Phần 3. Thực hiện kiểm tra tính dự phòng và khả năng xuyên suốt của Cluster
Đầu tiên, ta sẽ phải thiết lập một số luật cho Policy như: cho phép mạng Sync (Mạng đồng bộ) được sử dụng giao thức CCP (ClusterXL Control Protocol) để các Security Gateway có thể đồng bộ với nhau; Cho phép mạng LAN_NET (Lớp mạng của LAN) sử dụng được giao thức echo để có thể từ máy LAN thực hiện ping được ra mạng ngoài.- Tạo network cho Sync:
- Tạo giao thức UDP cho CCP với port 8116:
- Mạng Sync sử dụng giao thức CCP để các Gateway đồng bộ với nhau
- Tạo rule để cho phép mạng LAN ping ra ngoài internet
Tạo Network cho LAN
Đặt tên và địa chỉ lớp mạng:
Qua tab NAT để tiến hành cho phép mạng này kết nối Internet:
Rule hoàn chỉnh:
- Tiến hành Install Policy
- Install:
- Ta thực hiện từ máy trong lớp mạng LAN, default gateway trỏ về địa chỉ IP ảo Cluster:
- Tiếp theo, ta thực hiện ping ra ngoài Internet với địa chỉ google là 8.8.8.8 với tham số -t để ping liên tục.
- Sau đó ta sẽ tiến hành tắt Security Gateway đang Active đi và kiểm tra lại kết quả trên máy tính. Ta thấy chỉ có một giây mất kết nối nhưng sau đó hoàn toàn trở lại bình thường. Đây chính là tính sẵn sàng cao của giải pháp ClusterXL HA.
- Kiểm tra trạng thái của Gateway dự phòng ngay lập tức nó lên tiếp quản để xử lý các gói tin
- Sau khi Gateway chính quay trở lại sau phục hồi thì nó sẽ tham gia vào cluster với vai trò chờ
- Nếu muốn cho nó trở lại Active thì ta cấu hình như sau:
Chọn vào cụm Cluster, ở Upon cluster member recovery sẽ có 2 option
+ Maintain current active Cluster Member: Giữ nguyên gateway đang hoạt động nếu một gateway trước đó gặp sự cố và quay trở lại hoạt động bình thường.
+ Switch to higher priority Cluster Member: Tự động chuyển đổi về gateway có ưu tiên cao hơn khi nó trở lại hoạt động.
Vậy thì nếu bạn muốn Gateway sau khi đã khắc phục sự cố quay trở lại thành Active thì chọn option thứ 2.
Vậy thì nếu ping với gói tin có kích thước lớn khi Gateway active bị down thì có ảnh hưởng nhiều đến hệ thống không.
Ping ra ngoài Internet với địa chỉ google là 8.8.8.8 với tham số -t để ping liên tục và -l 1400 là gói tin có kích thước 1400
Kết quả thì sau 1 giây mất kết nối thì đã quay lại hoạt động bình thường
Việc ping với gói tin lớn có thể tạo ra áp lực cao hơn lên thiết bị mạng, bao gồm cả router hoặc firewall. Tuy nhiên, nếu chỉ mất 1 gói tin duy nhất trong một hệ thống được thiết lập tốt, nơi failover diễn ra nhanh chóng, điều đó cho thấy thiết bị vẫn có khả năng xử lý tốt các gói tin lớn, và mất gói không phản ánh vấn đề nghiêm trọng với năng lực của hệ thống.
Cảm ơn các bạn :*
