В статье описана настройка кластеризации Active/Active.
Last updated
Was this helpful?
В Ideco NGFW реализована кластеризации Active/Passive. Повысить отказоустойчивость можно, создав кластер Active/Active. Для этого воспользуйтесь решением наших партнеров АО "НПП "Цифровые решения" - брокером сетевых пакетов DS Integrity NG.
Расположите брокер сетевых пакетов перед Ideco NGFW. Брокер будет самостоятельно балансировать трафик устройств в локальной сети между нодами созданного кластера. При падении одной ноды трафик перебалансируется между остальными Ideco NGFW без перерыва в связи. Это реализует схему кластера Active/Active.
Объединять в кластер устройства Ideco NGFW между собой не нужно. Для корректной работы нод установите одинаковые настройки.
Особенности использования схемы:
Настройки, которые нельзя распространить через Ideco Center, придется вручную изменять на каждом Ideco NGFW;
Почта будет доступна для работы только в режиме почтового релея. Хранение почтовых ящиков отключено;
Данные отчетности, логов и мониторинга не синхронизируются между нодами. В каждой ноде хранятся свои данные;
Восстановление из бэкапа и обновление системы будет затрагивать только одну ноду. Каждую ноду потребуется обновлять отдельно;
Между локальной сетью и брокером сетевых пакетов потребуется расположить роутер с настроенной динамической маршрутизацией (OSPF) для обмена маршрутами;
На каждую ноду Ideco NGFW потребуется отдельная лицензия. По вопросам условий лицензирования при использовании такой конфигурации обратитесь к менеджерам.
Примеры трех типовых схем совместного использования брокера сетевых пакетов DS Integrity NG и Ideco NGFW ниже. На этой основе встройте оба решения в свою сеть.
На каждом Ideco NGFW для обмена маршрутами необходимо настроить OSPF для всех локальных интерфейсов. Название зоны и вес должны быть идентичными настроенным ранее на роутере. Информация о настройке OSPF описана в статье . Там же находятся инструкции для настройки OSPF для MikroTik, который можно использовать в качестве роутера.
Настройка Ideco NGFW:
Брокер сетевых пакетов не имеет собственного IP-адреса. Поэтому для устройств в локальной сети шлюзом нужно указать IP-адрес любого из имеющихся Ideco NGFW.
На каждом Ideco NGFW в качестве шлюза внешнего интерфейса нужно использовать IP-адрес, полученный от провайдера.
Настройка Ideco NGFW
Брокер сетевых пакетов не имеет собственного IP-адреса. Поэтому:
Для устройств в локальной сети шлюзом нужно указать IP-адрес любого из имеющихся Ideco NGFW;
На каждом NGFW будет два локальных и два внешних интерфейса. Шлюзом внешних интерфейсов нужно указать IP-адрес, полученный от провайдера.
На Ideco NGFW в этой конфигурации в разделе Балансировка и резервирование должен быть активирован режим резервирования. Приоритетным внешним интерфейсом должен быть выбран тот, который идет к основному брокеру сетевых пакетов.
Настройка Ideco NGFW
Брокер сетевых пакетов не имеет собственного IP-адреса. Поэтому:
Для устройств в локальной сети шлюзом нужно указать IP-адрес любого из имеющихся Ideco NGFW;
Шлюзом внешнего интерфейса нужно указать IP-адрес, полученный от провайдера.
На каждом устройстве Ideco NGFW необходимо выполнить первоначальную настройку интерфейсов.
На каждом устройстве Ideco NGFW необходимо выполнить первоначальную настройку интерфейсов.
На каждом устройстве Ideco NGFW необходимо выполнить первоначальную настройку интерфейсов.
