NameCheap-Hosting

استفد من الخصومات على خدمات الاستضافة بمختلف انواعها

VPS hosting: up to 30% off!

الاثنين، 24 فبراير 2014

عمل الاعدادات الخاصة بالتوافرية في أجهزة Cisco ASA




التوافرية العالية (High Availabity) في أجهزة Cisco ASA
تنتج سيسكو أجهزة جدار ناري (Firewall) تسمى ASA وهي اختصار (Adaptive Security Appliance)، يمكن ان تعمل عدة أجهزة معا لتحقق توافرية عالية (high availability). لكي تعمل خصائص التوافرية على أجهزة الجدار الناري ASA يجب ان تتطابق الأجهزة في مواصفاتها وامكانياتها ومنافذ (interfaces) الأجهزة.
يمكن أن تطبق التوافرية بواحدة من النظامين التاليين:
* Active-standby: في هذا النظام يكون أحد الجهازين هو النشط (active) أي العامل والآخر يكون بحالة استعداد (standby). في حال تعطل الجهاز النشط بشكل كامل او بشكل جزئي يتحول الجهاز الآخر من حالة الاستعداد للعمل لحالة النشاط ويصبح هو العامل.
* Active-active: يكون الجهازين في حالة نشاط، لكن يقسم الجهاز (device) الواحد وهميا (virtually) لجزئين يسمى كل جزء (context). ويعمل كل جزء على حدى ويكون الجزء الأول (context 1) من الجهاز الأول (device 1) في حالة نشاط على مجموعة المجموعة الأولى والجزء الأول (context 1) من الجهاز الثاني (device 2) في حال استعداد، بينما يكون الجهاز الأول في حالة استعداد للجزء الثاني (context 2) والجهاز الثاني هو الذي في حالة النشاط للجزء الثاني (context 2).
في حال وجود عطل في الجهاز النشط فإن الجهاز الآخر ينتقل لحالة النشاط ويقوم بتأدية المهام كاملة وتسمى عملية الانتقال (failover)، وعند عودة الجهاز المعطل للعمل بشكل سليم فإنه يبقى في حالة الاستعداد (standby) لحين تعطل الجهاز النشط (active) الحالي. يمكن تغيير هذا المبدأ باضافة الأمر (preempt) عند عمل الاعدادات (configuration)على الأجهزة، بحيث يعود الجهاز المعطل لحالة النشاط عند بعد تعافيه.
يجب أن نفرق بين حالة الجهاز العاملة بحيث تكون إما في حالة نشاط (active) أو في حالة استعداد (standby)، وبين دور الجهاز بحيث يكون هو الجهاز الأساسي (primary) او يكون دوره الجهاز الثانوي (primary). فقد يكون الجهاز الثانوي هو الجهاز النشط والجهاز الأساسي في حالة استعداد. 

يتم عمل الاعدادات (configuration) كاملة على جهاز واحد فقط دورن الحاجة لتكرارها على الجهاز الآخر. عند تنصيب الجهازين يتم تحديد الجهاز الرئيسي والجهاز الثانوي بحيث يتم عمل الاعدادات بداية على الجهاز الرئيسي ثم يتم نسخ الاعدادات للجهاز الثانوي. ولاحقا تصبح الاعدادات فاعلة على الجهاز النشط فقط.
يجب أن يكون هناك منفذ في كل جهاز مخصص من أجل تحقيق التوافرية ويسمى (failover interface)، بحيث يوفر وسيلة اتصال بين الجهازين لتبادل الرسائل المتعلقة بمراقبة عمل الجهازين واكتشاف الاعطال والتحقق منه، وكذلك ولنسخ الاعدادات من الجهاز النشط للطرف الآخر. وتكون عملية النسخ آلية في حال اجراء تعديل على الاعدادات تنتقل الاعدادات من الجهاز النشط للطرف الآخر عن طريق منفذ (failover)، ويمكن عمل نسخ يدوي عن طريق الأمر (write standby).
عند حدوث الانتقال (failover) بين الطرفين نتيجة تعطل الجهاز النشط او تعطل جزء منه، تحتاج هذه العملية لوقت لكي يأخذ الجهاز النشط الجديد كامل المهام وهذا يعني الغاء (active sessions and translations) التي كانت عاملة على جهاز ASA النشط قبل تعطله. وبالتالي فإنه الأجهزة الطرفية التي كانت ترسل بيانات بحاجة لاعادة ارسال البيانات مرة أخرى، تسمى عملية الانتقال هذه (stateless failover). ولتفادي ذلك بحيث تتم عملية الانتقال دون حدوث قطع في نقل البيانات اي تكون عملية الانتقال غير ملموسة من قبل الأجهزة الطرفية للشبكة أي (stateful failover)، هنا يلزم وجود منفذ مخصص لنقل المعلومات المتعلقة بكل (active sessions and translations) للجهاز النشط الجديد وايضا باقي الجداول اللازمة لعمل جهاز الجدار الناري ويسمى المنفذ (stateful failover link). ويمكن أن يكون منفذ (failover) هو نفسه منفذ (stateful failover).
يقوم كل جهاز بارسال (hello packet) عبر منفذ (failover) كل ثانية وتكون مدة الانتظار للحكم على وجود عطل (15) ثانية والمعروفة ب (hold timer) ويمكن تغيير هذه الفترات. والجدير بالذكر أن كل جهاز يقوم بمراقبة سلامة عمل المنافذ (interfaces) للطرف الآخر، وتكون المراقبة بشكل دوري حيث يتم التحقق من عمل منافذ الطرف الآخر كل (5) ثواني وتسمى (poll timer) وتكون مدة (hold timer) للمنافذ التي تحت المراقبة هي (25) ثانية.
اعدادات الجهاز الأساسي:
hostname(config)# failover lan unit primary
hostname(config)# failover lan interface folink GigabitEthernet0/3
hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
hostname(config)# failover link statelink GigabitEthernet0/2
hostname(config)# failover interface ip statelink 172.27.58.1 255.255.255.0 standby 172.27.58.2
hostname(config)# failover
 اعدادات الجهاز الثانوي:
hostname(config)# failover lan unit secondary
hostname(config)# failover lan interface folink GigabitEthernet0/3
hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2


