В данном разделе будет рассмотрена организация отказоустойчивого кластера, состоящего из двух брокеров сетевых пакетов DS Integrity-100NG, для совместной работы с межсетевыми экранами UserGate D500.
Тестовый стенд:
-
Брокер сетевых пакетов DS Integrity-100NG – 2 шт.
-
Межсетевой экран UserGate D500 – 3 шт.
-
Генератор трафика Spirent N12U – 1 шт.
-
Маршрутизатор – 2 шт.
Маршрутизаторы Router 1 и Router 2 позволяют организовать работу отказоустойчивого кластера брокера сетевых пакетов DS Integrity-100NG.
Настройка DS Integrity-100NG.
Дополнительно к настройкам брокера сетевых пакетов, представленных в разделе Балансировка трафика на межсетевые экраны UserGate с помощью брокера сетевых пакетов DS Integrity:
-
В случае применения OSPF: с помощью фильтров настроить зеркалирование пакетов многоадресной (multicast) рассылки протокола OSPF между портами маршрутизаторов и UserGate (на рисунке ниже представлена общая настройка; могут быть выполнены более специфичные настройки).
-
В случае применения BGP: с помощью фильтров настроить пересылку одноадресных (unicast) пакетов на IP-адрес конкретного интерфейса UserGate.
В данной конфигурации:
-
50.0.0.11, 50.0.0.12, 50.0.0.13 – IPv4-адреса интерфейсов UserGate в направлении маршрутизатора Router 1;
-
60.0.0.11, 60.0.0.12, 60.0.0.13 – IPv4-адреса интерфейсов UserGate в направлении маршрутизатора Router 2.
Настройка маршрутизаторов.
-
На Router 1 и Router 2 настроить динамическую маршрутизацию OSPF и/или BGP.
-
Назначить порту 1 маршрутизаторов Router 1 и Router 2 высокий приоритет, порту 2 – низкий.
Настройка UserGate D500.
-
Назначить разные IP-адреса интерфейсам, подключённым к брокерам сетевых пакетов DS Integrity-100NG в направлении маршрутизаторов Router1 и Router2.
-
Настроить динамическую маршрутизацию OSPF и/или BGP.
В настройках интерфейсов OSPF:
-
Укажите значение приоритета, равное 0, чтобы назначенным маршрутизатором (Designated Router, DR) всегда был Router1 или Router2.
-
Назначьте интерфейсам разных узлов разную стоимость канала, чтобы в таблицу маршрутизации Router1/Router2 попадал только один маршрут:
При использовании BGP:
-
Для проверки необходимо иметь возможность установления TCP-сессии с конкретным узлом UserGate, поэтому на каждый интерфейс UserGate, подключённый к брокеру сетевых пакетов DS Integrity-100NG, должны быть назначены два IP-адреса:
-
первый адрес – уникальный для установления BGP-соседства с маршрутизаторами Router1/Router2;
-
второй адрес – одинаковый на всех узлах; данный адрес будет передаваться как next-hop на маршрутизаторы Router1/Router2.
-
-
Настроить BGP-соседство с маршрутизаторами Router1/Router2.
-
Настроить Routemaps, указав в качестве next-hop второй IP-адрес, одинаковый для всех интерфейсов:
-
Произвести настройку сетей и фильтров.
В результате представленных выше настроек направление трафика через один из брокеров сетевых пакетов регулируется заданием весов маршрутов (в случае использования BGP) или стоимости интерфейсов (при использовании OSPF) для разных узлов UserGate и, дополнительно, для интерфейсов, подключённых к одному из брокеров сетевых пакетов.
Маршрутизаторы Router 1 и Router 2 в соответствии с указанным приоритетом после подачи перенаправляют трафик на брокер сетевых пакетов DS Intergrity-100NG 1. Далее трафик поступает на устройства UserGate D500 и возвращается обратно на Spirent N12U после прохождения через них.
В случае сбоя в работе брокера сетевых пакетов DS Intergrity-100NG 1, то маршрутизаторы должны отправлять трафик на брокер сетевых пакетов DS Intergrity-100NG 2. Далее трафик поступает на устройства UserGate D500 и возвращается обратно на Spirent N12U после прохождения через них.
Объёмы трафика, отправленного и принятого после прохождения через устройства UserGate, при условии отсутствия фильтрации, должны совпадать. При выходе из строя одного из брокеров сетевых пакетов DS Integrity-100NG трафик поступает на рабочий.