Dead Packets

21/09/2009

Configuração de HA ativo/passivo com NSRP no ScreenOS

Filed under: ScreenOs — drak @ 10:00 AM

A configuração de High Availability pode ser realizada no ScreenOS de duas maneiras, pela Web ou pela CLI. Como nem sempre a interface Web está disponível eu sempre prefiro realizar todas as configurações pela CLI, deixando para a Web a rotina diária de inclusão/exclusão de regras e outras atividades corriqueiras.

Segue abaixo o procedimento para configurar um par de firewalls em HA, este procedimento foi validado na versão 6.2 mas deve funcionar normalmente em versões anteriores.

O primeiro passo é configurar o firewall master, as configurações estão comentadas com o que faz cada linha.

# Associa uma porta a zona de HA, essa sera a porta por onde serao passadas as sincronizacoes de sessao e heartbeat
set int e1/4 zone HA
# Define o ID do cluster
set nsrp cluster id 1
#Define o nome do cluster, necessario para ser gerenciado pelo NSM
set nsrp cluster name CLUSTER_NAME
# Sincronizacao de sessoes, ageout serve para que o FW BKP nao remova a sessao antes de confirmar no PRIM
set nsrp rto-mirror sync
set nsrp rto-mirror session ageout-ack
# Tunning do tempo de failover, tempo padrao 3s, aqui alterado para 1s
# init-hold so vale quando os dois FWs entram no ar ao mesmo tempo e estao decidindo quem sera o MASTER
set nsrp vsd-group init-hold 25
# Necessario a falha de 5 HBs para failover
set nsrp vsd-group hb-threshold 5
# Cada HB e enviado a cada 200ms
set nsrp vsd-group hb-interval 200
# Caso haja falha nas interfaces dos dois FWs existe a possibilidade dos dois se tornarem
# 'ineligible', ou seja, nenhum assumiria, com essa config um deles assume mesmo com falha na IF
set nsrp vsd-group master-always-exist
# Define quem sera o master, essa configuracao e local
set nsrp vsd-group id 0 priority 1
# Caso o cabo de HA seja rompido, existe caminho alternativo antes de realizar o failover
# E recomendado utilizar uma IF do lado TRUST. Esta configuracao e OPCIONAL
set nsrp secondary-path ethernet1/2
# Configuracao da monitoracao das IFs, caso alguma caia o FW realiza o failover imediatamente
set nsrp vsd-group id 0 monitor interface ethernet1/1
set nsrp vsd-group id 0 monitor interface ethernet1/2
set nsrp vsd-group id 0 monitor interface ethernet1/3
# Desabilita a sincronizacao do NTP via HA, deve ser feito indidualmente por cada caixa
set ntp no-ha-sync

Após realizar esta configuração no FW que será master, copiar sua configuração (get conf ou save conf to tftp X.Y.W.Z confMASTER.cfg)

Após copiar a configuração, alterar os seguintes campos no arquivo confMASTER.cfg, salvando-o como confBKP.cfg após as alterações:

set hostname HOSTNAME
set nsrp vsd-group id 0 priority XXX
set snmp name "HOSTNAME"

Aplique o arquivo confBKP.cfg no FW BKP (copie e cole na console ou pegue o arquivo via TFTP), após isso execute os comandos abaixo no firewal BACKUP:

exec nsrp sync file from peer
exec nsrp sync global-config save
save all
reset

Após reiniciar o equipamento, todas as configurações já deverão estar sincronizadas (certificados, SSH fingerprint, etc)

Para testar o chaveamento e verificar o status do HA pode-se utilizar os seguintes comandos:

# Forca o FW a se tornar backup
exec nsrp vsd-group 0 mode backup
# Exibe as informacoes de NSRP
get nsrp

Referências
NSRP Resolution Guide — How to configure NSRP and test failover condition

Anúncios

3 Comentários »

  1. gostei

    Comentário por gabriel — 19/03/2010 @ 7:02 AM | Responder

  2. Duvida, no caso eu utilizo somente uma interface para HA, necessito de outra para transferencia de dados? Mais uma duvida, quando faço a configuro a opção do Monitor Track IP não funciona, sabe o que pode ser?

    Obrigado!

    Comentário por Marcos — 03/05/2010 @ 5:56 PM | Responder

    • Marcos, não é necessário utilizar uma segunda interface para a transferencia, ela ocorre pela interface de controle mesmo, na saída do comando “get nsrp” você pode ver que o “control” e “data” estão UP na mesma interface.

      Pelo que eu saiba para monitorar com o track IP você define um IP para o track (por exemplo o gateway de Internet) e somente é necessário ter ping liberado para esse host, mas nunca utilizei esta feature.

      Comentário por drak — 03/05/2010 @ 6:29 PM | Responder


RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Crie um website ou blog gratuito no WordPress.com.

%d blogueiros gostam disto: