Настройка отказоустойчивого кластера

Кластер – это логическое и физическое объединение нескольких объектов со схожими функциями в одну группу с целью повышения эффективности.

В случае объединения двух ARMA FW в каждый момент времени только одно устройство ARMA FW в кластере обрабатывает весь трафик, такое устройство считается ведущим. Подчинённые, резервные устройства постоянно синхронизируют своё состояние с ведущим устройством. В случае выхода из строя ведущего устройства его подменяет одно из резервных устройств, которое само становится ведущим и начинает обрабатывать трафик. В случае если «старое» ведущее устройство вновь переходит в рабочее состояние, то текущее ведущее устройство возвращается в статус подчинённого резервного устройства.

Примечание

Для корректной работы отказоустойчивого кластера, версии ведущего и резервного ARMA FW должны быть идентичными.

Для настройки работы ARMA FW в режиме отказоустойчивого кластера используется схема, представленная на рисунке (см. Рисунок – Схема стенда для настройки режима отказоустойчивого кластера). Оба ARMA FW подключены к одним и тем же коммутаторам для обеспечения работы в режиме отказоустойчивого кластера, а также между собой ARMA FW соединены сетевым кабелем для обеспечения передачи состояния устройств.

../../../_images/fw.rp.4.1.png

Рисунок – Схема стенда для настройки режима отказоустойчивого кластера

Примечание

Для корректной работы СОВ с пакетами промышленных протоколов на ARMA FW, настроенных в режиме отказоустойчивого кластера, необходимо перейти в подраздел администрирования СОВ («Обнаружение вторжений» - «Администрирование»), на вкладке «Настройки» включить переключатель «расширенный режим» и установить флажок для параметра «Режим midstream».

Для корректной работы СОВ на ARMA FW, настроенных в режиме отказоустойчивого кластера, необходимо предварительно загрузить правила и выполнить настройку СОВ на каждом ARMA FW, входящем в состав кластера.

Примечание

При настройке ARMA FW в режиме отказоустойчивого кластера и использовании агрегации каналов необходимо перейти в подраздел параметров ARMA FW («Система» - «Настройки» - «Параметры»). Убедиться, что для параметров «net.inet.carp.senderr_demotion_factor» и «net.pfsync.carp_demotion_factor» установлены значения «0».

Примечание

В случае необходимости использования VLAN на ARMA FW, настроенных в режиме отказоустойчивого кластера, требуется предварительно создать и настроить идентично именованные VLAN-интерфейсы на каждом ARMA FW, входящем в состав кластера.

Настройка и проверка работы ARMA FW в режиме отказоустойчивого кластера состоит из следующих этапов:

  1. Добавить на ведущем устройстве виртуальные IP-адреса для сегментов сети.

  2. Настроить режим отказоустойчивого кластера на резервном устройстве.

  3. Настроить режим отказоустойчивого кластера на ведущем устройстве.

  4. Настроить перезапуск службы «Suricata» на ведущем устройстве (см. Настройка перезапуска службы «Suricata» на ведущем устройстве отказоустойчивого кластера).

  5. Выполнить проверку корректной работы устройств.

В примере у каждого экземпляра ARMA FW используются три сетевых интерфейса: «LAN», «WAN» и «PFSYNC». Каждый из интерфейсов имеет базовые настройки. В случае использования ВМ необходимо в настройках гипервизора включить режим «Promiscuous mode» на виртуальных сетевых интерфейсах для корректной работы кластера.

Сетевым интерфейсам необходимо назначить IP-адреса, указанные в таблице (см. Таблица «IP-адреса для интерфейсов МЭ»). Настройка IP-адресов производится в разделе «Интерфейсы» (см. Настройка сетевых интерфейсов).

Таблица «IP-адреса для интерфейсов МЭ»

Интерфейс

Ведущий ARMA FW

Резервный ARMA FW

LAN

192.168.1.1/24

192.168.1.2/24

WAN

192.168.2.1/24

192.168.2.2/24

PFSYNC

10.0.0.1/24

10.0.0.2/24

Настройка устройств кластера

Добавление виртуальных IP-адресов на ведущем устройстве

Для добавления IP-адресов на ведущем устройстве необходимо выполнить следующие действия:

  1. Перейти в подраздел настроек виртуальных адресов («Межсетевой экран» - «Виртуальные IP-адреса» - «Настройки») и нажать кнопку «+Добавить».

  2. В открывшейся форме (см. Рисунок – Форма создания виртуального IP-адреса) указать параметры IP-адреса для LAN-интерфейса и нажать кнопку «Сохранить».

  3. Нажать кнопку «+Добавить», указать параметры IP-адреса для WAN-интерфейса, нажать кнопку «Сохранить» и кнопку «Применить изменения». Данные для IP-адресов указаны в таблице (см. Таблица «Параметры виртуальных IP-адресов»).

Примечание

В случае, когда ARMA FW используется в сети в качестве шлюза по умолчанию, необходимо изменить для клиентов шлюз по умолчанию на созданный виртуальный IP-адрес.

../../../_images/fw.rp.4.1.1.1.png

Рисунок – Форма создания виртуального IP-адреса

Таблица «Параметры виртуальных IP-адресов»

Параметр

Значение для IP-адреса для LAN-интерфейса

Значение для IP-адреса для WAN-интерфейса

Режим

CARP

CARP

Интерфейс

LAN

WAN

Адрес

192.168.1.254/24

192.168.2.254/24

[1] Пароль

1234

1234

[2] Группа VHID

1

2

Описание

Виртуальный IP-адрес на LAN стороне

Виртуальный IP-адрес на WAN стороне

Порядок настройки резервного устройства

Для настройки режима работы ARMA FW в режиме отказоустойчивого кластера на резервном устройстве необходимо выполнить следующие действия:

  1. Перейти в подраздел настроек синхронизации состояния («Система» - «Высокий уровень доступности» - «Настройки») и включить синхронизацию состояния, установив флажок в параметре «Синхронизировать состояния» (см. Рисунок – Настройка синхронизации).

../../../_images/fw.rp.4.1.2.1.png

Рисунок – Настройка синхронизации

  1. Указать интерфейс синхронизации – «PFSYNC».

  2. Указать данные резервного устройства:

  • «IP-адрес удаленного узла» – «10.0.0.1»;

  • «Имя пользователя удаленной системы» – «root», значение по умолчанию;

  • «Пароль удаленной системы» – «root», значение по умолчанию.

  1. Нажать кнопку «Сохранить».

Порядок настройки ведущего устройства

Для настройки режима работы ARMA FW в режиме отказоустойчивого кластера на ведущем устройстве необходимо выполнить следующие действия:

  1. Перейти в подраздел настроек синхронизации состояния («Система» - «Высокий уровень доступности» - «Настройки») и включить синхронизацию состояния, установив флажок в параметре «Синхронизировать состояния» (см. Рисунок – Настройка синхронизации).

  2. Указать интерфейс синхронизации – «PFSYNC» и установить флажок в параметре «Это ведущее устройство».

  3. Указать данные резервного устройства:

  • «IP-адрес удаленного узла» – «10.0.0.2»;

  • «Имя пользователя удаленной системы» – «root», значение по умолчанию;

  • «Пароль удаленной системы» – «root», значение по умолчанию.

  1. Нажать кнопку «Сохранить».

После применения изменений в подразделе настроек виртуальных адресов на резервном устройстве («Межсетевой экран» - «Виртуальные IP-адреса» - «Настройки») появятся виртуальные IP-адреса, созданные на ведущем устройстве (см. Рисунок – Синхронизированные виртуальные IP-адреса).

../../../_images/fw.rp.4.1.3.1.png

Рисунок – Синхронизированные виртуальные IP-адреса

Примечание

В случае необходимости переключения шлюза по умолчанию, следует в подразделе общих настроек ведущего ARMA FW («Система» - «Настройки» - «Общие настройки») установить флажок напротив параметра «Переключение шлюзов».

Проверка работы отказоустойчивого кластера

Статус работы кластера отображается в подразделе статуса виртуальных IP-адресов («Межсетевой экран» - «Виртуальные IP-адреса» - «Статус») (см. Рисунок – Статус работы кластера на ведущем устройстве и Рисунок – Статус работы кластера на резервном устройстве).

../../../_images/fw.rp.4.2.1.png

Рисунок – Статус работы кластера на ведущем устройстве

../../../_images/fw.rp.4.2.2.png

Рисунок – Статус работы кластера на резервном устройстве

Проверка режима отказоустойчивого кластера считается успешно пройденной, когда после выключения ведущего устройства, значение статуса работы кластера резервного устройства изменится с «РЕЗЕРВНЫЙ» на «ВЕДУЩЕЕ УСТРОЙСТВО».

При переключении устройства возможен обрыв соединения продолжительностью примерно одна секунда.

Примечание

В случае отключения интерфейса ведущего устройства путём снятия флажка в параметре «Включен» подраздела настройки интерфейса («Интерфейсы» - «[Название интерфейса]») (например, «[WAN]») переключение устройств не произойдёт.

Синхронизация состояний

ARMA FW поддерживает возможность синхронизации состояний.

Настройка синхронизации состояний ARMA FW выполняется аналогично настройке ARMA FW в составе отказоустойчивого кластера, учитывая следующие особенности:

  • не требуется настройка виртуальных IP-адресов;

  • в подразделе настроек синхронизации состояния («Система» - «Высокий уровень доступности» - «Настройки») следует оставить пустыми поля для параметров «IP-адрес удаленного узла», «Имя пользователя удаленной системы», «Пароль удаленной системы»;

  • не требуется перезапуск службы «Suricata» на ведущем устройстве.

Проверка синхронизации состояний

Для проверки необходимо на резервном ARMA FW перейти в подраздел снимка состояний («Межсетевой экран» - «Диагностика» - «Снимок состояний») и убедиться в наличии синхронизации сессии ПК «Server» с ведущим ARMA FW (см. Рисунок – Снимок состояний).

../../../_images/fw.rp.4.3.1.1.png

Рисунок – Снимок состояний