Sonicwall High Availability (HA) Yapılandırması

Merhaba,

Bu makalede sizlere yüksek erişilebilirliği (High Availability) 2 SonicWall cihazında nasıl yapılandıracağınızı açıklamaya çalışacağım. Bu işlem sayesinde network’ de sorunsuz iletişimi sağlamak ve ağın güvenilirliğini arttırmak için önemli bir çözümdür. HA yapılandırmalarda cihaz kodu farklıdır ve ana cihaz (primary device) modeli neyse , HA cihazında modeli aynı olmalıdır. Ortak lisans kullanımı ile rakiplerine göre önemli bir fark yaratan Sonicwall, hem maaliyet hem de yönetilebilirlik açısından ciddi avantaj sağlamaktadır. Primary cihaza alınan lisans, mysonicwall.com üzerinden eşleştirme yaparak yedek cihazında kullanımını sağlar.

SonicOS 6.5 Eylül 2017’de yayımlandı. Bu sürüm önemli kullanıcı interface değişiklikleri ve SonicOS 6.2 ve önceki firmwarelerden farklı birçok yeni özellik içermektedir. Aşağıdaki çözüm SonicOS 6.5 ve üstü firmware’leri kullanan müşteriler için hazırlanmıştır.

NOT: Bu rehberi takip etmeden önce, lütfen primary ve backup cihazın her ikisinde de PortShield’i devre dışı bırakın: How to disable PortShield (Portshield’i devre dışı bırakma)

DİKKAT: Eğer backup cihazı herhangi bir ayar içeriyorsa lütfen fabrika ayarlarına sıfırlayın: Güvenlik duvarı erişilebilir olduğunda güvenlik duvarını fabrika varsayılan ayarlarına sıfırlayın ve sıfırladıktan sonra, PortShield’i devre dışı bırakın.

İlk kurulumdan sonra Yüksek Erişilebilirlik ayarlamasında ilk görev Primary SonicWall güvenlik cihazındaki High Availability | Base Setup sayfasını yapılandırmaktır. Primary SonicWall güvenlik cihazında Yüksek Erişilebilirliği bir kez ayarladığınızda, Backup SonicWall güvenlik cihazına ayarları yönlendiriniz. Primary SonicWall’da Yüksek Erişebilirliği ayarlamak için, aşağıdaki adımları uygulayınız:

  1. SonicWall Management Interface (SonicWall Yönetim Arayüzünde) oturum açın.
  2. Tepedeki Ana Menüden Managebutonuna tıklayın.
  3. High Availability | Base Setup’a tıklayın.

  1. Mode bölümünü “Active / Standby” olarak ayarlayın.
  2. Enable Stateful Synchronization“’ı işaretleyin.
  3. Enable Virtual MAC“’i işaretleyiniz. Sanal MAC (Virtual MAC) Primary ve Backup cihazlarının tek bir MAC adresini paylaşmalarına izin verir. Bir yük devretme (failover) gerçekleştiğinde bu network yönlendirme tablolarını (network routing tables) güncelleme sürecini büyük ölçüde basitleştirir. Sadece iki cihazın bağlı olduğu WAN veya LAN switch’i haberdar edilmelidir. Tüm dış cihazlar tek paylaşılan MAC adresine yönlendirilmeye devam edecektir.
  4. HA Devices” sekmesine gelin ve backup cihazının seri numarasını yazın.

  1. HA Interfaces” sekmesine gelin ve HA Control Interface’ni seçin.

Bu ayarları korumak için Accept/Apply’ı tıklayın.

Şimdi, Primary cihaz ikinci cihazı bulmalı ve ikinci cihaz ile ayarları ve firmware’i farklı ise firmware’i senkronize etmeye başlamalıdır. Eğer başlamaz ise, lütfen aşağıdakilerden emin olun

  • Her iki cihazın tüm interface’lerinde PortShield’i devre dışı bıraktığınıza
  • “HA Devices” sekmesi altında Backup Seri Numarasının doğru olduğuna
  • HA Pair gibi cihazların MySonicWall’da aynı hesabın altında doğru ilişkilendirildiğinden
  • HA Control Interface (HA Kontrol Arayüzü) gibi seçilen interface’i kullanarak birlikte kablolandıklarına (bağlandıklarına).

