
سرویس های سیسکو ASA FirePOWER و خوشه بندی آنها
تا حدود ۱۶ ابزار سیسکو ASA مشابه را میتوان در یک خوشه قرار داد تا با هم به عنوان یک سیستم عمل کنند، در این حالت ASA همچنان از مزایای failover بهرهمند است؛ در یک خوشه از آدرسهای IP و MAC مجازی برای افزونگی First-hop استفاده میشود.
کلیه اعضای یک کلاستر ملزم به داشتن تنظیمات سختافزاری، SSP، ماژول های نرمافزاری و کارت رابط یکسانی هستند. شکل زیر سه سیسکو ASA که به صورت یک کلاستر پیکربندی شده اند، را نشان میدهد.
شکل – خوشه بندی سیسکو ASA
در یک خوشه سیسکو ASA تنظیمات به کلیه اعضا انعکاس داده می شود و وضعیت ارتباط ها پس از وقوع هرگونه مشکلی در یکی از اعضا، حفظ می شود.
سیسکو ASA خوشه بندی شده موجب تقارن جریان و دسترس پذیری عالی برای ماژول سیسکو ASA FirePOWER می شود؛ پکت ها و جریان ها توسط ماژول کنار گذاشته نمی شوند لیکن به شکل “drop” و یا “drop with TCP reset” علامت گذاری شده به سیسکو ASA ارسال می شوند؛ این شیوه در صورت لزوم، امکان پاک کردن جدول وضعیت ارتباطات و بازنشانی TCP، را در اختیار سیسکو ASA قرار می دهد.
زمانیکه خوشه بندی پیکربندی شده باشد، توزیع بار stateless از طریق IP روتینگ و یا spanned etherchannel with LACP امکان پذیر می شود، علاوه بر این کلیه اداوات سیسکو ASA هریک به یک اینترفیس منطقی با زیرشبکه یکسان متصل شده اند.
شکل زیر سیسکو ASA خوشه بندی شده از طریق spanned EtherChannel را نشان می دهد.
شکل- خوشهبندی سیسکو ASA
همچنین می توان خوشه بندی را در وضعیت اینترفیس اختصاصی پیکربندی کرد، که این حالت در سیسکو ASA که در وضعیت routed (لایه ۳) پیکربندی شده اند امکان پذیر است. شکل زیر سیسکو ASA خوشه بندی شده در حالت اینترفیس اختصاصی را نشان می دهد.
شکل- خوشه بندی سیسکو ASA
در این حالت مدیر خوشه یک آدرس IP مجازی در اینترفیس Data برای مدیریت خوشه در اختیار دارد، کلیه اعضا آدرس های IP اینترفیس data خود را به ترتیبی که عضو خوشه شده اند از IP address pool دریافت می کنند.
انتخاب اعضای یک خوشه در فایروال سیسکو فایر پاور
زمانی که سیسکو ASA به شکل خوشه پیکربندی می شود یک عضو به عنوان پایه و بقیه سیسکو ASA پیرو خواهند بود، پایه اولین واحدی است که عضو خوشه شده است؛ پایه جدید تنها در صورت بروز هرگونه مشکل در پایه خوشه انتخاب خواهد شد. کلیه توابع و ابزارهای مدیریتی در واحد مدیریت متمرکز شده است و چنین تنظیماتی در واحد های پیرو مسدود شده اند. شکل زیر فرایند انتخاب واحد های پیرو و پایه را نشان می دهد.
شکل- فرایند انتخاب واحد های پیرو و پایه
مراحل زیر در شکلبالا شرح داده شده است:
گام اول: سیسکو ASA با قابلیت خوشه بندی پس از BOOT به جستجوی پایه خوشه می پردازد.
گام دوم: تا ۴۵ ثانیه منتظر پاسخ از پایه خوشه باقی می ماند، چنانچه هیچ پاسخی دریافت نشود فرض اولین ابزاری که به عضویت خوشه درآمده است به عنوان پایه خوشه در نظر گرفته می شود، در نظر گرفته می شود.
گام سوم: اگر پایه خوشه وجود داشته باشد سیسکو ASA نقش پیرو را به عهده می گیرد و تنظیمات و پیکربندی اش را با سیسکو ASA که پایه خوشه است همگام سازی می کند.
گام چهارم: پایه تنها یک واحد را در هر لحظه پذیرش می کند.
گام پنجم: پیرو خوشه آماده انتقال ترافیک خواهد بود.
مالکیت آدرس های IP مجازی بر عهده اتصالات پیرو است و پایه و پیرو خوشه هر دو به شکل منظم اتصالات گذرا را مورد بررسی قرار می دهند. اگر پایه خوشه دچار مشکل شود کلیه اتصالات و ترافیک مدیریتی متمرکز شده در آن دوباره برقرار خواهد شد.
چگونگی برقراری و ردیابی اتصالات در یک خوشه فایروال سیسکو FirePOWER
در این بخش به شرح چگونگی برقراری و ردیابی اتصالات در یک سیسکو ASA که به شکل خوشه
پیکربندی شده است پرداخته می شود.
چگونگی برقرار یک ارتباط TCP جدید در خوشه
شکل زیر به شرح چگونگی برقراری یک ارتباط TCP جدید در یک خوشه می پردازد.
