در این نوشتار در نظر داریم دو مورد از مهم ترین راهکارهای HA برای فایروالهای فورتی گیت؛ تحت عنوان VRRP و FGCP، مزایا، معایب و نحوه پیاده سازی آنها را بررسی نماییم. در دنیای امروز که وقوع یک لحظه قطعی در شبکه ی شرکت ها می تواند هزاران دلار ضرر برای آنها به همراه داشته باشد، شرکت ها از چندین لینک اینترنت استفاده می کنند. اما اگر روتر و یا فایروال شما به درستی عمل نکند، داشتن چندین لینک اینترنت هم نمی تواند مثمر ثمر واقع شود. در این حالت داشتن دو دستگاه شبکه که بتوانند به صورت master/salve کار کنند، ایده بسیار خوبی است که موجب می شود در صورت بروز مشکل برای یکی از دستگاه ها، دستگاه دوم به راحتی جایگزین شود و این امر دلیل به وجود پروتکلهای FHRP همچون HSRP و VRRP است. اما این پروتکل ها بیشتر برای روترها مورد استفاده قرار می گیرند. هرچند که فایروالها نیز از این پروتکل ها بهره می برند اما دارای پروتکل های اختصاصی خود نیز هستند.
Virtual Router Redundancy Protocol
تاریخچه VRRP
VRRP یک پروتکل توسعه یافته است که به برند خاصی تعلق ندارد؛ اما پروتکل HSRP که قبل از آن توسعه یافته، مختص سیسکو است. اصول کارکرد این دو پروتکل مانند هم است و تنها تفاوت در این است که هر چند HSRP تنها بین تجهیزات سیسکو قابل استفاده است، می توانید از VRRP بین دو برند متفاوت استفاده کنید.
منطق VRRP
VRRP از منطق به اشتراک گذاری IPمجازی و همچنین آدرس Mac بین دستگاه Master و Slave استفاده می کند. دستگاه Master از آی پی مجازی بر روی Interface خودش استفاده می کند و چنانچه به هر دلیلی از دسترس خارج شود، دستگاه slave جای آن را گرفته و از همان آی پی مجازی استفاده می کند. VRRP با تشکیل یک VRRP Group از طریق دو یا تعداد بیشتری دستگاه فورتی گیت، پیاده سازی می شود. همچنین می توانید VRRP را بین فورتی گیت و یک روتر ساده مانند روترهای سیسکو که از VRRP پشتیبانی می کنند، کانفیگ نمایید. علاوه بر اینها شما می توانید VRRP را به منظور انجام load balancing پیکربندی نمایید که در این صورت دیگر هیچ دستگاهی به عنوان idle نخواهید داشت.
VRRP چگونه کار می کند؟
همچون اکثر پروتکل های شبکه، VRRP از ارسال پیام بین اعضا استفاده می کند. دو مدل ارسال و دریافت پیام وجود دارد که hello و dead نامیده می شوند. فاصله زمانی ارسال و دریافت پیامهای VRRP بین وندورهای مختلف متفاوت است که این زمان در مورد فورت نت برای ارسال hello یک ثانیه و برای keep alive سه ثانیه است. پکت های hello هر یک ثانیه یکبار توسط master ارسال می شوند و تا زمانی که slave این پیام ها را دریافت می کند، هیچ فعالیتی برای تبدیل شدن به واحد اصلی انجام نمی دهد. اما چنانچه پیام های hello از master به salve نرسد، پس از گذشت سه ثانیه زمان پیش فرض که بر روی dead interval تعریف شده، salve تشخیص می دهد که دستگاه اصلی از سرویس دهی خارج شده و خودش را جایگزین آن می کند.
FGCP HA چیست؟
FGCP HA پروتکل مخصوص فورتی گیت است که به شما قابلیت افزونگی را می دهد. FGCP همانند VRRP کار می کند؛ اما مهم ترین تفاوت FGCP این است که در این پروتکل حتما می بایست دو دستگاه فورتی گیت از یک مدل داشته باشید که بتوانید HA را پیاده سازی نمایید. در صورت راه اندازی کلاستر FGCP، فایروالها کانفیگ هایشان را با یکدیگر همگام سازی کرده و به عنوان یک دستگاه عمل می کنند. همچنین عملیات load balancing و failover را در صورت نیاز انجام می دهند.
چگونگی شکل گیری کلاستر FGCP
برای اینکه بتوانید فورتی گیت ها را در یک کلاستر قراردهید می بایست دارای یک مدل، سخت افزار و فریم ور باشند. هر کلاستر ، یک فورتی گیت به عنوان واحد اصلی و یک تا نهایتا سه فورتی گیت دیگر به عنوان واحدهای ثانویه دارد.
مفهوم FGCP
مانند VRRP، FGCP هم از یک مک مجازی استفاده می نماید و اطلاعات بین دستگاه از طریق پروتکل ARP تبادل می شود. همچنین اگر FGCP را خودتان تنظیم کنید، می توانید تایمرهای آن را حتی کمتر از یک ثانیه قرار دهید.