NOT: Eğer Stateful HA Failover kullanılmıyorsa, Enable Preempt Mode’u seçin. Bu özellik, bir hata durumu, yeniden başlatma veya firmware yükseltme gibi durumlardan kurtarma işleminden sonra primary cihazın çalışabilir durumda olduğuna dair doğrulanmış backup cihazı ile başarılı bir şekilde iletişime geçtikten sonra aktif rolü Backup’tan alacağı davranışı kontrol eder. Stateful High Availability devreye alındığında Preempt mode önerilmemektedir, çünkü önyükleme modu (preempt mode) trafiğin ek senkronizasyonuna zorlar, bu da yüksek yük ağlarında (high load networks) önerilmez.

Gelişmiş Yüksek Erişilebilirlik (Advanced High Availability) Ayarlarını Yapılandırma

  1. Soldaki gezinme bölmesinde, High Availability | Advanced seçeneğini tıklayın.

Gösterdiği ayarlar minimum tavsiye edilen değerlerdir. Daha düşük değerler, özellikle SonicWall ağır bir yük altında olduğu zaman, gereksiz devre dışı kalmalara neden olabilir. SonicWall’unuz çok fazla ağ trafiğini yönetebiliyorsa daha yüksek değerler kullanabilirsiniz.

NOT:Stateful High Availability özelliği etkinleştirilmediğinde, Primary ve Backup SonicWall güvenlik cihazları arasında oturum durumu senkronize edilmemektedir. Eğer bir Yük devretme (failover) gerçekleşirse, yük devretme (failover) esnasında aktif olan herhangi bir oturumun yeniden değerlendirilmesi gerekir.

  1.    Firmware versiyonunu yükseltirken firmware ve ayarları yedeklemek için, Generate/Overwrite Backup Firmware and Settings When Upgrading Firmware’i seçin.

  2.    İsteğe bağlı olarak, iki birimin ne sıklıkla iletişim kuracağını kontrol etmek için Heartbeat Interval’ı ayarlayın. Varsayılan değer 5000 milisaniyedir; minimum tavsiye edilen değer 1000 milisaniyedir. Bundan daha azı, özellikle SonicWall ağır bir yük altında olduğu zaman gereksiz yük devretmelerine (failover) neden olabilir.

4.    Upstream) veya downstream probe hedefleri ile iletişimi arasındaki aralık için Probe Level’ı saniye cinsinden ayarlayın. SonicWall aralığı en az 5 saniye olarak ayarlamanızı önerir. High Availability | Monitoring ekranında Probe IP adresini / adreslerini ayarlayabilirsiniz.

5.    Genel olarak, SonicWall Failover Trigger Level (missed heart beats), Election Delay Time (seconds) zamanlayıcılarını kendi varsayılan ayarlarında bırakılmasını önerir. Bu zamanlayıcılar spesifik network ortamınız için ihtiyaç duyulduğunda daha sonra da ayarlanabilir.

  1.    Cihazların tüm sertifika ve şifreleri senkronize etmesini sağlamak için Include Certificates/Keysonay kutusunu işaretleyiniz.

Heartbeat Interval (seconds) – Bu zamanlayıcı, durum denetimleri arasındaki süreyi belirtir. Varsayılan olarak bu zamanlayıcı 5 saniyeye ayarlanmıştır; daha uzun bir zaman dilimi kullanmak SonicWall’ın arızaların oluşup oluşmadığını / ne zaman oluştuğunu algılaması için daha fazla zaman kullanmasına neden olur.

Failover Trigger Level (missed heart beats) – Bu zamanlayıcı SonicWall’un başarısız olmadan önce kaçıracağı heartbeat sayısıdır. Varsayılan olarak, bu zaman 5 heart beats olarak ayarlanmıştır. Bu zamanlayıcı, Heartbeat Interval timer‘a bağlıdır, örneğin Heartbeat Interval’ı 10 saniye olarak ayarlarsanız ve Failover Trigger Level zamanlayıcıyı 5 olarak ayarlarsanız, SonicWall’ın başarısız olmasından önce 50 saniye geçecektir.

Probe Interval – Bu zamanlayıcı, yol izleme hızını denetler. Path monitoring (yol izlemesi), network kritik yolunun hala erişilebilir olduğunu izlemek için belirtilen IP adreslerine ping gönderir. Varsayılan 20 saniyedir ve izin verilen aralık 5 ile 255 saniye arasındadır.

Election Delay Time – Bu zamanlayıcı, SonicWall’un Interface’in up (ayakta) ve kararlı olup olmadığını düşünmesi için bekleyeceği süreyi belirlemek için kullanılabilir ve bu spanning-tree delay set’i (kapsayan ağaç gecikme seti) olan switch portları ile uğraşırken yararlıdır.

