Главная > Телекоммуникация, сети > ISP Redundancy на CheckPoint (SPLAT). Proxy ARP.

ISP Redundancy на CheckPoint (SPLAT). Proxy ARP.

Check Point. ISP Redundancy.ISP Redundancy — это решение, которое позволяет позволяет повысить надежность связи с Internet за счет организации соединения с Internet по нескольким каналам. Предлагается три варианта резервирования:

1. Режим Primary/Backup (основной/резервный) позволяет организовать соединение с ISP по основному каналу, имея в резерве запасной, который используется при повреждении основного канала. После восстановления работоспособности основного канала новые соединения организуются через этот канал, а существующие соединения продолжают использовать резервный.

2. Режим Load Sharing (распределение нагрузки) использует оба соедиения с ISP, распределяя между ними исходящий трафик. Новые соединения распределяются между каналами случайным образом. Такая конфигурация расширяет доступную пользователям полосу и повышает уровень надежности.

3. Режим Primary/Dial-up Links (резервирование по коммутируемой линии) позволяет организовать резервное соединение по каналу ADSL, ISDN или аналоговой телефонной линии (модем) при повреждении основного канала.

Где такая технология может быть использована?

Например, имеется у нас платежный сервис, при обрыве основного канала клиенты могут зайти через резервный. Причем, даже если основной канал в порядке, то через резервный все равно можно ходить. Маршрутизатор в этом случае работает по принципу от кого получил пакет, туда и отдал.

Реализую схему, которая представлена на рисунке ниже:

ISP Redundancy

Итак, имеется Check Point R70.1 на базе SecurePlatform, на нем установленно 3 сетевых интерфейса. Первый и второй сетевой интерфейс смотрят в сторону разных провайдеров (ISP1 и ISP2), третий — в сторону вэб сервера. В качестве провайдеров я использую обычные компьютеры. Наша задача — сделать доступ с компьютера ISP1 и ISP2 к Web Server’у. На практике таких веб серверов может быть несколько, каждый будет имееть свой IP адрес.

В нашем случае сетевой интерфейс с адресом 10.0.0.1, при помощи Proxy ARP, будет ещё принимать пакеты для адреса 10.0.0.5 и затем перенаправлять их при помощи технологии NAT вэб серверу c адресом 192.168.1.2. Аналогично со стороны другого провайдера.

При настройке ISP Redundancy я буду конфигурировать правила NAT вручную (Manual NAT). При конфигурировании автоматического правила NAT, Check Point будет автоматически добавлять Proxy ARP запись. Однако, если использовать ручной NAT то нам нужно настроить Proxy ARP записи самостоятельно.

По умолчанию Proxy ARP отключен в SecurePlatform (SPLAT), поэтому мне необходимо включить его. Для этого подключаемся по SSH к SecurePlatform, входим в эксперт режим. Мне необходимо добавить в файл /etc/sysctl.conf следующие строки:

net.ipv4.conf.all.proxy_arp = 1
net.ipv4.conf.default.proxy_arp = 1

После этого необходимо перезагрузить SecurePlatform.

Если нет возможности перезагрузить платформу, то можно включить Proxy ARP на любом сетевом интерфейсе. Для этого нужно зайти в директорию /proc/sys/net/ipv4/conf/, дальше выбрать директорию, которая называется так же, как и сетевой интерфейс и записать туда файл с именем proxy_arp, и содержимым — «1». Это можно сделать следующим образом: echo 1 > proxy_arp.

Все готово, теперь можно создать Proxy ARP запись в файле $FWDIR/conf/local.arp. В моем случае файл будет выглядить следующим образом:

10.0.0.5 00:0c:29:23:0c:aa
172.0.0.5 00:0c:29:23:0c:b4

SecurePlatform будет отвечать на ARP запрос для 10.0.0.5 с записаным MAC адресом (конечно, MAC адрес должен существовать и должен совпадать с MAC адресом сетевого интерфейса на SecurePlatform).

Check Point. ISP Redundancy.

В SmartDashbord, в Global Properties необходимо включить опцию Merge manual proxy ARP configuration.

Check Point. ISP Redundancy.

Для того, чтобы можно было определять сетевые интерфейсы как внутренние или внешние, необходимо конвертировать Check Point в режим Gateway.

Check Point. ISP Redundancy.

Я попадаю сразу в окно Check Point Gateway. В разделе Toplogy нажимаю кнопку Get… и выбираю пункт Interfaces with Topology… Руками назначаю правильную топологию для каждого интерфейса.

Check Point. ISP Redundancy.

В моем случае это выглядит следующим образом.

Check Point. ISP Redundancy.

Перехожу в раздел ISP Redundancy, включаю опцию Support ISP Redundancy. Нажимаю кнопку Set initial configuration, после выполнения инициализации в области ISP Links вижу две записи. Выбираю режим Redundancy mode — Load Sharing.

Check Point. ISP Redundancy.

Редактирую в области ISP Links первый объект. Указываю Next Hop IP Address для ISP1: 10.0.0.2

Check Point. ISP Redundancy.

Аналогично для ISP2.

В окне Check Point Gateway нажимаю OK.

Check Point. ISP Redundancy.

Создаю объект Host Node с именем web и IP адресом 192.168.1.2

Check Point. ISP Redundancy.

В разделе NAT выбираю опцию Add Automatic Address Translation rules. Translation methodHide. Hide behind Gateway. Жму OK.

Создаю объект Host Node с именем ISP1 и IP адресом 10.0.0.5. Автоматический NAT для этого узла не нужен. Аналогично создаю объект Host Node с именем ISP2 и IP адресом 172.0.0.5.

Check Point. ISP Redundancy.

Создаю ручные правила NAT. В моем случае результат будет выглядеть так.

Инсталлируем политику. Меню Policy — Install.

Настройка ISP Redundancy завершена. Теперь наш Web Server будет доступен как с ISP1, так и с ISP2.

(с) Denis Urasov

  1. alex
    26 Январь 2012 в 11:53 | #1

    Картинки не отображаются :(

  2. 26 Январь 2012 в 12:26 | #2

    Исправил. Спасибо.

  3. alex
    26 Январь 2012 в 18:17 | #3

    ооо, гуд, спасибо. Денис, случаем, не прикручивал radius-сервер для аутентификации админов при доступе на splat?

  4. 26 Январь 2012 в 23:09 | #4

    К сожалению нет :(

  5. alex
    27 Январь 2012 в 14:27 | #5

    ааа, я уже разобрался. спасибо, тебе за материалы по чекпоинту и др. решениям!

  6. 27 Январь 2012 в 15:16 | #6

    Писал в первую очередь для себя, чтобы не забыть. Если кому-то ещё пригодилось — очень рад.
    Если есть чем поделиться, пиши, опубликуем пост. Например, как ты прикрутил radius-сервер для аутентификации админов при доступе на splat :)

  7. Andrey
    11 Октябрь 2012 в 08:02 | #7

    А такой фокус проходит с почтовыми серверами?

  8. 11 Октябрь 2012 в 09:06 | #8

    Да, делаем две MX записи, а по факту это будет один почтовый сервер. Только вот смысла я в этом не вижу.

  1. Пока что нет уведомлений.