نیازمندی های FGCP
اگر بخواهید در شبکه uptime بالایی داشته باشید می توانید بین فورتی گیت ها از سوئیچ استفاده کنید. زیرا هر فورتی گیت دو پورت برای حالت HA دارد و اگر برای مثال بخواهید 4 فورتی گیت در یک کلاستر داشته باشید، نیازمند تهیه سوئیچ برای اتصال فورتی گیت ها به آن هستید. در صورت down شدن سوئیچ مرکزی، ارتباط کل کلاستر قطع می شود؛ بنابراین بهتر است دو سوئیچ شبکه داشته باشید که آنها را stack کرده و فورتی گیت ها را به آنها وصل کنید که هیچگونه down timeی نداشته باشید. همچنین برای بالاتر رفتن uptime می توانید دو دستگاه دیگر هم تهیه کنید و آنها را به صورت VRRP برای شبکه راه اندازی کنید و آنها نقش VRRP را داشته باشند و ترافیک را به فورتی گیت ها بدهند.
پیکربندی VRRP
– کانفیگ واحد master:
[alert class=”alert” type=”success” dismiss=”true” tag=”div”]
config system interface
Jamaica # config system interface
Jamaica (interface) # edit port4
new entry ‘port4’ added
Jamaica (port4) # set vrrp-virtual-mac enable
Jamaica (port4) # config vrrp
Jamaica (vrrp) # edit 100
new entry ‘100’ added
Jamaica (100) # set vrip 172.16.50.100
Jamaica (100) # set priority 255
:Slave unit configuration
Cuba # config system interfac
Cuba (interface) # edit port4
new entry ‘port4’ added
Cuba (port4) # set vrrp-virtual-mac enable
Cuba (port4) # config vrrp
Cuba (vrrp) # edit 100
new entry ‘100’ added
Cuba (100) # set vrip 172.16.50.100
Cuba (100) # set priority 50
[/alert]
ما از پورت 4 هر دو فورتی گیت برای کانفیگ VRRP استفاده نمودیم. در ابتدا می بایست یک MAC مجازی را به این پورت اختصاص دهیم و این MAC مجازی جایگزین MAC اصلی آن اینترفیس می شود. علت این امر این است که در صورت وقوع failover یا به عبارت دیگر Down شدن یک دستگاه، کامپیوترهایی که داخل LAN هستند، MAC اصلی دستگاه یا روتر fail شده را نداشته باشند و به همین دلیل MAC مجازی جایگزین MAC اصلی می شود.
بعد از این مرحله وارد حالت کانفیگ VRRP شده و VRRP group id رو بر روی پورت4، روی 100 قرار می دهیم و virtual IP استفاده شده نیز 172.16.50.100 است. در نهایت اولویت را برای دستگاهی تنظیم می کنیم که اولویت بالاتر و دارای ارجحیت بیشتری است؛ به طور مثال دستگاهی که 250 به آن داده شده master است و دستگاه دیگر slave شده. در اینجا preempt هم به صورت پیشفرض فعال است که در دستگاه سیسکو فعال نمی باشد. کار preempt به این صورت است که زمانیکه دستگاه master مجدد به شبکه باز می گردد، دوباره به صورت master می شود و دستگاهی که slave بوده دیگر کار نمی کند. کانفیگ Load balancing VRRP نیز تقریبا مشابه است به جز اینکه از یک group id و virtual IP دیگر می بایست استفاده شود.
[alert class=”alert” type=”success” dismiss=”true” ]
VRRP Load Balancing configuration
config system interface
Jamaica # config system interface
Jamaica (interface) # edit port4
new entry ‘port4’ added
Jamaica (port4) # set vrrp-virtual-mac enable
Jamaica (port4) # config vrrp
Jamaica (vrrp) # edit 100
new entry ‘100’ added
Jamaica (100) # set vrip 172.16.50.100
Jamaica (100) # set priority 255
Jamaica (100)# end
Jamaica (vrrp) # edit 200
new entry ‘200’ added
Jamaica (200) # set vrip 172.16.50.200
Jamaica (200)# set priority 50
Slave unit configuration:
Cuba # config system interface
Cuba (interface) # edit port4
new entry ‘port4’ added
Cuba (port4) # set vrrp-virtual-mac enable
Cuba (port4) # config vrrp
Cuba (vrrp) # edit 100
new entry ‘100’ added
Cuba (100) # set vrip 172.16.50.100
Cuba (100) # set priority 50
Cuba (100) # end
Cuba (vrrp) # edit 200
new entry ‘200’ added
Cuba (200) # set vrip 172.16.50.200
Cuba (200) # set priority 255
Cuba (200) # end
[/alert]
هنگامی که کانفیگ ما برای virtual group بعدی تمام شد و به آن IP مجازی اختصاص دادیم، یکی از دستگاه های فورتی گیت برای گروه اول master می شود و یکی دیگر برای گروه دوم master می شود و به این صورت load balance انجام می شود. شما نیاز به ارسال دو default rout به سمت کاربر دارید؛ یکی به آی پی فورتی گیت اول 172.16.50.100 و دومی به آی پی فورتی گیت دوم 172.16.50.200. اگر یکی از فورتی گیت ها از مدار خارج شود، فورتی گیت دیگر برای هر دو گروه نقش master را ایفا می کند و بنابراین downtime نخواهیم داشت.
