Firewalls

Configuracion cluster xl

15 abril, 2009
sysadmin

Configuración básica de un cluster XL de Checkpoint con dos nodos + 1 consola + 1 log server (la consola y el logserver pueden estar en la misma maquina si no tienes mucho tráfico).

A estas alturas de la vida no tiene mucho sentido montar el firewall sobre un sistema operativo, asi que, secureplattform a los nodos y la consola+logserver en un w3k (a ver si sacan de una puñetera vez la version para linux). Si tienes los recursos necesarios (y un par) se puede montar sobre solaris tambien (aunque hay que licenciarlo a parte).
Partimos de que:
-La consola esta instalada.
-Nodo A instalado, realizada la comunicacion con la consola y politica inicial.
-Nodo B idem

Lo normal es que cada interface de red tenga una IP virutal (la .1) y luego los nodos una fisica cada uno (.2 y .3 poer ejemplo) para poder acceder a ellos de forma individual. Checkpoint no tiene forma (por lo menos que yo sepa) de ver que nodo esta arriba (salvo mirando de donde viene el trafico) este aspecto es mucho mas intuitivo el Stonegate.
Ahora configuramos el cluster:
Creamos un objeto de tipo cluster.
cluster checkpoint
Hay que marcar la opción, cluster XL.
Ahora definimos los nodos.
cluster checkpoint
Las propiedades de cada nodo:
cluster checkpoint
Una vez hecho esto (y con los dos nodos comunicados), definimos las propiedades del cluster:
cluster checkpoint
Alta disponibilad o balanceo de carga dependen del tipo de licencia que hayas cogido.
Por ultimo definimos las propiedades de los interfaces (la topologia).
La ip de cluster, la ip del nodo1, la ip del nodo 2, en los interfaces que queremos tener clusterizados (normalmente todos menos el que usamos de hearbeat) el tipo tiene que ser cluster.
En el caso del heartbeat no hace falta definir ip de cluster y el tipo debe de ser 1sync (o 2sync si tienes dos).
Una vez hecho esto, probamos a compliar politica, lo normal es que funcione.
Por último, comprobar en los logs que llegan peticiones de los dos nodos y hacer las pruebas de conmutacion (quitar un cable de 1 interfaz de 1 nodo). Si todo va bien perderas 4 o 5 paquetes y todo volvera a la normalidad.
Ojo con las rutas, hay que añadirlas a mano en cada nodo (habrá alguna forma de hacerlo automatico?).