NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
В результате сбоя sync-интерфейса активное устройство генерирует системные сообщения<br />
hasync_connection_failed_timeout. Однако следует заметить, что такое же системное сообщение также<br />
генерируется в случае, когда неактивное устройство не функционирует, например, в процессе<br />
обновления ПО.<br />
Возникновение сбоя sync-интерфейса определяется после сравнения результатов выполнения<br />
определенных команд командной строки для каждого устройства. Разницу в количестве соединений<br />
можно установить с помощью stats-команд. Если используются большое количество IPsec-туннелей,<br />
то можно применять команду ipsecglobalstat -verbose. Значительные различия в значениях IPsec SA,<br />
IKE SA, активных пользователей и в статистике пула IP-адресов будут означать сбой синхронизации.<br />
Если sync-интерфейс корректно функционирует, то также могут возникать некоторые различия в<br />
статистике устройств кластера, но их будет значительно меньше по сравнению с ситуацией сбоя.<br />
Если сбой в работе sync-интерфейса произошел, то даже после замены соединяющего кабеля,<br />
восстановление синхронизации между активным и неактивным устройством не произойдет<br />
автоматически. Несинхронизированное неактивное устройство необходимо перезапустить. И далее:<br />
• Во время перезапуска неактивное устройство отправит активному устройству сообщение, о<br />
своей готовности к работе, запрашивая полную информацию о состоянии активного<br />
устройства.<br />
• Активное устройство отправит неактивному устройству копию основных параметров своего<br />
текущего состояния.<br />
• Тогда неактивное устройство будет синхронизировано, и при возникновении системного сбоя<br />
восстановление системы будет выполнено корректно.<br />
Примечание: Для возобновления синхронизации<br />
требуется перезапуск неактивного устройства.<br />
Только во время перезапуска неактивного устройства ему отправляется<br />
полная информация о состоянии активного устройства.<br />
Поэтому для возобновления синхронизации требуется перезагрузка неактивного<br />
устройства.<br />
11.3. Настройка HA-кластера<br />
В данном разделе описывается процесс пошаговой настройки HA-кластера.<br />
11.3.1. Настройка аппаратного обеспечения HA-кластера<br />
Пошаговая настройка аппаратного обеспечения HA-кластера:<br />
1. Для создания HA-кластера необходимо два аппаратно идентичных межсетевых экрана NetDefend.<br />
Это могут быть два новых устройства, либо к имеющемуся устройству может быть дополнительно<br />
приобретено еще одно.<br />
На аппаратном уровне master- и slave-устройства не обязательно должны быть полностью<br />
идентичными, однако, желательно, чтобы использовалось оборудование с одинаковой<br />
производительностью, чтобы избежать изменения производительности после восстановления<br />
системы.<br />
2. Создание физических подключений:<br />
• Подключите соответствующие интерфейсы master- и slave-устройств через отдельные<br />
коммутаторы или отдельные широковещательные домены. Важно отделить трафик каждой<br />
пары интерфейсов от других пар.<br />
• Подключите sync-интерфейсы. Это можно сделать непосредственно с помощью перекрестного<br />
кабеля или через отдельный коммутатор (или широковещательный домен).<br />
3. Определите совместно используемый IP-адрес для каждого интерфейса кластера. Некоторые<br />
467