搜尋
搜尋
  • 2

Firewall Active/Active Mode

前往頁尾
prottos2003
prottos2003
prottos2003
10分
樓主
2015-02-13 19:45
各位好,最近被老闆詢問到Firewall 是否可以做Active/Active Mode
小弟好像只知道Cisco 有glbp 的方式透過ARP reply round robin Gateway的Mac address

請問Juniper or fortinet or SonicWALL 防火牆是否也可以做到Active/Active Mode嗎?
原理是否也是像Cisco 的glbp一樣呢? 或者是有不同的AA Mode的運作原理呢?
2015-02-13 19:45 發佈
M.M.SW
M.M.SW
M.M.SW
  • M.M.SW
  • 個人積分:148分
    文章編號:54488595
148分
2樓
2015-02-14 22:24
Firewall 做 Active/Active Mode是常見的功能
Juniper無論是SSG還是SRX都可以
Fortigate也都沒問題
Sonicwall要NSA2400以上
順查CheckPoint可以
Palo Alto可能要大台且升級過OS

重點是您老闆要A-A作什麼用
常見錯誤的期望是希望AA模式下能將兩台防火牆分擔工作
事實上,規劃時就必須考量一台就要能負擔足夠全公司才是正解
另外,如果是要想防DDoS攻擊就太天真了
因為火牆是擋不住DDoS攻擊的
那個要另外的設備

prottos2003
prottos2003
prottos2003
10分
樓主
2015-02-15 0:10
那請問一般使用AA Mode時, 防火牆仍然使用一組獨立的VIP嗎? 還是兩組獨立的VIP呢??
(因為小弟有看到有些AA Mode 好像有兩組VIP ?)

當初規劃一台情況下就可以扛的住流量,只是想說另外一台平常沒有在運作感覺很浪費,所以才提出AA Mode的需求
但是我看了某些設備在none full-mesh下兩台Firewall AA mode發生Fail over時Session table無法順利接起來,必須重新連線,這樣的說法有錯誤嗎?(小弟看到大部分Active/Standby 架構之下Standby的Firewall都會定期去同步Active Firewall,當發生fail over時可以順利接起session ,不須重新建立連線)

hsyah
hsyah
hsyah
  • hsyah
  • 個人積分:13分
    文章編號:54490342
13分
4樓
2015-02-15 1:19
Cisco , CheckPoint , Fortigate 都可以A/A , 公司最好都一定要用A/A , 必竟機器會停機無法預期

Cisco ASA A/A 好像常見都是二台 常用 , 但好像沒特別去了解他如何分散處理

CheckPoint A/A 要看你的數量 及Multicast 及Unicast HA , Unicast 二台 30% 70 %三台會是20 40 40 %

Fortigate A/A 要看你的數量 二台 50% 50 %

A/A 在切換時會 一些osfp Muticast 的packet 會有瞬斷的情形 , 基本上A/A 切換都很快 , 服務就OK


A/A 的設定都是同步的

cisco / checkpoint 都是實體網口 需要IP , HA 則透過VIP 來對外服務 , 如二台 對外單一介面 ip 就需要3個ip

Fortigate 則是如二台 對外單一介面 只需要1個ip


至於那家好 , 看預算 及廠牌徧好 及個人喜好而定 , 如果你是大公司建議你用Checkpoint

因為他功能是用過最全的 , 但唯一缺點後續維護及升級問題 , SSLVPN 功能過少

Cisco ASA / Fortigate 一般來說自維就ok , 沒什麼維護成本 , 基本上不想花太多力氣就用這二種

prottos2003
prottos2003
prottos2003
10分
樓主
2015-02-15 20:57
hsyah wrote:
Cisco , Ch...(恕刪)


我可以了解設定一定都是同步的,這很正常,就算是A/S Mode也會同步
主要是當發生Failover時,原本在故障上面的Firewall上正在連線的connection是否可以被另外一台同步這樣使用者才不會有趕到舜斷的感覺

prottos2003
prottos2003
prottos2003
10分
樓主
2015-02-15 22:36
自問自答

如果是Juniper Netscreen AA mode 架構是可以完全不掉session接起來
原廠文件有提到
In an Active/Active setup, Firewall-A is the master for one VSD group, such as VSD group 0, and Firewall-B is the master for the other VSD group, such as VSD group 1. When Firewall-A fails, Firewall-B becomes the master for both 0 and 1 VSD groups and carries 100% of the traffic; So that you do not loose any sessions. In case of failure of one device, the total number of sessions at any given time on both the firewalls should not exceed the maximum number of sessions a single firewall can handle.


http://kb.juniper.net/InfoCenter/index?page=content&id=KB11402
M.M.SW
M.M.SW
M.M.SW
  • M.M.SW
  • 個人積分:148分
    文章編號:54499785
148分
7樓
2015-02-15 23:41
一般來說各家產品的AA mode,
都是為了要能當發生fail over時可以順利接起session
只是各家的運作模式各有不同
名詞未必是full-mesh
但作用可能都差不多

其他hsyah大大回答都很專業,足供摻考
版大認為的"另外一台平常沒有在運作感覺很浪費"
基本是不恰當的觀念
因為設備是一直電源啟動著,且持續偵測另一台動靜
不管A/A或A/S都是一樣的
沒有所謂"浪費"的事情

一切還是看公司的需求在哪裡
如果只是瞬斷與否,就要看貴公司的網路服務有多重要
恐怕要做的備援還不只防火牆
網路設備及伺服器是不是會需要到備援
那麼機房管理呢?供電系統呢?
預算金額會無止境的上升
建議版大需要務實的考量為要

prottos2003
prottos2003
prottos2003
10分
樓主
2015-02-16 8:26
M.M.SW wrote:
一般來說各家產品的A...(恕刪)


1. 我了解其實AS mode standby是持續在聽active的heartbeat,當發生failover時,standby才可以順利接下session
AS mode 大部分時間active的設備都是正常時,此時可以發現standby設備CPU Memory使用率都遠比active設備低很多
如果兩台可以同時運作了話,那可達到設備的load sharing
那小弟想詢問一下,您認為使用AA Mode 的好處是?
PS:公司目前已經使用兩台設備了,但目前只有跑AS mode,我也很清楚當要使用AA mode license的部分也會有不同變化

2.我比較想要了解的是使用AA mode 簡易運作原理,除了cisco的glbp之外,小弟不知道還有什麼其他技術可以做到AA的方式
prottos2003
prottos2003
prottos2003
10分
樓主
2015-02-16 13:27
自己研究了一下 以下是paloalto的AA mode 運作方法

https://live.paloaltonetworks.com/servlet/JiveServlet/previewBody/2541-102-4-25153/HA-Active-Active-Tech-Note.pdf

上面提到可以有兩組VIP的方式,變成Client分散設定兩組GW的方式達成AA mode

也有共用一組VIP 透過ARP load sharing的方式達成AA mode (與Cisco glbp運作原理相同)


另外我發現AA mode或者是AS mode 當發生fail over時,仍然有部分資料無法sync 以下是cisco 提出無法sync的資料

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/110894-asa-active-failover-transparent.html

The information that is not passed to the standby unit when stateful failover is enabled includes these:

The HTTP connection table (unless HTTP replication is enabled)

The user authentication (uauth) table

The routing tables

State information for security service modules

我想,這就算是一個重要的比較點了
M.M.SW
M.M.SW
M.M.SW
  • M.M.SW
  • 個人積分:148分
    文章編號:54514235
148分
10樓
2015-02-17 1:10
各家設備做HA的方式不同
提供Fortigate的HA解說影片參考
https://www.youtube.com/watch?v=Zn5rDN1YjSE#t=90
其中有提到HA的方式靠的是Heartbeat
(另:影片中A/P模式改成A/A模式一樣可用)

我個人認為即使在A/A模式下
也不是能完全負載分配平均
畢竟還是有分Master及Slave
因此重點還是HA的可靠度
負載分配倒不是其重點

順便想請教貴公司採用的是何品牌?
  • 2
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?