Palo Alto – CITRIX Netscaler LINK MONITORING ile HA

Alperen Soyalp 22 Ocak 2018 Netscaler, Palo Alto2

Aşağıdaki şekildeki gibi bir topolojimiz olduğunu varsayıyoruz. Güvenlik duvarları kendi arasında yedekli (Aktif-Pasif) HA çalışır durumda. Yük dengeleme cihazları da Aktif-Pasif yapıda çalışıyor.

Palo Alto Citrix Netscaler

Aktif Palo Alto herhangi bir sebeple devre dışı kaldığında HA bağlantısı sayesinde pasif cihaz bundan haberdar olup Aktif konuma geçebiliyor. Benzer durum yük dengeleme cihazları için de geçerli Aktif cihaz bir sebeple sustuğunda pasif cihaz devreye giriyor.

Diyelim ki aktif durumdaki güvenlik duvarında (Palo Alto) bir sorun yaşandı ve devre dışı kaldı. Pasif Güvenlik duvarı trafiği üzerine alacak ve aktif duruma geçecektir. Ancak bu durumdan netscaler’ın haberi olmadığından aktif pasif değişimi yapılamayacak, netscaler arkasındaki servislere dışardan ulaşılamayacaktır (Default ayarlarda). Durum aşağıdaki gibi olacak:

Redundancy

Tam yedeklilik için aşağıdaki topolojinin oluşturulması gerekiyordu. Fakat bizim case’imizde Palo alto üzerinde bu topolojiyi gerçekleştirebilecek sayıda port yok. O yüzden Palo Alto ve Netscaler tarafında Link and Path Monitoring yeteneklerini kullanarak. Tam yedekliliği o şekilde sağlamak istiyoruz.

link monitoring

Yukarıdaki gibi çapraz bağlantılar yapmadan, tam yedekliliği sağlamak için yapılması gerekenler:

Palo Alto tarafında yapılması gereken ayar:

1.Device > High Availability altında Link and Path monitoring tabına gelin

Palo Alto failure

Link monitoring tabının sağ üst köşesindeki butona tıklayarak Enable ve Any seçerek OK.

2.Link Group tabındaki Add butonuna basarak izlenmesi istenen (yani bizim case’imizde citrix’e giden) portu seçin Enable deyip OK ile kaydedin.

Commit edin.

Citrix Netscaler tarafında yapılması gereken ayar:

1.Configuration > System > Network > Interfaces altına gelin

2.Palo Altonun bağlı olduğu porta tıklayıp içine girin. HA monitoring’i ON duruma getirin ve kaydedin.

3.Dana önceden citrix kurulumunda cihazlar HA olarak çalışması gereken ayarlar yapılmışsa, aşağıdakine benzer bir görüntüyü Configuration > System > High Availability altında görüyor olmanız gerek

yük dengeleme

UP durumda olan cihazın üstüne tıklayın kutucukların aşağıdaki gibi işaretlendiğinden emin olun.

MPX

Kaydedin. Pasif durumda olan cihazlarda da bu değişikliklerin gerçekleştiğinden emin olun. Yedeklilik testi için cihazlarınızı kapatıp açabilirsiniz. Bu topolojide bir cihaz devre dışı kaldığında sistemin tekrar çalışır hale gelmesi 30 sn 1 dk arasında zaman alabiliyor.

Diğer Palo Alto yazıları için tıklayın

Diğer Netscaler yazıları için tıklayın

 

Yorumlar (2 yorum)
hasan güngör
hasan güngör #
- 08:50

teşekkürler hocam aydınlandık…

    Alperen Soyalp
    Alperen Soyalp #
    - 20:33

    Rica ederim.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Dostlar