NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Совместно используемые IP-адреса и протокол ARP<br />
Для Master-устройства и slave-устройства установлен один совместно используемый IP-адрес. ARPзапросы<br />
на получение совместно используемого IP-адреса или любого другого IP-адреса<br />
публикуются через раздел конфигурации ARP или через Proxy ARP и обрабатываются активной<br />
системой.<br />
Аппаратный адрес совместно используемого IP-адреса и других опубликованных адресов не связан с<br />
реальными аппаратными адресами интерфейсов. Напротив, MAC-адрес задается операционной<br />
системой NetDefendOS в виде 10-00-00-C1-4A-nn, где nn – это комбинация из идентификатора<br />
кластера (Cluster ID), задаваемого в разделе «Расширенные настройки» (Advanced Settings) и<br />
аппаратной шины / слота / порта данного интерфейса. Идентификатор кластера должен быть<br />
уникальным для каждого кластера сети.<br />
Т.к. совместно используемый IP-адрес всегда имеет один аппаратный адрес, то при возникновении<br />
сбоя не возникнет задержек во время обновления ARP-кэша устройствами, находящимися в одной<br />
локальной сети с кластером.<br />
Когда одно из устройств кластера обнаруживает, что второе устройство не функционирует, оно<br />
начинает широковещательную рассылку Gratuitous ARP-запросов на все интерфейсы, используя<br />
совместно используемый аппаратный адрес в качестве отправителя. Это позволяет коммутаторам в<br />
течение миллисекунд переопределить, куда отправлять пакеты, предназначенные для совместно<br />
используемого адреса. Определить, что произошел сбой в работе активного устройства можно только<br />
по задержке, возникающей из-за восстановления системы.<br />
Для того чтобы коммутаторы всегда имели правильный совместно используемый аппаратный адрес<br />
для отправки по нему пакетов, периодически производится широковещательная рассылка ARPзапросов.<br />
Процесс обновления антивирусных и IDP-баз в отказоустойчивом кластере<br />
Если кластер с операционной системой NetDefendOS имеет антивирусную подсистему или<br />
подсистему обнаружения и предотвращения вторжений (IDP), то периодически будет возникать<br />
необходимость обновления баз вирусных сигнатур. Такие обновления подразумевают загрузки с<br />
внешних баз D-Link, а также требуют внесения изменений в конфигурацию для активации<br />
содержимого новых баз.<br />
Обновление базы данных подразумевает следующую последовательность операций в HA-кластере:<br />
6. На активное устройство (master) загружаются файлы новой базы данных с серверов D-<br />
Link. Загрузка производится через совместно используемый IP-адрес кластера.<br />
7. С активного устройства (master) файлы новой базы данных отправляются второму<br />
неактивному устройству.<br />
8. Для активации файлов новой базы данных на неактивном устройстве (slave)<br />
изменяется конфигурация.<br />
9. Затем на активном устройстве (master) изменяется конфигурация для активации<br />
файлов новой базы данных путем инициации восстановления системы и переключения<br />
на slave-устройство.<br />
10. После того, как изменение конфигурации master-устройства завершено, происходит<br />
обратное переключение, и master-устройство снова становится активным.<br />
Разрыв sync-соединения<br />
В HA-кластере может произойти разрыв sync-соединения между master- и slave-устройствами, и в<br />
результате неактивное устройство не будет получать пакетов обнаружения и обновляемых данных о<br />
состоянии активного устройства.<br />
Следствием возникновения такого сбоя будет ситуация, когда оба устройства кластера будут<br />
продолжать функционировать без синхронизации друг с другом. Другими словами, неактивное<br />
устройство уже не будет иметь корректную копию состояния активного устройства. Но обработка<br />
ситуации отказа не произойдет, т.к. неактивное устройство определит разрыв sync-соединения.<br />
466