关于私有云中的 Threat Defense Virtual 群集
本节介绍集群架构及其工作原理。
集群如何融入网络中
集群包含多台防火墙,作为单一设备工作。要用作集群,该防火墙需要以下基础设施:
-
独立的网络(称为集群控制链路),通过 VXLAN 接口用于集群内的通信。VXLAN 充当第 3 层物理网络上的第 2 层虚拟网络,让 threat defense virtual 能够通过集群控制链路发送广播/组播消息。
-
对每台防火墙的管理访问权限,用于进行配置和监控。threat defense virtual 部署包括用于管理集群节点的 Management 0/0 接口。
将集群接入网络中时,上游和下游路由器需要能够使用第 3 层单独接口和以下方法之一使出入集群的数据实现负载均衡:
-
策略型路由 - 上游和下游路由器使用路由映射和 ACL 在节点之间执行负载均衡。
-
等价多路径路由 - 上游和下游路由器使用等价静态或动态路由在节点之间执行负载均衡。
注 |
不支持第 2 层跨区以太网通道。 |
控制和数据节点角色
一个集群成员是控制节点。如果多个集群节点同时上线,则控制节点由中的优先级设置决定;优先级可设置为 1 到 100,其中 1 为最高优先级。所有其他成员都是数据节点。 首次创建集群时,您可以指定要成为控制节点的节点,因为它是添加到集群的第一个节点,所以它将成为控制节点。
集群中的所有节点共享同一个配置。您最初指定为控制节点的节点将在数据节点加入集群时覆盖数据节点上的配置,因此您只需在形成集群之前在控制节点上执行初始配置。
有些功能在集群中无法扩展,控制节点将处理这些功能的所有流量。
单个接口
独立接口是正常的路由接口,每个接口都有自己的 本地 IP 地址 用于路由。每个接口的 主集群 IP 地址 是固定地址,始终属于控制节点。当控制节点更改时,主集群 IP 地址将转移到新的控制节点,使集群的管理得以无缝继续。
由于接口配置只能在控制节点上配置,因此您可以通过接口配置设置一个 IP 地址池,供集群节点上的给定接口(包括控制节点上的一个接口)使用。
必须在上游交换机上分别配置负载均衡。
注 |
不支持第 2 层跨区以太网通道。 |
基于策略的路由
使用独立接口时,每个 威胁防御 接口都会保留自己的 IP 地址和 MAC 地址。基于策略的路由 (PBR) 是一种负载均衡方法。
如果已经在使用 PBR 并希望充分利用现有的基础设施,我们建议使用此方法。
PBR 根据路由映射和 ACL 作出路由决定。您必须在集群中的所有 威胁防御 之间手动划分流量。由于 PBR 是静态路由,因此可能有时候无法实现最佳的负载均衡效果。为了获得最佳性能,建议您配置 PBR 策略,以便连接的转发数据包和返回数据包定向到同一个 威胁防御。例如,如果您有一台思科路由器,使用带对象跟踪的思科 IOS PBR 即可实现冗余。思科 IOS 对象跟踪使用 ICMP ping 监控每台 威胁防御。然后,PBR 可根据特定 威胁防御 的可访问性来启用或禁用路由映射。有关详细信息,请参阅以下 URL:
http://www.cisco.com/en/US/products/ps6599/products_white_paper09186a00800a4409.shtml
同等成本的多路径路由
使用独立接口时,每个 威胁防御 接口都会保留自己的 IP 地址和 MAC 地址。等价多路径 (ECMP) 路由是一种负载均衡方法。
如果已经在使用 ECMP 并希望充分利用现有的基础设施,我们建议使用此方法。
ECMP 路由可以通过路由指标并列最优的多条“最佳路径”转发数据包。它与 EtherChannel 一样,也可以使用源和目标 IP 地址及/或源和目标端口的散列值将数据包发送到下一跃点。如果将静态路由用于 ECMP 路由,则 威胁防御 故障会导致问题;如果继续使用该路由,发往故障 威胁防御 的流量将丢失。因此,如果使用静态路由,请务必要使用静态路由监控功能,例如对象跟踪。我们还建议使用动态路由协议来添加和删除路由,在这种情况下,您必须配置每台 威胁防御 使之加入动态路由。
集群控制链路
每个节点必须将一个接口作为集群控制链路的 VXLAN (VTEP) 接口。 有关 VXLAN 的详细信息,请参阅配置 VXLAN 接口。
VXLAN 隧道端点
VXLAN 隧道终端 (VTEP) 设备执行 VXLAN 封装和解封。每个 VTEP 有两种接口类型:一个或多个虚拟接口称为 VXLAN 网络标识符 (VNI) 接口;以及称为 VTEP 源接口的常规接口,用于为 VTEP 之间的 VNI 接口建立隧道。VTEP 源接口连接到传输 IP 网络,进行 VTEP 至 VTEP 通信。
VTEP 源接口
VTEP 源接口是一个计划要将其与 VNI 接口相关联的常规threat defense virtual 接口。您可以将一个 VTEP 源接口配置为集群控制链路。源接口会被保留,以便仅供集群控制链路使用。每个 VTEP 源接口在同一子网上都有一个 IP 地址。此子网应与所有其他流量隔离,并且只包括集群控制链路接口。
VNI 接口
VNI 接口类似于 VLAN 接口:它是一个虚拟接口,通过使用标记,实现网络流量在给定物理接口上的分离。您只能配置一个 VNI 接口。每个 VNI 接口在同一子网上都有一个 IP 地址。
对等体 VTEP
与数据接口的常规 VXLAN 只允许单个 VTEP 对等体不同,threat defense virtual 集群允许您配置多个对等体。
集群控制链路流量概述
集群控制链路流量包括控制流量和数据流量。
控制流量包括:
-
控制节点选举。
-
配置复制。
-
运行状况监控。
数据流量包括:
-
状态复制。
-
连接所有权查询和数据包转发。
配置复制
集群中的所有节点共享一个配置。您只能在控制节点上进行配置更改(引导程序配置除外),这些更改会自动同步到集群中的所有其他节点。
管理网络
您必须使用管理接口来管理每个节点;集群不支持从数据接口进行管理。