasteru postane nedostupna, konekcije koje je držala ta jedinica su neprimjetno

proslijeđene na druge jedinice. Informacija o stanjima prometnog toka je podijeljena

preko “cluster control linka”. Ako “master” jedinica ispadne, onda drugi član klastera s

najvećim prioritetom postaje “master”.[12]

5.7.4 Replikacija stanja konekcija

Svaka konekcija ima jednog vlasnika i barem jednog rezervnog vlasnika u

klasteru. Rezervni vlasnik ne preuzima konekcije prilikom kvara. Umjesto toga

sprema TCP/UDP informacije stanja, tako da se konekcija može neprimjetno

prebaciti na novog vlasnika u slučaju kvara. Ako vlasnik postane nedostupan, prva

jedinica koja primi paket od konekcije kontaktira rezervnog vlasnika o relevantnom

stanju informacija tako da on može postati novi vlasnik. [12]

41


Sve jedinice u klasteru dijele jednu konfiguraciju. Osim inicijalne „bootstrap“

konfiguracije, promjene konfiguracije se mogu raditi samo na “master” jedinici, i

promjene su automatski replicirane na sve druge jedinice u klasteru.[12]

5.8 Asa klaster menadžment

Preporuča se spajanje svih jedinica na jednu menađment mrežu. Ta mreža je

odvojena od “cluster control linka”. [12]

5.8.1 Menadžment sučelje

Za menadžment sučelje se preporučuje korištenje jednog od sučelja posvećenih

menadžmentu. Može se konfigurirati menadžment sučelje kao individualno sučelje ili

kao „Spanned EtherChannel“ sučelje. [12]

Preporučljivo je korištenje individualnih sučelja za menadžment, bez obzira koristi

li se „Spanned EtherChannel“ za podatkovna sučelja. Individualna sučelja dopuštaju

spajanje direktno na pojedinačnu jedinicu ako je potrebno, dok „Spanned

EtherChannel“ sučelje samo dopušta udaljeno spajanje na trenutnu “master” jedinicu.

[12]

Ako koristite „Spanned EtherChannel“ sučelje kao način rada i konfigurirate

menadžment sučelje kao individualno sučelje, tada nije moguće upaliti dinamičko

usmjeravanje za menadžment sučelje već je potrebno koristiti statičku rutu. [12]

Za individualna sučelja, glavna klaster IP adresa je fiksna adresa za klaster koja

uvijek pripada trenutnoj “master” jedinici. Za svako sučelje potrebno je konfigurirati

raspon adresa tako da svaka jedinica, uključujući “master” jedinicu, može koristiti

lokalnu adresu iz raspona. Glavna klaster IP adresa pruža dosljedni menadžment

pristup na adresu. Kada se “master” jedinica promjeni, glavna klaster IP adresa se

mijenja na novu “master” jedinicu, tako da menadžment klastera nastavlja

neprekidan rad. Lokalna IP adresa je korištena za usmjeravanje, i korisna je kod

traženja i rješavanja problema. [12]

Moguće je upravljati klasterom spajanjem na glavnu klaster IP adresu, koja je

uvijek pridodijeljena “master” jedinici. Da bi se upravljalo s individualnim članom,

moguće se spojiti na lokalnu IP adresu. [12]

Za izlazni menadžment promet poput „TFTP“ ili „syslog“, svaka jedinica uključujući

“master” jedinicu koristi lokalnu IP adresu da se spoji na server. Za „Spanned

42


EtherChannel“ sučelja, moguće je konfigurirati samo jednu IP adresu, i ta IP adresa

je uvijek pridodijeljena “master” jedinici. Nije moguće direktno se spojiti na “slave”

jedinicu koristeći “EtherChannel” sučelje, stoga se preporučuje konfiguriranje

menadžment sučelja kao individualno sučelje kako bi se moglo spojiti na svaku

jedinicu. [12]

Osim „bootstrap“ konfiguracije, sav menadžment i nadgledanje se može raditi na

“master” jedinici. Sa “master” jedinice mogu se pratiti statistike, korištenje resursa, ili

druge informacije nadgledanja svih jedinica. Isto tako može se pokrenuti komanda

svim jedinicama u klasteru i replicirati konzolnu poruku sa “slave” jedinice do “master”

jedinice. [12]

Kada se kreira „RSA“ ključ na “master” jedinici, ključ je repliciran na sve “slave”

jedinice. Ako postoji „SSH“ sesija na glavnoj klaster IP adresi, dogodit će se

isključenje ako “master” jedinica ispadne. Nova “master” jedinica koristi isti ključ za

„SSH“ konekcije, tako da nije potrebno ažurirati spremljeni „SSH“ ključ kada se

ponovno spoji na novu “master” jedinicu. [12]

5.9 Metode optimalnog balansiranja opterećenja prometa

5.9.1 Grupirana sučelja

Moguće je grupirati jedno ili više sučelja po jedinici u “EtherChannel” koji obuhvaća

sve jedinice u klasteru. “EtherChannel” agregira promet kroz sva dostupna aktivna

sučelja u kanalu. [12]

“EtherChannel” metoda balansiranja opterećenja prometa je preporučena metoda

pred drugima zbog:

- Bržeg otkrivanje greške. [12]

- Bržeg vremena konvergencije. [12]

- Lakše konfiguracije. [12]

5.9.2 Upute za maksimalnu propusnost

Da bi se ostvarila maksimalna propusnost, preporučuje se sljedeće:

43


- Koristiti „hash“ algoritam koji je simetričan, što znači da paketi iz oba smjera

će imati isti „hash“, i bit će slani na istu ASA-u u „Spanned EtherChannel“.

Preporučeno je korištenje izvorišne i destinacijske IP adrese ili izvorišnog i

destinacijskog porta kao „hash“ algoritam. [12]

- Koristiti isti tip linijske kartice kada se ASA-e spajaju na preklopnik tako da je

„hash“ algoritam dodijeljen svim paketima jednak. [12]

5.9.3 Redundancija kod grupiranih sučelja

“EtherChannel” je napravljen u redundanciji. On nadgleda protokolni status veze

za sve veze. Ako jedna veza padne, promet je izbalansiran između preostalih veza.

Ako sve veze “EtherChannel” padnu na posebnoj jedinici, ali ostale jedinice su

aktivne, tada je jedinica maknuta iz klastera.[12]

5.10 Kako asa klaster upravlja konekcijama?

5.10.1 Konekcijske role

Postoje 3 različite ASA role definirane za svaku konekciju:

1. „Owner“ je jedinica koja na početku dobije konekciju. „Owner“ upravlja „TCP“

stanjem i procesuira pakete. Konekcija ima samo jednog vlasnika. [12]

2. “Director“ je jedinica koji rukovodi potragom vlasničkog zahtjeva od „forwarder“

jedinice i isto tako upravlja konekcijskim stanjima gdje služi kao rezerva ako vlasnik

bude u ispadu. Kada „owner“ dobije novu konekciju, odabire „directora“ bazirano na

„hashu“ izvorišne i destinacijske IP adrese i „TCP“ porta i šalje poruku direktoru da

registrira novu konekciju. Ako paket dođe na neku drugu jedinicu koja nije „owner“,

jedinica upita direktora koja je jedinica „owner“ da mu može proslijediti pakete.

Konekciju ima samo jedan „director“. [12]

3.„Forwarder“ je jedinica koji prosljeđuje paket do „ownera“. Ako „forwarder“ dobije

paket od konekcije koje nije vlasnik, upitkuje „directora“ za „ownera“, i uspostavlja tok

prema „owneru“ za bilo koji drugi paket ako ga dobije za tu konekciju. „Director“ isto

može biti „forwarder“. Ako „forwarder“ dobije „SYN-ACK“ paket, može izvući „owner“

jedinicu direktno iz „SYN“ kolačića u paketu, tako da ne mora pitati „directora“ za

44


informaciju. Za kratkotrajne tokove kao kod „DNS“ i „ICMP“ protokola umjesto upita

„forwarderu“ momentalno šalje pakete „directoru“, koji ih onda šalje svojem „owneru“.

