Wysoka dostępność (ang. HA – High Availability) w trybie Active-Passive jest rozwiązaniem polegającym na skonfigurowaniu dwóch urządzeń redundantnych (dublujących się) i połączeniu ich w klaster w taki sposób, aby:
– urządzenie aktywne (Master) obsługiwało cały ruch sieciowy i regularnie kopiowało swoje ustawienia do urządzenia pasywnego (Backup)
– w przypadku awarii urządzenia aktywnego, urządzenie jest dezaktywowane, a odpowiednio podłączone urządzenie pasywne staje się urządzeniem aktywnym.
0. Propozycja efektywnego i wygodnego zarządzania.
Przed właściwą konfiguracją klastra, warto najpierw skonfigurować interfejsy zarządzające, które docelowo mają być niezależne od synchronizacji HA.
Więcej tutaj: Wstęp/Zarządzanie.
1. Wytypowanie urządzeń do ról Master i Backup
Przed przystąpieniem do konfiguracji klastra HA, decydujemy o tym, które urządzenie będzie pracowało jako główne (Master; tu, roboczo: „HILLSTONE A”), a które jako zapasowe (Backup; tu: „HILLSTONE B”).
Załóżmy, że zamierzamy użyć dwóch urządzeń Hillstone jako klastra HA.
W tym celu łączymy i konfigurujemy sieć komputerową, jak na poniższym schemacie:
2. Konfiguracja interfejsów i przypisanie ich do stref (HILLSTONE A)
Wybieramy zakładkę Network -> Interface (1), wskazujemy interfejs, który należy skonfigurować, naciskamy Edit (2), a następnie w oknie Ethernet Interface ustawiamy opcje (tu: odnośniki naniesione na okno główne):
– Binding Zone – strefa powiązana – (tu, dla wszystkich: “Layer 3 Zone”)
– Zone (3) – używamy stref predefiniowanych:
——“trust” (domyślna zaufana dla LAN; “ethernet0/3”)
——“untrust” (domyślna niezaufana dla WAN; “ethernet0/1” )
——“mgt” (domyślna zarządzająca; “ethernet0/0”)
——“HA” (domyślna dla interfejsów kontrolnych HA; “ethernet0/5”, „ethernet0/6”)
– Type (4) – typ adresacji – (tu, dla wszystkich: “Static IP”)
– IP Address / Netmask (5) – adres IP – według powyższego schematu lub poniższego zrzutu ekranu, oraz maska sieciowa – (tu, dla wszystkich: “255.255.255.0”; 24-bitowa)
3. Zdefiniowanie obiektu do śledzenia (HILLSTONE A)
Obiekt służący do śledzenia poprawności działania to wskazany przez użytkownika element systemu, którego awaria lub niezadowalająca jakość pracy automatycznie odłączy urządzenie główne (Master) i spowoduje przejęcie kontroli nad bezpieczeństwem sieci przez urządzenie zapasowe (Backup).
Obiektem tym może być interfejs, protokół sieciowy lub jakość komunikacji. Hillstone pozwala również na zdefiniowanie wielu obiektów.
W poniższym przykładzie posłużymy się interfejsem „ethernet0/1” – zatem zarówno awaria/odcięcie kabla z dostępem do Internetu, jak i uszkodzenie całego urządzenia „HILLSTONE A” spowoduje przejęcie wszystkich jego zadań przez urządzenie „HILLSTONE B”.
Aby go zdefiniować, wykonujemy następujące czynności:
Wybieramy zakładkę Object -> Track Object [1], a następnie w oknie Track Object Configuration ustawiamy pola:
– Name [2] – nazwa (obowiązkowa; tu:”Track01″)
– Track Type [3] – typ śledzenia (tu: „Interface”)
– HA Sync [4] – włączamy synchronizację wysokiej dostępności
– Add Track Member – aby dodać obiekt, naciskamy Add [5], w oknie Add Interface Member dobieramy z listy [6] interfejs (tu: „ethernet0/1”; waga: 255; domyślna) i zatwierdzamy OK.
Zdefiniowany obiekt zatwierdzamy naciskając OK.
4. Ustawienie parametrów HA (HILLSTONE A i B)
Dla HA w trybie Active-Passive, pracę urządzeń organizujemy w JEDNEJ grupie.
HILLSTONE A
Wybieramy zakładkę System -> HA [1], a następnie w oknie HA schodzimy do sekcji Group 0, gdzie uzupełniamy pola:
– Priority [2] – priorytet (im niższa liczba, tym wyższy; tu: 10)
– Track Object [3] – obiekt zdefiniowany w pkt. 2 (tu: „Track01”)
– Description [4] – opcjonalny opis (tu: „master”)
Pozostałe pola modyfikujemy, jak na obrazku poniżej (jeśli nie są ustawione domyślnie) i zatwierdzamy naciskając OK.
HILLSTONE B
Wybieramy zakładkę System -> HA [1], a następnie w oknie HA schodzimy do sekcji Group 0, gdzie uzupełniamy pola:
– Priority [2] – priorytet (im niższa liczba, tym wyższy; tu: 100)
– Track Object [3] – pole pozostawiamy puste
– Description [4] – opcjonalny opis (tu: „slave”)
Pozostałe pola modyfikujemy, jak na obrazku poniżej (jeśli nie są ustawione domyślnie) i zatwierdzamy naciskając OK.
