پیاده سازی Cisco ASA FirePOWER Services Failover

پیاده سازی سرویس High availability در فایروال سیسکو فایر پاور

سیسکو ASA از طریق استفاده Failover و خوشه­ بندی قابلیت دسترسی بسیار خوبی را ایجاد کرده است. در این بخش به بررسی پیاده ­سازی سناریو های Failover در ماژول Cisco ASA FirePOWER پرداخته خواهد شد.

سیسکو ASA دو نوع Failover را پشتیبانی می­کند:

  • Active/standby

  • Active/Active

مطابق شکل زیر در حالت Active/standby همواره یک واحد در حالت Active و دیگری در وضعیت Standby است.

 Active/Standby Failover Cisco ASA FirePOWER

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco ASA FirePOWER Services Failover را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

دستگاه در حالت Standby کلیه ترافیک عبوری را رها کرده و فقط ترافیک عبوری از رابط Management را می­ پذیرد. زمانی که کارایی دستگاه در وضعیت اکتیو پایین باشد، سیستم به صورت اتوماتیک به دستگاه در وضعیت Standby سوییچ می­کند. فرآیند Failover حتی در صورت تمام ترافیک عبوری را به سمت دستگاه جایگزین منتقل می­کند. حالت Active/Standby فقط در وضعیت Single-context قابل اجرا است.

Security context قابلیت تبدیل سیسکو ASA به صورت چند فایروال مستقل را ایجاد می­کند، هر بخش به صورت مجزا پیکربندی، واسط، سیاست­ گذاری­ های امنیتی، جدول روتینگ و سرپرست مستقلی دارد. در ادامه به ارایه چند مثال از سناریوهای متداول در استفاده از Security Context جهت توسعه شبکه پرداخته می­شود:

  • اگر به عنوان یک فراهم ­کننده سرویس قصد ارائه سرویس­ های فایروال به مشتریا ن خود را داشته باشید؛ به هر روی تمایل به خرید فایروال فیزیکی اضافی برای هر کلاینت را نداشته باشید.
  • اگر برای مدیریت شبکه یک موسسه آموزشی، جهت ارتقا امنیت تمایل به تجزیه شبکه بر اساس دانشکده­ ها داريد، تنها مي­توانيد یک ابزار امنیتی فیزیکی داشته باشید.
  • چنانچه مدیریت یک بنگاه اقتصادی بزرگ با شعب مختلف تمایل به اعمال سیاست­ گذاری ­های امنیتی متفاوت بر هر شعبه داشته باشد.
  • در یک شرکت با هم­زمانی شبکه، در هنگام ارائه سرویس فایروال بدون تغییر ترتیب آدرس­ دهی نیاز به بهره ­گیری از Security Context وجود دارد. 
  • اگر در حال حاضر مدیریت امنیتی از طریق چندین فایروال فیزیکی صورت می­گیرد و تمایل به یکپارچه ­سازی سیاست­گذاری­های امنیتی در یک فایروال داشته باشید.
  • به منظور کاهش هزینه­ های عملیاتی و افزایش کارایی در هنگام فراهم آوردن مجازی ­سازی End -To-End در دیتاسنترها و مدیریت آنها از Security Context استفاده می­شود.

وظایف واحد Active به شرح زیر است:

  • دستورات پیکربندی مرتبط با کاربران را دریافت و به همتای Standby خود منعکس می­کند. تمام بخش­ های مدیریت و مانیتورینگ در بخش Active زوج Failover اتفاق می­افتد زیرا انعکاس اطلاعات في­ مابین این دو بخش، فرآیندی دو سویه نیست؛ هرگونه تنظیماتی در Standby ASA صورت گیرد موجب ایجاد ناهماهنگی، عدم مطابقت دستورات و ایجاد اختلال در هنگام تعویض مي­شود. اگر تغییری ناخواسته در ابزار Standby صورت گرفت از وضعیت پیکربندی خارج شده و دستور write standby در بخش Active جهت بازیابی وضعیت مناسب وارد کنید؛ این دستور تمام پیکربندی موجود در Active ASA را به واحد Standby منتقل می­کند.
  • پردازش هرگونه ترافیک عبوری، اعمال سیاست ­گذاری ­های امنیتی، ایجاد ارتباط ­ها و در صورت لزوم قطع آن و هم­زمان­سازی اطلاعات ارتباطی با واحد Standby در شرايط پیکربندی به صورت Stateful Failover انجام می­پذیرد.
  • ارسال پیام­ های Syslog و NSEL به سیستم گردآورنده رویدادها، در صورت لزوم با دستور Logging standby می­توان پیام­های Syslog را به واحد standby ارسال کرد، ليكن مي­بايست به خاطر داشته باشید این دستور، ترافیک Syslog را در زوج Failover دو برابر خواهد کرد.
  • ایجاد و حفظ روتینگ دینامیک ، واحد Standby در روتینگ دینامیک شرکت نخواهد داشت.

به صورت پیش­ فرض فرآیند Failover رفتار حالت­مندی ندارد، در این پیکربندی واحد Active فقط با ابزار Standby در تعامل است و کلیه جریان اطلاعات حالت­مند در Active ASA باقی می­ماند، بنابراین تمامی ارتباطات باید مجددا بر روی Failover برقرار شوند؛ از سوی دیگر این پیکربندی کلیه منابع پردازشی ASA را حفظ می­کند و پیکربندی با دسترس ­پذیری عالی مستلزم Stateful Failover است.

برای ارسال صورت وضعیت به Standby ASA می­بایست پیکربندی ارتباط Stateful Failover صورت پذیرد.

Stateful Failover در برنامه سیسکو ASA 5505 وجود ندارد، زمانی­که Stateful replication فعال شود Active ASA اطلاعات زیر را با همتای Standby خود به اشتراک می­گذارد:

  • جدول وضعیت ارتباطات TCP و UDP، به منظور حفظ منابع پردازشی ASA به صورت پیش­ فرض از هم­گام­ سازی اطلاعات ارتباطات با طول عمر پایین اجتناب می­کند؛ به عنوان مثال ارتباطات HTTP بر روی پورت ۸۰TCP به صورت Stateless خواهد بود، مگر اینکه دستور Failover replication http وارد شده باشد. به همین نحو، ارتباطات ICMP تنها در حالت active/active failover به همراه ASR پیکربندی می­شوند. توجه داشته باشید فعال کردن انتقال اطلاعات دو سویه در حالت Stateful برای تمامی اتصالات تا ۳۰ درصد 
  • جدول ARP و MAC، در شرايطي كه در حالت Transparent کار می­کند.
  • جدول روتینگ شامل تمام مسیرهای دینامیک مي­باشد. تمام روتینگ­های دینامیک در صورت وقوع هر گونه Failover می­بایست دوباره برقرار گردند، لیکن واحد Active جدید همچنان تا زمان هم­گرایی کامل به ارسال ترافیک مطابق جدول روتینگ قبلی ادامه می­دهد.
  • اطلاعات مشخصی از بازبینی نرم ­افزارها چون GPRS، GPT، PDP و جدول SIP را ارسال می­کند. توجه به اینکه لازم است بخش اعظم اطلاعات واحد بازرسی نرم ­افزارها به علت محدودیت­ ها و پیچیدگی­ های منابع نمی­تواند هم­گام ­سازی شود، چنین ارتباطاتی فقط در یک ارتباط لایه ۴ وجود دارد و قابل تعویض است، به همین علت چنین ارتباطاتی پس از Failover ملزم به برقراری مجدد هستند.
  • غالب ساختارهای اطلاعاتی VPN شامل اطلاعات SA برای کانال­های Site-To-Site و کاربران با دسترسی از راه­ دور هستند، تنها برخی اطلاعات clientless SSL VPN به شکل Stateless باقی می­مانند.

سیسکو ASA ، Stateful Failover را پشتیبانی می­کند، ماژول Cisco ASA FirePOWER به شکل مستقل به ردیابی وضعیت ارتباطات می­پردازد، سیسکو ASA هیچ از اطلاعات مرتبط با پیکربندی و سایر اطلاعات Stateful Failover را هم­گام­ سازی نمی­کند. در زمان تعویض سیسکو ASA، ماژول Cisco ASA FirePOWER ارتباطات موجود را به صورت نامحسوس برای کاربر بازیابی می­کنند، لیکن برخی از تست­ های امنیتی پیشرفته تنها به جریان جدید منتشر شده در سیسکو ASAactive جدید و ماژول­ های آن اعمال می­گردد.

در active/active failover سیسکو ASA در وضعیت Multiple-context کار می­کند؛ در این پیکربندی بار ترافیکی مابین هر دو عضو تقسیم می­شود، هر عضو برای بخشی از بافت امنیتی اطلاعات به عنوان active عمل می­کند. هنگام failover هر دو عضو به طور هم­زمان در حال عبور ترافیک هستند و از منابع سخت­ افزاری خود استفاده می­کنند. شکل زیر حالت active/active failover را نشان می­دهد.

شکل – Active/Active Failover

تفکیک از طریق تعیین یک application context برای یک و یا دو گروه Failover و اعمال هریک از این Failover به هریک از واحدهای active اعمال می­شود. برخلاف حالت active/standby failover که کل ترافیک به یک واحد active انتقال پیدا می­کرد، در این مدل تاثیرات در بافت یک گروه مشخص Failover متمرکز شده است.

در حالت کلی ASA در شرايطي كه به حالتactive/active failover  پیکربندی شده باشد، سه نوع Failover را پشتیبانی می­کند:

  • گروه ۰: گروهی پنهان و غیر قابل پیکربندی است که تنها System context را پوشش می­دهد، معمولا در واحدی که گروه ۱ در آن قرار دارد فعال است.
  • گروه ۱: به صورت پیش­ فرض تمامی context جدید متعلق به این گروه هستند، admin context ملزم به عضویت در این گروه است. به صورت قراردادی واحد اولیه متعلق به این گروه است و شایسته است به همین شکل نگه­داري شود.
  • گروه ۲: از این گروه به منظور اختصاص بخشی از context به واحد active دوم استفاده می­شود؛ گروه اولیه نیز به صورت پیش ­فرض عضو این گروه بوده و ملزم به تغییر مالکیت آن به ASA دوم پس از اختصاص context مي­باشيد. توجه به این نکته لازم است که هر دو واحد هم­زمان مي­بايست به صورت active تنظیم شده باشند تا امکان انتقال context مابین آنها وجود داشته باشد.

در شرايطي که امکان تفکیک ترافیک شبکه به دو گروه مستقل هست، امکان توسعه روش active/active Failover وجود دارد، شایان توجه است به اشتراک­گذاری اینترفیس مابین context متعلق به گروه­های Failover ممکن نیست.

اگرچه active/active failover مزایای به اشتراک­ گذاری بار ترافیکی را دارد، لیکن الزامات آن به شرح زير باید در نظر گرفته شود:

  • می­ بایست امکان تفکیک ترافیک به چند context وجود داشته باشد تا هیچ اینترفیس مابین گروه­های مختلف Failover به اشتراک گذاشته نشود؛ به خاطر داشته باشید تمامی مشخصات در حالت multiple-context پشتیبانی نمی شوند.
  • چنانچه Failover رخ دهد یک ابزار فیزیکی مسئول انتقال کل ترافیکی است، و در اصل برای دو واحد ASA در نظر گرفته شده بود که این مساله تاثیر فواید توزیع بار را کاهش می­دهد.
  • زمانی­که حالت stateful failover رخ می­دهد، ابزار standby جهت برقراری ارتباطات جدید توان بیشتری نیاز دارد و تنها تفاوتی که ایجاد شده است، عدم نياز ابزار standby به پذیرش ترافیک عبوری شبکه است. هنگامی­که stateful دو سویه به همراه active/active failover فعال شود به شکل قابل ملاحظه ظرفیت پردازشی هر یک از اعضا كاهش می ­يابد.

به طور کلی حالت active/standby برای failover ترجیح داده می­شود، در سناریو های توسعه ASA که با توزیع بار همراه است، استفاده از خوشه ­بندی به جای active/active failover استفاده می­شود.

در صورت بروز هر گونه مشکل در ماژول Cisco ASA FirePOWER چه اتفاقی رخ می­دهد؟

در صورت بروز هر گونه مشکل در ماژول می­توان پیکربندی را به شکلی انجام داد که یکی از دو حالت زیر اتفاق بیافتد:

  • Fail open

  • Fail close

زمانی­که ماژول در وضعیت fail open تنظیم شده است، حتی در صورت بروز مشکل در ماژول سیسکو ASA کل ترافیک را عبور می­دهد؛ در مقابل در وضعیت fail close سیسکو ASA کل ترافیک را متوقف می­کند.

فروش فایروال سیسکو , فروش لایسنس فایروال سیسکو , فایروال سیسکو ASA FirePower , فروش لایسنس فایرپاور,فروش لایسنس FirePOWER , لایسنس CUCM , لایسنس Webex , راه اندازی سیتریکس , فروش لایسنس ,سیتریکس , لایسنس Citrix , راه اندازی Splunk , فروش لایسنس Splunk , فروش لایسنس Remote Desktop مایکروسافت , فروش لایسنس Splunk ، راه اندازی سرویس Splunk , فروش لایسنس فورتیگیت ، فروش لایسنس Fortigate , فروش لایسنس cisco , راه اندازی اسپلانک ، راه اندازی Voip Cisco ، راه اندازی Citrix راه اندازی سرویس CRM ، نصب و راه اندازی MIcrosoft CRM

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *