Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
В статье описана настройка кластеризации Active/Active.
В Ideco NGFW реализована кластеризации Active/Passive. Повысить отказоустойчивость можно, создав кластер Active/Active. Для этого воспользуйтесь решением наших партнеров АО "НПП "Цифровые решения" - брокером сетевых пакетов DS Integrity NG.
Расположите брокер сетевых пакетов перед Ideco NGFW. Брокер будет самостоятельно балансировать трафик устройств в локальной сети между нодами созданного кластера. При падении одной ноды трафик перебалансируется между остальными Ideco NGFW без перерыва в связи. Это реализует схему кластера Active/Active.
Объединять в кластер устройства Ideco NGFW между собой не нужно. Для корректной работы нод установите одинаковые настройки.
Для централизованного управления нодами Ideco NGFW воспользуйтесь Ideco Center.
Особенности использования схемы:
Настройки, которые нельзя распространить через центральную консоль, придется вручную изменять на каждом Ideco NGFW;
Почта будет доступна для работы только в режиме почтового релея. Хранение почтовых ящиков отключено;
Данные отчетности, логов и мониторинга не синхронизируются между нодами. В каждой ноде хранятся свои данные;
Восстановление из резервной копии и обновление системы будет затрагивать только одну ноду. Каждую ноду потребуется обновлять отдельно;
Между локальной сетью и брокером сетевых пакетов потребуется расположить роутер с настроенной динамической маршрутизацией (OSPF) для обмена маршрутами;
На каждую ноду Ideco NGFW потребуется отдельная лицензия. По вопросам условий лицензирования при использовании такой конфигурации обратитесь к менеджерам.
Примеры трех типовых схем совместного использования брокера сетевых пакетов DS Integrity NG и Ideco NGFW ниже. На этой основе встройте оба решения в свою сеть.
На каждом Ideco NGFW для обмена маршрутами необходимо настроить OSPF для всех локальных интерфейсов. Название зоны и вес должны быть идентичными настроенным ранее на роутере. Подробнее о настройке OSPF можно прочитать в соответствующей статье. Там же находятся инструкции для настройки OSPF для MikroTik, который можно использовать в качестве роутера.
По вопросам настройки брокера обращайтесь в техническую поддержку АО "НПП "Цифровые решения".
Пример 1 - Два брокера, по одному со стороны локальной и внешней сетей
Настройка Ideco NGFW:
На каждом устройстве Ideco NGFW необходимо выполнить первоначальную настройку локального и внешнего интерфейсов.
Брокер сетевых пакетов не имеет собственного IP-адреса. Поэтому для устройств в локальной сети шлюзом нужно указать IP-адрес любого из имеющихся Ideco NGFW.
На каждом Ideco NGFW в качестве шлюза внешнего интерфейса нужно использовать IP-адрес, полученный от провайдера.
Пример 2 - Основной и резервный брокеры, расположенные перед Ideco NGFW
Настройка Ideco NGFW
На каждом устройстве Ideco NGFW необходимо выполнить первоначальную настройку локального и внешнего интерфейсов.
Брокер сетевых пакетов не имеет собственного IP-адреса. Поэтому:
Для устройств в локальной сети шлюзом нужно указать IP-адрес любого из имеющихся Ideco NGFW;
На каждом NGFW будет два локальных и два внешних интерфейса. Шлюзом внешних интерфейсов нужно указать IP-адрес, полученный от провайдера.
На Ideco NGFW в этой конфигурации в разделе Балансировка и резервирование должен быть активирован режим резервирования. Приоритетным внешним интерфейсом должен быть выбран тот, который идет к основному брокеру сетевых пакетов.
Пример 3 - Один брокер, расположенный перед Ideco NGFW
Настройка Ideco NGFW
На каждом устройстве Ideco NGFW необходимо выполнить первоначальную настройку локального и внешнего интерфейсов.
Брокер сетевых пакетов не имеет собственного IP-адреса. Поэтому:
Для устройств в локальной сети шлюзом нужно указать IP-адрес любого из имеющихся Ideco NGFW;
Шлюзом внешнего интерфейса нужно указать IP-адрес, полученный от провайдера.
Last updated
