IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Check Point R77 – Load Sharing(Multicast) Cluster Yapılandırması

Merhaba,

Önceki yazımda, High Availability(Cluster XL) Cluster mode’unun kurulumundan ve yapılandırmasından bahsetmiştim. İncelemek isterseniz https://aydogmusoglu.com/check-point-r77-cluster-xlha-kurulumu-ve-yapilandirmasi.html adresini ziyaret edebilirsiniz. Bu yazımda Load Sharing(Multicast) Cluster mode’undan ve yapılandırmasından bahsedeğim.

Load Sharing (multicast , unicast ) seçimleri hakkında detay incelemek isterseniz https://sc1.checkpoint.com/documents/R76/CP_R76_ClusterXL_AdminGuide/7292.htm adresini ziyaret edebilirsiniz. Benzer şekilde HA tarafında da VRRP için detay incelemek isterseniz https://sc1.checkpoint.com/documents/R76/CP_R76_Gaia_WebAdmin/87911.htm adresini ziyaret edebilirsiniz. Yazımda Cluster Mode’larından Load Sharing(Multicast) yapılandırmasından bahsetmek istiyorum. Cluster XL(HA) kurulumu ve yapılandırması konulu yazımda lab topolojimden bahsetmiştim. Topolojiye tekrar göz atmak isterseniz https://aydogmusoglu.com/wp-content/uploads/2014/04/clip_image002.jpg adresini ziyaret edebilirsiniz.

Mevcut çalışan yapıda, Cluster mode’unu ve yapılandırmasını değiştirmek için aşağıda görülen gateway cluster özelliklerinden ilerleyebilirsiniz.

clip_image002

Üstteki menüde, HA-Cluster XL seçimi görünüyor.Load Sharing Multicast seçimi ile, cluster mode’unu ve yapılandırmasını, HA-Cluster XL’den , Load Sharing mode’una ve multicast yapılandırmasına çevirdim.

clip_image004

Domain Controller’ın arp tablosunu aşağıda paylaşıyorum.(DC internete erişirken, cluster ip adresini gateway olarak kullandığı için, arp tablosundaki değişimi gözlemek faydalı ve anlamlı olacaktır!)

clip_image006

Üstteki ilk çıktıdaki cluster ip(internal) adresinin mac adresine bakınız “08-00-27-0c-46-5e” . Check Point Security Gateway’lerden birinin mac adresi ile aynıdır. Dolayısıyla cluster’ın, HA(Cluster XL) mode’unda ve yapılandırmasındaki durumu gözlemiş olduk! Cluster ip adresinin mac adresi, active node’un mac adresi ile eşleştiriliyor{HA(clusterXL)’de,mantık dahilinde}!

Üstteki arp çıktısındaki ikinci kısma bakalım(LS,Multicas’e çevirdikten sonraki çıktı). Cluster ip adresinin mac adresi “01-00-5e-14-01-32” ‘dir . Cluster ip(internal) adresine, mac adresi olarak multicast mac adresi aralığından bir mac adresi verilmiş!

Benzer şekilde aşağıda görülen, Check Point Security Gateway’lerin önündeki Router’ın arp tablosuna bakalım.Cluster ip(external) adresine verilen mac adresi, “01-00-5e-10-01-28” ‘dir.

clip_image008

DC üzerinden ve Router üzerinden arp tablolarına bakıldığında, cluster mode’u ve yapılandırması load sharing & multicast ‘e çevrildikten sonra, cluster’ın internal ve external ip adresilerine atanan mac adresileri, multicast mac adresi aralığından seçilmiş(olması gereken durum)

Multicast MAC adresi detaylarını incelemek için aşağıdaki adresi ziyaret edebilirsiniz.

http://technet.microsoft.com/en-us/library/cc957928.aspx

Değişikliği yapıp Policy Installation’ını yaptıktan sonra aldığım log’ları aşağıda paylaştım.

clip_image010

Secgw1 ve Secgw2 yükü paylaşmış çalışıyorlar görünene göre J

Secgw2 ‘yi kapattım. Aşağıdaki log’lar üredi.

clip_image012

Kapanan gateway’de loglama da haliyle durdu!

clip_image014

Üstte, node’un bir network interface’inden gelen log görünüyor!

clip_image015

Önceki yazımdan ve topolojimden hatırlarsanız, 172.30.1.x network’ü, cluster node’larının sync network’üydü.

Secgw2’yi açana kadar sadece secgw1 kullanılacak. Node açıldıktan sonra, tekrar yük paylaşımına devam edecekler. Konunun sonuna gelmiş oldum.

Herkese sorunsuz ve neşeli günler dilerim.