[Security系列一]拿什么保障企业对外网络服务的高可用性?
程序员文章站
2022-11-03 20:03:31
近几年来国内大大小小的企业都在不断重视和加强企业文化、企业形象,可以这么说:“这是一个网路传媒的主流风尚,也是商业化发展的一个典型特征”。
那么说说看都有那些呢?...
近几年来国内大大小小的企业都在不断重视和加强企业文化、企业形象,可以这么说:“这是一个网路传媒的主流风尚,也是商业化发展的一个典型特征”。
那么说说看都有那些呢?
大致分两类:
网络形象类:企业LOGO、企业形象宣传片、企业广告等;
网络服务类:拥有独享的企业域名、企业网站、企业邮箱、企业ERP等等服务和产品;
这两类的关系是:网络服务类 承载 网络形象类
一句话:这是一个网络传媒时代,拥有它,一切皆有可能。
但是所有这些都维系在一条底线之上,那就是正常的网络环境。于是为了保证网络服务质量,一些企业把服务器安置在通信运营商的付费托管机房,但是这样又一个问题产生了:商业数据的机密性如何保证?国内运营商机房的安全防护措施是否做到固若金汤?
那么我们这回要讲的就是企业自建机房,如何确保企业网络的高可用性。
企业无论是选择托管机房还是自建机房,一般都是专线连接,网关接入设备一般都是防火墙或者路由器,那么问题来了,如果你的网关设备意外down机了,一切都白费了……
高可用NO.1 边界网关冗余设计
![[Security系列一]拿什么保障企业对外网络服务的高可用性?](/default/index/img?u=aHR0cDovL2ltYWdlczIuMTBxaWFud2FuLmNvbS8xMHFpYW53YW4vMjAxODAzMzEvYl8wXzIwMTgwMzMxMTQxMzQ3NzU0OS5qcGc= "[Security系列一]拿什么保障企业对外网络服务的高可用性?")
1.设备类型:Cisco ASA 5520
2.采用技术:设备级冗余(Active/standary)
接口级冗余(channel)
3.关键配置
设备级冗余
failover
//启用故障倒换模式
failover lan unit primary
//配置本地ASA为主防火墙
failover lan interface fo1 GigabitEthernet0/3
//为基于LAN的故障倒换分配接口
failover polltime unit 2 holdtime 6
failover polltime interface 3 holdtime 15
//故障倒换计时器
failover key *****
//故障倒换密钥
failover replication http
//启用http复制,如果企业对外提供web服务,可以启用此命令;但是会增加设备负载,请衡量。
failover link st1 Management0/0
//配置倒换状态化链路接口
failover interface ip fo1 172.19.11.1 255.255.255.252 standby 172.19.11.2
//配置故障倒换IP地址/备用地址
failover interface ip st1 172.19.11.5 255.255.255.252 standby 172.19.11.6
//配置故障倒换状态化IP地址/备用地址
这种配置下,www.2cto.com 一台设备为主,一台设备为备;
主备判别在于:failover lan unit primary/secondary
在这种模式下,主设备负责传输流量,备用设备对主设备进行检测,两台设备都会发送hello包来相互检测对方状态。
接口冗余
接口channel冗余配置,是在841-k8.bin才被支持接口冗余特性;在此版本以前只支持备用接口配置,比较浪费接口带宽资源;
ASA中的etherchannel配置方式与常规etherchannel相似;
interface GigabitEthernet0/1
channel-group 1 mode active
no nameif
no security-level
no ip address
interface GigabitEthernet0/2
channel-group 1 mode active
no nameif
no security-level
no ip address
interface Port-channel1
nameif inside
security-level 100
ip address 172.18.11.2 255.255.255.0 standby 172.18.11.3
4.部署结果查询
asa-A# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fo1 GigabitEthernet0/3 (up)
Unit Poll frequency 2 seconds, holdtime 6 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 160 maximum
failover replication http
Version: Ours 8.4(1), Mate 8.4(1)
Last Failover at: 18:25:47 HKST Mar 29 2012
This host: Primary - Active
Active time: 5944290 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (A.A.A.A): Normal (Monitored)
Interface inside (172.18.11.2): Normal (Monitored)
slot 1: empty
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (B.B.B.B): Normal (Monitored)
Interface inside (172.18.11.3): Normal (Monitored)
slot 1: empty
Stateful Failover Logical Update Statistics
Link : st1 Management0/0 (up)
Stateful Obj xmit xerr rcv rerr
General 19265360 0 792606 0
sys cmd 792606 0 792606 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 17558802 0 0 0
UDP conn 743112 0 0 0
ARP tbl 170840 0 0 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 25 3765020
Xmit Q: 0 1486 26202792
asa-B# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: fo1 GigabitEthernet0/3 (up)
Unit Poll frequency 2 seconds, holdtime 6 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 160 maximum
failover replication http
Version: Ours 8.4(1), Mate 8.4(1)
Last Failover at: 18:25:30 HKST Mar 29 2012
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (B.B.B.B): Normal (Monitored)
Interface inside (172.18.11.3): Normal (Monitored)
slot 1: empty
Other host: Primary - Active
Active time: 5944454 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (A.A.A.A): Normal (Monitored)
Interface inside (172.18.11.2): Normal (Monitored)
slot 1: empty
Stateful Failover Logical Update Statistics
Link : st1 Management0/0 (up)
Stateful Obj xmit xerr rcv rerr
General 792628 0 8707857 0
sys cmd 792628 0 792628 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 7533676 0
UDP conn 0 0 210708 0
ARP tbl 0 0 170845 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 25 18617697
Xmit Q: 0 1 792628
结果显示:
当前状态下:A设备为主用设备,B设备为备用设备;
访问外网正常
C:\Users\Administrator>tracert www.sina.com
通过最多30 个跃点跟踪
到norma.sina.com.cn [202.102.75.147] 的路由:
1 <1 毫秒 <1 毫秒 <1 毫秒172.18.11.1
2 13 ms 2 ms 1 ms 企业网关
3 10 ms 1 ms 11 ms 58.215.68.45
4 2 ms 1 ms 3 ms 58.215.135.149
5 2 ms 2 ms 2 ms 58.215.66.189
6 5 ms 5 ms 5 ms 202.102.19.98
7 4 ms 4 ms 4 ms 202.102.76.10
8 6 ms 6 ms 6 ms 221.231.136.30
9 * * * 请求超时。
10 5 ms 4 ms 4 ms 202.102.75.147
跟踪完成。
![[Security系列一]拿什么保障企业对外网络服务的高可用性?](/default/index/img?u=aHR0cDovL2ltYWdlczIuMTBxaWFud2FuLmNvbS8xMHFpYW53YW4vMjAxODAzMzEvYl8wXzIwMTgwMzMxMTQxMzQ3MTI0OS5qcGc= "[Security系列一]拿什么保障企业对外网络服务的高可用性?")
内网服务正常
由于最近工作比较忙,这儿就不上图了,但是此配置部署是可靠运行的,网络可用性的第一步就到此告一段落,下回详解内网到边界网关这一段的高可用性部署……
摘自 用技术点燃梦想博客
那么说说看都有那些呢?
大致分两类:
网络形象类:企业LOGO、企业形象宣传片、企业广告等;
网络服务类:拥有独享的企业域名、企业网站、企业邮箱、企业ERP等等服务和产品;
这两类的关系是:网络服务类 承载 网络形象类
一句话:这是一个网络传媒时代,拥有它,一切皆有可能。
但是所有这些都维系在一条底线之上,那就是正常的网络环境。于是为了保证网络服务质量,一些企业把服务器安置在通信运营商的付费托管机房,但是这样又一个问题产生了:商业数据的机密性如何保证?国内运营商机房的安全防护措施是否做到固若金汤?
