نظرات اخیر

    اهمیت راهکارهای HA درفایروالهای فورتی گیت

    در این نوشتار در نظر داریم دو مورد از مهم ترین راهکارهای HA برای فایروالهای فورتی گیت؛ تحت عنوان VRRP و FGCP، مزایا، معایب و نحوه پیاده سازی آنها را بررسی نماییم. در دنیای امروز که وقوع یک لحظه قطعی در شبکه ی شرکت ها می تواند هزاران دلار ضرر برای آنها به همراه داشته باشد، شرکت ها از چندین لینک اینترنت استفاده می کنند. اما اگر روتر و یا فایروال شما به درستی عمل نکند، داشتن چندین لینک اینترنت هم نمی تواند مثمر ثمر واقع شود. در این حالت داشتن دو دستگاه شبکه که بتوانند به صورت master/salve کار کنند، ایده بسیار خوبی است که موجب می شود در صورت بروز مشکل برای یکی از دستگاه ها، دستگاه دوم به راحتی جایگزین شود و این امر دلیل به وجود پروتکلهای FHRP همچون HSRP و VRRP است. اما این پروتکل ها بیشتر برای روترها مورد استفاده قرار می گیرند. هرچند که فایروالها نیز از این پروتکل ها بهره می برند اما دارای پروتکل های اختصاصی خود نیز هستند.
    Virtual Router Redundancy Protocol

    تاریخچه VRRP

    VRRP یک پروتکل توسعه یافته است که به برند خاصی تعلق ندارد؛ اما پروتکل HSRP که قبل از آن توسعه یافته، مختص سیسکو است. اصول کارکرد این دو پروتکل مانند هم است و تنها تفاوت در این است که هر چند HSRP تنها بین تجهیزات سیسکو قابل استفاده است، می توانید از VRRP بین دو برند متفاوت استفاده کنید.

     

    منطق VRRP

    VRRP از منطق به اشتراک گذاری IPمجازی و همچنین آدرس Mac بین دستگاه Master و Slave استفاده می کند. دستگاه Master از آی پی مجازی بر روی Interface خودش استفاده می کند و چنانچه به هر دلیلی از دسترس خارج شود، دستگاه slave جای آن را گرفته و از همان آی پی مجازی استفاده می کند. VRRP با تشکیل یک VRRP Group از طریق دو یا تعداد بیشتری دستگاه فورتی گیت، پیاده سازی می شود. همچنین می توانید VRRP را بین فورتی گیت و یک روتر ساده مانند روترهای سیسکو که از VRRP پشتیبانی می کنند، کانفیگ نمایید. علاوه بر اینها شما می توانید VRRP را به منظور انجام load balancing پیکربندی نمایید که در این صورت دیگر هیچ دستگاهی به عنوان idle نخواهید داشت.

     

    VRRP چگونه کار می کند؟

    همچون اکثر پروتکل های شبکه، VRRP از ارسال پیام بین اعضا استفاده می کند. دو مدل ارسال و دریافت پیام وجود دارد که hello و dead نامیده می شوند. فاصله زمانی ارسال و دریافت پیامهای VRRP بین وندورهای مختلف متفاوت است که این زمان در مورد فورت نت برای ارسال hello یک ثانیه و برای keep alive سه ثانیه است. پکت های hello هر یک ثانیه یکبار توسط master ارسال می شوند و تا زمانی که slave این پیام ها را دریافت می کند، هیچ فعالیتی برای تبدیل شدن به واحد اصلی انجام نمی دهد. اما چنانچه پیام های hello از master به salve نرسد، پس از گذشت سه ثانیه زمان پیش فرض که بر روی dead interval تعریف شده، salve تشخیص می دهد که دستگاه اصلی از سرویس دهی خارج شده و خودش را جایگزین آن می کند.