Konekcija može imati više „forwardera“. Najefikasnija propusnost je dobivena s

dobrom metodom balansiranja opterećenja prometa gdje nema „forwardera“ i svi

paketi konekcije su dobiven od „ownera“. [12]

5.10.2 Jednostavni tok podataka

Slika 9 Tok podataka ASA “clustering” [12]

1. „SYN“ paket potječe od klijenta i dostavljen je na ASA-u koja postaje „owner“.

„Owner“ kreira tok, šifrira „owner“ informacije u „SYN“ kolačiću, i prosljeđuje ih

prema serveru. [12]

2. „SYN-ACK“ paket potječe od servera i dostavljen je na drugu ASA-u. Ta ASA

je „forwarder“. [12]

3. Zato što „forwarder“ ne posjeduje konekciju, on dekodira „owner“ informaciju

od „SYN“ kolačića, kreira proslijednički tok do „ownera“ i prosljeđuje „SYN-

ACK“ do „ownera“. [12]

4. „Owner“ šalje ažuriranu informaciju do direktora i prosljeđuje „SYN-ACK“ do

klijenta

5. Direktor dobiva ažuriranu informaciju od „ownera“ i kreira tok do „ownera“ i

bilježi „TCP“ stanje informacije kao i „owner“. „Director“ se ponaša kao rezerva

„owneru“ za konekciju. [12]

45


6. Bilo koji sljedeći paket koji je dostavljen „forwarderu“, bit će proslijeđen

„owneru“. [12]

7. Ako su paketi dostavljeni na bilo koju dodatnu jedinicu, oni će pitati „directora“

za „ownera“ i uspostaviti tok. [12]

8. Bilo koja promjena stanja za rezultat toka je u ažurnosti od „ownera“ prema

„directoru“. [12]

5.11 Konfiguriranje asa klastera

Za paljenje ili gašenje “clusteringa“ potrebno je koristiti konzolnu konekciju. [12]

5.11.1 Koraci za konfiguraciju asa klastera

1. Kompletirati svu prekonfiguraciju na preklopnicima i ASA-ma uključujući

preduvjete za ASA “clustering”. [12]

2. Kablirati opremu. Prije konfiguriranja “clusteringa“, kablirati “cluster control

link” mrežu, menadžment mrežu i podatkovne mreže. [12]

3. Konfigurirati način rada za sučelja. Moguće je konfigurirati jedan tip sučelja za

“clustering” „Spanned EtherChannel“ ili individualna sučelja. [12]

4. Konfigurirati sučelja za “clustering” na „master” jedinici. Nemoguće je upaliti

“clustering” ako sučelja nisu spremna za “clustering”. [12]

5. Konfigurirati „bootstrap“ postavke i upaliti “clustering” na “master” jedinici.

6. Konfigurirati „bootstrap“ postavke za svaku “slave” jedinicu. [12]

7. Konfigurirati sigurnosnu politiku na “master” jedinici. Konfiguracija je

replicirana na “slave” jedinice. [12]

5.11.2 Konfiguriranje klaster sučelja na svakoj jedinici

Potrebno je postaviti način rada odvojeno na svakoj ASA-i koju se želi dodati u

klaster. „Transparent“ način rada podržava samo „Spanned EtherChannel“. Za

višestruke sigurnosne kontekste, konfigurirati ovu postavku u sistemskom

konfiguracijskom prostoru. [12]

5.11.2.1 Detaljni koraci

46



1

"check-details" komanda pokazuje bilo koju ne kompatibilnu

konfiguraciju. Komanda služi za provjeru konfiguracije bez obzira koji način rada se odabere. Način

rada se ne mijenja s ovom komandom.

ciscoasa(config)# cluster interface-mode spanned check-details

2

Postavljanje načina rada sučelja za “clustering”. Ne postoji

standardna postavka, odnosno potrebno je eksplicitno izabrati način rada. Ako niste postavili

način rada, nemoguće je upaliti “clustering”. „Force“ opcija mijenja

način rada bez provjere konfiguracije za ne kompatibilne postavke. Bez „force“ opcije, ako postoji bilo koja ne kompatibilna

konfiguracija, bit će potrebno izbrisati konfiguraciju i restartati,

isto tako potrebito će biti spojiti se na konzolni port za

rekonfiguriranje menadžment pristupa. Ako je vaša konfiguracija

kompatibilna način rada je promijenjen i konfiguracija je

sačuvana.

ciscoasa(config)#cluster interface-mode spanned force

Tablica 7 Konfiguriranje klaster sučelja[12]

5.11.3 Konfiguracija sučelja na glavnoj jedinici

Potrebno je promijeniti svako sučelje koje je trenutno konfigurirano s IP adresom,

da bude spremno za klaster prije nego se upali “clustering”. Preporučljivo je da se

nanovo konfiguriraju sva sučelja tako da je kompletna konfiguracija sinkronizirana s

novim klaster članovima. Mogu se konfigurirati podatkovna sučelja „Spanned

EtherChannel“ ili individualna sučelja. Svaka metoda koristi različiti mehanizam za

balansiranje opterećenja prometa. Jedino se menadžment sučelje može konfigurirati

da bude individualno sučelje čak i u „Spanned EtherChannel“ načinu rada. [12]

47


5.11.4 Konfiguriranje individualnih sučelja

Individualna sučelja su normalna usmjernička sučelja, svaki sa svojom vlastitom IP

adresom uzetom iz bazena IP adresa. Glavna klaster IP adresa je fiksirana za klaster

koji uvijek pripada trenutnoj “master” jedinici. U „Spanned EtherChannel“ načinu rada

poželjno je konfiguriranje menadžment sučelja kao individualno sučelje. Individualno

menadžment sučelje dozvoljava spajanje direktno na svaku jedinicu ako je potrebno,

dok „Spanned EtherChannel“ sučelje samo dozvoljava spajanje na trenutnu “master”

jedinicu. [12]

Prilikom načina rada s višestrukim sigurnosnim kontekstima, potrebno je pružiti

proceduru u svakom kontekstu. Individualna sučelja zahtijevaju konfiguraciju

balansiranja opterećenja prometa na susjednim uređajima. Eksterno balansiranje

opterećenja nije potrebno za menadžment sučelje. Sučelja korištena za menadžment

ne mogu biti redundantna sučelja. [12]



1

Konfigurira se bazen lokalnih IP adresa (IPv4 i/ili IPv6). Jedna će biti dodijeljena svako klaster jedinici za

sučelje. Potrebno je uključiti najmanje toliko adresa koliko je

jedinica u klasteru. Ako je u planu proširivati klaster, moraju se uključiti dodatne adrese. Glavna klaster IP

adresa koja pripada “master” jedinici nije dio ovog bazena. Potrebno je

rezervirati IP adresu na istoj mreži za glavnu klaster IP adresu. Svakom članu klastera je dodijeljen članski

identifikator kada se pridruži klasteru. ID je određen lokalnom IP adresom

korištenom iz bazena.

ciscoasa(config)# ip local pool ins 192.168.1.2-192.168.1.9

ciscoasa(config-if)# ipv6 local pool insipv6 2001:DB8::1002/32

8

2 Pristupiti načinu rada za konfiguraciju sučelja.

ciscoasa(config)# interface tengigabitethernet 0/8

48


3Postavlja se sučelje u način rada

samo za menađment, gdje ne prosljeđuje promet.

ciscoasa(config-if)# management-only

4

Postavlja se glavna klaster IP adresa i identificira bazen klastera. Ova IP adresa mora biti na istoj mreži kao i klaster adrese iz bazena, ali ne biti

dio bazena.

ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

cluster-pool insciscoasa(config-if)# ipv6 address 2001:DB8::1002/32 cluster-pool

insipv6

5 Postavlja se sigurnosni nivo, gdje je broj između 0 i 100.

ciscoasa(config-if)# security-level 100

6 Upaliti sučelje ciscoasa(config-if)# no shutdownTablica 8 Konfiguriranje individualnih sučelja[12]

5.11.5 Konfiguriranje grupiranih sučelja u klasteru

Obuhvaća sve ASA-e u klasteru i pruža balansiranje opterećenja prometa kao dio

„EtherChannel“ operacije. Potrebno se nalaziti u „Spanned EtherChannel“

konfiguraciji sučelja. [12]

Za višestruke sigurnosne kontekste, konfigurirati ovu postavku u sistemskom

konfiguracijskom prostoru. Za transparentni način rada potrebno je konfigurirati

„bridge“ grupu. [12]



1

Specificira se sučelje kojega se želi dodati u grupu. Prvo sučelje u grupi određuje tip i brzinu za sva druga

sučelja u grupi.

ciscoasa(config)# interface gigabitethernet 0/0

2

Dodijeliti sučelje “EtherChannel” sa „channel_id“ između 1 i 48. Samo je „active“ način rada podržan za

„Spanned EtherChannel“.

ciscoasa(config-if)# channel-group 1 mode active

3 Paljenje sučelja. ciscoasa(config-if)# no shutdown

4 Specificira se „port-channel“ sučelje.

ciscoasa(config)# interface port-channel 1

5 Postavlja “EtherChannel” u „Spanned EtherChannel“.

ciscoasa(config-if)# port-channel span-cluster

49


6

Moguće je postaviti „Ethernet“ postavke za „port-channel“ sučelje

da se nadglasaju postavke postavljene na individualnim sučeljima. Ova metoda pruža

prečac da se postave ti parametri jer se ti parametri moraju slagati za

sva sučelja u „channel“ grupi.

7

Ako se kreira VLAN podsučelje na taj “EtherChannel”, napraviti to sada, ostatak procedure leži na

podsučeljima.

ciscoasa(config)# interface port-channel 1.10

ciscoasa(config-if)# vlan 10

8

Dodijeliti sučelje kontekstu. Za način rada s višestrukim

sigurnosnim kontekstima ostatak konfiguracije sučelja se događa

unutar svakog konteksta.

ciscoasa(config)# context adminciscoasa(config)# allocate-interface

port-channel1ciscoasa(config)# changeto context

adminciscoasa(config-if)# interface port-

channel 1

9

Imenovati sučelje, ime je „string“ do 48 znakova, i nije osjetljiv na velika i mala slova, moguće je promijeniti ime samo ponovno unijeti komandu

sa novom vrijednosti.

ciscoasa(config-if)# nameif inside

10

Ovisi o načinu rada vatrozida. „ROUTED“ -postavlja se IPv4 i/ili IPv6 adresa. „TRANSPARENT“

način rada - dodijeliti sučelje „bridge“ grupi, gdje se odabere broj

od 1 do 100 za oznaku grupe. Moguće je postaviti do 4 sučelja u „bridge“ grupu. Ne može se isto sučelje postaviti u više „bridge“

grupa.

„ROUTED“ ciscoasa(config-if)# ip address

10.1.1.1 255.255.255.0ciscoasa(config-if)# ipv6 address

2001:DB8::1001/32 "TRANSPARENT"

ciscoasa(config-if)# bridge-group 1

11

Potrebno je konfigurirati MAC adresu za „Spanned EtherChannel“

tako da se MAC adresa ne promjeni kada trenutna “master” jedinica napusti klaster. S ručno konfiguriranom MAC adresom, MAC adresa ostaje s trenutnom

“master” jedinicom.

ciscoasa(config-if)# mac-address 000C.F142.4CDE

Tablica 9 Konfiguriranje „spanned etherchannel“ [12]

50


5.11.6 Konfiguriranje inicijalnih postavki za glavnu jedinicu

Svaka jedinica u klasteru zahtjeva „bootstrap“ konfiguraciju da bi se pridružila

klasteru. Tipično prva jedinica koju konfigurirate da se pridruži klasteru će biti

“master”. Nakon paljenja “clustering” opcije, nakon perioda odabira, klaster odabire

“master” jedinicu. Sa samo jednom jedinicom u klasteru inicijalno, ta jedinica će

postati “master” jedinica. Naknadno dodana jedinica u klaster će biti “slave” jedinica.

[12]

5.11.6.1 Paljenje sučelja kontrolne klaster veze

Potrebno je upaliti “cluster control link” sučelje prije nego ga se pridruži klasteru.

Kasnije će se identificirati sučelje kao “cluster control link” kada se upali “clustering”.

Konfiguracija “cluster control link” sučelja nije replicirana sa “master” jedinice na

“slave” jedinice. Međutim moraju se koristiti iste postavke konfiguracije na svakoj

jedinici. Potrebno je konfigurirati “cluster control link” sučelje na svakoj jedinici

pojedinačno. [12]

5.11.6.2 Detaljni koraci za individualno sučelje


1 Odabrati sučelje.ciscoasa(config)#

interface tengigabitethernet 0/6

2

Samo je potrebno upaliti sučelje, ne

treba mu se konfigurirati ime niti

drugi parametri.


Tablica 10 Konfiguriranje „bootstrap“ postavki za “master” jedinicu s individualnim sučeljem[12]

5.11.6.3 Detaljni koraci za etherchannel sučelje

51



1 Odabrati sučelje. ciscoasa(config)# interface tengigabitethernet 0/6

2

Dodijeliti fizičko sučelje u

“EtherChannel” sa argumentom

„channel ID“ sa brojem između 1 i 48. Preporučuje se

korištenje „ON“ načina rada za

“cluster control link” sučelje da se smanji nepotrebni promet na “cluster control linku".

ciscoasa(config-if)# channel-group 1 mode on

3 Paljenje sučelja ciscoasa(config-if)# no shutdown

4

Ponoviti za svako dodatno sučelje

kojega se želi dodati u “EtherChannel”.




Tablica 11 Konfiguriranje „bootstrap“ postavki za “master” jedinicu “EtherChannel”[12]

5.11.7 Konfiguriranje osnovnih postavki i paljenje klastera


1

Specificira se maksimalna jedinica za transmisiju za

“cluster control link” sučelje, između 64 i 65535 bajta, standardno je 1500 bajta.

Preporučuje se postavka MTU do 1600 bajta ili više.

Ciscoasa(config)# mtu cluster 9000

2

Imenuje se klaster i ulazi se u klaster konfiguraciju. Ime može

sadržavati 1 do 38 znakova. Moguće je konfigurirati jednu klaster grupu po jedinici. Svi

članovi klastera moraju koristiti isto ime.

Ciscoasa(config)# cluster group pod1

52


3

Imenuje se član klastera s jedinstvenim znakovljem od 1 do 38 znakova. Svaka jedinica

mora imati jedinstveno ime, duplicirano ime neće biti

dodano klasteru.

Ciscoasa(cfg-cluster)# local-unit unit1

4

Specificira se “cluster control link” sučelje, gdje se preferira “EtherChannel”. Podsučelja i

menadžment sučelja nisu dozvoljena. Potrebno je

specificirati „IPv4“ adresu, „IPv6“ nije podržan za ovo

sučelje.

Ciscoasa(cfg-cluster)# cluster-interface port-

channel2 ip 192.168.1.1 255.255.255.0

5

Postaviti prioritet ove jedinice za “master” jedinicu, odabir

između 1 i 100, gdje je 1 najveći prioritet.

Ciscoasa(cfg-cluster)# priority 1

6

Postavljanje autentikacijskog ključa za kontrolni promet na „cluster control linku“. Ključ može biti „string“ od 1 do 63

znaka.

Ciscoasa(cfg-cluster)# key chuntheunavoidable

7

Paljenje “clusteringa“. Kada se unese „enable“ komanda, ASA skenira konfiguraciju koja se

pokreće zbog ne kompatibilnih komandi za svojstva koji nisu

podržana “clusteringom“, uključujući komande koje mogu biti prezentirane u standardnoj konfiguraciji. Koristi „noconfirm“

argument da se izbjegne potvrda i brisanje ne

kompatibilnih komandi automatski. Za upaljenu prvu

jedinicu, događa se odabir “master” jedinice. Kako je prva jedinica jedini član klastera do

sad, postat će “master” jedinica.

Ciscoasa(cfg-cluster)# enable

Tablica 12 Konfiguriranje osnovnih „bootstrap“ postavki i paljenje “clusteringa“ [12]

5.11.8 Konfiguriranje sporedne jedinice

Sljedeći primjer konfigurira menadžment sučelje, „EtherChannel“ za “cluster

control link” i onda se pali “clustering” za ASA-u nazvanu unit1. [12]

53


Ciscoasa2(config)#ip local pool mgmt 10.1.1.2-10.1.1.9

Ciscoasa2(config)#ipv6 local pool mgmtipv6 2001:DB8::1002/32 8

Ciscoasa2(config)#interface management 0/0

Ciscoasa2(config-if)#nameif management

Ciscoasa2(config-if)#ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt

Ciscoasa2(config-if)#ipv6 address 2001:DB8::1001/32 cluster-pool mgmtipv6

Ciscoasa2(config-if)#security-level 100

Ciscoasa2(config-if)#management-only

Ciscoasa2(config-if)#no shutdown

Ciscoasa2(config)#interface tengigabitethernet 0/6

Ciscoasa2(config-if)#channel-group 1 mode on


Ciscoasa2(config)#interface tengigabitethernet 0/7

Ciscoasa2(config-if)#channel-group 1 mode on


Ciscoasa2(config)#cluster group pod1

Ciscoasa2(cfg-config)#local-unit unit1

Ciscoasa2(cfg-config)#cluster-interface port-channel1 ip 192.168.1.2 255.255.255.0

Ciscoasa2(cfg-config)#priority 1

Ciscoasa2(cfg-config)#key chuntheunavoidable

Ciscoasa2(cfg-config)#enable noconfirm

5.11.9 Konfiguriranje inicijalnih postavki za sporednu jedinicu

Potrebno je koristiti konzolni port da se upali ili ugasi “clustering”. Ne može se

koristiti „Telnet“ ili „SSH“. [12]

S iznimkom “cluster control linka”, bilo koje sučelje u konfiguraciji mora biti

konfigurirano s bazenom IP klastera ili kao „Spanned EtherChannel“ prije paljenja

“clusteringa“ oviseći o načinu rada sučelja. [12]

54


5.11.9.2 Sučelje kontrolne klaster veze

Potrebno je konfigurirati isto “cluster control link” sučelje kako je konfigurirano na

“master” jedinici. [12]

Koraci za individualno sučelje:

KORAK OBJAŠNJENJE

KOMANDA PRIMJER

1

Ući u konfiguraciju

sučelja.

ciscoasa(config)# interface

tengigabitethernet 0/6

2

Potrebno je samo upaliti sučelje, ne treba mu se konfigurirati ime niti drugi parametri.


Tablica 13 Konfiguriranje „bootstrap“ postavki za “slave” jedinicu[12]

Koraci za “EtherChannel” sučelje:


1 Ući u konfiguraciju sučelja. ciscoasa(config)# interface tengigabitethernet 0/6

2

Dodijeliti fizičko sučelje u “EtherChannel” sa

„channel ID“ sa brojem između 1 i 48.


3 Paljenje “EtherChannel” sučelja. ciscoasa(config-if)# no shutdown

4Ponoviti za svako dodatno

sučelje kojega želite dodati u “EtherChannel”.



ciscoasa(config-if)# no shutdownTablica 14 Konfiguracija “EtherChannel” sučelja[12]

5.11.10 Konfiguriranje inicijalnih postavki i dodavanje u klaster

55



1

Specificira se maksimalna jedinica za transmisiju za

“cluster control link” sučelje, između 64 i 65535 bajta, standardno je 1500 bajta.

Preporučuje se postavka MTU do 1600 bajta ili više.

Ciscoasa(config)# mtu cluster 9000

2

Imenuje se klaster i ulazi se u klaster konfiguraciju. Ime može

sadržavati 1 do 38 znakova. Moguće je konfigurirati jednu klaster grupu po jedinici. Svi

članovi klastera moraju koristiti isto ime.

Ciscoasa(config)# cluster group pod1

3

Imenuje se član klastera s jedinstvenim znakovljem od 1 do 38 znakova. Svaka jedinica

mora imati jedinstveno ime, duplicirano ime neće biti

dodano klasteru.

Ciscoasa(cfg-cluster)# local-unit unit1

4

Specificira se “cluster control link” sučelje, gdje se preferira “EtherChannel”. Podsučelja i

menađment sučelja nisu dozvoljena. Potrebno je

specificirati „IPv4“ adresu, „IPv6“ nije podržan za ovo

sučelje.

Ciscoasa(cfg-cluster)# cluster-interface port-

channel2 ip 192.168.1.1 255.255.255.0

5

Postaviti prioritet ove jedinice za “master” jedinicu, odabir

između 1 i 100, gdje je 1 najveći prioritet.

Ciscoasa(cfg-cluster)# priority 1

6

Postavljanje autentikacijskog ključa za kontrolni promet na „cluster control linku“. Ključ može biti string od 1 do 63

znaka.

Ciscoasa(cfg-cluster)# key chuntheunavoidable

7

Paljenje “clusteringa“. Mogu se izbjeći bilo kakve konfiguracijske ne kompatibilnosti, korištenjem „enable as-slave“ komande.

Ciscoasa(cfg-cluster)# enable as-slave

56


Ova komanda osigurava da “slave” se pridruži klasteru s nikakvom mogućnosti da postane “master”. Njegova konfiguracija je prepisana sa sinkroniziranom konfiguracijom od “master” jedinice.

Tablica 15 Konfiguriranje „bootstrap“ postavki i dodavanje u klaster[12]

5.12 Provjera funkcionalnosti Provjeru funkcionalnosti klastera moguće je provjeriti s komandom „show cluster

info“.

Slika 10 Izvršena naredba „show cluster info“ koja pokazuje osnovne detalje uređaja koji su u klasteru.

Na slici 10 je izvršena komanda „show cluster info“ koja pokazuje kako se u

klasteru nalaze dva uređaja s imenima Ciscoasa i Ciscoasa2. S komandom je vidljivo

kako se za način rada sučelja odabrao „spanned etherchannel“, isto tako vidljivo je

vrijeme od kada su uređaji u klasteru, te njihove IP i MAC adrese. S ovom

komandom je moguće potvrditi funkcionalnost konfiguracije klastera.

57


6.ANALIZA TRŽIŠTA6.1 Juniper

“Redundant routing engine” su dva usmjernička uređaja koja su instalirana na istu

usmjerničku platformu. Jedan ima funkciju “master” jedinice dok drugi se drži kao

rezerva ukoliko “master” uređaj ispadne. [13]

Kada je usmjernički uređaj konfiguriran kao “master”, on ima cjelokupne

funkcionalnosti. On dobiva i šalje usmjerničke informacije, gradi održava usmjerničke

tablice, komunicira sa sučeljima i „Packet Forwarding Engine“ komponentama i ima

potpunu kontrolu nad svojom šasijom. Kada je usmjernički uređaj konfiguriran kao

rezerva, on ne komunicira sa „Packet Forwarding Engine“ ili komponentama šasije.

