Palo Alto HA Cluster Aktif Aktif | Aktif Pasif

PALO ALTO
Comments

Merhabalar arkadaşlar

Bu makalemde hiçbir yerde anlatılmayan derinlemesine ayrıntılı HA Aktif – Pasif ve Aktif – Aktif Aynı yazıda sizlere anlatacağım

(Palo alto OS versiyonları aynı olmak zorunda iki cihazında diğerinde 8.0.1 ise ikinciside aynı olmak zorunda ayrıca 9.0 ve üst versiyonlardada bu makalemdeki gibi HA çalıştırabilirsiniz )

Öncelikle diğer firewalllardan farklı olarak Palo altoda 4 adet keepalive ve peerlink kullanıyoruz yedekli olarak çalışıyor

Şöyleki palo altoda Mgnt interface olmazsa olmazlardan bir interface palo alto Mgnt hiçbirşekilde iptal edemezsin her şartlar altında kullanmak zorundasın diye bir şart koşuyor bize

Şimdi her yiğidin yoğurt yiyişi farklıdır

bazılarımız Palo alto’yu Mgnt interfaceden yönetir bazılarımız ise herhangi bir interface’i trust port yaparak hem Mgnt hemde diğer işlemleri trust portlarından yönlendirir,

eğer Mgnt interface olarak çalıştıracaksanız 3 interface düşürebilirsiniz

Palo alto herhangi bir interfacelerini trust port olarak kullanıp 2 cihaza ayrı ayrı erişmek yerine tek bir ip adresinden erişmek istiyorsanız o zaman 4 port kullanmanız gerekiyor işin aslında her şartlarda Palo Alto aktif aktif veya Aktif Pasif tede 4 HA portu ile çalışıyor,

Şimdi makale adımlarına geçelim benim topolojim eminimki Ha kuracak arkadaşların topolojileride aynı olacak genelde tek tip topoloji kullanıyoruz diğerleride bu topolojiye benzer

  1. Topolojimiz bu şekilde

/Users/yunus/Desktop/HAtopology.jpg

burada 4 adet HA için ayırdığımız interface’lerimiz bulunmaktadır

  1. Mngt,HA1-HA2 interface bölümünde ha olarak tanımladığımız bridge portlarımızdan seçtiğimiz X bir port mesela 4 numaralı Port HA control link yaptım (4 adet olmak zorunda )

Yine bridge portlardan istediğim portu mesela 1 numaralı portu Trust (local port) yapıyorum

Şimdi interfacelerimizi birbirine bağladık HA-1,HA-2,ve HA control linki direk switche girmeden birbirine bağlayın MGMT portunu switch üzerinden bağlayın’ki ayrı ayrı MGMT ederek ne oluyor diye kontrol edebilirsiniz

  1. Evet şimdi interface config ayarlarına geçebiliriz, öncelikle network-interface tabına gelelim ve oradan herhangi bir boş portu HA link kontrol için seçelim

/Users/yunus/Desktop/Palo_alto/Screen Shot 2019-07-28 at 15.39.06 copy.png

ve seçtiğimiz interface’in içerisine girelim ve interface type sadece HA yapalım

/Users/yunus/Desktop/Palo_alto/Screen Shot 2019-07-28 at 15.39.20 copy.png

şimdide iki cihaz içinde MGMT confiğini yapalım ve switch üzerinden bağlantısını sağlayalım

HA – 1 Cihazımın MGMT ip adresi

/Users/yunus/Desktop/Palo_alto/ha_mngt.png

HA – 2 Cihazımın MGMT ip adresi

/Users/yunus/Desktop/Palo_alto/ha_mngt_2.png

buradaki MGMT ip adreslerinin ne olduğu çokta önemli değil local network’ünüzde aynı bir MGMT switchler için network varsa daha güzel olur o portları switch üzerinden MGMT vlanına alırsınız yoksa local networkten verirsiniz ( önerilen ayrı biz vlan yada izole bir network)

yukarıdaki işlemleri 2’inci cihazdada aynısını yapacağız aynı port numaralı interface’de

şimdi sıra geldi HA Availability configurasyonuna

  1. Evet şimdi sıra geldi HA Availability configurasyonuna burada’ki yapacağımız config 2’inci cihazdada yapmamız gerekiyor ip adresleri tam tersine olacak ve önceliklendirme vereceğiz config olan bir cihazda HA yapıyorsanız önceliklendirmeye dikkat etmelisiniz yoksa configleri uçurursunuz

/Users/yunus/Desktop/Palo_alto/Ha-Aktif copy.png

HA-1 AKTİF olan yani primary

/Users/yunus/Desktop/Palo_alto/Ha-Passive copy.png

HA-2 PASİF olan yani secondary

Burada dikkat edilmesi gereken noktalar var onlara değinecek olursak

Device priority değerleri palo alto tarafında değeri en düşük olan herzaman aktif yani primary olur

Bir diğer husus ise aktif – aktif veya aktif – pasif te aynı configleri yaparak çalıştırabilirsiniz

Aşağıdaki belirtilen noktalarda ister aktif – aktif isterseniz aktif – pasif çalıştırabilirsiniz ama group id’leri aynı olmak zorunda

/Users/yunus/Desktop/Palo_alto/Screen Shot 2019-07-28 at 15.40.36 copy.png

Evet HA confiğinide yaptığımıza göre son işlem olan HA link ve path portlarını monitör et dememize geldi sıra

Bu işlemi şöyle söylemek istiyorum

Aktif pasif veya aktif aktifte untrust veya trust gb. Port bazlı kesintiler kopmalar kablosunu değiştirmek istediğinde cihaz aktif çalışıyorken HA o portların monitör edildiğini anlayıp pasif olan cihaza aktaracak veya aktif olan diğer cihaza aktaracak böylelikle arada kesinti olmayacak (Aktif-pasifte 2-3 sn’yelik kesinti olur)

/Users/yunus/Desktop/Palo_alto/Screen Shot 2019-07-28 at 15.41.05 copy.png

burada yukarıdada bahsettiğim gibi, Untrust ve Trust portlarım yani WAN internet bacağım ve Local network interface’leri dinle o portlardan biri bağlantı hatalarından kaynaklı sorun olursa diğer cihaza aktar diyor kısaca monitör ettiğini söylüyor

/Users/yunus/Desktop/Palo_alto/Screen Shot 2019-07-28 at 15.41.19 copy.png

burada’da şunu dedik sen HA control linkisin seni’de monitör ediyorum diyoruz

unutmamanız gereken her iki cihazdada aynı configleri yapacağız

tek farkı cluster ip adreslerinin farklı oluşu ve mgmt ip adreslerinin farklı olduğu

onun haricindekiler aynı birebir olacak

bir sonraki ssl vpn ve ipsec tunnel vpn makalelerimde görüşmek üzere

sormak istediğiniz bir şey olursa yorumlarda yardımcı olabilirim sizlere ,

 

Post Views: 2,075
Updated: August 22, 2020 — 9:29 pm
Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *