網管人雜誌
本文刊載於網管人雜誌第 63 期 - 2011 年 4 月 1 日出刊,[NetAdmin 網管人雜誌] 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份 1 日出刊您可於各大書店中看到它或透過下列圖示連結至博客來網路書店訂閱它。
前言
自從西元 1960 年美國國防部國防前沿研究專案署 (ARPA) 出於冷戰考量下建立的 ARPA 網在無心插柳的情況下,卻迅速的發展成為與現代人生活上每天密不可分的網際網路 (Internet),當然水能載舟亦能覆舟當您在享受資訊爆炸的瞬間或許病毒、蠕蟲、後門程式也已經悄悄進入您的電腦竊取資料,因此為了阻擋網際網路上充斥的各種威脅「防火牆 (Firewall) 」概念也就應運而生。
在 1980 年代時期防火牆與路由器 (Router) 幾乎同一時間出現,第一代防火牆便是依附於路由器上來實現封包過濾 (Packet Filter) 功能進而阻擋惡意封包的通過,然而隨著網路安全議題及處理效能等因素考量下防火牆漸漸脫離路由器成為另一個獨立發展架構的硬體,也正是這個原因常常造成初期學習網路技術的人常常搞不清楚防火牆及路由器之間有何差別的困擾。
防火牆中最基本的功能就是控制 (或過濾) 在電腦網路中依照不同的區域 (或稱信任程度) 傳送網路資料流,在種類上又可區分為軟/硬體式防火牆一般來說軟體式防火牆在設定上可進行微調的彈性較大例如 Microsoft 在 Windows XP SP2 以後便內建個人軟體防火牆,而硬體式防火牆一般來說便是強調其高效能及高網路吞吐量 (Throughput),因此防火牆在應用環境上小至個人電腦端上的軟體防火牆、中至個人工作室或一般家庭 (例如 IP 分享器)、大至企業營運環境 (例如 商用硬體大型防火牆)。
時至今日網際網路上的各種威脅例如: 後門程式/間諜程式/P2P/IM/蠕蟲/駭客入侵/病毒/監諜程式/垃圾郵件/網路釣魚/垃圾郵件……等已經不可同日而語並且威脅的方式也不斷翻新,因此防火牆為了因應這樣的需求也演變成為 UTM (Unified Threat Management) 設備。
因此在現今競爭激烈的商業環境及充斥各種網路威脅的情況下 UTM 設備在企業營運環境上所扮演的角色更顯得重要,因為 UTM 設備等於是企業面對網際網路威脅的第一道防線不論是對內服務例如: 企業員工郵件收發、VoIP 語音傳輸、線上視訊會議…等又或者是對外服務例如: 客戶瀏覽公司網站、線上金流交易…等,基於 UTM 設備對於企業營運環境如此重要的情況下並不能單單只考量到 UTM 在效能處理或網路安全的環節上更要考慮硬體損壞或其它原因造成 UTM 運作停擺的因素,因此建置 UTM 設備的高可用性 (HA,High Availability) 運作機制以達成最少的服務中斷時間更為企業中 IT 人員的首要考量。
高可用性運作機製為叢集技術 (Cluster) 的其中一項,也就是常常聽到的 HA 機制 (例如 Active/Standby) 此類型的叢集技術通常在於維持服務的高可用性使服務隨時處於高穩定的運作狀態,例如將企業營運環境中的 UTM 設備建置 High Availability Cluster 運作機制後,只要其中一台 UTM 設備因為不可抗拒或其它因素損壞時,另外一台 UTM 設備便在很短時間內將線上服務完全接手過來繼續服務客戶及使用者,因此不論是企業內部員工或外部網際網路使用者將完全感覺不到有任何服務停擺的事情發生過。
談到了高可用性便會從服務層級協議 (SLA,Service Level Agreement) 方面說起,服務層級協議 SLA 一般指的便是服務提供者與使用者端二者之間依服務性質、時間、品質、水準、性能…等方面雙方達成共同協議或訂定契約,而在服務可用性這方面通常會用數字 9 及百分比來表示,依據不同的 SLA 等級通常可大略區分為 1 ~ 6 個 9 下面表格便是依據可用性不同等級百分比來制訂出依照每年、每月、每週的可允許服務中斷時間 (Downtime):
可用性 % \ 中斷時間 年 月 週 90% (1個9) 36.5天 72小時 16.8小時 99% (2個9) 3.65天 7.2小時 1.68小時 99.9% (3個9) 8.76小時 43.2分 10.1分 99.99% (4個9) 52.56分 4.32分 1.01分 99.999% (5個9) 5.26分 25.9秒 6.05秒 99.9999% (6個9) 31.5秒 2.59秒 0.605秒 思科 (Cisco) 在網際網路的運作上佔有及其重要的地位因為它在全世界網路骨幹 (Backbone) 中佔有極高的市佔率,因此剛開始踏入網路技術的學習者通常會從此設備開始下手,但最讓初期網路技術學習者感到困擾的便是除了瞭解網路技術運作之外在進行操作思科相關設備時還必須要熟記相關指令才能操作該設備,使用指令來操作設備固然對於效能上來說是好事但若是運用在例如防火牆這種需要多個規則時在管理及維護上便很容易會出錯,但隨著思科推出了圖形介面管理工具 (ASDM,Adaptive Security Device Manager) 後可使初期學習者更容易設定相關設備。
接下來本文便要實作將 2 台 Cisco ASA 5510 Series 建置成為具有高可用性 HA (Active/Standby) 運作機制的 UTM 設備,在此實作中每台 UTM 設備的 Ethernet0/0 介面用來連接至外部IP 位址、Ehternet0/1 為內部 IP 位址、Ethernet0/3 介面則為二台 Cisco UTM 互相對接用來同步彼此的設定資料,整個網路架構拓樸圖如下圖所示:
實作環境
Cisco ASA 5510 Series UTM *2台
- IOS
- Cisco Adaptive Security Appliance Software Version 8.0(4) - asa804-k8.bin
- Device Manager Version 6.1(3) - asdm-613.bin
- Primary ASA (Default is Active)
- Ethernet0/0 (WAN): 61.60.59.58
- Ehternet0/1 (LAN): 192.168.1.254
- Ehternet0/3 (Failover): 10.0.0.1
- Secondary ASA (Default is Standby)
- Ethernet0/0 (WAN): 61.60.59.57
- Ehternet0/1 (LAN): 192.168.1.253
- Ehternet0/3 (Failover): 10.0.0.2
- 憑證要求 CSR: ASA_CSR.txt
- VPN Client IP Range: 192.168.1.101 ~ 200
Windows Server 2003 R2 Standard Edition SP2
- AD / CA / RADIUS Server IP: 192.168.1.10
- RADIUS 共用密碼: 12345678
- DNS Server IP: 192.168.1.20、192.168.1.30
- WINS Server IP: 192.168.1.20、192.168.1.30
- RootCA 憑證: Weithenn_RootCA.cer
- ASA 憑證: asaca.cer
Windows 7 Professional
- 安裝 Cisco ASDM Version 6.1(3)
- 安裝 Cisco VPN Client (vpnclient-win-msi-5.0.02.0090-k9.exe)
Cisco ASA UTM 基礎概念
如何連接至Cisco ASA 5510 UTM?
請使用 Cisco 原廠所附的 Console 線與個人電腦上 RS-232 Port (或 USB 轉 RS-233) 與 Cisco ASA 5510 的 Console Port 對接,並開啟超級終端機或其它喜好軟體來連接至 Cisco ASA 5510 UTM 進行初始設定,Console 連接設定值如下:
- 傳輸位元 (Bits Per Second): 9600
- 資料位元 (Data Bits): 8
- 同位檢查 (Parity): 無
- 停止位元 (Stop Bits): 1
- 流量控制 (Flow Control): 無
什麼是 Sceurity-Level?
