Merhabalar arkadaşlar
Bu makalemde hiçbir yerde anlatılmayan derinlemesine ayrıntılı HA Aktif – Pasif ve Aktif – Aktif Aynı yazıda sizlere anlatacağım
(Palo alto OS versiyonları aynı olmak zorunda iki cihazında diğerinde 8.0.1 ise ikinciside aynı olmak zorunda ayrıca 9.0 ve üst versiyonlardada bu makalemdeki gibi HA çalıştırabilirsiniz )
Öncelikle diğer firewalllardan farklı olarak Palo altoda 4 adet keepalive ve peerlink kullanıyoruz yedekli olarak çalışıyor
Şöyleki palo altoda Mgnt interface olmazsa olmazlardan bir interface palo alto Mgnt hiçbirşekilde iptal edemezsin her şartlar altında kullanmak zorundasın diye bir şart koşuyor bize
Şimdi her yiğidin yoğurt yiyişi farklıdır
bazılarımız Palo alto’yu Mgnt interfaceden yönetir bazılarımız ise herhangi bir interface’i trust port yaparak hem Mgnt hemde diğer işlemleri trust portlarından yönlendirir,
eğer Mgnt interface olarak çalıştıracaksanız 3 interface düşürebilirsiniz
Palo alto herhangi bir interfacelerini trust port olarak kullanıp 2 cihaza ayrı ayrı erişmek yerine tek bir ip adresinden erişmek istiyorsanız o zaman 4 port kullanmanız gerekiyor işin aslında her şartlarda Palo Alto aktif aktif veya Aktif Pasif tede 4 HA portu ile çalışıyor,
Şimdi makale adımlarına geçelim benim topolojim eminimki Ha kuracak arkadaşların topolojileride aynı olacak genelde tek tip topoloji kullanıyoruz diğerleride bu topolojiye benzer
- Topolojimiz bu şekilde
burada 4 adet HA için ayırdığımız interface’lerimiz bulunmaktadır
- Mngt,HA1-HA2 interface bölümünde ha olarak tanımladığımız bridge portlarımızdan seçtiğimiz X bir port mesela 4 numaralı Port HA control link yaptım (4 adet olmak zorunda )
Yine bridge portlardan istediğim portu mesela 1 numaralı portu Trust (local port) yapıyorum
Şimdi interfacelerimizi birbirine bağladık HA-1,HA-2,ve HA control linki direk switche girmeden birbirine bağlayın MGMT portunu switch üzerinden bağlayın’ki ayrı ayrı MGMT ederek ne oluyor diye kontrol edebilirsiniz
- Evet şimdi interface config ayarlarına geçebiliriz, öncelikle network-interface tabına gelelim ve oradan herhangi bir boş portu HA link kontrol için seçelim
ve seçtiğimiz interface’in içerisine girelim ve interface type sadece HA yapalım
şimdide iki cihaz içinde MGMT confiğini yapalım ve switch üzerinden bağlantısını sağlayalım
HA – 1 Cihazımın MGMT ip adresi
HA – 2 Cihazımın MGMT ip adresi
buradaki MGMT ip adreslerinin ne olduğu çokta önemli değil local network’ünüzde aynı bir MGMT switchler için network varsa daha güzel olur o portları switch üzerinden MGMT vlanına alırsınız yoksa local networkten verirsiniz ( önerilen ayrı biz vlan yada izole bir network)
yukarıdaki işlemleri 2’inci cihazdada aynısını yapacağız aynı port numaralı interface’de
şimdi sıra geldi HA Availability configurasyonuna
- Evet şimdi sıra geldi HA Availability configurasyonuna burada’ki yapacağımız config 2’inci cihazdada yapmamız gerekiyor ip adresleri tam tersine olacak ve önceliklendirme vereceğiz config olan bir cihazda HA yapıyorsanız önceliklendirmeye dikkat etmelisiniz yoksa configleri uçurursunuz
HA-1 AKTİF olan yani primary
HA-2 PASİF olan yani secondary
Burada dikkat edilmesi gereken noktalar var onlara değinecek olursak
Device priority değerleri palo alto tarafında değeri en düşük olan herzaman aktif yani primary olur
Bir diğer husus ise aktif – aktif veya aktif – pasif te aynı configleri yaparak çalıştırabilirsiniz
Aşağıdaki belirtilen noktalarda ister aktif – aktif isterseniz aktif – pasif çalıştırabilirsiniz ama group id’leri aynı olmak zorunda
Evet HA confiğinide yaptığımıza göre son işlem olan HA link ve path portlarını monitör et dememize geldi sıra
Bu işlemi şöyle söylemek istiyorum
Aktif pasif veya aktif aktifte untrust veya trust gb. Port bazlı kesintiler kopmalar kablosunu değiştirmek istediğinde cihaz aktif çalışıyorken HA o portların monitör edildiğini anlayıp pasif olan cihaza aktaracak veya aktif olan diğer cihaza aktaracak böylelikle arada kesinti olmayacak (Aktif-pasifte 2-3 sn’yelik kesinti olur)
burada yukarıdada bahsettiğim gibi, Untrust ve Trust portlarım yani WAN internet bacağım ve Local network interface’leri dinle o portlardan biri bağlantı hatalarından kaynaklı sorun olursa diğer cihaza aktar diyor kısaca monitör ettiğini söylüyor
burada’da şunu dedik sen HA control linkisin seni’de monitör ediyorum diyoruz
unutmamanız gereken her iki cihazdada aynı configleri yapacağız
tek farkı cluster ip adreslerinin farklı oluşu ve mgmt ip adreslerinin farklı olduğu
onun haricindekiler aynı birebir olacak
bir sonraki ssl vpn ve ipsec tunnel vpn makalelerimde görüşmek üzere
sormak istediğiniz bir şey olursa yorumlarda yardımcı olabilirim sizlere ,