     

    FGCP HA چیست؟

    FGCP HA پروتکل مخصوص فورتی گیت است که به شما قابلیت افزونگی را می دهد. FGCP همانند VRRP کار می کند؛ اما مهم ترین تفاوت FGCP این است که در این پروتکل حتما می بایست دو دستگاه فورتی گیت از یک مدل داشته باشید که بتوانید HA را پیاده سازی نمایید. در صورت راه اندازی کلاستر FGCP، فایروالها کانفیگ هایشان را با یکدیگر همگام سازی کرده و به عنوان یک دستگاه عمل می کنند. همچنین عملیات load balancing و failover را در صورت نیاز انجام می دهند.

    چگونگی شکل گیری کلاستر FGCP

    برای اینکه بتوانید فورتی گیت ها را در یک کلاستر قراردهید می بایست دارای یک مدل، سخت افزار و فریم ور باشند. هر کلاستر ، یک فورتی گیت به عنوان واحد اصلی و یک تا نهایتا سه فورتی گیت دیگر به عنوان واحدهای ثانویه دارد.

    مفهوم FGCP
    مانند VRRP، FGCP هم از یک مک مجازی استفاده می نماید و اطلاعات بین دستگاه از طریق پروتکل ARP تبادل می شود. همچنین اگر FGCP را خودتان تنظیم کنید، می توانید تایمرهای آن را حتی کمتر از یک ثانیه قرار دهید.

    نیازمندی های FGCP

    اگر بخواهید در شبکه uptime بالایی داشته باشید می توانید بین فورتی گیت ها از سوئیچ استفاده کنید. زیرا هر فورتی گیت دو پورت برای حالت HA دارد و اگر برای مثال بخواهید 4 فورتی گیت در یک کلاستر داشته باشید، نیازمند تهیه سوئیچ برای اتصال فورتی گیت ها به آن هستید. در صورت down شدن سوئیچ مرکزی، ارتباط کل کلاستر قطع می شود؛ بنابراین بهتر است دو سوئیچ شبکه داشته باشید که آنها را stack کرده و فورتی گیت ها را به آنها وصل کنید که هیچگونه down timeی نداشته باشید. همچنین برای بالاتر رفتن uptime می توانید دو دستگاه دیگر هم تهیه کنید و آنها را به صورت VRRP برای شبکه راه اندازی کنید و آنها نقش VRRP را داشته باشند و ترافیک را به فورتی گیت ها بدهند.

     

    پیکربندی VRRP

     – کانفیگ واحد master:

    [alert class=”alert” type=”success” dismiss=”true” tag=”div”]

    config system interface
    Jamaica # config system interface
    Jamaica (interface) # edit port4
    new entry ‘port4’ added
    Jamaica (port4) # set vrrp-virtual-mac enable
    Jamaica (port4) # config vrrp
    Jamaica (vrrp) # edit 100
    new entry ‘100’ added
    Jamaica (100) # set vrip 172.16.50.100
    Jamaica (100) # set priority 255
    :Slave unit configuration
    Cuba # config system interfac
    Cuba (interface) # edit port4
    new entry ‘port4’ added
    Cuba (port4) # set vrrp-virtual-mac enable
    Cuba (port4) # config vrrp
    Cuba (vrrp) # edit 100
    new entry ‘100’ added
    Cuba (100) # set vrip 172.16.50.100
    Cuba (100) # set priority 50

    [/alert]

    ما از پورت 4 هر دو فورتی گیت برای کانفیگ VRRP استفاده نمودیم. در ابتدا می بایست یک MAC مجازی را به این پورت اختصاص دهیم و این MAC مجازی جایگزین MAC اصلی آن اینترفیس می شود. علت این امر این است که در صورت وقوع failover یا به عبارت دیگر Down شدن یک دستگاه، کامپیوترهایی که داخل LAN هستند، MAC اصلی دستگاه یا روتر fail شده را نداشته باشند و به همین دلیل MAC مجازی جایگزین MAC اصلی می شود.
    بعد از این مرحله وارد حالت کانفیگ VRRP شده و VRRP group id رو بر روی پورت4، روی 100 قرار می دهیم و virtual IP استفاده شده نیز 172.16.50.100 است. در نهایت اولویت را برای دستگاهی تنظیم می کنیم که اولویت بالاتر و دارای ارجحیت بیشتری است؛ به طور مثال دستگاهی که 250 به آن داده شده master است و دستگاه دیگر slave شده. در اینجا preempt هم به صورت پیشفرض فعال است که در دستگاه سیسکو فعال نمی باشد. کار preempt به این صورت است که زمانیکه دستگاه master مجدد به شبکه باز می گردد، دوباره به صورت master می شود و دستگاهی که slave بوده دیگر کار نمی کند. کانفیگ Load balancing VRRP نیز تقریبا مشابه است به جز اینکه از یک group id و virtual IP دیگر می بایست استفاده شود.

    [alert class=”alert” type=”success” dismiss=”true” ]

    VRRP Load Balancing configuration
    config system interface
    Jamaica # config system interface
    Jamaica (interface) # edit port4
    new entry ‘port4’ added
    Jamaica (port4) # set vrrp-virtual-mac enable
    Jamaica (port4) # config vrrp
    Jamaica (vrrp) # edit 100
    new entry ‘100’ added
    Jamaica (100) # set vrip 172.16.50.100
    Jamaica (100) # set priority 255
    Jamaica (100)# end
    Jamaica (vrrp) # edit 200
    new entry ‘200’ added
    Jamaica (200) # set vrip 172.16.50.200
    Jamaica (200)# set priority 50
    Slave unit configuration:
    Cuba # config system interface
    Cuba (interface) # edit port4
    new entry ‘port4’ added
    Cuba (port4) # set vrrp-virtual-mac enable
    Cuba (port4) # config vrrp
    Cuba (vrrp) # edit 100
    new entry ‘100’ added
    Cuba (100) # set vrip 172.16.50.100
    Cuba (100) # set priority 50
    Cuba (100) # end
    Cuba (vrrp) # edit 200
    new entry ‘200’ added
    Cuba (200) # set vrip 172.16.50.200
    Cuba (200) # set priority 255
    Cuba (200) # end

    [/alert]

    هنگامی که کانفیگ ما برای virtual group بعدی تمام شد و به آن IP مجازی اختصاص دادیم، یکی از دستگاه های فورتی گیت برای گروه اول master می شود و یکی دیگر برای گروه دوم master می شود و به این صورت load balance انجام می شود. شما نیاز به ارسال دو default rout به سمت کاربر دارید؛ یکی به آی پی فورتی گیت اول 172.16.50.100 و دومی به آی پی فورتی گیت دوم 172.16.50.200. اگر یکی از فورتی گیت ها از مدار خارج شود، فورتی گیت دیگر برای هر دو گروه نقش master را ایفا می کند و بنابراین downtime نخواهیم داشت.

    HA – High Availability configuration

    کانفیگ HA با FGCP: در این کانفیک می بایست ابتدا دستگاه هایتان را به یکدیگر متصل کنید. اگر فایروال شما پورت اختصاصی برای HA دارد از آن استفاده کنید در غیر اینصورت می توانید از یک پورت بلااستفاده ی دیگر بین دو دستگاهتان استفاده کنید. پس از این مرحله با روشن کردن دستگاه ها، به طور اتوماتیک اطلاعات را رد و بدل می کنند و یکی از این دستگاه ها به عنوان اصلی و دیگری به عنوان ثانویه انتخاب می شوند.
    ابتدا hostname را برای فایروالها انتخاب می کنیم که به آن نام قابل شناسایی باشند.

     

    [alert class=”alert” type=”success” dismiss=”true” ]
    Jamaica # config system glob
    Jamaica (global) # set host Jamaica1
    Jamaica # config system glob
    Jamaica (global) # set host Jamaica2

    [/alert]

     

    اکنون می بایست HA mode را انتخاب کنیم. Active-passive فقط به ما failover میدهد اما active-active هم failover و هم load-balancing می دهد.