Cisco ASA UTM 防火牆在網路介面上如何控制及過濾封包的進出? 它使用 Security-Level 機制來進行控制封包的進出,Security-Level 數值從 0 ~ 100 數值愈大者愈安全也就是說數值愈大的網路介面其封包可以通過數值小的網路介面,所以通常我們會把「對外」的網路介面命名為 outside 並且給予 Security-Level 數值 0,「伺服器群DMZ」的網路介面命名為 dmz 並且給予 Security-Level 數值 50,「對內」的網路介面命名為 inside 並且給予 Security-Level 數值 100,經過這樣的 Security-Level 數值調整後內部網路及 DMZ 區伺服器群的網路封包便可順利通過外部網路介面至網際網路。
確認軟/硬體規格
在準備設定 Cisco ASA UTM 高可用性 HA 之前請將軟體及硬體規格確定好避免造成後續無法設定 HA 的困擾,例如筆者在測試時便因為沒有注意到二台 Cisco ASA UTM 其 IOS 版本不同造成設定好的 HA 機制無法運作而吃上不少苦頭,下列為實作前建議您二台 Cisco ASA 在軟/硬體規格應該要相同及相關的注意事項:
- 硬體規格: Model / 型號 / 網路介面 / RAM (Flash Memory 可不同但須注意剩餘空間是否足夠)
- 軟體版本: IOS (asa*.bin) / ASDM (asdm*.bin)
- 軟體授權:
- HA License: Active/Standby HA 授權 (ASA 5510 並未內建 HA 授權但可選購)
- VPN License: VPN-3DES-AES (憑 ASA UTM 序號可免費下載 License Key)
Cisco ASA HA 高可性運作機制
在設定 Cisco ASA HA 高可用性機制時大部份的設定都在 Primary 上設定即可 (因為屆時 HA機制啟動成功後會自動同步設定至 Secondary) 而 Secondary 則僅需要設定 Failover 部份即可,當 HA 設定完成時會出現 「Beginning configuration replication from mate」訊息表示 Active Node 會 「開始」 將設定資料透過 Ethernet0/3 介面傳送至 Standby Node 上,當資料傳送完畢後會顯示「End Configuration replication from mate」訊息,因此當 HA 機制設定啟動後您便只需要注意哪一台是 Active Node 誰是 Standby Node 即可 (因為有可能 Secondary 是 Active Node)。
HA 高可用性的容錯機制「錯誤後轉移 (Failover)」 通常有三種方式: 動態 DNS、IP Address 接管、MAC Address 接管,在 Cisco ASA 中其Failover機制是採用 MAC Address 接管的方法也就是當 Active Node 發生問題時 Standby Node 會將自身的 MAC Address 修改為 ARP Cache 中所記載的 Active Node 的 MAC Address,如此一來後續客戶端送出要求的網路流量便會流入 Standby Node 達到接手 Active Node 服務的目的。
另外是否一定要登入 Cisco ASA 才能知道哪一台 UTM 目前為 Active Node 或 Standby Node 呢? 答案是不需要的!! 您可透過 Cisco ASA 前方面板中 Active 燈號顏色 (第三顆燈號) 來判斷目前哪一台 UTM 為 Active Node (綠燈) 或 Standby Node (橘燈)
Cisco ASA 5510 UTM 基礎設定
管理密碼及主機名稱設定 (僅 Primary 設定即可)
透過 Console 線將個人電腦與 Primary UTM 連接後即可進行基礎設定,Cisco ASA UTM 在預設情況下要從用戶模式 User Mode (提示符號為 >) 進入特權模式 Privileged Mode (提示符號為 #) 其密碼為「空白 (按下 Enter 即可進入)」,下列指令依序為 進入特權模式、設定 Telnet 登入密碼、設定從用戶模式切換為特權模式時的密碼、設定此台 UTM 主機名稱
ciscoasa> enable //進入 Privileged 模式 Password: //預設密碼為空白 ciscoasa#configure terminal //進入 Configure 模式 ciscoasa(config)#enable password asa15 //設定 Telnet 登入密碼為 asa15 ciscoasa(config)#passwd asa15 //設定 Privileged 登入密碼為 asa15 ciscoasa(config)#hostname 5510-HA //設定主機名稱為 5510-HA 5510-HA(config)# //主機名稱改變網路介面設定 (僅 Primary 設定即可)
此台 Cisco ASA 5510 UTM 內建 4 個網路介面,我們將外部 IP 位址設定於 Ethernet0/0 介面上內部 IP 位址設定於 Ethernet0/1 介面上而二台 UTM 之間的心跳線 (Heartbeat) 則是透過 Ethernet0/3 介面互相對接即可,下列指令依序為將 Primary UTM 中的 3 個網路介面 Ethernet0/0、Ethernet0/1、Ethernet0/3 分別設定 IP 位址、設定網路介面名稱 (將套用預設的 Security Level 數值)、設定預設閘道、啟動 HTTP Server 功能 (ADSM 管理軟體才能連入) 、僅允許內部網段可以連結此台設備的 HTTP 及 Telnet 服務,在設定過程中值得注意的一點是 Cisco ASA 5510 UTM 的網路介面預設為關閉狀態 (shutdown), 所以當您設定好網路介面 IP 位址後必須執行 no shutdown 指令來將網路介面啟動。
5510-HA(config)#interface ethernet 0/0 //進入網卡介面 e0/0 5510-HA(config-if)#ip address 61.60.59.58 255.255.255.0 standby 61.60.59.57 //設定屆時 WAN 的 Active / Standby IP 5510-HA(config-if)#nameif outside //設定網卡名稱為 outside INFO: Security level for "outside" set to 0 by default. //預設的 security-level 為 0 5510-HA(config-if)#no shutdown //啟用網卡介面 e0/0 5510-HA(config-if)#exit //離開網卡介面 e0/0 5510-HA(config)#interface ethernet 0/1 //進入網卡介面 e0/1 5510-HA(config-if)#ip address 192.168.1.254 255.255.255.0 standby 192.168.1.253 //設定屆時 LAN 的 Active / Standby IP 5510-HA(config-if)#nameif inside //設定網卡名稱為 outside INFO: Security level for "inside" set to 100 by default. //預設的 security-level 為 100 5510-HA(config-if)#no shutdown //啟用網卡介面 e0/1 5510-HA(config-if)#interface ethernet 0/3 //進入網卡介面 e0/3 5510-HA(config-if)#no shutdown //啟用網卡介面 e0/3 5510-HA(config)#route outside 0 0 61.60.59.254 //設定 Default Gateway 5510-HA(config)#http server enable //啟動 Http Server (也就是 ASDM) 5510-HA(config)#http 0 0 inside //允許任何網段從 inside 進入連結 ASDM 5510-HA(config)#telnet 0 0 inside //允許任何網段從 inside 進入 telnet將 Cisco UTM啟用 HTTP 服務後您便可在安裝 ASDM 管理軟體的電腦上透過內部 IP 位址連接至 Cisco ASA UTM 上,登入後即可看到目前設備上 CPU負載、Memory負載、封包流量、主機名稱、IOS 版本、Flash…等硬體資訊,如下圖所示
NAT 及 Port Forwarding 設定 (僅 Primary 設定即可)
接著將擁有外部 IP 位址的網路介面 Ethernet0/0 設定為 NAT 介面,此網路介面屆時將會幫網路介面 Ethernet0/1 也就是內部網段的 IP 位址透過 Ethernet0/0 網路介面進行 NAT 轉換 (私有 IP -> 公用 IP) 連接至網際網路,另外在此步驟中也實作一個簡單的 Port Forwarding 機制即當網際網路連結至 Ethernet0/0 外部 IP 位址(61.60.59.56) 的 Port 3389 時 Cisco ASA UTM 會將封包收下後轉向 (Redirector) 至內部網段的 192.168.1.200:3389 主機上,下列指令依序為設定 Ethernet0/0 介面啟用 NAT 功能、允許內部網段主機可以 Ping 到網際網路主機、設定 Port Forwarding 機制至內部主機。
5510-HA(config)#global (outside) 1 interface //設定 NAT WAN 介面 INFO: outside interface address added to PAT pool 5510-HA(config)#nat (inside) 1 192.168.1.0 255.255.255.0 //設定要進行 NAT 的 LAN 介面 5510-HA(config)#access-list LAN_to_WAN permit icmp any any //設定 LAN 主機可執行 Ping 至 Internet 主機 (規則名稱為 LAN_to_WAN) 5510-HA(config)#access-group LAN_to_WAN in interface outside //把剛才設定的規則套用到 WAN 介面上 5510-HA(config)# global (outside) 1 61.60.59.56 netmask 255.255.255.0 //設定 PAT IP 及指定介面 INFO: Global 61.60.59.56 will be Port Address Translated 5510-HA(config)# static (inside,outside) 61.60.59.56 192.168.1.200 //設定 IP Map 5510-HA(config)# access-list LAN_to_WAN permit tcp any host 61.60.59.56 eq 3389 //設定 IP Port Forwarding (所以屆時 61.60.59.56:3389 -> 192.168.1.200:3389)Cisco ASA 5510 UTM 高可用性設定
HA Failover機制設定 (Primary 及 Secondary 皆需設定)
接下來的 Active/Standby Node 高可用性機制設定為二台 Cisco ASA 5510 UTM 皆需設定,下列指令依序為啟動容錯功能 (Failover)、指定此台 UTM 預設為 Active Node 或 Standby Node、指定用來同步設定資料的網路介面及 IP 位址並且在最後完成設定時儲存設定,與 Primary 不同的是 Secondary 設定時請記得啟動 (no shutdown) 心跳線網路介面 Ethernet0/3 及指定為 Standby Node 之外其餘設定皆與 Primary 相同。
在 Primary UTM 上執行如下指令
5510-HA(config)#failover //啟用 failover 功能 5510-HA(config)#failover lan unit primary //指定此台為 Primary 5510-HA(config)#failover lan interface failover Ethernet0/3 //指定 failover 介面為 e0/3 INFO: Non-failover interface config is cleared on Ethernet0/3 and its sub-interfaces 5510-HA(config)#failover interface ip failover 10.0.0.1 255.255.255.0 standby 10.0.0.2 //指定 failover 介面的 Active / Standby IP 5510-HA(config)#copy running-config startup-config //把目前設定寫入啟動設定中在 Secondary UTM 上執行如下指令
ciscoasa> en //進入 Privileged 模式 Password: //預設密碼為空白 ciscoasa# ciscoasa#configure terminal //進入 Configure 模式 ciscoasa(config)#interface ethernet 0/3 //進入網卡介面 e0/3 ciscoasa(config-if)#no shutdown //啟用網卡介面 e0/3 ciscoasa(config-if)#failover //啟用 failover 功能 ciscoasa(config)#failover lan unit secondary //指定此台為 Secondary ciscoasa(config)#failover lan interface failover Ethernet0/3 //指定 failover 介面為 e0/3 INFO: Non-failover interface config is cleared on Ethernet0/3 and its sub-interfaces ciscoasa(config)#failover interface ip failover 10.0.0.1 255.255.255.0 standb 10.0.0.2 //指定 failover 介面的 Active / Standby IP當 Secondary UTM 設定同步設定資料的心跳線網路介面及 IP 位址完成後的那一剎那在 Console 視窗中便會顯示「Detected an Active mate」訊息表示此台 Secondary UTM (Standby Node) 偵測到 Active Node 了,接著顯示「Beginning configuration replication from mate.」訊息表示開始同步二台 UTM 的設定資料,當二台 UTM 設定資料同步完成後會顯示「End configuration replication from mate.」訊息,在二台 UTM 同步資料完成後您可以看到 Secondary UTM 的主機名稱便從預設的 ciscoasa 變成 Primary UTM 所設定的 5510-HA 即可知二台 UTM 確實完成了同步設定資料的動作。
ciscoasa(config)#. //設定成功後出現下面訊息二台 ASA 開始同步設定 Detected an Active mate Beginning configuration replication from mate. //開始同步設定資料 End configuration replication from mate. //同步完成 5510-HA(config)# //ASA 設定同步完成 (主機名稱變成一樣的)HA Failover狀態確認
Active/Standby Node 高可用性機制設定完成後請您先查看及瞭解相關訊息,除了後續進行高可用性容錯測試時可瞭解其狀態的變化之外對於日後的管理及維護作業上也將幫助不少,首先透過 show failover 指令來確認容錯機制是否正常運作中、此台 UTM 為 Active Node 或 Standby Node、心跳線網路介面是否持續連接中、二台 UTM 其它網路介面的 IP 位址資訊…等。
5510-HA(config)#show failover Failover On //Failover 啟用中 Failover unit Primary //此台為 Primary Failover LAN Interface: failover Ethernet0/3 (up) //Failover 介面為 e0/3 且有連通中 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 2 of 250 maximum Version: Ours 8.0(4), Mate 8.0(4) Last Failover at: 08:30:59 UTC Mar 10 2010 This host: Primary - Active //目前此台 ASA 為 Active Active time: 282 (sec) slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Up Sys) Interface outside (61.60.59.58): Normal Interface inside (192.168.1.254): Normal slot 1: empty Other host: Secondary - Standby Ready Active time: 0 (sec) slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Up Sys) Interface outside (61.60.59.57): Normal Interface inside (192.168.1.253): Normal slot 1: empty Stateful Failover Logical Update Statistics Link : Unconfigured.接著透過相關指令您可查看目前高可性機制的運作狀態、心跳線網路介面 IP 位址資訊、其它網路介面 IP 位址資訊及連接狀態。
- 查看 Failover 狀態
5510-HA(config)#show failover state State Last Failure Reason Date/Time This host - Primary Active None Other host - Secondary Standby Ready None ====Configuration State=== Sync Done ====Communication State=== Mac set
- 查看 Failover 介面資訊
5510-HA(config)#show failover interface interface failover Ethernet0/3 System IP Address: 10.0.0.1 255.255.255.0 My IP Address : 10.0.0.1 Other IP Address : 10.0.0.2
- 查看 Failover 介面連接狀態
5510-HA(config)#show monitor-interface This host: Primary - Active Interface outside (61.60.59.58): Normal Interface inside (192.168.1.254): Normal Other host: Secondary - Standby Ready Interface outside (61.60.59.57): Normal Interface inside (192.168.1.253): NormalHA Failover災難測試
當 UTM 高可用性機制建置完成後,首先要確認的便是 HA Failover 機制是否能夠順利運作,您可以先行登入 Standby Node 後執行「failover active」指令進行手動切換將 Active Node 權限搶過來,確定手動切換 Node 且服務運作無誤之後接下來便要模擬 Active Node 在運作過程中其電源線不小心被機房施工人員踢掉,在下列表格中您可以瞭解到 Primary 及 Secondary 的 Node 變化狀態 (目前 Primary UTM 為 Active Node)
Node \ Status 電源線被踢掉 (電力喪失) 電源線接上 (電力恢復) Primary UTM Active Node -> Failed Standby Node Secondary UTM Standby Node -> Active Node Active Node 另外當 Primary UTM 其電力喪失時我們可以在 Secondary UTM 的 Console 得到訊息,也就是當 Primary UTM 電力喪失的情況發生後 Secondary UTM 的心跳線網路介面無法偵測到 Primary UTM 因此判定其運作失效因而開始接手成為 Active Node 及承接及相關服務。
5510-HA(config)# Failover LAN Failed //心跳線偵測到 Primary UTM 失效 Switching to Active //此台 UTM 接手為 Active Node當 Primary UTM 電力喪失後且尚未恢復以前您可在 Secondary UTM 中再度使用「show failover」指令來查看高可用性容錯的運作狀態、心跳線網路介面連接狀態、Primary UTM 的運作狀態、Primary UTM 其它網路介面的連接狀態
