【Security系列一】拿什么保障企业对外网络服务的高可用性?
近几年来国内大大小小的企业都在不断重视和加强企业文化、企业形象,可以这么说:“这是一个网路传媒的主流风尚,也是商业化发展的一个典型特征”。
那么说说看都有那些呢?
大致分两类:
网络形象类:企业LOGO、企业形象宣传片、企业广告等;
网络服务类:拥有独享的企业域名、企业网站、企业邮箱、企业ERP等等服务和产品;
这两类的关系是:网络服务类 承载 网络形象类
一句话:这是一个网络传媒时代,拥有它,一切皆有可能。
但是所有这些都维系在一条底线之上,那就是正常的网络环境。于是为了保证网络服务质量,一些企业把服务器安置在通信运营商的付费托管机房,但是这样又一个问题产生了:商业数据的机密性如何保证?国内运营商机房的安全防护措施是否做到固若金汤?
那么我们这回要讲的就是企业自建机房,如何确保企业网络的高可用性。
企业无论是选择托管机房还是自建机房,一般都是专线连接,网关接入设备一般都是防火墙或者路由器,那么问题来了,如果你的网关设备意外down机了,一切都白费了……
高可用NO.1 边界网关冗余设计
1.设备类型:Cisco ASA 5520
2.采用技术:设备级冗余(Active/standby)
接口级冗余(channel)
3.关键配置
设备级冗余
failover //启用故障倒换模式 failover lan unit primary //配置本地ASA为主防火墙 failover lan interface fo1 GigabitEthernet0/3 //为基于LAN的故障倒换分配接口 failover polltime unit 2 holdtime 6 failover polltime interface 3 holdtime 15 //故障倒换计时器
failover key ***** //故障倒换密钥 failover replication http //启用http复制,如果企业对外提供web服务,可以启用此命令;但是会增加设备负载,请衡量。 failover link st1 Management0/0 //配置倒换状态化链路接口 failover interface ip fo1 172.19.11.1 255.255.255.252 standby 172.19.11.2 //配置故障倒换IP地址/备用地址 failover interface ip st1 172.19.11.5 255.255.255.252 standby 172.19.11.6 //配置故障倒换状态化IP地址/备用地址
|
这种配置下,一台设备为主,一台设备为备;
主备判别在于:failover lan unit primary/secondary
在这种模式下,主设备负责传输流量,备用设备对主设备进行检测,两台设备都会发送hello包来相互检测对方状态。
接口冗余
接口channel冗余配置,是在841-k8.bin才被支持接口冗余特性;在此版本以前只支持备用接口配置,比较浪费接口带宽资源;
ASA中的etherchannel配置方式与常规etherchannel相似;
interface GigabitEthernet0/1 channel-group 1 mode active no nameif no security-level no ip address
interface GigabitEthernet0/2 channel-group 1 mode active no nameif no security-level no ip address
interface Port-channel1 nameif inside security-level 100 ip address 172.18.11.2 255.255.255.0 standby 172.18.11.3
|
4.部署结果查询
asa-A# show failover Failover On Failover unit Primary Failover LAN Interface: fo1 GigabitEthernet0/3 (up) Unit Poll frequency 2 seconds, holdtime 6 seconds Interface Poll frequency 3 seconds, holdtime 15 seconds Interface Policy 1 Monitored Interfaces 2 of 160 maximum failover replication http Version: Ours 8.4(1), Mate 8.4(1) Last Failover at: 18:25:47 HKST Mar 29 2012 This host: Primary - Active Active time: 5944290 (sec) slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys) Interface outside (A.A.A.A): Normal (Monitored) Interface inside (172.18.11.2): Normal (Monitored) slot 1: empty Other host: Secondary - Standby Ready Active time: 0 (sec) slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys) Interface outside (B.B.B.B): Normal (Monitored) Interface inside (172.18.11.3): Normal (Monitored) slot 1: empty Stateful Failover Logical Update Statistics Link : st1 Management0/0 (up) Stateful Obj xmit xerr rcv rerr General 19265360 0 792606 0 sys cmd 792606 0 792606 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 17558802 0 0 0 UDP conn 743112 0 0 0 ARP tbl 170840 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 ××× IKEv1 SA 0 0 0 0 ××× IKEv1 P2 0 0 0 0 ××× IKEv2 SA 0 0 0 0 ××× IKEv2 P2 0 0 0 0 ××× CTCP upd 0 0 0 0 ××× SDI upd 0 0 0 0 ××× DHCP upd 0 0 0 0 SIP Session 0 0 0 0 Route Session 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 25 3765020 Xmit Q: 0 1486 26202792
|
asa-B# show failover Failover On Failover unit Secondary Failover LAN Interface: fo1 GigabitEthernet0/3 (up) Unit Poll frequency 2 seconds, holdtime 6 seconds Interface Poll frequency 3 seconds, holdtime 15 seconds Interface Policy 1 Monitored Interfaces 2 of 160 maximum failover replication http Version: Ours 8.4(1), Mate 8.4(1) Last Failover at: 18:25:30 HKST Mar 29 2012 This host: Secondary - Standby Ready Active time: 0 (sec) slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys) Interface outside (B.B.B.B): Normal (Monitored) Interface inside (172.18.11.3): Normal (Monitored) slot 1: empty Other host: Primary - Active Active time: 5944454 (sec) slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys) Interface outside (A.A.A.A): Normal (Monitored) Interface inside (172.18.11.2): Normal (Monitored) slot 1: empty Stateful Failover Logical Update Statistics Link : st1 Management0/0 (up) Stateful Obj xmit xerr rcv rerr General 792628 0 8707857 0 sys cmd 792628 0 792628 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 7533676 0 UDP conn 0 0 210708 0 ARP tbl 0 0 170845 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 ××× IKEv1 SA 0 0 0 0 ××× IKEv1 P2 0 0 0 0 ××× IKEv2 SA 0 0 0 0 ××× IKEv2 P2 0 0 0 0 ××× CTCP upd 0 0 0 0 ××× SDI upd 0 0 0 0 ××× DHCP upd 0 0 0 0 SIP Session 0 0 0 0 Route Session 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 25 18617697 Xmit Q: 0 1 792628
|
结果显示:
当前状态下:A设备为主用设备,B设备为备用设备;
访问外网正常
C:\Users\Administrator>tracert www.sina.com 通过最多 30 个跃点跟踪 到 norma.sina.com.cn [202.102.75.147] 的路由: 1 <1 毫秒 <1 毫秒 <1 毫秒 172.18.11.1 2 13 ms 2 ms 1 ms 企业网关 3 10 ms 1 ms 11 ms 58.215.68.45 4 2 ms 1 ms 3 ms 58.215.135.149 5 2 ms 2 ms 2 ms 58.215.66.189 6 5 ms 5 ms 5 ms 202.102.19.98 7 4 ms 4 ms 4 ms 202.102.76.10 8 6 ms 6 ms 6 ms 221.231.136.30 9 * * * 请求超时。 10 5 ms 4 ms 4 ms 202.102.75.147 跟踪完成。 |
内网服务正常
由于最近工作比较忙,这儿就不上图了,但是此配置部署是可靠运行的,网络可用性的第一步就到此告一段落,下回详解内网到边界网关这一段的高可用性部署……