سرویس های سیسکو ASA FirePOWER و خوشه بندی آنها

تا حدود ۱۶ ابزار سیسکو ASA مشابه را می­توان در یک خوشه قرار داد تا با هم به عنوان یک سیستم عمل کنند، در این حالت ASA همچنان از مزایای failover بهره­مند است؛ در یک خوشه از آدرس­های IP و MAC مجازی برای افزونگی First-hop استفاده می­شود.

کلیه اعضای یک کلاستر ملزم به داشتن تنظیمات سخت­افزاری، SSP، ماژول­ های نرم­افزاری و کارت رابط یکسانی هستند. شکل زیر سه سیسکو ASA که به صورت یک کلاستر پیکربندی شده ­اند، را نشان می­دهد.

 

شکل – خوشه­ بندی سیسکو ASA

در یک خوشه سیسکو ASA تنظیمات به کلیه اعضا انعکاس داده می شود و وضعیت ارتباط ها پس از وقوع هرگونه مشکلی در یکی از اعضا، حفظ می شود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ASA FirePOWER را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

سیسکو ASA خوشه بندی شده موجب تقارن جریان و دسترس پذیری عالی برای ماژول سیسکو ASA FirePOWER می شود؛ پکت ها و جریان ها توسط ماژول کنار گذاشته نمی شوند لیکن به شکل “drop” و یا “drop with TCP reset” علامت گذاری شده به سیسکو ASA ارسال می شوند؛ این شیوه در صورت لزوم، امکان پاک کردن جدول وضعیت ارتباطات و بازنشانی TCP، را در اختیار سیسکو ASA قرار می دهد.

زمانیکه خوشه بندی پیکربندی شده باشد، توزیع بار stateless  از طریق IP روتینگ و یا spanned etherchannel with LACP امکان پذیر می شود، علاوه بر این کلیه اداوات سیسکو ASA هریک به یک اینترفیس منطقی با زیرشبکه  یکسان متصل شده اند.

شکل زیر سیسکو ASA خوشه بندی شده از طریق spanned EtherChannel را نشان می دهد.

 

شکل- خوشه­بندی سیسکو ASA

همچنین می توان خوشه بندی را در وضعیت اینترفیس اختصاصی پیکربندی کرد، که این حالت در سیسکو ASA که در وضعیت routed (لایه ۳) پیکربندی شده اند امکان پذیر است. شکل زیر سیسکو ASA خوشه بندی شده در حالت اینترفیس اختصاصی را نشان می دهد.

 

شکل- خوشه­ بندی سیسکو ASA

در این حالت مدیر خوشه یک آدرس IP مجازی در اینترفیس Data برای مدیریت خوشه در اختیار دارد، کلیه اعضا آدرس های IP اینترفیس data خود را به ترتیبی که عضو خوشه شده اند از IP address  pool دریافت می کنند.

انتخاب اعضای یک خوشه در فایروال سیسکو فایر پاور

زمانی که سیسکو ASA به شکل خوشه پیکربندی می شود یک عضو به عنوان پایه و بقیه سیسکو ASA پیرو خواهند بود، پایه اولین واحدی است که عضو خوشه شده است؛ پایه جدید تنها در صورت بروز هرگونه مشکل در پایه خوشه انتخاب خواهد شد. کلیه توابع و ابزارهای مدیریتی در واحد مدیریت متمرکز شده است و چنین تنظیماتی در واحد های پیرو مسدود شده اند. شکل زیر فرایند انتخاب واحد های پیرو و پایه را نشان می دهد.

شکل- فرایند انتخاب واحد های پیرو و پایه

مراحل زیر در شکلبالا شرح داده شده است:

گام اول: سیسکو ASA با قابلیت خوشه بندی پس از BOOT به جستجوی پایه خوشه می پردازد.

گام دوم: تا ۴۵ ثانیه منتظر پاسخ از پایه خوشه باقی می ماند، چنانچه هیچ پاسخی دریافت نشود فرض اولین ابزاری که به عضویت خوشه درآمده است به عنوان پایه خوشه در نظر گرفته می شود، در نظر گرفته  می شود.

 گام سوم: اگر پایه خوشه وجود داشته باشد سیسکو ASA نقش پیرو را به عهده می گیرد و تنظیمات و پیکربندی اش را با سیسکو ASA که پایه خوشه است همگام سازی می کند.

گام چهارم: پایه تنها یک واحد را در هر لحظه پذیرش می کند.

گام پنجم: پیرو خوشه آماده انتقال ترافیک خواهد بود.

مالکیت آدرس های IP مجازی بر عهده اتصالات پیرو است و پایه و پیرو خوشه هر دو به شکل منظم اتصالات گذرا را مورد بررسی قرار می دهند. اگر پایه خوشه دچار مشکل شود کلیه اتصالات و ترافیک مدیریتی متمرکز شده در آن دوباره برقرار خواهد شد.

چگونگی برقراری و ردیابی اتصالات در یک خوشه فایروال سیسکو FirePOWER

در این بخش به شرح چگونگی برقراری و ردیابی اتصالات در یک سیسکو ASA که به شکل خوشه

پیکربندی شده است پرداخته می شود.

چگونگی برقرار یک ارتباط TCP جدید در خوشه

شکل زیر به شرح چگونگی برقراری یک ارتباط TCP جدید در یک خوشه می پردازد.

 

شکل – چگونگی برقراری یک ارتباط TCP جدید در یک خوشه

 

 

 

مراحل نشان داده شده در شکل بالا به شرح زیر است:

گام اول: یک ارتباط TCP جدی از سمت کلاینت دریافت می شود.(TCP SYN)

گام دوم: سیسکو ASA که TCP SYN را دریافت کرده است مالک این جریان شده و آن را به cookie خود اضافه می کند.

گام سوم: سرور از طریق یک واحد دیگر در خوشه پاسخ TCP SYN ACK را ارسال می کند.

گام چهارم: اگر سیسکو ASA دیگری در خوشه پاسخ را دریافت کند پکت را به سمت Flow owner ارسال کرده و خود Flow forwarder  آن می شود.

گام پنجم: Flow owner پکت TCP SYN را به کلاینت ارسال می کند.

گام ششم: Flow owner مراحل flow را با اطلاعات ارتباطات به روز رسانی می کند.

چگونگی برقراری و ردیابی یک ارتباط UDP جدید در یک خوشه

شکل زیر چگونگی برقراری و ردیابی ارتباط UDP جدید و یا pseudo-stateful connection در یک خوشه را شرح می دهد.

شکل – برقراری و ردیابی ارتباط UDP جدید

 

مراحل نشان داده شده در شکلبالا به شرح زیر است:

گام اول: یک ارتباط UDP جدید و یا pseudo-stateful connection از کلاینت دریافت می شود.

گام دوم: سیسکو ASA که استعلام وجود ارتباط را دریافت کرده است به بررسی جریان ارتباطات با میزبان می پردازد.

گام سوم: اگر ارتباط وجود داشته باشد سیسکو ASA که پکت را دریافت کرده است به عنوان flow owner خواهد شد.

گام چهارم: پکت به سرور تحویل داده می شود.

گام پنجم: Flow owner اطلاعات ارتباطات هدایت کننده را به روز رسانی می کند.

گام ششم: سرور به کلاینت پاسخ می دهد. اگر سیسکو ASA دیگری پاسخ را دریافت کند، پکت را به سمت Flow owner ارسال کرده و flow forwarderx آن می شود.

گام هفتم: Flow forwarder  در لیست جستجوهای هدایت کننده به جستجوی Flow owner می پردازد.

گام هشتم: هدایت کننده اطلاعات Flow forwarder را از طریق flow owner به روز رسانی می کند.

گام نهم: Flow forwarder به سرور پاسخ می دهد.

گام دهم: سرور پاسخ را به کلاینت تحویل می دهد.