[13]

“Failover” sa “master routing engine“ na rezervni „routing engine” se događa

automatski kada “master routing engine“ doživi hardversku grešku ili kada se

konfigurirao softver koji podržava promjene u upravljanju bazirane na specifičnim

uvjetima. Isto tako možete ručno promijeniti „routing engine mastership“ izdavanjem

jedne od komandi „request chassis routing-engine“.[13]

Kada se “failover” ili “switchover” dogodi, rezervni „routing engine“ uzima kontrolu

nad sustavom kao novi “master routing engine“.[13]

Ako „graceful routing engine switchover“ nije konfiguriran kada rezervni „routing

engine“ postaje “master”, on resetira konekcije i preuzima vlastitu verziju kernela do

„packet forwarding engine“ komponentni. Promet je isprekidan dok se „packet

58


forwarding engine“ ne reinicijalizira. Svi kernel i prosljeđivački procesi su restartani.

[13]

Ako je „graceful routing engine switchover“ konfiguriran na sučeljima i kernel

informacije su očuvane. “Switchover” je brži jer „packet forwarding engines“ nisu

resetirani. Novi “master routing engine“ resetira usmjerničke protokolne procese.[13]

Ako „graceful routing engine switchover” i „nonstop active routing“ su konfigurirani,

promet nije isprekidan tijekom “switchovera“. Sučelja, kernel i usmjerničke protokolne

informacije su očuvane.[13]

Ako „graceful routing engine switchover“ i „graceful restart“ su konfigurirani, promet

nije isprekidan tijekom “switchovera“. Sučelja i kernel informacije su očuvane.

Ekstenzija „graceful restart“ protokola brzo skuplja i vraća usmjerničke informacije od

svojih susjednih usmjernika.[13]

6.1.1 Uvjeti koji okidaju prijenos instanci

Sljedeći događaji mogu rezultirati automatskom promjenom „routing engine“

upravljača:

- Usmjernička platforma doživi hardversku pogrešku. Promjena u upravljanju

„routing engine“ dogodi se ako “routing engine” ili povezani host modul ili

podsustav se iznenada isključi. Isto tako moguće je konfigurirati rezervni

“routing engine” da preuzme upravljanje ako detektira grešku na tvrdom disku

na „master routing engine”.[13]

- Ukoliko usmjernička platforma doživi softverski kvar, poput razbijanja kernela

ili zaključavanja procesora. Potrebno je konfigurirati rezervni “routing engine”

da preuzme upravljanje kada se detektira gubitak signala koji održava

komunikaciju.[13]

- Ako usmjernička platforma doživi grešku na „em0“ sučelju na “master routing

engine”. Potrebno je konfigurirati rezervni “routing engine” da preuzme

upravljanje kada detektira grešku na „em0“ sučelju.[13]

- Ako specifični softverski proces ispadne. Moguće je konfigurirati rezervni

“routing engine” da preuzme upravljanje kada jedan ili više specifičnih procesa

ispadne najmanje 4 puta u razmaku od 30 sekundi.[13]

59


Ako se bilo koji od ovih uvjeta pojavi, poruka je spremljena i rezervni “routing

engine” preuzima upravljanje. Po standardu alarm je generiran kada rezervni “routing

engine” postane aktivan. Nakon što rezervni “routing engine” preuzme upravljanje, on

nastavlja funkciju kao “master” čak iako se originalno konfigurirani “master routing

engine” vratio u normalu. Potrebno je ručno ga povratiti u prethodni status.[13]

6.1.2 Načini rada visoke dostupnosti kod junipera

Juniper uređaji SRX serije podržavaju način rada visoke dostupnosti za

redundanciju. Moguće je upogoniti SRX uređaje da rade u visoko dostupnom načinu

rada. Postoje dva tipa visoko dostupnog načina rada kod Junipera: „Active/Active“ i

„Active/Pasive“.[13]

6.1.2.1 Active/pasive

Slika 11 Prikaz spojenih Juniper vatrozida u „A/S“ modelu[13]

Na slici su prikazana 2 SRX 240 usmjernika u klasteru te se nazivaju čvor 0 i čvor

1. U „active/pasive“ načinu rada čvor 0 aktivno šalje podatkovni promet dok čvor 1

pasivno čeka da čvor 0 ispadne. Pri ispadu čvor 0, čvor 1 će prosljeđivati promet.

Dokle god je čvor 0 aktivan on aktivno sinkronizira sesije do čvora 1, međutim nisu

sve informacije sinkronizirane. Primjera radi ako čvor 0 ispadne dok je učio rute od

„OSPF“ protokola tada se neće moći potpuno sinkronizirati s usmjernikom čvora 1.

60


Ovo je mana ovakvog načina rada. Na slici postoje dva „reth“ sučelja, „reth0“ i „reth1“

u istoj redundantnoj grupi 1. „Reth0“ je za Internet i reth 1 je za internu mrežu. [13]

U ovom načinu rada, čvor 0 ima cijelo opterećenje prometa dok čvor 1 je

slobodan. Ovaj način rada je najčešće korišten u srednje velikim mrežama gdje

balansirano opterećenje prometa nije potrebno. Kod implementacije ovog načina

rada postoji rizik. Rizik je taj da čvor 1 uređaj može biti van funkcije i kada čvor 0

ispadne jer do sada čvor 1 nije slao ni primao promet. Uređaj je bio besposlen dugo

vremena i sada odjedanput mora prosljeđivati cijeli promet. [13]

6.1.2.2 Active/active

Kod „A/A“ načina rada oba uređaj u visokoj dostupnosti istovremeno prosljeđuju

promet. Ovaj način rada je jednak „active/pasive“ ali dvostruko konfiguriran.

Usmjernici u klasteru su aktivni za svoju vlastitu redundantnu grupu. Sinkronizacija

se događa na oba uređaja. Prednost ovog načina rada pred „active/pasive“ načinom

je da i rezervni usmjernik prosljeđuje promet i osigurava se da rezervni uređaj je

spreman i ispravno funkcionira. „Active/Active“ je odličan dizajn jer se potvrđuje

funkcionalnost rezervnog usmjernika i promet se primjereno balansira između

uređaja. S druge strane ovaj način rada je dosta težak kada je potrebno rješavati

probleme s obzirom na to da promet prolazi kroz oba uređaja. Administratori moraju

provesti više vremena za traženjem problema na oba uređaja. Ovaj način rada je

korišten u mrežama gdje je potrebna dostupnost od 100 % bez obzira na

kompleksnost rješavanja problema.[13]

61


Slika 12 Prikaz spojenih Juniper vatrozida u „A/A“ modelu[13]

Na gornjoj slici se nalaze 2 SRX 240 usmjernika u klasteru čvor 0 i čvor 1. U ovom

načinu rada oba usmjernika šalju i primaju promet simultano. Sada se može reći

kako imamo dva „active/pasive“ načina rada konfiguriranih na svakom uređaju.[13]

„JunosOS“ pruža visoku dostupnost na SRX serijama uređaja koristeći „chassis

clustering“. SRX serija vatrozida može biti konfigurirana u klaster načinu rada, gdje je

par uređaja spojen zajedno i konfigurirani su da djeluju poput jednog čvora. [13]

Za SRX seriju uređaja, koja se ponaša kao „stateful“ vatrozid važno je sačuvati

stanje prometa između 2 uređaja. U postavkama klastera pri događajima grešaka,

postojanost sesija je potrebno tako da uspostavljene sesije nisu odbačene čak iako

uređaj s greškom prosljeđuje promet.[13]

Kada je konfiguriran klaster dva čvora podupiru jedan drugoga. Jedan čvor se

ponaša kao primarni uređaj i drugi kao sekundarni osiguravajući uređaj koji djeluje

ako dođe do sistemskih i hardverskih pogrešaka. Ako primarni uređaj ispadne,

sekundarni uređaj će preuzeti prosljeđivanje prometa. Čvorovi u klasteru su spojeni

zajedno sa 2 veze zvane kontrolnim vezama i sa „fabric linkom“.[13]

6.1.2.3 Prednosti klastera

62


Sprječava kvar na jednom uređaju da napravi gubitak konekcije. Pruža visoku

dostupnost između uređaja kada su spojene razne podružnice i udaljene stranice do

velikih korporacijskih ureda. Utjecajem „chassis cluster” svojstva, poduzeća mogu

osigurati povezanost pri događajima ispada uređaja i veza.[13]

6.1.2.4 Kako klaster radi?

Kontrolni portovi na čvorovima su povezani da formiraju kontroliranu cjelinu koja

sinkronizira konfiguraciju i stanje kernela kako bi olakšali visoku dostupnost sučelja i

uređaja. Podatkovna cjelina na dotičnim čvorovima je spojena preko „fabric“ portova

da formira ujedinjenu podatkovnu cjelinu. Kada se kreira „chassis cluster”, kontrolni

portovi na dotičnim čvorovima su spojeni da formiraju kontrolnu cjelinu koja

sinkronizira konfiguraciju i stanje kernela da bi se olakšala visoka dostupnost sučelja

i servisa.[13]

„Fabric link“ dozvoljava menadžment toka čvorova koji se križaju i za menadžment

redundancija sesija.[13]

Softver za kontroliranje cjeline je operativan u aktivnom ili rezervnom načinu rada.

U „chassis clusteru“, dva čvora podupiru jedan drugoga, s jednim čvorom koji se

ponaša kao primarni uređaj i drugim koji je sekundarni, osiguravajući “failover”

procese i servise pri događajima sistemskih i hardverskih kvarova.[13]

Softver za određivanje podatkovne cjeline je operativan u „active/active“ načinu

rada. U „chassis clusteru“, informacije sesija su nadograđene prometom koji putuje

prema oba uređaja i te informacije su odašiljane između čvorova preko „fabric linka“

koji garantira da uspostavljene sesije neće biti odbačene ako se dogodi “failover”. U

„A/A“ načinu rada moguće je da promet ulazi u klaster kroz jedan čvor, a izlazi kroz

drugi. Kada se uređaj priključi klasteru, on postaje čvor tog klastera.[13]

6.2 Checkpoint

“ClusterXL“ je softverski bazirana opcija visoke dostupnosti i dijeljenja opterećenja

koja distribuira mrežni promet između klastera redundantnih sigurnosnih prolaza.[14]

“ClusterXL“ pruža:

63


- Transparentni “failover” u slučaju kvara uređaja.[14]

- Za kritična okruženja nultu toleranciju na stanke u produkciji (kada se koristi

sinkronizacija stanja).[14]

- Poboljšanu propusnost (u modulima djeljenja opterećenja).[14]

- Transparentnu nadogradnju.[14]

Svi uređaji u klasteru su svjesni konekcija koje prolaze kroz svaki od uređaja.

Članovi klastera sinkroniziraju svoje konekcije i statusne informacije kroz sigurnu

sinkroniziranu mrežu.[14]

“ClusterXL“ uređaje povezuje “cluster control protocol“ (CCP), koji je korišten da

prosljeđuje sinkronizaciju i druge informacije između članova klastera. [14]

6.2.1 Djeljenje opterećenja

“ClusterXL“ dijeli opterećenje i distribuira promet unutar klastera tako da totalna

propusnost višestrukih uređaja je povećana. U konfiguraciji dijeljenja opterećenja, svi

funkcionalni uređaji u klasteru su aktivni i barataju mrežnim prometom.[14]

Ako bilo koji individulni Checkpoint uređaj u klasteru postane nedostupan, događa

se transparentni “failover” do preostalih operativnih uređaja u klasteru i na taj način

pruža visoku dostupnost. Sve konekcije su djeljene između preostalih uređaja bez

prekidanja.[14]

“ClusterXL“ koristi jedinstvene IP i MAC adrese za svakog člana klastera i

virtualne IP adrese za klaster. klaster adrese sučelja ne pripadaju nijednom sučelju

uređaja. Svaki član klastera ima tri sučelja: jedno eksterno sučelje, jedno interno

sučelje i jedno za sinkronizaciju. Sučelja članova klastera okrenuti su jedan prema

drugom i spojeni preko preklopnika, usmjernika ili „VLAN“ preklopnika. Sva sučelja

članova klastera kojim su spojeni članovi moraju biti u istoj mreži.[14]

6.2.2 Načini rada

“ClusterXL“ ima 4 načina rada u kojima je zaposlen: [14]

- „Load Sharing Multicast“ način rada

64


- „Load Sharing Unicast“ način rada

- „New High Availability“ način rada

- „High Availability Legacy“ način rada

6.2.2.1 Dijeljenje opterećenja grupnim porukama

Omogućava da se distribuira mrežni promet između članova klastera. U kontrastu

s visokom dostupnošću, gdje samo jedan član je aktivan u bilo koje vrijeme, svi

članovi klastera u „load sharing“ opciji su aktivni i klaster je odgovoran za

razdjeljivanje prometa svakom članu. Dodjela zadatka je funkcija odluke koja ispituje

svaki paket koji prolazi kroz klaster i određuje koji član će ga rukovoditi. Prema tome

„load sharing cluster” iskorištava svakog člana klastera što obično vodi do povećanja

totalne propusnosti.[14]

Važno je shvatiti da “clusterXL load sharing“ kada je kombiniran sa sinkronizacijom

stanja pruža soluciju visoke dostupnosti također. Kada su svi klaster članovi aktivni,

promet je podjednako distribuiran između uređaja. U slučaju “failover” događaja

izazvanog s problemom u jednom od članova, procesuiranje svih konekcija člana koji

je u kvaru će se odmah proslijediti na druge članove.[14]

“ClusterXL“ pruža dvije odvojene „Load Sharing“ solucije: „Multicast“ i „Unicast“.

Dva načina rada razlikuju se u načinu na koji članovi dobivaju pakete poslane

klasteru. [14]

„Multicast“ mehanizam koji je pružen od mrežnog sloja dozvoljava da nekoliko

sučelja dijeli jednu fizičku MAC adresu. To znači da je moguće odabrati sučelje s

jednim segmentom koji će dobivati pakete slane danoj MAC adresi.[14]

“ClusterXL“ koristi „multicast“ mehanizam da udruži virtualne klaster IP adrese sa

svim klaster članovima. Vežući te IP adrese sa „multicast“ MAC adresama, osigurava

se da svi paketi slani do klastera se ponašaju kao prolaz i dosegnu se svi članovi

klastera. Svaki član zatim odlučuje hoće li procesuirati paket ili ne. Ova odluka je

jezgra „load Sharing“ mehanizma, potrebno je osigurati da barem jedan član

procesuira svaki paket (tako da promet nije blokiran) i da se ne dogodi da dva člana

procesuiraju isti paket(da promet ne bude dupliciran).[14]

65


Dodatna potreba funkcija odluke je da usmjeri svaku konekciju kroz jedan prolaz,

tako osigura da paketi koji pripadaju jednoj konekciji budu procesuirani od istog

člana. Nažalost ova potreba ne može biti provedena i u nekim slučajevima paketi od

iste konekcije će biti upravljani s različitim članovima. “ClusterXL“ upravlja ovakvim

situacijama koristeći mehanizam sinkroniziranja stanja, koji zrcali konekcije na svim

klaster članovima.[13]

