Sei sulla pagina 1di 3

Un cluster di VPN-1 Gateway Checkpoint viene definite come un gruppo di nodi identici

connessi in modo tale che nel caso fallisca uno di essi un altro nodo interviene per
sopperire alle funzioni di questo in modo da azzerare il possible disservizio.
ClusterXL è una soluzione di Load Sharing e High Availability che distribuisce il traffico
di rete fra i nodi dei firewall e fornisce:
• Transparent failover in caso di fail di uno dei nodi del cluster
• Zero downtime e perdita sessioni in caso fail o down di un nodo del cluster quando
abilitata la State
Synchronization
• Incremento del throughput in modalità Load Sharing
• Transparent upgrades
Tutte i nodi del cluster vedono e sincronizzano tutte le connessioni che passano
attraverso ogni nodo e sincronizzano le informazioni di stato relative attraverso un
network sicuro dedicato.
Per fare questo viene utilizzato un protocollo proprietario che gestisce la
sincronizzazione fra i nodi, il Cluster Control Protocol (CCP).

Figure Firewalled Gateway Cluster

ClusterXL ha 4 modalità operative:


• Load Sharing Multicast Mode
• Load Sharing Unicast Mode
• New High Availability Mode
• High Availability Legacy Mode

Load Sharing
ClusterXL Load Sharing distribuisce il traffico attraverso tutti i nodi in modo che il
throughput totale del cluster di firewall sia aumentato.
Nella modalità Load Sharing tutte le macchine del cluster sono attive e gestiscono
traffico di rete (cluster definito Active/Active).
Se un nodo del cluster ha un problema interviene un transparent failover che permette
ai gateways rimanenti di continuare a erogare il servizio senza interruzzioni o perdita
di connessioni.
Questo avviene grazie al protollo di sincronizzazione CCP che sincronizza le
informazioni di tutte le connessioni attiva sui membri del cluster su ogni nodo.
ClusterXL utilizza un IP e un MAC address unico per ogni nodo del cluster e un virtual
IP per rappresentare il cluster stesso. La gestione dei mac addresses differisce a
seconda che il cluster sia
In modalità multicast o unicast.

Load Sharing Multicast Mode


In questa modalità tutti I membri del cluster sono attivi e il cluster assegna a ognuno
una porzione di traffico da gestire in modo da aumentare il throughput totale. In caso
di fail di un nodo gli altri nodi prendono immediatamente in carico tutte le connessioni
precedentemente gestite dal nodo con problemi.
Il meccanismo del Multicast permette che diverse interfacce fisiche siano associate a
un singolo MAC address. Diversamente dal Broadcast, che associa tutte le interfacce
della stessa rete a un singolo indirizzo e facendo si che un pacchetto spedito a un
indirizzo broadcast venga ricevuto da tutte le interfacce di rete presenti su quella rete,
il multicast permette di raggruppare le interfacce destinazione all’interno del network.
Questo permette di decidere quali interfacce devono ricevere un pacchetto destinato
a un determinato
MAC address.
ClusterXL usa il meccanismo del Multicast per associare il virtual IP del cluster con tutti
I nodi del cluster. Associando l’ip del cluster con Multicast MAC address, si ottiene che
pacchetti inviato al cluster arrivino in realtà a ogni nodo del cluster e ogni nodo
deciderà se processare tale pacchetto oppure lasciarlo agli altri nodi. Questa decisione
è la funzione principale del meccanismo di Load Sharing
assicurando che ogni pacchetto sia processato e non duplicato e nel caso che I
pacchetti di una singola connessioni siano gestisti sempre dallo stesso nodo.

Load Sharing Unicast Mode


La modalità Unicast fornisce una soluzione cluster in Load Sharing nei casi in cuisi
possa utilizzare il Multicast Ethernet.
In questa modalità un singolo nodo del cluster, chiamato Pivot, è associato al virtual IP
del cluster (o meglio il mac address della sua interfaccia di rete) e riceve tutti
pacchetti spediti al cluster.
Sarà proprio il pivot il responsabile di propagare i pacchetti agli altri nodi del cluster
secondi un meccanismo di Load Sharing secondo una decisione simile a quella che
avviene nella modalità multicast. La differenza sta nel fatto che nella modalità unicast
solo il membro pivot si occupa di tale decisione mentre gli altri nodi ricevono e
gestiscono i pacchetti inviati loro senza poter applicare alcuna decisione. Il cluster
viene considerato Active-Active perchè I nodi non pivot comunque gestiscono
pacchetto e svolgono attività di routing e firewalling.
Quando uno dei nodi non pivot ha un problema, i nodi rimanenti si fanno carico di quel
traffico e le connessioni vengono redistribuite su di essi.
Quando è il pivot ad avere un problema i nodi rimanenti si fanno carico del suo
traffico, le connessioni vengono redistribuite su di essi e un altro nodo assume il ruolo
di pivot.

High Availability
La modalità High Availability permette di affrontare un fail di un nodo del cluster nel
caso non sia configurabile il Load Sharing. In questa modalità solo un nodo è attivo per
cui viene definito il cluster come Active/Standby. Nel caso il nodo principale abbia
problemi il nodo secondario prenderà in carico le sue connesioni senza interruzioni. In
caso ci siano più nodi standby, diventerà attivo il nodo con priorità più alta. La
continuità del servizio è garantita dall’aggiornamento costante delle sessioni fra il
nodo attivo e i nodi in stanby.

New High Availability Mode


In questa modalità il virtual IP del è associato con il mac address del nodo attivo,
quindi tutto il traffico viene diretto e ricevuto esclusivamente dal nodo attivo. Solo
questo nodo si occuperà delle operazioni di firewalling. Come ulteriore compito il nodo
attivo è responsabile di distribuire e aggiornare sugli altri nodi le tabelle di stato con
tutte le connessioni attive che passano attraverso il cluster.

Scelta della modalità Load Sharing


La modalità Load Sharing Multicast è la più efficiente perchè permette di distribuire al
meglio il carico di lavoro su tutti i membri del cluster. Ci sono però delle implicazioni di
cui tenere conto al momento della scelta, dipendenti dai router utilizzati col cluster.
Nella modalità Load Sharing Multicast viene associato un multicast MAC col cluster IP.
Gli ARP replies spediti dal cluster comunicano che l’IP del cluster è raggiungibile
tramite un determinato multicast MAC address.
Alucni apparati di rete non accettano questo tipo di ARP replies. In alcuni casi si può
inserire sui router un entry statica con l’associazione IP/multicast MAC e risolvere
quindi il problema, in altri casi non è possibile.

Autore: Fabrizio Rosina

Per ulteriore documentazione e articoli: www.gzone.it