那么我们这回要讲的就是企业自建机房,如何确保企业网络的高可用性。
企业无论是选择托管机房还是自建机房,一般都是专线连接,网关接入设备一般都是防火墙或者路由器,那么问题来了,如果你的网关设备意外down机了,一切都白费了……
高可用NO.1 边界网关冗余设计
1.设备类型:Cisco ASA 5520
2.采用技术:设备级冗余(Active/standary)
接口级冗余(channel)
3.关键配置
设备级冗余
failover
//启用故障倒换模式
failover lan unit primary
//配置本地ASA为主防火墙
failover lan interface fo1 GigabitEthernet0/3
//为基于LAN的故障倒换分配接口
failover polltime unit 2 holdtime 6
failover polltime interface 3 holdtime 15
//故障倒换计时器
failover key *****
//故障倒换密钥
failover replication http
//启用http复制,如果企业对外提供web服务,可以启用此命令;但是会增加设备负载,请衡量。
failover link st1 Management0/0
//配置倒换状态化链路接口
failover interface ip fo1 172.19.11.1 255.255.255.252 standby 172.19.11.2
//配置故障倒换IP地址/备用地址
failover interface ip st1 172.19.11.5 255.255.255.252 standby 172.19.11.6
//配置故障倒换状态化IP地址/备用地址
这种配置下,www.2cto.com 一台设备为主,一台设备为备;
主备判别在于:failover lan unit primary/secondary
在这种模式下,主设备负责传输流量,备用设备对主设备进行检测,两台设备都会发送hello包来相互检测对方状态。
接口冗余
接口channel冗余配置,是在841-k8.bin才被支持接口冗余特性;在此版本以前只支持备用接口配置,比较浪费接口带宽资源;
ASA中的etherchannel配置方式与常规etherchannel相似;
interface GigabitEthernet0/1
channel-group 1 mode active
no nameif
no security-level
no ip address
interface GigabitEthernet0/2
channel-group 1 mode active
no nameif
no security-level
no ip address
interface Port-channel1
nameif inside
security-level 100
ip address 172.18.11.2 255.255.255.0 standby 172.18.11.3
4.部署结果查询
asa-A# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fo1 GigabitEthernet0/3 (up)
Unit Poll frequency 2 seconds, holdtime 6 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 160 maximum
failover replication http
Version: Ours 8.4(1), Mate 8.4(1)
Last Failover at: 18:25:47 HKST Mar 29 2012
This host: Primary - Active
Active time: 5944290 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (A.A.A.A): Normal (Monitored)
Interface inside (172.18.11.2): Normal (Monitored)
slot 1: empty
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (B.B.B.B): Normal (Monitored)
Interface inside (172.18.11.3): Normal (Monitored)
slot 1: empty
Stateful Failover Logical Update Statistics
Link : st1 Management0/0 (up)
Stateful Obj xmit xerr rcv rerr
General 19265360 0 792606 0
sys cmd 792606 0 792606 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 17558802 0 0 0
UDP conn 743112 0 0 0
ARP tbl 170840 0 0 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 25 3765020
Xmit Q: 0 1486 26202792
asa-B# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: fo1 GigabitEthernet0/3 (up)
Unit Poll frequency 2 seconds, holdtime 6 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 160 maximum
failover replication http
Version: Ours 8.4(1), Mate 8.4(1)
Last Failover at: 18:25:30 HKST Mar 29 2012
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (B.B.B.B): Normal (Monitored)
Interface inside (172.18.11.3): Normal (Monitored)
slot 1: empty
Other host: Primary - Active
Active time: 5944454 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (A.A.A.A): Normal (Monitored)
Interface inside (172.18.11.2): Normal (Monitored)
slot 1: empty
Stateful Failover Logical Update Statistics
Link : st1 Management0/0 (up)
Stateful Obj xmit xerr rcv rerr
General 792628 0 8707857 0
sys cmd 792628 0 792628 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 7533676 0
UDP conn 0 0 210708 0
ARP tbl 0 0 170845 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 25 18617697
Xmit Q: 0 1 792628
结果显示:
当前状态下:A设备为主用设备,B设备为备用设备;
访问外网正常
C:\Users\Administrator>tracert www.sina.com
通过最多30 个跃点跟踪
到norma.sina.com.cn [202.102.75.147] 的路由:
1 <1 毫秒 <1 毫秒 <1 毫秒172.18.11.1
2 13 ms 2 ms 1 ms 企业网关
3 10 ms 1 ms 11 ms 58.215.68.45
4 2 ms 1 ms 3 ms 58.215.135.149
5 2 ms 2 ms 2 ms 58.215.66.189
6 5 ms 5 ms 5 ms 202.102.19.98
7 4 ms 4 ms 4 ms 202.102.76.10
8 6 ms 6 ms 6 ms 221.231.136.30
9 * * * 请求超时。
10 5 ms 4 ms 4 ms 202.102.75.147
跟踪完成。
内网服务正常
由于最近工作比较忙,这儿就不上图了,但是此配置部署是可靠运行的,网络可用性的第一步就到此告一段落,下回详解内网到边界网关这一段的高可用性部署……
摘自 用技术点燃梦想博客
下一篇: 施乐推绿色打印技术 使用固态墨水