HA – High Availability configuration
کانفیگ HA با FGCP: در این کانفیک می بایست ابتدا دستگاه هایتان را به یکدیگر متصل کنید. اگر فایروال شما پورت اختصاصی برای HA دارد از آن استفاده کنید در غیر اینصورت می توانید از یک پورت بلااستفاده ی دیگر بین دو دستگاهتان استفاده کنید. پس از این مرحله با روشن کردن دستگاه ها، به طور اتوماتیک اطلاعات را رد و بدل می کنند و یکی از این دستگاه ها به عنوان اصلی و دیگری به عنوان ثانویه انتخاب می شوند.
ابتدا hostname را برای فایروالها انتخاب می کنیم که به آن نام قابل شناسایی باشند.
[alert class=”alert” type=”success” dismiss=”true” ]
Jamaica # config system glob
Jamaica (global) # set host Jamaica1
Jamaica # config system glob
Jamaica (global) # set host Jamaica2
[/alert]
اکنون می بایست HA mode را انتخاب کنیم. Active-passive فقط به ما failover میدهد اما active-active هم failover و هم load-balancing می دهد.
[alert class=”alert” type=”success” dismiss=”true” ]
Jamaica1 # config system ha
Jamaica1 (ha) # set mode active-passive
Jamaica1 (ha) # set group-name Cluster
Jamaica1 (ha) # set password P@ssw0rd
[/alert]
در این مرحله باید اسم کلاستر را انتخاب کنیم و یک پسورد ایجاد کنیم که سخت باشد به هر کسی نتواند با آن وارد کلاستر شود.
[alert class=”alert” type=”success” dismiss=”true” tag=”div”]
Jamaica2 # config system ha
Jamaica2 (ha) # set mode active-passive
Jamaica2 (ha) # set group-name Cluster
Jamaica2 (ha) # set password P@ssw0rd
[/alert]
اکنون فایروالها با هم اطلاعات را رد و بدل می کنند و یکی از آنها به عنوان اصلی انتخاب می شود. بعد از همگام سازی کامل HA cluster فورتی گیت ها و رد و بدل کردن کانفیگ هایشان، به عنوان یک دستگاه با یکدیگر فعالیت می کنند و اگر یکی از آنها از مدار خارج شود دستگاه دیگر افزونگی آن بوده و downtime نخواهیم داشت. در این مرحله می بایست به این اینترفیس ها IP اختصاص دهیم که به شبکه متصل شوند.
[alert class=”alert” type=”success” dismiss=”true” tag=”div”]
Jamaica1 # config system int
Jamaica 1 (interface) # edit port1
new entry ‘port1’ added
Jamaica (interface)
Jamaica1 (port1) # set ip 192.168.134.25/24
Jamaica1 (port1) # next
Jamaica1 (interface) # edit port2
Jamaica1 (port2) # set ip 192.168.135.25/24
Jamaica1 (port2) # end
Jamaica1 (port2) # config router static
Jamaica1 (static) # edit 1
Jamaica1 (1) # set dst 0.0.0.0 0.0.0.0
Jamaica1 (1) # set gateway 192.168.135.25 set device port1
Jamaica1 (1) # next
Jamaica1 (static) # edit 2
Jamaica1 (2) # set gateway 192.168.136.25 set device port2
Jamaica1 (2) # end
[/alert]
این کانفیگ ها بسیار ساده بود و به این ترتیب فایروالها با پروتکل FGCP قابل کانفیگ هستند.
نتیجه گیری
در این نوشتار یک کانفیگ ساده از هر پروتکل به زبان ساده بیان شد و اکنون می توان بین آنها مقایسه ای صورت داد:
VRRP یک پروتکل Open Source است. به عبارت دیگر شما می توانید با فایروالهای دیگری هم که VRRP داشته باشند، load balancing و failover را انجام دهید. بخش دیگر آن این است که اگر دستگاه دیگر شما فورتی گیت نباشد بخش همگام سازی کانفیگ ها که اطلاعات پیکربندی را همگام سازی می کند نخواهید داشت و برخی از قابلیت های اختصاصی فایروال شما نیز به درستی عمل خواهد کرد.
در مقابل پروتکل FGCP قرار دارد که در آن پیکربندی این پروتکل حتما می بایست کلیه سخت افزارها، مدلها و حتی OS و لایسنس آنها یکی باشند. در FGCP اگر بیش از دو فورتی گیت داشته باشید می توانید دو سوئیچ نیز به صورت stack بین آنها قرار داده و به منظور افزونگی بیشتر پیشنهاد می شود از دو سوئیچ دیگر نیز برای failover و loadbalancing بخش lan شبکه استفاده نمایید.
برای کسب اطلاعات بیشتر در مورد خرید، نصب و راه اندازی فایروال و HA نمودن آنها با ما در تماس باشید. 02154744
منبع : https://indeni.com