6.2.2.2 Dijeljenje opterećenja s jednosmjernim porukama

„Load Sharing Unicast“ način rada pruža „load sharing“ soluciju prilagođenu

okruženju gdje „multicast“ ne može biti operativan. U ovom načinu rada jedan član

klastera referiran kao „pivot“ je udružen s klaster virtualnom IP adresom i prema

tome je jedini član koji prima pakete koji su slani prema klasteru. „Pivot“ je odgovoran

za prosljeđivanje paketa do drugih članova klastera, kreiranjem „load Sharing“

mehanizma. Distribucija je izvedena primjenom funkcije odluke na svakom paketu,

na isti način kako je riješeno u „load sharing multicast“ načinu rada. Razlika je da

samo jedan član izvodi tu selekciju. Bilo koji član koji nije „pivot“ , a dobije

proslijeđeni paket će ga procesuirati, bez primjene funkcije odluke. Može se primijetiti

da je član koji nije „pivot“ i dalje aktivan jer oni pružaju usmjeravačke i vatrozidne

zadatke na dijelu prometa.[14]

Čak iako su „pivot“ članovi odgovorni za procese odluke i dalje se ponašaju kao

sigurnosni prolazi koji procesuiraju pakete.[14]

Kada se dogodi “failover” kod člana koji nije „pivot“, konekcije kojima je on

rukovodio su redistribuirane između aktivnih klaster članova, pružajući iste

mogućnosti visoke dostupnosti. Kada se „pivot“ član susretne s problemom, regularni

“failover” se dogodi i kao dodatak odabere se novi „pivot“ član. „Pivot“ član je uvijek

aktivni član s najvećim prioritetom. To znači da kada se bivši „pivot“ član oporavi, on

će povratiti svoju prijašnju rolu.[14]

6.2.2.3 Nasljedna visoka dostupnost

Pruža mogućnosti visoke dostupnosti u klaster okruženju. To znači da klaster

može pružiti vatrozidne servise čak iako se susretnu s problemom, što kod jednog

66


uređaja rezultira kompletnim gubitkom povezanosti. Kada se kombinira s CheckPoint

sinkronizacijom stanja, “clusterXL“ visoka dostupnost može održavati konekcije kroz

“failover” događaje. Visoka dostupnost pruža rezervni mehanizam, koji organizacije

mogu koristiti da smanje rizik od neočekivanih stanki, posebno u kritičnim

okruženjima. [14]

Da bi se postigao cilj, “clusterXL new high availability“ način rada određuje jednog

člana klastera da bude aktivni uređaj, dok ostali članovi ostaju u stanju pripravnosti.

Virtualna IP adresa klastera je povezana s fizičkim mrežnim sučeljem od aktivnog

uređaja. Prema tome sav promet usmjeren na klaster je zapravo usmjeren i filtriran

od strane aktivnog člana. Rola svakog člana klastera je odabrana s pripadajućim

prioritetom tako da aktivni član ima najveći prioritet. U dodatku roli kao vatrozidni

prolaz aktivni član je isto tako odgovoran za obavještavanje članova koji su u stanju

pripravnosti o bilo kakvim promjenama unutar konekcija ili statusnih tablica kako bi

ostali članovi imali vjerodostojne pravovremene informacije o stanju na mreži.[14]

Kadgod klaster detektira problem u aktivnom članu koji je dovoljno ozbiljan da se

dogodi “failover” događaj, on prosljeđuje role aktivnog člana na jednog od članova

koji je u stanju pripravnosti (člana s najvećim prioritetom). Ako je primijenjeno stanje

sinkronizacije, bilo koja otvorena konekcija je prepoznata od strane novog aktivnog

uređaja i upravljana je suglasno s njezinim zadnje znanim stanjem. Pri oporavljanju

člana s najvećim prioritetom, rola aktivnog uređaja može i ne mora biti prebačena

natrag na tog člana, oviseći o korisnikovoj konfiguraciji. [14]

Važno je zamijetiti da se klaster može susreti s problemom na uređaju koji je u

stanju pripravnosti. Ako do toga dođe ti uređaji nisu uzimani u obzir za rolu aktivnog

uređaja ako dođe do “failovera”.[14]

6.2.2.4 Prijenos instance

“Failover” se dogodi kada uređaj više nije u stanju pružiti određene funkcije. Kada

se to dogodi drugi uređaj preuzima njegovu ulogu. Kod „load sharing“ konfiguracije,

ako jedan sigurnosni uređaj u klasteru ispadne, njegove konekcije su distribuirane

među preostalim uređajima. Svi uređaji u „load sharing“ konfiguraciji su sinkronizirani

pa ne dolazi do prekida konekcija.[14]

67


U konfiguraciji kod visoke dostupnosti, ako jedan sigurnosni uređaj u klasteru

ispadne, drugi uređaj postane aktivan i preuzima konekcije koje su bile na prijašnjem

uređaju. Ako se ne koristi „State Synchronization“, postojeće konekcije će se zatvoriti

kada se “failover” dogodi, i nove će se otvoriti. [14]

Kako bi svakom članu rekao da je prisutan i u funkciji, “clusterXL“ “cluster control

protocol“ upravlja održavanjem povezanosti među klaster članovima. Ako istekne

izvjesno predodređeno vrijeme i ne dobije se nikakva poruka od člana klastera,

pretpostavlja se da je član klastera u ispadu i dogodi se “failover”. [14]

6.3 Palo alto

Moguće je postaviti 2 Palo Alto vatrozida kao visoko dostupni par. Visoka

dostupnost dozvoljava da se minimizira vrijeme stanki s osiguranjem da je rezervni

vatrozid dostupan pri događajima kada glavni vatrozid ispadne. Vatrozidi u visoko

dostupnom paru koriste posvećene ili dolazne visoko dostupne portove na

vatrozidima da sinkroniziraju podatke-mreže, objekata, i konfiguracijske politike i da

isto tako održavaju stanja informacija. Konfiguracije svojstava na vatrozidima poput

menadžment IP adresa na sučeljima ili administratorskih profila, visoko dostupnih

specifičnih konfiguracija, spremljenih podataka ili aplikacijskog komandnog centra, te

informacije nisu dijeljene između parova vatrozida. Za ujedinjenje aplikacija i

pregleda spremljenih podataka preko visokodostupnih parova potrebno je koristiti

„Panoramu“ odnosno Palo Alto centralizirani menadžment sustav.[15]

Kada se dogodi kvar na vatrozidu u visoko dostupnom paru i rezervni uređaj

preuzme zadatak osiguravanja prometa.[15]

Visoka dostupnost je razvoj kod kojega su dva vatrozida postavljena u grupu i

njihove konfiguracije su sinkronizirane kako bi se izbjegao „single point of failure“ na

mreži. “Heartbeat” povezanost između vatrozida osigurava glatki “failover” pri

događajima kada uređaj ispadne. Postavljanje 2 vatrozida u visoko dostupni par

pruža redundanciju, dozvoljava i osigurava kontinuitet biznisa.[15]

68


Palo Alto podržava „stateful active/passive“ ili „active/active“ visoku dostupnost

sesija i sinkronizaciju konfiguracija.[15]

„Active/Pasive“ – jedan vatrozid aktivno upravlja prometom dok je drugi

sinkroniziran i spreman napraviti tranziciju u aktivno stanje ako dođe do “failovera”. U

ovom načinu rada oba vatrozida dijele iste konfiguracijske postavke i jedan aktivno

upravlja prometom dokle god put, veza ili mreža ne postane nedostupna ili doživi

kvar. Kada aktivni vatrozid ispadne, pasivni vatrozid odradi tranziciju u aktivno stanje

i preuzima ulogu. [15]

