XTM 방화벽 Active-Standby 구성

네트워크 구성도 및 라우터 설정

HA 구성도

 VIP는 Active장비가 가지는 IP로 상·하단 네트

워크에서 VIP를 통해 통신한다.
 VIP 를 가지고 있던 장비쪽에서 장애가 발생
하면 반대편 장비가 VIP를 가지게 된다.

 Active 장비의 eth1의 경우 real IP인

172.16.100.100과 VIP인 172.16.100.150 2가
지를 동시에 가진다.
 라우터 설정
 상단 라우터의 경우 방화벽 하단쪽 네트워크에 대해 아래와 같이 방화벽의 VIP(Active장비가 가지는 가상IP)를 next hop으로 설
정되어져 있다.

 하단 라우터의 경우 Default Gateway를 방화벽 VIP인 10.10.1.3 으로 설정되어 있다.

Active 장비 설정
 Active 장비 설정
 인터페이스와 라우팅 설정을 한다.
 테스트를 위해 필터링은 Any-Any Accept로 설정 하였다. 향후 필요한 내용만으로 필터링 정책을 수립하여야 한다.
 Active 장비 설정
 [동기화 설정]-[세션동기화]에서 세션동기화 사용을 체크하고, HA link 인터페이스와 상대편 IP및 Mac 주소를 입력한다.
 Mac 주소는 CLI로 접속하여, “ip a” 명령어를 통해 확인 가능하다.
 Active 장비 설정
 [동기화 설정]-[정책동기화]에서 정책동기화 설정을 MASTER로 설정한다.
 정책 동기화는 Active장비에서 정책이나 설정이 변경된 내용을 Slave장비로 동기화 하기 위해 사용된다.
 필터링에 있는 [정책동기화] 버튼을 눌러 수동으로 동기화 하거나, 실행주기를 설정하여 자동으로 동기화 가능하다.

[수동동기화 버튼]
 Active 장비 설정
 Checker 설정 : 상·하단 네트워크와 상대편 장비의 장애 유무를 확인하여 Active가 될것인지 Standby가 될것인지 결정
 Mode : Master – HA Link Down 시 Master로 동작
 Primary : 상·하단 네트워크를 체크하여 UP일 경우 자신의 인터페이스에 인스톨 하려는 VIP 설정
 Backup : 상대편 장비를 체크하여 상대편이 Down일 경우 자신의 인터페이스에 인스톨하려는 VIP 설정. Active/Standby의 경
우 각 인터페이스별 VIP는 하나임으로 의미없는 0.0.0.1, 0.0.0.2 관습적으로 사용

 주의
 Group ID의 경우 설정되는 VIP의 Virtual MAC Address 값이 됨. 따라서 동일한 VIP에 대해서는 동일한 Group ID를 가져야 함
으로 StandBy 장비 설정 시 유의 할것
 VIP의 Vitual mac이 다른 네트워크 장비에서 VIP를 사용경우 VMAC 중복으로 충돌이 발생할 가능성이 있으므로, 그룹 ID는
1~20을 제외한 나머지 값으로 할것.
 Active 장비 설정
 Checker 설정에서 eth0의 경우 Group ID가 111 이었으며, eth1의 경우 Group ID가 101 임
 111의 16진수 값 : 6F , 101의 16진수 값 : 65 가 Mac Address의 마지막 자리수에 들어감
Slave 장비 설정
 StandBy 장비 설정
 인터페이스와 라우팅 설정을 한다.
 테스트를 위해 필터링은 Any-Any Accept로 설정 하였다. 향후 필요한 내용만으로 필터링 정책을 수립하여야 한다.
 StandBy 장비 설정
 [동기화 설정]-[세션동기화]에서 세션동기화 사용을 체크하고, HA link 인터페이스와 상대편 IP및 Mac 주소를 입력한다.
 Mac 주소는 CLI로 접속하여, “ip a” 명령어를 통해 확인 가능하다.
 StandBy 장비 설정
 [동기화 설정]-[정책동기화]에서 정책동기화 설정을 Slave로 설정한다.
 정책 동기화는 Active장비에서 정책이나 설정이 변경된 내용을 Slave장비로 동기화 하기 위해 사용된다.
 필터링에 있는 [정책동기화] 버튼을 눌러 수동으로 동기화 하거나, 실행주기를 설정하여 자동으로 동기화 가능하다.
 StandBy 장비 설정
 Mode : Backup – HA Link Down 시 Backup으로 동작
 Primary : 상·하단 네트워크를 체크하여 UP일 경우 자신의 인터페이스에 인스톨 하려는 VIP 결정
 Backup : 상대편 장비를 체크하여 상대편이 Down일 경우 자신의 인터페이스에 인스톨하려는 VIP 결정.
 Slave 장비의 경우 Primary에는 의미없는 VIP를 설정하고, Backup의 경우 상대편 장비가 장애를 일으킨 것이므로 VIP를 설정.

 주의
 Group ID의 경우 설정되는 VIP의 Virtual MAC Address 값이 됨. 따라서 동일한 VIP에 대해서는 동일한 Group ID를 가져야 함
으로 StandBy 장비 설정 시 유의 할것
 VIP의 Vitual mac이 다른 네트워크 장비에서 VIP를 사용경우 VMAC 중복으로 충돌이 발생할 가능성이 있으므로, 그룹 ID는
1~20을 제외한 나머지 값으로 할것.
CLI 명령어
 각 장비별 인터페이스 IP 확인

 Active 장비의 인터페이스에 VIP가 추가적으로 설정되어 있음을 확인 할 수 있다.

[ Active 장비 ] [ Standby 장비 ]
 각 장비별 MAC 확인

 Active 장비의 인터페이스에 VIP에 대한 VMAC이 설정되어 있다.

[ Active 장비 ] [ Standby 장비 ]
 각 장비별 HA 상태 확인

 각 장비별 HA 상태를 확인 하는 명령어

 show checker_info : 체커 상태를 확인. 네트워크 상태가 UP인지 DOWN인지 확인 한다.
 show advanced : 현재 HA 상태와 VIP 인스톨 여부를 확인

[ Active 장비 ] [ Standby 장비 ]
 HA Link Fail
 HA Link가 다운되면 Master 장비는 계속 Master역활을 한다.

[ Active 장비 ] [ Standby 장비 ]
Active Link Fail
 Active Link Fail
 Active link Down으로 Local 체크가 다운되면, Active 장비는 StandBy 로 변경되면서, 가지고 있던 VIP를 해제한다.
 StandBy 장비는 Remote 체크가 Down 되면서, Active mode로 변경되고 Backup IP(VIP)를 설정한다.

[ Active 장비 ] [ Standby 장비 ]
Active Link Fail + HA Link Fail
 Active Link Fail + HA Link Fail
 Active link Down + HA Link Down으로 Local 체크가 다운되면, Active 장비는 StandBy 로 변경되면서, 가지고 있던 VIP를 해제
한다.
 StandBy 장비는 Remote 체크가 Down 되면서, Active mode로 변경되고 Backup IP(VIP)를 설정한다.

[ Active 장비 ] [ Standby 장비 ]