     

    [alert class=”alert” type=”success” dismiss=”true” ]

    Jamaica1 # config system ha
    Jamaica1 (ha) # set mode active-passive
    Jamaica1 (ha) # set group-name Cluster
    Jamaica1 (ha) # set password P@ssw0rd

    [/alert]

    در این مرحله باید اسم کلاستر را انتخاب کنیم و یک پسورد ایجاد کنیم که سخت باشد به هر کسی نتواند با آن وارد کلاستر شود.

    [alert class=”alert” type=”success” dismiss=”true” tag=”div”]
    Jamaica2 # config system ha
    Jamaica2 (ha) # set mode active-passive
    Jamaica2 (ha) # set group-name Cluster
    Jamaica2 (ha) # set password P@ssw0rd

    [/alert]

    اکنون فایروالها با هم اطلاعات را رد و بدل می کنند و یکی از آنها به عنوان اصلی انتخاب می شود. بعد از همگام سازی کامل HA cluster فورتی گیت ها و رد و بدل کردن کانفیگ هایشان، به عنوان یک دستگاه با یکدیگر فعالیت می کنند و اگر یکی از آنها از مدار خارج شود دستگاه دیگر افزونگی آن بوده و downtime نخواهیم داشت. در این مرحله می بایست به این اینترفیس ها IP اختصاص دهیم که به شبکه متصل شوند.

    [alert class=”alert” type=”success” dismiss=”true” tag=”div”]

    Jamaica1 # config system int
    Jamaica 1 (interface) # edit port1
    new entry ‘port1’ added
    Jamaica (interface)
    Jamaica1 (port1) # set ip 192.168.134.25/24
    Jamaica1 (port1) # next
    Jamaica1 (interface) # edit port2
    Jamaica1 (port2) # set ip 192.168.135.25/24
    Jamaica1 (port2) # end
    Jamaica1 (port2) # config router static
    Jamaica1 (static) # edit 1
    Jamaica1 (1) # set dst 0.0.0.0 0.0.0.0
    Jamaica1 (1) # set gateway 192.168.135.25 set device port1
    Jamaica1 (1) # next
    Jamaica1 (static) # edit 2
    Jamaica1 (2) # set gateway 192.168.136.25 set device port2
    Jamaica1 (2) # end

    [/alert]

    این کانفیگ ها بسیار ساده بود و به این ترتیب فایروالها با پروتکل FGCP قابل کانفیگ هستند.

     

    نتیجه گیری

    در این نوشتار یک کانفیگ ساده از هر پروتکل به زبان ساده بیان شد و اکنون می توان بین آنها مقایسه ای صورت داد:
    VRRP یک پروتکل Open Source است. به عبارت دیگر شما می توانید با فایروالهای دیگری هم که VRRP داشته باشند، load balancing و failover را انجام دهید. بخش دیگر آن این است که اگر دستگاه دیگر شما فورتی گیت نباشد بخش همگام سازی کانفیگ ها که اطلاعات پیکربندی را همگام سازی می کند نخواهید داشت و برخی از قابلیت های اختصاصی فایروال شما نیز به درستی عمل خواهد کرد.
    در مقابل پروتکل FGCP قرار دارد که در آن پیکربندی این پروتکل حتما می بایست کلیه سخت افزارها، مدلها و حتی OS و لایسنس آنها یکی باشند. در FGCP اگر بیش از دو فورتی گیت داشته باشید می توانید دو سوئیچ نیز به صورت stack بین آنها قرار داده و به منظور افزونگی بیشتر پیشنهاد می شود از دو سوئیچ دیگر نیز برای failover و loadbalancing بخش lan شبکه استفاده نمایید.

    123

    برای کسب اطلاعات بیشتر در مورد خرید، نصب و راه اندازی فایروال و HA نمودن آنها با ما در تماس باشید. 02154744
    منبع : https://indeni.com

    مطالب مرتبط

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *