j'ai compris

[Dr.WoW] [No.47] Présentation de la redondance d'UC

publié il y a  2020-4-29 22:41:04 100 0 0 0 0

1 Déploiement sur deux appareils améliorant la disponibilité du réseau

Le développement dynamique du travail mobile, des achats en ligne, de la messagerie instantanée, de la finance sur Internet, de l'éducation en ligne et d'autres services de réseau similaires s'est accompagné d'une augmentation incessante du nombre et de l'importance des services sur les réseaux. Par conséquent, la transmission ininterrompue sur le réseau est devenue un défi nécessitant une résolution urgente.

Sur le côté gauche de la figure 1-1 , un pare-feu a été déployé sur la sortie d'un réseau d'entreprise pour transférer tout le trafic entre l'intranet et un périphérique externe. Si le pare-feu échouait, cela entraînerait la rupture complète du trafic entre l'intranet et le réseau externe. Par conséquent, si un seul appareil est utilisé dans une telle position clé du réseau, nous devons accepter le risque d'une interruption du réseau en raison d'un point de défaillance unique, quelle que soit la fiabilité de l'appareil.

Par conséquent, lorsque nous concevons une architecture réseau, nous déployons généralement deux (double) ou plusieurs appareils dans des positions clés du réseau pour améliorer la fiabilité du réseau. Sur le côté droit de la figure 1-1 , nous pouvons voir que lorsqu'un pare-feu tombe en panne, le trafic sera acheminé via l'autre pare-feu.

Figure 1-1 Déploiement de deux appareils améliorant la fiabilité du réseau


[Dr.WoW] [No.47] Présentation de la redondance d'UC-1038429-1 

2 Seul le basculement de routage doit être pris en compte dans les déploiements à double routeur

Si vous utilisez des périphériques réseau traditionnels (tels que des routeurs ou des commutateurs de couche 3), tout ce qui doit être fait pour garantir un service fiable est de configurer le basculement du routage sur deux périphériques. En effet, les routeurs et commutateurs ordinaires n'enregistrent pas l'état d'échange des paquets et les informations au niveau de l'application, et transfèrent simplement les paquets en fonction de leurs tables de routage. Un exemple est fourni ci-dessous pour illustrer cela.

Comme le montre la figure 1-2 , OSPF s'exécute sur les deux routeurs (R1 et R2) et R3 et R4. Dans des circonstances normales, comme le coût OSPF par défaut de l'interface Ethernet est 1, du point de vue de R3, le coût de la liaison sur laquelle R1 est positionné (R3 -> R1 -> R4 -> serveur FTP) est 3. Et, parce que nous 'ai configuré le coût OSPF à 10 pour les interfaces sur la liaison R2 (R3 -> R2 -> R4 -> serveur FTP), du point de vue de R3, le coût de la liaison sur laquelle R2 est positionné est de 21. Comme le trafic ne sera transmis que via le lien à moindre coût, le trafic entre le client FTP et le serveur ne sera transmis que via R1.

Figure 1-2 Trafic acheminé via la liaison avec le moindre coût de routage


[Dr.WoW] [No.47] Présentation de la redondance d'UC-1038429-2 

Comme OSPF choisira uniquement d'ajouter les itinéraires les plus optimaux à la table de routage, nous ne pouvons voir les itinéraires à un coût relativement faible que dans la table de routage de R3 (ci-dessous). Par conséquent, les paquets vers / depuis le serveur FTP (l'adresse de destination est 1.1.1.0/24) ne peuvent être transférés que via R1 (saut suivant: 10.1.1.2).

[R3] display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 11       Routes : 11      

 

Destination/Mask       Proto   Pre  Cost    Flags NextHop         Interface

 

        1.1.1.0/24  OSPF    10   3           D   10.1.1.2        Ethernet0/0/0

       10.1.1.0/24    Direct  0    0           D   10.1.1.1        Ethernet0/0/0

       10.1.1.1/32    Direct  0    0           D   127.0.0.1       Ethernet0/0/0

       10.1.2.0/24    Direct  0    0           D   10.1.2.1        Ethernet0/0/1

       10.1.2.1/32    Direct  0    0           D   127.0.0.1       Ethernet0/0/1

       10.1.3.0/24    OSPF    10   2           D   10.1.1.2        Ethernet0/0/0

       10.1.4.0/24    OSPF    10   12          D   10.1.1.2        Ethernet0/0/0

      127.0.0.0/8     Direct  0    0           D   127.0.0.1       InLoopBack0

      127.0.0.1/32    Direct  0    0           D   127.0.0.1       InLoopBack0

    192.168.1.0/24    Direct  0    0           D   192.168.1.1     GigabitEthernet0/0/0

    192.168.1.1/32    Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0

                            

 

Comme le montre la figure 1-3 , lorsque R1 échoue, le coût de la liaison sur laquelle R1 est positionné devient infiniment élevé, tandis que pour R3, le coût de la liaison R2 est toujours de 21. À ce stade, les routes du réseau convergent et le trafic sera transmis à R2. Le temps requis pour que le trafic passe de R1 à R2 est le temps de convergence du routage du réseau. Si le temps de convergence du routage est relativement court, les transmissions de trafic ne seront pas interrompues.

Figure 1-3 basculement de routage assurant un service ininterrompu s


[Dr.WoW] [No.47] Présentation de la redondance d'UC-1038429-3 

De la table de routage sur R3 ci-dessous, nous pouvons apprendre que lorsqu'une défaillance se produit sur l'interface Eth0 / 0/1 de R1, les paquets vers / depuis le serveur FTP (l'adresse de destination est 1.1.1.0/24) ne peuvent être transmis que via R2 (suivant hop: 10.1.2.2).

[R3] display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 10       Routes : 10      

 

Destination/Mask       Proto   Pre  Cost    Flags NextHop         Interface

 

1.1.1.0/24      OSPF    10   21          D   10.1.2.2        Ethernet0/0/1

       10.1.1.0/24    Direct  0    0           D   10.1.1.1        Ethernet0/0/0

       10.1.1.1/32    Direct  0    0           D   127.0.0.1       Ethernet0/0/0

       10.1.2.0/24    Direct  0    0           D   10.1.2.1        Ethernet0/0/1

       10.1.2.1/32    Direct  0    0           D   127.0.0.1       Ethernet0/0/1

       10.1.4.0/24    OSPF    10   20          D   10.1.2.2        Ethernet0/0/1

      127.0.0.0/8     Direct  0    0           D   127.0.0.1       InLoopBack0

      127.0.0.1/32    Direct  0    0           D   127.0.0.1       InLoopBack0

    192.168.1.0/24    Direct  0    0           D   192.168.1.1     GigabitEthernet0/0/0

    192.168.1.1/32    Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0

                            

3 Le basculement de session doit également être pris en compte dans les déploiements à double pare-feu

Tout change lorsque nous remplaçons un périphérique réseau traditionnel par un pare-feu d'inspection dynamique. Passons en revue le contenu dont nous avons discuté dans "Mécanisme d'inspection et de session avec état": les pare-feu d'inspection avec état inspectent uniquement le premier paquet d'un flux et établissent une session pour enregistrer les informations avec état des paquets (y compris l'adresse IP source, le port source, l'adresse IP de destination) , port de destination, protocole, etc.). Les paquets suivants de ce flux de données doivent correspondre à une session à transmettre par le pare-feu.

Ci-dessous, nous donnerons un exemple pour illustrer cela - deux pare-feu (FW1 et FW2) sont déployés dans un réseau. OSPF fonctionne sur les deux pare-feu et R1 et R2. Comme indiqué sur le côté gauche de la figure 1-4 , dans des circonstances normales, comme le coût OSPF de la liaison sur laquelle se trouve FW1 est relativement faible, les paquets seront transmis via FW1. Une session sera établie sur FW1, et tous les paquets suivants correspondront à la session et seront transmis.

Le côté droit de la figure 1-4 montre que lorsque FW1 échoue, le trafic sera dirigé vers FW2 en fonction des informations de routage des périphériques en amont et en aval. Cependant, comme il n'y a pas de session sur FW2, les paquets seront rejetés par FW2, entraînant une interruption de service. À ce moment, l'utilisateur doit relancer sa demande d'accès (par exemple en retéléchargeant FTP) et déclencher FW2 pour rétablir une session avant que le service de l'utilisateur puisse continuer.

Figure 1-4 Le basculement de session doit également être pris en compte dans le déploiement de pare-feu double


[Dr.WoW] [No.47] Présentation de la redondance d'UC-1038429-4 

Une session existe sur FW1, comme indiqué ci-dessous:

[FW1] display firewall session table

 Current Total Sessions : 1

 ftp  VPN:public --> public 192.168.1.10:2050-->1.1.1.10:21

Aucune session n'existe sur FW2, comme indiqué ci-dessous:

[FW2] display firewall session table

 Current Total Sessions :0


4 Hot Standby Résolution du problème de basculement de session de pare-feu

Alors, comment pouvons-nous résoudre ce problème en réalisant le basculement de session pour garantir la continuité du service après le basculement actif / veille entre les deux pare-feu? Ici, la fonction de mise en veille à chaud du pare - feu donne un coup de main!

Comme indiqué sur le côté gauche de la figure 1-5 , la caractéristique la plus importante de la fonction de redondance d'UC du pare-feu est de négocier les états actif / de veille et de synchroniser les informations importantes sur l'état et la configuration, y compris les informations de table de session et de table de mappage de serveur, entre les deux pare-feu. via le canal de basculement (lien de pulsation). Une fois la fonction de redondance d'UC activée, l'un des deux pare-feu deviendra le périphérique principal et l'autre le périphérique de sauvegarde en fonction de la configuration de l'administrateur. Le pare-feu qui devient le périphérique principal (FW1) gère le trafic ,et synchronise les informations importantes de statut et de configuration, y compris les informations de session et de table de mappage de serveur avec le périphérique de sauvegarde (FW2) via le lien de pulsation. Le pare-feu qui devient le périphérique de sauvegarde (FW2) ne gère pas le trafic et ne reçoit que les informations d'état et de configuration du périphérique principal (FW1) via le canal de basculement.

