antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 5 Май , 2014

Сегодня мне хотелось бы рассказать Вам о технологии, которая называется ZBF HA. Что это и для чего нужно? Давайте начнем с постановки задачи!

zbf ha

У нас в локальной сети есть сервер. Доступ между LAN и ISP контролируется политиками ZBF. Необходимо сделать так, чтобы при выходе из строя FW1, все сессии плавно (без разрывов соединения) перетекали на FW2.

По сути нам необходимо настроить два устройства так, чтобы все активные сессии между ними были синхронизированы в любой момент времени.

Технология ZBF, которая появилась в IOS 15.3(2)T подразумевает под собой объединение 2ух маршрутизаторов в Active/Standby пару.

Для этого между маршрутизаторами необходимо создать два дополнительных канала связи: control и data. Это могут быть как физические интерфейсы, так и сабинтерфейсы/vlan’ы.

zbf ha links

Интерфейс control используется для мониторинга сторон друг друга.

Интерфейс data нужен для синхронизации сессий и NAT-таблиц между устройствами.

Выбор active/standby ролей происходит в рамках redundancy group. Всего групп может быть две: т.е. Вы можете организовать active/active передачу трафика.

Конфигурация и верификация

Настройка происходит в несколько шагов. Первым делом нам необходимо сделать так, чтобы маршрутизаторы узнали друг о друге.

За это отвечает следующий блок команд:

redundancy
 application redundancy
  group 1
   name GROUP-1
   preempt
   priority 110
   control GigabitEthernet0/0 protocol 1
   data GigabitEthernet0/0

Немного пояснения: команды control Gi0/0 и data Gi0/0 определяют control и data-линки соответственно. Команда priority задает приоритет маршрутизатора (По умолчанию он равен 100. Чем больше, тем лучше).

При желании Вы можете провести более тонкую настройку: redundancy поддерживает интеграцию с track, а значит с ip sla. Также можно задать hello/dead таймеры, ввести аутентификацию (поддерживаются key-string и key chain) для control-линка.

redundancy
 application redundancy
  protocol 1
   timers hellotime 1 holdtime 3
   authentication md5 key-string CISCO123

Если настройка была проведена верно, то можно проверить статус устройств

FW-1#show redundancy application group 1
Group ID:1
Group Name:GROUP-1
Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY-HOT
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes
RF Domain: btob-one
         RF state: ACTIVE
         Peer RF state: STANDBY-HOT

После этого настраиваете правила ZBF как обычно.

Прим. Более подробно о ZBF можно прочитать тут: http://www.anticisco.ru/blogs/2012/04/zone-based-firewall/

Заключительным шагом необходимо объединить интерфейсы маршрутизаторов в отказоустойчивые пары. Для этого «одинаковым» интерфейсам на двух устройствах необходимо назначить одинаковый индекс rii (Redundancy Unique ID).

interface ISP1/2
 redundancy rii 10

Если же интерфейсы связаны по L2, то им можно назначить VIP (Virtual IP) – эдакий аналог HSRP-адреса. Обслуживать этот адрес будет только активный маршрутизатор.

interface LAN
 redundancy group 1 ip 10.0.1.254 exclusive

Соответственно этот адрес должен использоваться в качестве Next-Hop’а на ниже стоящих маршрутизаторах/хостах.

После этого можно приступать к тестам. Запускаем пробную telnet-сессию с клиента на сервер

FW1#show policy-firewall session
Session 313A9FA0 (10.0.1.101:16343)=>(10.0.100.100:23) telnet:tcp SIS_OPEN/TCP_ESTAB
Created 00:00:23, Last heard 00:00:07
Bytes sent (initiator:responder) [30:64]
HA State: ACTIVE, RG ID: 1
Session 313AA320 (10.0.1.101:57239)=>(10.0.100.100:53) dns:udp SIS_OPENING
Created 00:00:01, Last heard 00:00:00
Bytes sent (initiator:responder) [86:0]
HA State: ACTIVE, RG ID: 1
Established Sessions = 1
Half-open Sessions = 1

Также наблюдаем эту сессию на Standby-маршрутизаторе.

FW2#show policy-firewall session
Session 30EEC640 (10.0.1.101:16343)=>(10.0.100.100:23) telnet:tcp SIS_OPEN/TCP_ESTAB
Created 00:00:25, Last heard never
Bytes sent (initiator:responder) [0:0]
HA State: STANDBY, RG ID: 1
Established Sessions = 1

 

 

 

Метки: ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы

 

» Оставить комментарий

Вы должны войти чтобы прокомментировать.