„Active/Active“ – oba vatrozida u paru su aktivna i prosljeđuju promet i odrađuju

posao sinkronizirano kako bi održali postavke sesija i vlasništvo nad sesijama. Oba

vatrozida individualno upravljaju sesijskim tablicama i usmjerničkim tablicama i

sinkroniziraju ih međusobno. „A/A“ visoka dostupnost je podržana u virtualnom

okruženju kao i kod razvoja na sloju 3 OSI modela.[15]

Kod odabira da li koristiti „A/P“ ili „A/A“ način rada:

- „A/P“ način rada ima jednostavnost dizajna. Ima značajno lakše metode za

rješavanje problema kod usmjeravanja i prometnog toka. „A/P“ način rada

podržava razvoj na sloju 2 „OSI“ modela, dok „A/A“ ne podržava.[15]

- „A/A“ način rada zahtjeva naprednije dizajnerske koncepte koji mogu rezultirati

kod kompleksnijih mreža. Oviseći o tome kako se implementira „A/A“ visoka

dostupnost, moguće da je potrebna dodatna konfiguracija poput aktiviranja

mrežnih protokola na oba vatrozida, repliciranja „NAT“ bazena, i razvoja

„floating“ IP adresa da se pruži ispravni “failover”. Zato što oba vatrozida

procesuiraju promet, vatrozidi koriste dodatne koncepte sesijskih vlasnika i

sesijskih postavki da izvedu inspekciju sadržaja na sloju 7 „OSI“ modela. „A/A“

način rada je preporučen ako svaki vatrozid treba vlastitu usmjerničku

instancu i zahtjeva se redundancija u stvarnom vremenu na oba vatrozida u

isto vrijeme. „A/A“ način rada ima brži “failover” i može upravljati prometom s

velikim opterećenjem bolje nego „A/P“ način rada zato što oba vatrozida

prosljeđuju promet.[15]

U „A/A“ načinu rada , visoko dostupni par se može koristiti da privremeno

procesuira više prometa nego li jedan vatrozid pri normalnim uvjetima to može

69


napraviti. Međutim to ne bi trebala biti norma jer greška na jednom vatrozidu ima za

posljedicu da se sav promet preusmjeri na preostali vatrozid u visoko dostupnom

paru. Prilikom dizajna mora se imati na umu da preostali vatrozid procesuira

maksimalni kapacitet opterećenja prometa s upaljenom inspekcijom sadržaja. Ako se

kod dizajniranja ne vodi računa o kapacitetu preostalog vatrozida, visoka latencija i/ili

greške kod aplikacija će se događati.[15]

7. ZAKLJUČAK Internet je postao osnova za provođenje posla i komunikacije s klijentima,

partnerima i zaposlenicima. Mrežne performanse, pouzdanost i vrijeme rada su

osnova za pokretanje dnevnih operacija mnogih organizacija. Mrežne stanke ne

samo da koštaju novaca i rade gubitak produkcije, one isto tako negativno utječu na

reputaciju kompanije među partnerima i klijentima. Kada se procjenjuje kako izbjeći

mrežne ispade, važno je da se procjene mnoge opcije dostupnosti kako bi se

osigurala visoka dostupnost, produženi rad i optimalne mrežne performanse. Bitno je

ispitati opcije koje neće samo pomoći da se izbjegne mrežni ispad, nego isto tako

koje će biti dostupne i ekonomične.

Praktični rad diplomskog rada sam napravio uz trenutni posao kao inženjer za

komunikacijske sustave. Sva tri modela rada sam imao priliku dizajnirati, konfigurirati

i postaviti u produkcijsku okolinu, što me je i navelo da pišem ovu temu rada. S

obzirom na to da prema poslodavcu imam obvezu poslovne tajne, nisam smio

iznositi detaljne podatke. Konfiguracija i spajanje uređaja u sva tri modela rada je

poprilično jednostavna ako se radi o testnoj okolini. Međutim pri postavljanju ovakvih

modela rada u postojeću produkcijsku infrastrukturu, puno veći fokus se stavlja na

izoliranje produkcijskog prometa kako ne bi došlo do prekida. Prije početka rada na

visoko dostupnim modelima potrebno je imati teoretsko znanje o temi. Napominjem

to jer sam i sam u radu pogriješio tako da sam prvo konfigurirao uređaje ne znajući

što radim. Iz tog razloga je veliki fokus u diplomskom radu stavljen na teoriju. S

70


obzirom na to da se mrežni uređaji danas okreću SDN tehnologiji, tipkanje

konfiguracija će zamijeniti skripte što će budućim mrežnim uređajima olakšati posao,

no zahtijevati će od njih puno jaču teoretsku podlogu.

Stanje tržišta sigurnosne mrežne opreme se kreće u smjeru zaštite do aplikativnog

sloja „OSI modela“. Na scenu nastupaju vatrozidi nove generacije koji će puno veći

fokus imati na zaštitu nego na propusnost mrežnog prometa. Takav stav će zadati

dodatne poteškoće kod implementacije vatrozida na mrežu. Cisco je odlučio da će se

ASA vatrozidi ugasiti, te do kraja ove godine će isti izaći iz proizvodnje. Naravno

Cisco će i dalje još nekoliko godina imati podršku za uređaje. Budući sigurnosni

uređaji Cisco proizvođača su Firepower vatrozidi nove generacije koji će isto tako

morati imati fokus na visoku dostupnost i redundanciju jer bez tih svojstava mreža se

ne može smatrati sigurnom.

71


8.CITIRANA LITERATURA

[1] https://en.wikipedia.org/wiki/High_availability

[2] http://www.internet-computer-security.com/Firewall/Failover.html /

[3] https://www.techopedia.com/definition/29305/network-redundancy

[4] https://en.wikipedia.org/wiki/Redundancy_(engineering)

[5] https://en.wikipedia.org/wiki/failover

[6] https://searchstorage.techtarget.com/definition/failover (6)

[7] http://www.ecessa.com/wp-content/uploads/2015/02/Everything-You-Need-To-

Know-About-Network-Failover.pdf

[8] https://www.cisco.com/c/en/us/products/security/firewalls/what-is-a-firewall.html

[9] https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/

config/ha_active_standby.html


config/ha_active_active.html

[11] https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Data_Center/

VMDC/ASA_cluster/ASA_cluster/ASA_cluster.html

72

https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Data_Center/VMDC/ASA_cluster/ASA_cluster/ASA_cluster.html

https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Data_Center/VMDC/ASA_cluster/ASA_cluster/ASA_cluster.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_active.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_active.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html

https://www.cisco.com/c/en/us/products/security/firewalls/what-is-a-firewall.html

https://searchstorage.techtarget.com/definition/failover

https://en.wikipedia.org/wiki/failover

https://en.wikipedia.org/wiki/Redundancy_(engineering)

https://www.techopedia.com/definition/29305/network-redundancy

http://www.internet-computer-security.com/

https://en.wikipedia.org/wiki/High_availability



asa_90_cli_config/ha_cluster.html

[13]

https://www.juniper.net/documentation/en_US/junos/information-products/pathway-

pages/config-guide-high-availability/high-availability.pdf

[14] https://sc1.checkpoint.com/documents/R76/CP_R76_clusterXL_AdminGuide/

7292.htm

[15] https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/high-

availability

73

https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/high-availability

https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/high-availability

https://sc1.checkpoint.com/documents/R76/CP_R76_clusterXL_AdminGuide/7292.htm

https://sc1.checkpoint.com/documents/R76/CP_R76_clusterXL_AdminGuide/7292.htm

https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-high-availability/high-availability.pdf

https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-high-availability/high-availability.pdf

https://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/ha_cluster.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/ha_cluster.html

uvod · web view– alat koji se koristi za provjeravanje dostupnosti ip adrese. „pivot“ –...

Documents