ليست هناك تعليقات:
Labels:

السبت، 8 فبراير 2014

اداة تحليل البيانات NetFlow

اداة تحليل البيانات NetFlow
تمكن هذه الاداة من تحليل نوع البيانات المتنقلة عبر أجهزة الشبكة، لتتيح لمدير الشبكة (network administrator) امكانية معرفة توزيع أنواع البيانات والبروتوكولات التي تنتقل بين أطراف الشبكة، وايضا امكانية التعرف على الأخطار التي تتعرض لها الشبكة ومعرفة مصادرها وأنواعها، بالاضافة للقدرة على تتبع تدفق البيانات لبروتوكول معين من بروتوكولات TCP/IP.
من الفوائد المهمة لاستخدام هذه الاداة معرفة اسباب وجود بطء بالشبكة ومعرفة البروتوكولات المتسببة في نقاط الازدحام (Bottleneck)، هذا بالاضافة لبناء تصور للحاجة لاعادة تصميم الشبكة (network redesign) والتخطيط المستقبلي للشبكة (network planning) اعتمادا على حجم البيانات لكل نوع من أنواع البروتوكولات التي توفرها أداة (NetFlow).

عند تشغيل هذه الأداة على أجهزة الشبكة (Layer 3 devices)، يقوم الجهاز بمراقبة البيانات المارة منه وجمع المعلومات الاحصائية لكل مسار (session) من مسارات تدفق البيانات. بحيث باحصاء حجم البيانات لكل مسار ومن ثم ارسال المعلومات الاحصائية الخاصة بكل مسار لجهاز خادم يقوم بتخزين المعلومات المرسلة من جهاز الشبكة. يقوم جهاز الشبكة بافراد كل مسار على حدى، أذ أن المسار الواحد يتصف بوجود نفس الخصائص المتعلقة بالمتغيرات التالية:
  • عنوان المصدر (Source IP address)
  • عنوان المقصد (Destination IP address)
  • رقم المنفذ جهة المصدر (Source port number)
  • رقم المنفذ جهة المقصد (Destination port number)
  • نوع البروتوكول (Layer 3 protocol type)
  • قيمة (Type of Service)
ففي حال تشابهت هذه القيم جميعها على البيانات المنتقلة عبر جهاز الشبكة فإنها تتبع لنفس المسار (session)، وفي حال اختلاف احداها فهذا يعني اختلاف المسار.
تشغيل NetFlow على الراوتر
لتشغيل أداة (NetFlow) على الراوتر يتم من خلال:
  • تحديد الاعدادات المتعلقة بجهاز الخادم الخاص بتجميع المعلومات الاحصائية (NetFlow Collector) من حيث العنوان (IP address) ورقم المنفذ (port number)      :
R1(config)# ip flow-export destination 10.1.10.100 99
  • تحديد رقم النسخة (version number):
R1(config)# ip flow-export version 9
  •  تحديد مدخل جهاز الشبكة (interface number) بحيث يستخدم (interface IP address) ليكون عنوان المصدر (source IP address) للبيانات المرسلة لجهاز الخادم:
R1(config)# ip flow-export source loopback 0
  • تفعيل هذه الأداة على مدخل او مداخل جهاز الشبكة لتتم مراقبة البيانات المارة عبر هذه المداخل وجمع الاحصاءات لمسارات البيانات:
R1(config)# interface fastethernet0/0
R1(config-if)# ip flow ingress
R1(config-if)# ip flow egress

ليست هناك تعليقات:
Labels:
الاشتراك في: الرسائل (Atom)