Сегодня мне хотелось бы рассказать Вам о технологии, которая называется ZBF HA. Что это и для чего нужно? Давайте начнем с постановки задачи!
У нас в локальной сети есть сервер. Доступ между LAN и ISP контролируется политиками ZBF. Необходимо сделать так, чтобы при выходе из строя FW1, все сессии плавно (без разрывов соединения) перетекали на FW2.
По сути нам необходимо настроить два устройства так, чтобы все активные сессии между ними были синхронизированы в любой момент времени.
Технология ZBF, которая появилась в IOS 15.3(2)T подразумевает под собой объединение 2ух маршрутизаторов в Active/Standby пару.
Для этого между маршрутизаторами необходимо создать два дополнительных канала связи: control и data. Это могут быть как физические интерфейсы, так и сабинтерфейсы/vlan’ы.
Интерфейс control используется для мониторинга сторон друг друга.
Интерфейс data нужен для синхронизации сессий и NAT-таблиц между устройствами.
Выбор active/standby ролей происходит в рамках redundancy group. Всего групп может быть две: т.е. Вы можете организовать active/active передачу трафика.
Конфигурация и верификация
Настройка происходит в несколько шагов. Первым делом нам необходимо сделать так, чтобы маршрутизаторы узнали друг о друге.
За это отвечает следующий блок команд:
redundancy
application redundancy
group 1
name GROUP-1
preempt
priority 110
control GigabitEthernet0/0 protocol 1
data GigabitEthernet0/0
Немного пояснения: команды control Gi0/0 и data Gi0/0 определяют control и data-линки соответственно. Команда priority задает приоритет маршрутизатора (По умолчанию он равен 100. Чем больше, тем лучше).
При желании Вы можете провести более тонкую настройку: redundancy поддерживает интеграцию с track, а значит с ip sla. Также можно задать hello/dead таймеры, ввести аутентификацию (поддерживаются key-string и key chain) для control-линка.
redundancy
application redundancy
protocol 1
timers hellotime 1 holdtime 3
authentication md5 key-string CISCO123
Если настройка была проведена верно, то можно проверить статус устройств
FW-1#show redundancy application group 1
Group ID:1
Group Name:GROUP-1
Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY-HOT
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes
RF Domain: btob-one
RF state: ACTIVE
Peer RF state: STANDBY-HOT
После этого настраиваете правила ZBF как обычно.
Прим. Более подробно о ZBF можно прочитать тут: http://www.anticisco.ru/blogs/2012/04/zone-based-firewall/
Заключительным шагом необходимо объединить интерфейсы маршрутизаторов в отказоустойчивые пары. Для этого «одинаковым» интерфейсам на двух устройствах необходимо назначить одинаковый индекс rii (Redundancy Unique ID).
interface ISP1/2
redundancy rii 10
Если же интерфейсы связаны по L2, то им можно назначить VIP (Virtual IP) – эдакий аналог HSRP-адреса. Обслуживать этот адрес будет только активный маршрутизатор.
interface LAN
redundancy group 1 ip 10.0.1.254 exclusive
Соответственно этот адрес должен использоваться в качестве Next-Hop’а на ниже стоящих маршрутизаторах/хостах.
После этого можно приступать к тестам. Запускаем пробную telnet-сессию с клиента на сервер
FW1#show policy-firewall session
Session 313A9FA0 (10.0.1.101:16343)=>(10.0.100.100:23) telnet:tcp SIS_OPEN/TCP_ESTAB
Created 00:00:23, Last heard 00:00:07
Bytes sent (initiator:responder) [30:64]
HA State: ACTIVE, RG ID: 1
Session 313AA320 (10.0.1.101:57239)=>(10.0.100.100:53) dns:udp SIS_OPENING
Created 00:00:01, Last heard 00:00:00
Bytes sent (initiator:responder) [86:0]
HA State: ACTIVE, RG ID: 1
Established Sessions = 1
Half-open Sessions = 1
Также наблюдаем эту сессию на Standby-маршрутизаторе.
FW2#show policy-firewall session
Session 30EEC640 (10.0.1.101:16343)=>(10.0.100.100:23) telnet:tcp SIS_OPEN/TCP_ESTAB
Created 00:00:25, Last heard never
Bytes sent (initiator:responder) [0:0]
HA State: STANDBY, RG ID: 1
Established Sessions = 1
Метки: firewall, ZBFW
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы
» Оставить комментарий
Вы должны войти чтобы прокомментировать.