5510-HA(config)#show failover Failover On //Failover 啟用中 Failover unit Secondary //此台 UTM 為 Secondary Failover LAN Interface: failover Ethernet0/3 (Failed - No Switchover) //Heartbeat 連接中斷 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 2 of 250 maximum Version: Ours 8.0(4), Mate 8.0(4) Last Failover at: 08:41:51 UTC Mar 10 2010 This host: Secondary - Active //此台 UTM 為 Active Node Active time: 107 (sec) slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Up Sys) Interface outside (61.60.59.58): Normal (Waiting) Interface inside (192.168.1.254): Normal (Waiting) slot 1: empty Other host: Primary - Failed Active time: 730 (sec) slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Unknown/Unknown) Interface outside (61.60.59.57): Unknown Interface inside (192.168.1.253): Unknown slot 1: empty Stateful Failover Logical Update Statistics Link : Unconfigured.另外透過「show failover state」、「show monitor-interface」指令您可查看目前高可性機制的運作狀態、錯誤發生原因、錯誤發生時間點、另一節點的網路介面 IP 位址資訊及連接狀態。
- 查看 Failover 狀態
5510-HA(config)#show failover state State Last Failure Reason Date/Time This host - Secondary Active None Other host - Primary Failed Comm Failure 08:41:51 UTC Mar 10 2010 //發生時間 ====Configuration State=== Sync Done - STANDBY ====Communication State===
- 查看 Failover 介面連接狀態
5510-HA(config)#show monitor-interface This host: Secondary - Active Interface outside (61.60.59.58): Normal (Waiting) Interface inside (192.168.1.254): Normal (Waiting) Other host: Primary - Failed Interface outside (61.60.59.57): Unknown Interface inside (192.168.1.253): Unknown在此次災難測試中,我們在任一內部網段主機上持續執行 Ping 網際網路主機 (例如 tw.yahoo.com) 的情況下模擬 Active Node 電力喪失災難發生,當 Active Node 電源線被踢掉的瞬間 Standby Node 心跳線將會馬上偵測到 Active Node 失效進而接手 Active Node 所有線上運作服務,經實際測試後 Standby Node 完全接手 Active Node 服務這段空窗期間內部網段主機大約會遺失 (Lose) 1 ~ 3 個封包。
結語
在本文中我們已經完成了 UTM 設備的高可用性運作機制,經過測試後也證明具有高可用性運作機制的 UTM 設備當災難發生時另一台 UTM 設備將線上服務完全接手過來的時間大約遺失 1 ~ 3 個封包也就是服務中斷時間大約幾秒鐘而以,如此具備服務層級協議 SLA 的高等級水準相信不論是企業內部員工或外部網際網路使用者也很難查覺到有任何服務停擺的事情發生過,相信藉由本文的介紹能協助您輕鬆打造出讓企業營運永不停機為目標的 UTM 設備。
在下一篇文章中將實作 UTM 設備其 VPN Client 整合 Microsoft CA 憑證機制使得 VPN Client 在連接驗證方面除了具備高安全性之外更富有即時調整的彈性,並且透過建置 RADIUS 伺服器其使用者帳號驗證機制讓企業在導入UTM 設備時不用擔心使用者帳號分散的問題,進而達到企業 IT 管理人員可將網域使用者憑證及網域使用者帳號集中管理的目的。
2011年4月13日 星期三
不自量力 の Weithenn: 建置高可用性 Cisco 防火牆 (上)
via weithenn.org
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言