...
|
Кластеризация
ВопросОдин из узлов кластера в статусе "отсутствует лицензия". ОтветСкорее всего вам выдали лицензию без поддержки кластеризации. Как активировать лицензию в кластере смотрите здесь.
ЗадачаАктивировать лицензию на кластере. РешениеВ кластере UserGate лицензия ставится только на "мастер-узел". После добавления следующего узла кластера, он(узел) возьмёт лицензию с мастер-узла. ЗадачаНастроен кластер отказоустойчивости Актив-Пассив, состоящий из 2-х узлов; используются 2 провайдера, каждый из которых выделил по одному белому адресу. Белые IP-адреса указаны в качестве виртуальных адресов (VIP). Проблема заключается в том, что при включенной проверке сети, если оба оператора ее не прошли, виртуальные IP-адреса пропадают и после восстановления соединения не могут появиться, т.к. проверка сети не может быть выполнена без VIP адресов. ПримечаниеVIP и адреса, назначенные на интерфейсы, могут быть в разных сетях. Данное решение применимо только для кластера Актив-Пассив.
РешениеПримечаниеОдним из условий того, чтобы узел стал Мастером и назначил на свои интерфейсы VIP адреса - это наличие в таблице маршрутизации маршрута по умолчанию.
В качестве решения предлагается использовать правила типа Policy-based routing со сценарием типа Проверка состояния вместо проверки сети.
Настройка правил производится в разделе Политики сети ➜ NAT и маршрутизация. Правила PBR, предназначенные для основного провайдера, сценариев не используют. Правила, предназначенные для резервного провайдера, используют сценарии, созданные на шаге 2. Переход на резервный провайдер происходит за счёт срабатывания негативного сценария в правиле Policy-based routing для резервного провайдера. Срабатывание сценария произойдет при отрицательном результате проверки состояния; в результате выполнения сценария, трафик будет перенаправлен через шлюз резервного провайдера. После восстановления основного провайдера и по прошествии указанного количества времени (указывается в настройках сценария на вкладке Общие, параметр Продолжительность) сценарий отключается, и трафик маршрутизируется через шлюз основного провайдера. Задача2 программно-аппаратных комплекса с разной версией программного обеспечения: 1-й - с новой версией, 2-й - с прошивкой ранней версии. РешениеОбновите 2-й ПАК до версии, установленной на 1-м устройстве:
Для этого подготовьте USB-носитель, диск должен иметь формат NTFS или FAT32 (рекомендуем FAT32). Из личного кабинета UserGate скачайте необходимый файл обновления и сохраните его в корень съёмного USB-носителя. ПримечаниеНазвание файла обновления должно быть в следующем формате: update_xxxxx (где xxxxx – номер версии).
Вставьте USB-носитель в устройство и проверьте, что в BIOS в приоритете выставлена загрузка со встроенного в устройство HDD. ПримечаниеПроверьте, что в BIOS в приоритете выставлена загрузка со встроенного в устройство HDD, а НЕ со съемного USB-носителя (Boot Option Priorities ➜ Hard Drive BBS Priorities).
В процессе обновления сервер перезагрузится дважды. В первый раз перезагрузится со старой версией, во второй раз - уже с новой. Между первой и второй перезагрузкой управление устройством через веб-интерфейс и CLI недоступно. После обновления произведите добавление узла в кластер. Подробнее читайте в разделе Кластеризация и отказоустойчивость руководств по NGFW и MC.
ВопросКластер исправен, но трафик идет через активный и пассивный узлы одновременно. ОтветДанный эффект может возникать, если на коммутаторах, использующихся сторонним оборудованием для подключения к UserGate, запрещено прохождение пакетов Gratuitous Arp. Таким образом, при смене режима работы узлов кластера (переключении), на ответном оборудовании в ARP-таблицах останется старый MAC-адрес узла кластера, и трафик будет переходить на новый узел по мере обновления ARP-таблиц оборудования. Для решения данной проблемы, следует проинспектировать магистральное оборудование на предмет фильтрации ARP пакетов.
ВопросМеняются ли МАС-адреса, во время смены активного узла кластера для VIP адресов? ОтветДа, при переходе виртуального адреса новый мастер отправляет gratuitous arp для изменения MAC-адреса виртуального IP в ARP-таблицах соседних маршрутизаторов.
ЗадачаРазвернут кластер устройств Актив-Пассив. Между офисами настроены 2 VPN-туннеля L2TP IPSec на 2х разных провайдерах. При отключении одного VPN-туннеля трафик переключается на другой туннель. Проблема с переходом туннелей при отказе основного узла кластера, они не переходят на резервный, поэтому теряется VPN-соединение. РешениеПри работе с двумя провайдерами очень важно привязать обратный трафик VPN-соединений к тому провайдеру на адрес которого устанавливается соединение. Для привязки трафика нужно создать правила PBR с пустой зоной источника и адресом источника соответствующим виртуальному адресу на который соединяется клиент из облака и выбрать в нём шлюз соответствующего провайдера. Правил должно быть 4 - по два для каждого из узлов(1 правило на каждый шлюз провайдера, поскольку провайдеров два, правил - 2 на каждый узел).
ВопросКак увидеть состояние VRRP? ОтветСостояние VRRP можно увидеть в меню Кластер отказоустойчивости, в случае каких либо проблем, там будет выведена надпись ошибка и значок предупреждения.
ВопросКак перезагрузить сервис VRRP? ОтветПерезагрузку VRRP вызовет любое изменение в кластере отказоустойчивости (включение\выключение, добавление удаления адреса или интерфейса в кластер).
ЗадачаПри добавлении еще одного VIP интерфейса в кластер отказоустойчивости, происходит сбой экземпляра отказоустойчивости кластера РешениеНарушение работоспособности кластера может происходить по нескольким причинам: 1. Не разрешен VRRP в настройках зон, участвующих в формировании кластера. В этом случае оба экземпляра кластера будут иметь роль мастер и фактически кластер не будет функционировать. 2. Добавляемый интерфейс не имеет IP адреса. Для интерфейсов, участвующих в создании кластера (VIP), необходимо наличие IP адреса, желательно из одного и того же диапазона для всех интерфейсов. |
