본문 바로가기
Network

Failover (Active-Active)

JNU 2022. 11. 9. 10:28
반응형

ASA F/W를 이용한 failover 구성하기



지난 시간에 active-standby 구성을 배워봤고, 이번 시간에는 active-active 구성에 대해 알아보려고 해
active-active 구성은 active-standby 구성에 비해 좀 더 복잡한 부분이 있어
하나씩 알아보자!



active-active 구성


active-active 구성은 firewall 장비가 모두 active로 동작하는 구성으로
active-standby와 달리 load-balancing이 가능하다는 장점을 갖고 있어
하지만, 그만큼 복잡한 부분이 있는데 바로 security-context를 생성해야만 active-active를 구현할 수 있어

security-context = 물리적인 asa firewall 내부에 논리적인 firewall을 분할 구축하는 단위
security-context를 사용하기 위해서는 firewall mode가 multi-mode여야 사용할 수 있어
(확인하는 방법은 show mode)

context를 생성했으면 이제 context 내부에 group을 적용시켜줘야 돼
group에는 primary 장비인지, secondary 장비인지 구분해주는 역할을 해
정리하자면 다음과 같겠지?


Active - Active 구성의 핵심 = failover context, failover group
failover group = primary, secondary 지정
failover context = group 적용, context 설정은 primary에서만 설정




그다음으로 해야 할 작업은 바로 sub-inteface를 만들어주기야
물리적인 interface를 사용하지만, interface 내부에 논리적인 firewall을 만들었기 때문에
각각의 firewall가 사용할 논리적인 interface를 적용하기 위한 작업이야
여기까지 작업하면 하나의 fierwall에 두 가지 context가 생성되고
context에 primary, secondary firewall 장비가 논리적으로 할당되는 것을 볼 수 있어

이런 느낌이랄까...?



마지막으로 알아볼 것은 바로 preempt 명령어야
context 생성하기 전에 group을 만들 때 다음과 같은 명령어를 넣는데
그 이유는 다음과 같아


failover group 1 [failover에 사용할 group 1 생성]
primary [group 1primary로 지정]
preempt 100 [failover 100초 뒤에 active 권한 회복]


preempt 명령은 말 그대로 주도권을 가져온다는 뜻이야
즉, active가 장애발생시 standby가 active 권한을 가져가지만
active 장비에 preempt를 설정해놓았다면, active가 장애처리 후 복구되었을 때
active 권한을 다시 회복하게 돼


자..! 여기까지가 active-active 구성의 핵심들이었고, ping test를 통해서
active-active가 어떻게 동작하는지 하나씩 알아보도록 하자




실습 구성도




위의 구성도에서 interface의 장애 발생시
failover의 상태 변화에 대해 한번 확인해보도록 할게
먼저 ping을 실행시키고 interface에서 shutdown 명령을 내려볼게




L2 switch의 g1/0/40에서 shutdown



context1에서 active 권한이 secondary로 넘어갔음을 볼 수 있어!

 

active권한이 넘어갈 때 걸리는 시간이 약 5초 정도 걸리는 걸 볼 수 있어




ping이 정상적으로 동작하다가 shutdown 명령으로 인해 잠시 중단이 되었어
하지만, 5초 이내로 다시 정상적으로 ping이 가기 시작했어
이 부분에서 active-active가 동작한 거야
secondary firewall에 가서 failover 상태를 확인해볼까?


secondary firewall의 group1,2 모두 active 상태로 변화되었어




자 이 상태에서 preempt가 적용되어있는 failover이기 때문에
곧 있으면 primary firewall이 active를 회수할 거야
그 과정을 지켜보도록 하자


뭔가를 주고 받는 것 같은데...?

 

primary에서 sh failover 결과, active를 회수해온 것을 볼 수 있어



자 여기까지가 failover active-active 구성이었어...!
복잡하지만 잘 배워놓자고 ㅎㅎ
오늘은 여기까지



반응형
저작자표시

'Network' 카테고리의 다른 글

Failover (Active-Standby)  (1) 2022.11.08
Failover link, stateful link  (0) 2022.11.08
3-tier architecture  (2) 2022.11.07
OSPF  (0) 2022.11.07
Layer 3 skills (HSRP)  (0) 2022.11.07

'Network' Related Articles

티스토리툴바