شکل – چگونگی برقراری یک ارتباط TCP جدید در یک خوشه
مراحل نشان داده شده در شکل بالا به شرح زیر است:
گام اول: یک ارتباط TCP جدی از سمت کلاینت دریافت می شود.(TCP SYN)
گام دوم: سیسکو ASA که TCP SYN را دریافت کرده است مالک این جریان شده و آن را به cookie خود اضافه می کند.
گام سوم: سرور از طریق یک واحد دیگر در خوشه پاسخ TCP SYN ACK را ارسال می کند.
گام چهارم: اگر سیسکو ASA دیگری در خوشه پاسخ را دریافت کند پکت را به سمت Flow owner ارسال کرده و خود Flow forwarder آن می شود.
گام پنجم: Flow owner پکت TCP SYN را به کلاینت ارسال می کند.
گام ششم: Flow owner مراحل flow را با اطلاعات ارتباطات به روز رسانی می کند.
چگونگی برقراری و ردیابی یک ارتباط UDP جدید در یک خوشه
شکل زیر چگونگی برقراری و ردیابی ارتباط UDP جدید و یا pseudo-stateful connection در یک خوشه را شرح می دهد.
شکل – برقراری و ردیابی ارتباط UDP جدید
مراحل نشان داده شده در شکلبالا به شرح زیر است:
گام اول: یک ارتباط UDP جدید و یا pseudo-stateful connection از کلاینت دریافت می شود.
گام دوم: سیسکو ASA که استعلام وجود ارتباط را دریافت کرده است به بررسی جریان ارتباطات با میزبان می پردازد.
گام سوم: اگر ارتباط وجود داشته باشد سیسکو ASA که پکت را دریافت کرده است به عنوان flow owner خواهد شد.
گام چهارم: پکت به سرور تحویل داده می شود.
گام پنجم: Flow owner اطلاعات ارتباطات هدایت کننده را به روز رسانی می کند.
گام ششم: سرور به کلاینت پاسخ می دهد. اگر سیسکو ASA دیگری پاسخ را دریافت کند، پکت را به سمت Flow owner ارسال کرده و flow forwarderx آن می شود.
گام هفتم: Flow forwarder در لیست جستجوهای هدایت کننده به جستجوی Flow owner می پردازد.
گام هشتم: هدایت کننده اطلاعات Flow forwarder را از طریق flow owner به روز رسانی می کند.
گام نهم: Flow forwarder به سرور پاسخ می دهد.
گام دهم: سرور پاسخ را به کلاینت تحویل می دهد.
ارتباطات متمرکز شده در خوشه Cisco FIREPOWER
ویژگی های مخلتفی در سیسکو ASA ، مانند مدیریت VPN، بازبینی نرم افزار ها و AAA[3] جهت کنترل دسترسی های شبکه، که در آن ارتباطات بصورت متمرکز است. اگر ارتباطی به شکل متمرکز قابل دسترسی باشد پایه خوشه قادر به کنترل تمامی وظایف آن خواهد بود.
- نکته
پکت هایی با پروتکل های توزیع نشده، به سمت پایه خوشه جهت انجام پردازش ارسال می شوند.
ارتباطات متمرکز شده کارایی کل خوشه را کمتر خواهد کرد زیرا موجب افزایش تعداد نقاط ارسال پکت و زمان پردازش لازم برای اتمام یک عمل خواهد شد.
کلیه ویژگی های با دسترسی متمرکز شده معمولا حاوی Flow که به سمت پایه خوشه ارسال می شود هستند.
شکل زیر نحوه برقراری و ردیابی ارتباطات متمرکز شده را در یک خوشه نشان می دهد.
شکل – برقراری و ردیابی ارتباطات متمرکز شده را در یک خوشه
مراحل نشان داده شده در شکل بالا به شرح زیر است:
گام اول: یک ارتباط جدید از کلاینت دریافت می شود.
گام دوم: سیسکو ASA که ارتباط را دریافت کرده آن را جزو ویژگی های متمرکز شده تشخیص داده و ارتباط را به سمت پایه خوشه هدایت میکند.
گام سوم: پایه خوشه به عنوان flow owner پکت را به سرور ارسال می کند.
گام چهارم: پایه خوشه اطلاعات ارتباطات هدایت کننده را به روز رسانی می کند.
در صورت بروز هرگونه مشکلی در Flow owner چه اتفاقی می افتد
خوشه بندی سیسکو ASA دسترس پذیری و افزونگی شایان توجهی را فراهم می آورد. شکل زیر به شرح رویدادهایی که در صورت بروز هرگونه مشکلی در Flow owner چه اتفاقی می افتد، می پردازد.
شکل ۲۶-۲ رویدادهایی که در صورت بروز هرگونه مشکلی در Flow owner اتفاق می افتد.
مراحل نشان داده شده در شکل بالا به شرح زیر است:
گام اول: ارتباط میان کلاینت و سرور برقرار است.
گام دوم: flow owner دچار اختلال می شود این اختلال می تواند به علت مشکل تامین توان مصرفی، سخت افزار و یا هرگونه توقفی در سیستم رخ دهد.
گام سوم: کلاینت پکت بعدی را ارسال می کند و یکی از اعضای خوشه پکت را دریافت می کند.
گام چهارم: سیسکو ASA که پکت را دریافت می کند از هدایت کننده مسیر را استعلام می کند.
گام پنجم: هدایت کننده اختلال در جریان اصلی را تشخیص داده و Flow owner جدیدی را تعیین می کند.
گام ششم: پکت به سرور تحویل داده می شود.
گام هفتم: Flow owner جدید اطلاعات هدایت کننده را به روز رسانی می کند.