Chapter 6 Discussion 34
6.1 LAN xrootd configuration failure points 34
El dispositivo Panda GateDefender se puede ejecutar en un modo HA, que puede configurarse fácilmente utilizando al menos dos dispositivos Panda GateDefender, uno de los cuales asume el rol de firewall activo (es decir, maestro), mientras que los demás son firewalls en espera (es decir, esclavos).
Si el firewall maestro falla, se realiza una elección entre los esclavos y uno de ellos se convierte en el nuevo maestro, lo que proporciona una conmutación por error transparente. No obstante, si solo hay un esclavo, inmediatamente adoptará las tareas del maestro y permitirá una transición de conmutación por error perfecta al dispositivo Panda GateDefender secundario en caso de avería de hardware en el dispositivo maestro. Esto proporciona una disponibilidad de hardware sin precedentes y redundancia para funciones y seguridad de red críticas.
Para iniciar el servicio HA, se deben configurar al menos un dispositivo Panda GateDefender maestro y uno esclavo de acuerdo con las siguientes pautas.
Nota:
el módulo de alta disponibilidad precisa de como mínimo dos dispositivos Panda GateDefender absolutamente idénticos.
Un aspecto importante que debe tenerse en cuenta al implementar alta disponibilidad es que se debe proporcionar un método de duplicación para cada conexión con el dispositivo de Panda. Cada conexión de la unidad principal (por ejemplo, WAN, LAN, etc.) debe replicarse en todas las unidades en espera para garantizar que existan capacidades de replicación completas.
En este caso, cada red del dispositivo Panda GateDefender (WAN, LAN, etc.) está conectada a un interruptor administrado externamente que tiene una VLAN asignada a cada red. Esta opción de implementación consume la menor cantidad de puertos de red y aporta una extensibilidad mejorada. Otra opción consiste en reemplazar un único interruptor administrado (preparado para VLAN) por interruptores más pequeños e individuales para cada red (WAN, LAN, etc.). Sin embargo, esta configuración puede no ser rentable y podría ser menos fiable dado que la avería de cualquier interruptor podría romper la conmutación por error parcial o totalmente.
Advertencia:
dado que la HA se ejecuta de forma automática en la red VERDE, el latido puede configurarse para ejecutarse en la conexión del interruptor o, como alternativa, se puede asignar un puerto Ethernet adicional a la red VERDE para conectar de manera directa el dispositivo maestro a la unidad esclava. La ventaja de añadir una conexión directa es que elimina el interruptor (y, por lo tanto, posibles fuentes de problemas, mejorando la fiabilidad general) de la ecuación de conmutación por error. La decisión de implementar esta configuración puede depender en gran medida de la fiabilidad general del interruptor administrado (fuente de alimentación doble, índice de averías del puerto, términos de garantía, etc.). Por ello, cuanto más fiable/redundante es la configuración del interruptor, menos crítico resulta tener una conexión directa.
En esta página, solo hay un cuadro, que inicialmente contiene solo una opción:
Activar alta disponibilidad
Activa HA en el dispositivo Panda GateDefender; de forma predeterminada, está desactivada.
Tras la activación, aparece un segundo menú desplegable, Lado de alta disponibilidad, que permite configurar el dispositivo Panda GateDefender como maestro o esclavo. Dependiendo de esta elección, hay diferentes opciones de configuración disponibles. Para configurar una unidad esclava, sin embargo, es necesario haber establecido una unidad maestra.
Para el lado maestro, existen las siguientes opciones:
Red de administración
La subred especial a la cual deben conectarse todos los dispositivos Panda GateDefender que son parte de la misma configuración HA y su valor predeterminado es
192.168.177.0/24
. A menos que esta subred se utilice para otros fines, no es necesario cambiarla.Dirección IP maestra
La primera dirección IP de la red de administración. Automáticamente está establecida en 1 en la red elegida, y su valor predeterminado es 192.168.177.1.
Notificación: dirección de correo electrónico del destinatario, Notificación: dirección de correo electrónico del remitente, Notificación: asunto del correo electrónico, Notificación: servidor SMTP que se utilizará
Estas opciones pueden rellenarse para recibir notificaciones por correo electrónico cuando se produce un evento de conmutación por error. Se configuran de la misma manera que otras notificaciones de eventos en Barra de menú ‣ Sistema ‣
Notificación de evento: un emisor, un receptor y un asunto personalizados del correo electrónico y el smarthost SMTP
utilizados para enviar el correo electrónico.
Activar STP
Elija en el menú desplegable si desea activar o no el STP (protocolo de árbol de expansión). Esta opción y la siguiente son importantes cuando el dispositivo Panda GateDefender está en modo de puerta de enlace.
Prioridad de enlace STP
La prioridad del enlace. Debe ser 1 en el lado maestro.
Aparecerá un segundo cuadro después de haber activado la HA, con la lista de esclavos con sus direcciones IP, un enlace para acceder a su GUI de administración y la posibilidad de eliminar un esclavo.
La red de administración de HA.
El dispositivo Panda GateDefender utiliza una red especial para conectar la unidad maestra a la(s) esclava(s). 192.168.177.0/24. Si esta red ha sido utilizada en otras zonas, no se elimina ninguna de las redes definidas ni se debe hacer ningún cambio en ellas. De hecho, en tal caso, simplemente asigne a la red de administración de HA un rango de direcciones IP diferentes, por ejemplo, 172.19.253.0/24 o 10.123.234.0/28. Cabe mencionar que el único requisito de la red de administración es que debe ser lo suficientemente grande como para acomodar al maestro y los esclavos. Por consiguiente, si solo hay un dispositivo maestro y un esclavo, incluso una red pequeña como la 192.168.177.0/29 debería ser suficiente. La red de administración se creará como interfaz en la red VERDE, y se mostrará como tal en el dispositivo o al visualizar el estado de la red.
Advertencia:
asegúrese de que se pueda establecer conexión con la red de administración desde la configuración LAN actual, o no será posible iniciar sesión en la unidad maestra.
Después de configurar la unidad maestra, se puede configurar el segundo dispositivo Panda GateDefender, que será el esclavo. Deben seguirse los mismos procedimientos para configurar cada esclavo adicional.
Advertencia:
se recomienda hacer un backup de la unidad esclava antes de configurarla y guardarla en un sitio seguro, dado que puede ser útil para restablecer una unidad esclava después de haberla retirado de su rol.
Dirección IP maestra
La dirección IP de la unidad maestra, que de forma predeterminada es
192.168.177.1/24
si la red de administración no se ha cambiado. Este valor debe coincidir con el que aparece como valor de la opción Dirección IPmaestra en la unidad maestra.
Contraseña de root principal
La contraseña del usuario root de la consola (no la interfaz de administración gráfica) en la unidad maestra.
El esclavo utilizará estos datos para recuperar del maestro toda la información necesaria y mantener la sincronización.
Activar STP
Elija en el menú desplegable si desea activar o no el STP (protocolo de árbol de expansión). En el lado esclavo, esta opción debe tener el mismo valor que en el lado maestro.
Prioridad de enlace STP
La prioridad del enlace. En el lado esclavo, debe ser un dígito o número mayor que el del lado maestro.
Al guardar la configuración, la conexión con el dispositivo se pierde temporalmente, dado que se crea la red de administración y luego los dos dispositivos (el maestro y el esclavo definido actualmente) comienzan a sincronizarse.
Después de completar el proceso de sincronización, no se puede establecer conexión con el esclavo desde su dirección IP anterior (ya sea la predeterminada de fábrica o su dirección GREENIP anterior), dado que ha entrado en modo en espera y está conectado al maestro solo a través de la red de administración. Todo cambio realizado en la unidad principal (activación de un servicio, cambio de un ajuste, eliminación de un usuario VPN, y demás) se sincronizará automáticamente con las unidades esclavas con excepción de las actualizaciones o los backups de dispositivos (estos deben realizarse de manera manual en la unidad esclava).
Además, la unidad esclava de Panda aparecerá automáticamente en la lista de esclavos de la unidad maestra y se cambiará a una interfaz web únicamente informativa a la que se puede acceder desde la unidad maestra, siguiendo el enlace Ir a administración de GUI junto a cada una de las entradas de la lista de esclavos.
La dirección MAC ROJA
Durante la conmutación por error de HA, la dirección MAC de la interfaz ROJA no se replica en la unidad esclava. Esto puede suponer un problema si el ISP exige utilizar la configuración IP permanente. En esta situación, la dirección IP asignada desde el ISP se determina desde la dirección MAC de la interfaz de red del cliente, de manera similar a una IP fija asignada desde un servidor DHCP a un cliente. Quizá no sea posible volver a conectar con la unidad esclava. Para evitar esta situación, es necesario utilizar la función de ocultar la dirección de MAC en la interfaz ROJA para que la HA funcione adecuadamente. De este modo se garantizará que, cuando la HA se active, la dirección MAC cargue la unidad en espera y no sea necesaria ninguna intervención manual. Esto puede lograrse en el esclavo, antes de activarlo, marcando la opción Utilizar dirección MAC personalizada en Barra de menú ‣ Red ‣ Interfaces ‣ Editar enlace activo principal ‣ Configuración avanzada y especificando la dirección MAC de la interfaz ROJA en el maestro. Como alternativa,
la dirección MAC puede introducirse en el paso 4 del asistente de instalación de red, escribiendo la dirección MAC del maestro en la opción Ocultar la dirección MAC con.