Comme indiqué sur le côté droit de la figure 1-5 , lorsque le lien où réside le périphérique principal FW1 échoue, les deux pare-feu utiliseront le canal de basculement pour échanger des paquets et renégocier leurs états actif / veille. À ce stade, FW2 négociera pour devenir le nouveau périphérique principal et gérera le trafic, tandis que FW1 négociera pour devenir le périphérique de sauvegarde et ne gérera pas le trafic. Parallèlement à cela, le trafic de service sera redirigé vers le nouveau périphérique principal (FW2) par les périphériques en amont et en aval. Comme FW2 a déjà été fourni avec les informations de sauvegarde du périphérique principal (telles que les informations de session et de configuration) lorsqu'il a servi de périphérique de sauvegarde, les paquets de service correspondront à la session et seront transmis.

La sauvegarde des informations de routage, de session et de configuration garantit que le périphérique de sauvegarde FW2 remplacera avec succès le périphérique principal d'origine FW1, évitant ainsi une interruption de service.

Figure 1-5 Redondance d'UC assurant la continuité du service


[Dr.WoW] [No.47] Présentation de la redondance d'UC-1038429-5 

Il y a une session sur FW1, comme indiqué ci-dessous:

[FW1]display firewall session table

 

 Current Total Sessions : 1

 ftp  VPN:public --> public 192.168.1.10:2050-->1.1.1.10:21


Il y a également une session sur FW2, comme indiqué ci-dessous:

[FW2]display firewall session table

 

 Current Total Sessions : 1

 ftp  VPN:public --> public 192.168.1.10:2050-->1.1.1.10:21


La méthode présentée ci-dessus est la méthode de basculement actif / veille de la redondance d'UC. Dans les scénarios de basculement actif / veille typiques, le périphérique de sauvegarde ne gère pas le trafic de service et est dans un état inactif. Si vous ne souhaitez pas que l'appareil que vous avez acheté soit inactif, ou s'il y a trop de trafic pour un appareil à gérer, nous pouvons utiliser la méthode de partage de charge de la redondance d'UC.

Comme le montre la figure 1-6 , dans un scénario de partage de charge , les deux pare-feu sont des périphériques principaux et chacun établit des sessions et gère le trafic de service. Dans le même temps, les deux pare-feu servent également de périphériques de sauvegarde l'un pour l'autre et reçoivent mutuellement la session de sauvegarde et les informations de configuration. Comme indiqué sur le côté droit de la figure 1-6 , lorsque l'un de ces pare-feu tombe en panne, l'autre pare-feu gère tout le trafic de service. Comme les informations de session de ces deux pare-feu sont sauvegardées, tous les paquets de service ultérieurs peuvent correspondre à une session sur l'un ou l'autre pare-feu et être transférés, évitant ainsi toute interruption de service.

Figure 1-6 Méthode de partage de charge de la redondance d'UC


[Dr.WoW] [No.47] Présentation de la redondance d'UC-1038429-6 

Il existe des sessions FTP et HTTP sur FW1, comme indiqué ci-dessous:

[FW1]display firewall session table

 

 Current Total Sessions : 2

  ftp  VPN:public --> public 192.168.1.10:2050-->1.1.1.10:21

  http VPN:public --> public 192.168.1.20:2080-->1.1.1.20:80


Il existe également des sessions FTP et HTTP sur FW2, comme indiqué ci-dessous:

[FW2]display firewall session table

 

 Current Total Sessions : 2

  ftp  VPN:public --> public 192.168.1.10:2050-->1.1.1.10:21

  http VPN:public --> public 192.168.1.20:2080-->1.1.1.20:80


5 Résumé

Pour améliorer la fiabilité du réseau et éviter un point de défaillance unique, nous devons déployer deux périphériques réseau sur les nœuds de réseau clés. Si ces périphériques sont des routeurs ou des commutateurs, nous pouvons simplement configurer le basculement de routage. Si ces périphériques sont des pare-feu, nous devons également fournir un basculement pour les informations avec état (telles que la table de session, etc.) entre les pare-feu.

La fonction de redondance d' UC du pare-feu fournit un canal de basculement spécial utilisé pour négocier les états actifs / en veille entre deux pare-feu et pour fournir des informations sur l'état de sauvegarde des sessions, etc. Le basculement actif / veille se réfère uniquement au fait que le périphérique principal gère le trafic, le périphérique de sauvegarde étant inactif; lorsqu'une défaillance se produit sur la ou les interfaces du périphérique principal, sur la liaison ou sur l'ensemble du périphérique, le périphérique de sauvegarde passe au périphérique principal et remplace le périphérique principal dans les services de gestion. Partage de chargepeut également être appelé "complémentaire actif / veille", car il s'agit de deux appareils gérant simultanément des services. Lorsqu'un appareil tombe en panne, l'autre appareil assumera immédiatement ses services, garantissant qu'il n'y a pas d'interruption des services qui étaient initialement transmis via cet appareil.

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.