NameCheap-Hosting

استفد من الخصومات على خدمات الاستضافة بمختلف انواعها

VPS hosting: up to 30% off!

الاثنين، 24 فبراير 2014

عمل الاعدادات الخاصة بالتوافرية في أجهزة Cisco ASA




التوافرية العالية (High Availabity) في أجهزة Cisco ASA
تنتج سيسكو أجهزة جدار ناري (Firewall) تسمى ASA وهي اختصار (Adaptive Security Appliance)، يمكن ان تعمل عدة أجهزة معا لتحقق توافرية عالية (high availability). لكي تعمل خصائص التوافرية على أجهزة الجدار الناري ASA يجب ان تتطابق الأجهزة في مواصفاتها وامكانياتها ومنافذ (interfaces) الأجهزة.
يمكن أن تطبق التوافرية بواحدة من النظامين التاليين:
* Active-standby: في هذا النظام يكون أحد الجهازين هو النشط (active) أي العامل والآخر يكون بحالة استعداد (standby). في حال تعطل الجهاز النشط بشكل كامل او بشكل جزئي يتحول الجهاز الآخر من حالة الاستعداد للعمل لحالة النشاط ويصبح هو العامل.
* Active-active: يكون الجهازين في حالة نشاط، لكن يقسم الجهاز (device) الواحد وهميا (virtually) لجزئين يسمى كل جزء (context). ويعمل كل جزء على حدى ويكون الجزء الأول (context 1) من الجهاز الأول (device 1) في حالة نشاط على مجموعة المجموعة الأولى والجزء الأول (context 1) من الجهاز الثاني (device 2) في حال استعداد، بينما يكون الجهاز الأول في حالة استعداد للجزء الثاني (context 2) والجهاز الثاني هو الذي في حالة النشاط للجزء الثاني (context 2).
في حال وجود عطل في الجهاز النشط فإن الجهاز الآخر ينتقل لحالة النشاط ويقوم بتأدية المهام كاملة وتسمى عملية الانتقال (failover)، وعند عودة الجهاز المعطل للعمل بشكل سليم فإنه يبقى في حالة الاستعداد (standby) لحين تعطل الجهاز النشط (active) الحالي. يمكن تغيير هذا المبدأ باضافة الأمر (preempt) عند عمل الاعدادات (configuration)على الأجهزة، بحيث يعود الجهاز المعطل لحالة النشاط عند بعد تعافيه.
يجب أن نفرق بين حالة الجهاز العاملة بحيث تكون إما في حالة نشاط (active) أو في حالة استعداد (standby)، وبين دور الجهاز بحيث يكون هو الجهاز الأساسي (primary) او يكون دوره الجهاز الثانوي (primary). فقد يكون الجهاز الثانوي هو الجهاز النشط والجهاز الأساسي في حالة استعداد. 

يتم عمل الاعدادات (configuration) كاملة على جهاز واحد فقط دورن الحاجة لتكرارها على الجهاز الآخر. عند تنصيب الجهازين يتم تحديد الجهاز الرئيسي والجهاز الثانوي بحيث يتم عمل الاعدادات بداية على الجهاز الرئيسي ثم يتم نسخ الاعدادات للجهاز الثانوي. ولاحقا تصبح الاعدادات فاعلة على الجهاز النشط فقط.
يجب أن يكون هناك منفذ في كل جهاز مخصص من أجل تحقيق التوافرية ويسمى (failover interface)، بحيث يوفر وسيلة اتصال بين الجهازين لتبادل الرسائل المتعلقة بمراقبة عمل الجهازين واكتشاف الاعطال والتحقق منه، وكذلك ولنسخ الاعدادات من الجهاز النشط للطرف الآخر. وتكون عملية النسخ آلية في حال اجراء تعديل على الاعدادات تنتقل الاعدادات من الجهاز النشط للطرف الآخر عن طريق منفذ (failover)، ويمكن عمل نسخ يدوي عن طريق الأمر (write standby).
عند حدوث الانتقال (failover) بين الطرفين نتيجة تعطل الجهاز النشط او تعطل جزء منه، تحتاج هذه العملية لوقت لكي يأخذ الجهاز النشط الجديد كامل المهام وهذا يعني الغاء (active sessions and translations) التي كانت عاملة على جهاز ASA النشط قبل تعطله. وبالتالي فإنه الأجهزة الطرفية التي كانت ترسل بيانات بحاجة لاعادة ارسال البيانات مرة أخرى، تسمى عملية الانتقال هذه (stateless failover). ولتفادي ذلك بحيث تتم عملية الانتقال دون حدوث قطع في نقل البيانات اي تكون عملية الانتقال غير ملموسة من قبل الأجهزة الطرفية للشبكة أي (stateful failover)، هنا يلزم وجود منفذ مخصص لنقل المعلومات المتعلقة بكل (active sessions and translations) للجهاز النشط الجديد وايضا باقي الجداول اللازمة لعمل جهاز الجدار الناري ويسمى المنفذ (stateful failover link). ويمكن أن يكون منفذ (failover) هو نفسه منفذ (stateful failover).
يقوم كل جهاز بارسال (hello packet) عبر منفذ (failover) كل ثانية وتكون مدة الانتظار للحكم على وجود عطل (15) ثانية والمعروفة ب (hold timer) ويمكن تغيير هذه الفترات. والجدير بالذكر أن كل جهاز يقوم بمراقبة سلامة عمل المنافذ (interfaces) للطرف الآخر، وتكون المراقبة بشكل دوري حيث يتم التحقق من عمل منافذ الطرف الآخر كل (5) ثواني وتسمى (poll timer) وتكون مدة (hold timer) للمنافذ التي تحت المراقبة هي (25) ثانية.
اعدادات الجهاز الأساسي:
hostname(config)# failover lan unit primary
hostname(config)# failover lan interface folink GigabitEthernet0/3
hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
hostname(config)# failover link statelink GigabitEthernet0/2
hostname(config)# failover interface ip statelink 172.27.58.1 255.255.255.0 standby 172.27.58.2
hostname(config)# failover
 اعدادات الجهاز الثانوي:
hostname(config)# failover lan unit secondary
hostname(config)# failover lan interface folink GigabitEthernet0/3
hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2


Labels:

ليست هناك تعليقات:

إرسال تعليق

الاشتراك في: تعليقات الرسالة (Atom)