5. Ustalenie polityki zezwalającej na ruch sieciowy [*]
Wybieramy zakładkę Policy -> Security Policy -> Policy, naciskamy New, a następnie w oknie Policy Configuration ustawiamy pola:
– Source Zone – strefa źródłowa; wybieramy „trust” (domyślna zaufana)
– Destination Zone – strefa docelowa; wybieramy „untrust” (domyślna niezaufana)
Pozostałe pola pozostawiamy przy ustawieniach domyślnych.
Ustaloną politykę zatwierdzamy, naciskając OK.
[*] – przypisanie interfejsów to domyślnych stref predefiniowanych i złączenie ich polityką przepuszczającą cały ruch sieciowy, jest z punktu widzenia bezpieczeństwa konfiguracją niezalecaną i stanowi tu wyłącznie instruktarz – jeden z kroków do uruchomienia klastra HA.
6. Włączenie HA (HILLSTONE A i B)
Przed włączeniem trybu HA, warto upewnić się, że interfejsy kontrolne (tu: „ethernet0/5” i „ethernet0/6”) na obu urządzeniach są podłączone, jak na schemacie (pkt .1)
Klaster Active-Passive łączymy przy pomocy DWÓCH interfejsów sieciowych.
HILSTONE A
Wybieramy zakładkę System -> HA, a następnie w oknie HA ustawiamy pola:
– Control link interface 1 [1] – pierwszy interfejs komunikacyjny, użyty jako interfejs kontrolny dla klastra (tu: „ethernet0/5”).
– Control link interface 2 [2] – drugi interfejs komunikacyjny, użyty jako interfejs kontrolny dla klastra (tu: „ethernet0/6”).
– IP Address [3] (*) – adres IP węzła „master” (tu: „10.10.10.12”). Konieczne dopisanie maski sieciowej (tu: „255.255.255.0”; 24-bitowa)
– HA cluster ID [4] – identyfikator klastra HA (od 0 do 7; tu: „1”)
– Node ID [5] – identyfikator węzła (0 lub 1; tu: „1”)
Pozostałe pola pozostawiamy przy ustawieniach domyślnych.
HILLSTONE B
Wybieramy zakładkę System -> HA, a następnie w oknie HA ustawiamy pola:
– Control link interface 1 [1] – pierwszy interfejs komunikacyjny, użyty jako interfejs kontrolny dla klastra (tu: „ethernet0/5”).
– Control link interface 2 [2] – drugi interfejs komunikacyjny, użyty jako interfejs kontrolny dla klastra (tu: „ethernet0/6”).
– IP Address [3] (*) – adres IP węzła „master” (tu: „10.10.10.11”). Konieczne dopisanie maski sieciowej (tu: „255.255.255.0”; 24-bitowa)
– HA cluster ID [4] – identyfikator klastra HA (od 0 do 7; tu: „1”)
– Node ID [5] – identyfikator węzła (0 lub 1; tu: „0”)
Pozostałe pola pozostawiamy przy ustawieniach domyślnych.
Zmiany na obu urządzeniach zatwierdzamy, naciskając OK.
7. Sprawdzenie w CLI
Po przejściu w tryb HA opisanym sposobem, tracimy możliwość zarządzania urządzeniem „Hillstone B” z tej samej stacji (skopiowanie ustawień, kolizja adresów).
Wgląd w ustawienia urządzenia zapasowego możemy uzyskać, podłączając się do niego poprzez interfejs CON i obsługując je z poziomu linii komend (CLI).
O logowaniu do konsoli – więcej tutaj: Logowanie do urządzenia (CLI) (zabezpieczenia.it)
Po zalogowaniu, w linii komend wpisujemy polecenie:
show interface
Konsola wyświetla ustawienia interfejsów urządzenia „HILLSTONE B”.
Są one teraz identyczne, jak w urządzeniu „HILLSTONE A” (pkt. 2).
Wywołanie polecenia:
show configuration ha
wyświetli stan ustawień HA urządzenia zapasowego, które są zgodne z założeniami pkt. 6, zatem konfiguracja klastra przebiegła pomyślnie.
Litera „B” w nawiasie przy nazwie hosta oznacza, że urządzenie jest urządzeniem zapasowym (ang. „Backup”).
8. Symulacja awarii
Aby sprawdzić niezawodność trybu wysokiej dostępności, na komputerze PC, oznaczonym na schemacie jako „stacja lokalna”, włączamy wiersz poleceń i uruchamiamy polecenie:
ping 192.168.83.1 - t
w celu przetestowania stabilności połączenia przy pomocy protokołu ICMP.
Następnie przerywamy połączenie przy obiekcie śledzonym, tzn. kabel łączący bramę z interfejsem „ethernet0/1” w urządzeniu „HILLSTONE A”.
Konsola wiersza poleceń na stacji roboczej pokazuje, że w trakcie przejmowania zadań urządzenia „HILLSTONE A” przez urządzenie „HILLSTONE B”, utracono zaledwie kilka pakietów PING (*).
Konsola urządzenia „HILLSTONE B” o nazwie hosta „SG-6000 (B)” komunikuje, że zmieniono stan urządzenia z zapasowego („Backup”) na główne („Master”) (1).
Ustawienia HA pozostały bez zmian, są one nieistotne, ponieważ urządzenie „HILLSTONE B” jest teraz jedynym funkcjonującym, zaś „HILLSTONE A” jest traktowane jak uszkodzone i logicznie odłączone; tzn. pozostałe podłączenia do gniazd „HILLSTONE A” stają się również nieistotne.
Ostatecznie – urządzenie „HILLSTONE B” deklaruje się jako „SG-6000 (M)” (2).
(*) – przykład poglądowy. Liczba i rodzaj pakietów mogą zależeć od stopnia złożoności sieci, długości kabli itp.