ارتباطات متمرکز شده در خوشه Cisco FIREPOWER

ویژگی های مخلتفی در سیسکو ASA ، مانند مدیریت VPN، بازبینی نرم افزار ها و AAA[3] جهت کنترل دسترسی های شبکه، که در آن ارتباطات بصورت متمرکز است. اگر ارتباطی به شکل متمرکز قابل دسترسی باشد پایه خوشه قادر به کنترل تمامی وظایف آن خواهد بود.

  • نکته

پکت هایی با پروتکل  های توزیع نشده، به سمت پایه خوشه جهت انجام پردازش ارسال می شوند.

ارتباطات متمرکز شده کارایی کل خوشه را کمتر خواهد کرد  زیرا موجب افزایش تعداد نقاط ارسال پکت و زمان پردازش لازم برای اتمام یک عمل خواهد شد.

کلیه ویژگی های با دسترسی متمرکز شده معمولا حاوی Flow که به سمت پایه خوشه ارسال می شود هستند.

شکل زیر نحوه برقراری و ردیابی ارتباطات متمرکز شده را در یک خوشه نشان می دهد.

 

شکل – برقراری و ردیابی ارتباطات متمرکز شده را در یک خوشه

مراحل نشان داده شده در شکل بالا به شرح زیر است:

گام اول: یک ارتباط جدید از کلاینت دریافت می شود.

گام دوم: سیسکو ASA که ارتباط را دریافت کرده آن را جزو ویژگی های متمرکز شده تشخیص داده و ارتباط را به سمت پایه خوشه هدایت میکند.

گام سوم: پایه خوشه به عنوان flow owner  پکت را به سرور ارسال می کند.

گام چهارم: پایه خوشه اطلاعات ارتباطات هدایت کننده را به روز رسانی می کند.

در صورت بروز هرگونه مشکلی در Flow owner چه اتفاقی می افتد

خوشه بندی سیسکو ASA دسترس پذیری و افزونگی شایان توجهی را فراهم می آورد. شکل زیر به شرح رویدادهایی که در صورت بروز هرگونه مشکلی در Flow owner چه اتفاقی می افتد، می پردازد.

 

شکل ۲۶-۲  رویدادهایی که در صورت بروز هرگونه مشکلی در Flow owner اتفاق می افتد.

مراحل نشان داده شده در شکل بالا به شرح زیر است:

گام اول: ارتباط  میان کلاینت و سرور برقرار است.

گام دوم: flow owner دچار اختلال می شود این اختلال می تواند به علت مشکل تامین توان مصرفی، سخت افزار و یا هرگونه توقفی در سیستم رخ دهد.

گام سوم: کلاینت پکت بعدی را ارسال می کند و یکی از اعضای خوشه پکت را دریافت می کند.

گام چهارم: سیسکو ASA که پکت را دریافت می کند از هدایت  کننده مسیر را استعلام می کند.

گام پنجم: هدایت کننده اختلال در جریان اصلی را تشخیص داده و Flow owner جدیدی را تعیین می کند.

گام ششم: پکت به سرور تحویل داده می شود.

گام هفتم: Flow owner جدید اطلاعات هدایت کننده را به روز رسانی می کند.

فروش فایروال سیسکو , فروش لایسنس فایروال سیسکو , فایروال سیسکو ASA FirePower , فروش لایسنس فایرپاور,فروش لایسنس FirePOWER , لایسنس CUCM , لایسنس Webex , راه اندازی سیتریکس , فروش لایسنس ,سیتریکس , لایسنس Citrix , راه اندازی Splunk , فروش لایسنس Splunk , فروش لایسنس Remote Desktop مایکروسافت , فروش لایسنس Splunk ، راه اندازی سرویس Splunk , فروش لایسنس فورتیگیت ، فروش لایسنس Fortigate , فروش لایسنس cisco , راه اندازی اسپلانک ، راه اندازی Voip Cisco ، راه اندازی Citrix راه اندازی سرویس CRM ، نصب و راه اندازی MIcrosoft CRM

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *