NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
синхронизации является одним из стандартных интерфейсов между master-устройством и slaveустройством<br />
и имеет вид перекрестного кабеля.<br />
Для связи между устройствами кластера операционная система NetDefendOS через интерфейс<br />
синхронизации и другие интерфейсы периодически отправляет специальные пакеты, называемые<br />
пакетами обнаружения (heartbeats). Эти пакеты позволяют устройствам отслеживать состояние друг<br />
друга. Пакеты обнаружения периодически отправляются в обоих направлениях, и таким образом,<br />
неактивное устройство имеет информацию о состоянии активного устройства и наоборот.<br />
Более подробно механизм обмена пакетами обнаружения будет рассмотрен в разделе 11.2<br />
«Механизмы реализации режима высокой доступности».<br />
Управление кластерами<br />
Один HA-кластер, состоящий из двух межсетевых экранов NetDefend, управляется как единый блок с<br />
уникальным именем, которое отображается в интерфейсе управления как имя единого логического<br />
межсетевого экрана NetDefend. Операции по администрированию, например, такие как изменение<br />
набора IP-правил, будут выполняться как обычно, причем вносимые изменения будут автоматически<br />
применяться к конфигурациям обоих устройств: как главного, так и второстепенного.<br />
Распределение нагрузки<br />
HA-кластер D-Link не обеспечивает распределение нагрузки между параллельными устройствами,<br />
т.к. только одно устройство является в определенный момент времени активным, в то время как<br />
второе устройство находится в режиме ожидания. Два межсетевых экрана NetDefend (master и slave)<br />
составляют единый отказоустойчивый кластер. Неактивное устройство выполняет только<br />
копирование состояния активного устройства и принимает на себя функции обработки трафика в<br />
случае его отказа.<br />
Дублирование оборудования<br />
Отказоустойчивый кластер D-Link функционирует при условии наличия двух межсетевых экранов<br />
NetDefend. Программное обеспечение межсетевых экранов разных производителей значительно<br />
отличается, и не существует согласованных методов обмена информацией об их текущем состоянии.<br />
Для создания отказоустойчивого кластера настоятельно рекомендуется использовать межсетевые<br />
экраны NetDefend с одинаковой конфигурацией. Также устройства должны иметь идентичные права,<br />
позволяющие им выполнение одинаковых действий, в том числе работу в HA-кластере.<br />
Увеличение количества избыточного оборудования<br />
Создание HA-кластера повышает отказоустойчивость только в одной точке сети. Маршрутизаторы,<br />
коммутаторы и точки подключения к сети Интернет остаются потенциально уязвимыми, и их<br />
дублирование также целесообразно.<br />
11.2. Механизмы реализации режима высокой<br />
доступности<br />
В этом разделе более подробно рассматриваются механизмы, операционной системы NetDefend<br />
реализующие режим высокой доступности системы.<br />
Основные принципы<br />
Отказоустойчивый кластер D-Link представляет собой избыточную аппаратную систему с<br />
синхронизацией состояния. Данные о состоянии активного устройства, например, такие как таблица<br />
подключений и другая необходимая информация, непрерывно копируются резервным устройством<br />
через интерфейс синхронизации. В момент, когда происходит обработка ситуации отказа основного<br />
устройства, дублирующее устройство имеет информацию о том, какие подключения являются сейчас<br />
активными, а после незначительной задержки на время восстановления системы передача трафика<br />
продолжается.<br />
Резервная система фиксирует сбой основной системы в момент, когда не получает достаточного<br />
количества пакетов обнаружения кластера (Cluster Heartbeats). Пакеты обнаружения передаются как<br />
464