Gelişmiş Sayfa (Advanced Page) hakkında daha fazla bilgi için:

  • Primary ve Backup cihazları arasındaki ayarları manuel olarak senkronize etmek için Synchronize Settings’e tıklayın : Backup cihazı yeniden başlayacaktır.
  • İkincil cihaz offline iken daha önceden primary cihazınıza yeni bir firmware yüklediyseniz Synchronize Firmware’e tıklayın ve o şimdi online olacaktır ve yeni firmware’e geçmek için hazır olacaktır. Synchronize Firmware genel olarak, her iki birimi yeni firmware’e yükseltmeden önce, backup cihazınızı çevrimdışına (offline) aldıktan sonra primary ünitede yeni bir firmware versiyonunu test ederken kullanılır.

Yüksek Erişilebilirlik (High Availability) | Monitoring Ayarlarını Yapılandırma

High Availability | Monitoring sayfasında, HA Çiftindeki (HA Pair) her iki cihaz için eşsiz yönetim IP adresleri yapılandırabilirsiniz bu da her cihaza yönetim amacı ile bağımsız bir şekilde oturum açmanıza izin verir: Configuring High Availability | Monitoring settings (Yüksek Erişilebilirlik | Monitoring Ayarlarını Yapılandırma)

Bağlı networklerden birinde veya daha fazlasında güvenilir bir cihazı izlemek için SonicWall için Logical / Probe IP adresi yapılandırabilirsiniz. HA Çifti’ndeki Aktif unit tarafından cihazla periyodik olarak iletişim kurulamaması durumunda Idle unit’e bir yük devretme (failover) tetikleyecektir.

NOT: Primary IP Addresi ve Backup IP Addresi alanları bir LAN interface’inde bağımsız IP adresleri ile konfigüre edilmelidir, X0 gibi, (veya bir WAN interface, X1 gibi, WAN’da araştırmak için) logical probing’in doğru işlemesine izin vermek için.

TIP: Monitoring IP, Standby cihazının lisans bilgisini download etmek için kullandığı IP’dir.

Konfigürasyonu Test Etme

  • Primary ve Backup SonicWall güvenlik cihazlarının doğru çalıştığını doğrulamak için, birkaç dakika bekleyin, ardından Primary SonicWall cihazını kapatın. Backup SonicWall güvenlik cihazı hızlı bir şekilde devralmalıdır.
  • Yönetim workstation’undan (iş istasyonunuzdan), Public İnternet’teki bir siteye erişerek Backup SonicWall aracılığıyla bağlantıyı test edin – Backup SonicWall’un, Etkin olduğunda (Active), Primary’nin IP adresleri ve Ethernet MAC adresleri de dahil olmak üzere tam kimliğini üstlendiğini unutmayın.
  • Backup SonicWall’un eşsiz (unique) LAN IP adresine giriş yapın (Management IP). Management interface şimdi Logged Into’yu göstermelidir: Backup SonicWall Status (Backup SonicWall Durumu): sağ üst köşede (yeşil top / green ball) Etkin (Active). Eğer tüm lisanslar Primary unit ile halihazırda senkronize edilmediyese, System | Licenses sayfasına gelin ve bu SonicWall güvenlik cihazını mysonicwall.com üzerinde register edin. Bu SonicWall lisanslama sunucusunun lisansları senkronize etmesine izin verir.
  • Şimdi, Primary SonicWall’u tekrar açın, birkaç dakika bekleyin, ardından tekrar yönetim interface’inde oturum açın. Management interface yeniden Logged Into’yu göstermelidir: Primary SonicWall Status (Primary SonicWall Durumu): sağ üst köşede (yeşil top / green ball) Etkin (Active).
  • Monitor Interfaces özelliğini kullanıyorsanız, her şeyin doğru şekilde çalıştığından emin olmak için izlenen her bağlantının (link) bağlantısını kesmeyi deneyin.

NOT: Başarılı Yüksek Erişilebilirlik senkronizasyonu loglanmamaktadır, sadece hatalar loglanmaktadır.

Yüksek Erişilebilirlik (HA) Testi / İngiliz Anahtarı LED durumu:

Sorun Giderme: 

The Log Shows “Error – High Availability – License of HA Pair doesn’t match” or “HA License Sync Error” with Hardware Failover (HF) – (Log Donanım Yük Devretme (HF) ile birlikte “Hata – Yüksek Erişilebilirlik – HA çiftinin lisansı eşleşmiyor” veya “HA Lisans Senkronizasyon Hatası” nı gösterir.)

(Tips for High Availability (HA) setup) – Yüksek Erişilebilirlik (HA) kurulumu için ipuçları

1,044 total views, 5 views today

About Author

Mustafa Akçin
admin@mustafaakcin.com

Bir Cevap Yazın

%d blogcu bunu beğendi: