KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
{{var | display | {{var | display | ||
| Cluster | | Cluster | ||
| | | Cluster }} | ||
{{var | headline | {{var | headline | ||
| Securepoint Cluster Konfiguration | | Securepoint Cluster Konfiguration | ||
| | | Securepoint Cluster Configuration }} | ||
{{var | neu--dhcp | {{var | neu--dhcp | ||
| Erweiterte Hinweise zu DHCP | | Erweiterte Hinweise zu DHCP | ||
| | | Extended notes on DHCP }} | ||
{{var | neu--anpassung | {{var | neu--anpassung | ||
| Artikelanpassung | | Artikelanpassung | ||
| | | Article adaptation }} | ||
{{var | Wichtige Information | {{var | Wichtige Information | ||
| Wichtige Information | | Wichtige Information | ||
| | | Important information }} | ||
{{var | Aktuelle Software | {{var | Aktuelle Software | ||
| Aktuelle Software | | Aktuelle Software | ||
| | | Current software }} | ||
{{var | aktuell--desc | {{var | aktuell--desc | ||
| Es sollte immer die neueste Version der Software installiert werden. Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten. | | Es sollte immer die neueste Version der Software installiert werden. Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten. | ||
| | | The latest version of the software should always be installed. Only the latest version contains the latest features, security enhancements and error corrections. }} | ||
{{var | Einsatzgebiete | {{var | Einsatzgebiete | ||
| Einsatzgebiete | | Einsatzgebiete | ||
| | | Fields of application }} | ||
{{var | Einsatzgebiete--desc | {{var | Einsatzgebiete--desc | ||
| Die UTM wird, durch die Umwandlung in einen Hot-Standy UTM-Cluster, aufgewertet und sichert geschäftskritische Prozesse gegen den Ausfall einer UTM ab. Securepoint stellt dazu einen Aktiv-/Passiv-Cluster zur Verfügung. Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig. | | Die UTM wird, durch die Umwandlung in einen Hot-Standy UTM-Cluster, aufgewertet und sichert geschäftskritische Prozesse gegen den Ausfall einer UTM ab. Securepoint stellt dazu einen Aktiv-/Passiv-Cluster zur Verfügung. Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig. | ||
| }} | | The UTM is upgraded by converting it into a Hot-Standy UTM cluster and protects business-critical processes against the failure of a UTM. Securepoint provides an active/passive cluster for this purpose. The UTMs within the cluster monitor each other and automatically switch to the device with the best status if required. An intervention of the administrator is not necessary. }} | ||
{{var | Einsatzgebiete--bild | {{var | Einsatzgebiete--bild | ||
| Cluster-01.jpg | | Cluster-01.jpg | ||
| | | Cluster-01.jpg }} | ||
{{var | Abb | {{var | Abb | ||
| Abb.: | | Abb.: | ||
| | | Fig. }} | ||
{{var | Einrichtung | {{var | Einrichtung | ||
| Einrichtung | | Einrichtung | ||
| | | Establishment }} | ||
{{var | Einrichtung--desc | {{var | Einrichtung--desc | ||
| Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.<br>Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.<br>Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP. | | Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.<br>Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.<br>Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP. | ||
| | | When setting up the UTM cluster, two UTMs with identical firmware are connected via a Hotwire interface. The installation with the "Cluster Setup Wizard" is performed on the ''original UTM'', which will be the MASTER in the cluster then created. This UTM will be used to synchronize the configuration. On the ''spare UTM'', which will be the BACKUP in the cluster, the Hotwire interface is defined and an SSH key is generated during installation. The SSH key of the MASTER is also entered on the spare UTM.<br>The active UTM in the cluster, has the higher priority and is called the MASTER.<br>The UTM with the lower priority, the passive UTM, is the BACKUP. }} | ||
{{var | Voraussetzungen | {{var | Voraussetzungen | ||
| Voraussetzungen | | Voraussetzungen | ||
| | | Requirements }} | ||
{{var | Voraussetzungen--desc | {{var | Voraussetzungen--desc | ||
| Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig: | | Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig: | ||
| | | The following requirements are necessary for cluster operation: }} | ||
{{var | Voraussetzungen--cluster-lizenz | {{var | Voraussetzungen--cluster-lizenz | ||
| '''Eine Cluster-Lizenz'''<br><p>Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die im [https://my.securepoint.de/index/login Securepoint Reseller Portal] beantragt werden kann | | '''Eine Cluster-Lizenz'''<br><p>Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die im [https://my.securepoint.de/index/login Securepoint Reseller Portal] beantragt werden kann.</p><p>Endkunden wenden sich bitte an Ihren [https://www.securepoint.de/partner/partnerprogramm.html autorisierten Securepoint Reseller.]</p><p>{{Hinweis | !! Die Menüpunkte zur Cluster-Konfiguration sind sichtbar, sobald eine Cluster-Lizenz eingespielt ist.|gelb|c=graul}}<p> | ||
| | | '''A cluster license'''<br><p>To configure and operate the UTM cluster, a valid cluster license is required, which can be applied for in the [https://my.securepoint.de/index/login Securepoint Reseller Portal].</p><p>End customers are requested to contact their [https://www.securepoint.de/partner/partnerprogramm.html authorized Securepoint Reseller].</p><p>{{Hinweis | !! The menu items for cluster configuration are visible as soon as a cluster license is installed. |gelb|c=graul}}<p> }} | ||
{{var | Voraussetzungen--hardware | {{var | Voraussetzungen--hardware | ||
| '''Zwei identische Appliances mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br><p>Im kleinsten Szenario (siehe Abbildung 1.1) sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p> | | '''Zwei identische Appliances mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br><p>Im kleinsten Szenario (siehe Abbildung 1.1) sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p> | ||
| | | '''Two identical appliances with at least 3 Ethernet interfaces and the same firmware'''<br><p>In the smallest scenario (see Figure 1.1) there is one input interface (internal LAN) and one output interface (external LAN) as well as the third free interface. This interface, also referred to as the Hotwire interface in the following, is required for configuration adjustment and connection tracking. It cannot take over any other network function.</p> }} | ||
{{var | Voraussetzungen--software | {{var | Voraussetzungen--software | ||
| '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br><p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br>Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren. | | '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br><p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br>Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren. | ||
| | | '''The used switches and routers support ''gratuitous ARP'''''<br><p>If there is a master/backup change in the UTM cluster, the now active UTM sends ''gratuitous ARP'' packets to its environment to announce the new MAC address.<br> If the switches or routers do not support this function, they can only communicate via the active UTM with a delay. }} | ||
{{var | funktionsweise--bild | {{var | funktionsweise--bild | ||
| UTM11_BP_Cluster_pic5.png | | UTM11_BP_Cluster_pic5.png | ||
| | | UTM11_BP_Cluster_pic5.png }} | ||
{{var | funktionsweise | {{var | funktionsweise | ||
| Funktionsweise des Clusters | | Funktionsweise des Clusters | ||
| | | Functionality of the cluster }} | ||
{{var | funktionsweise--desc | {{var | funktionsweise--desc | ||
| Der Cluster verwendet '''eindeutige IP- und MAC-Adressen''' für die beiden Mitglieder des Clusters sowie '''virtuelle IP-Adressen''' für den Cluster selber. Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv. Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters.<br>Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing (also zum Beispiel das Standard Gateway, siehe Abb. 1.2). | | Der Cluster verwendet '''eindeutige IP- und MAC-Adressen''' für die beiden Mitglieder des Clusters sowie '''virtuelle IP-Adressen''' für den Cluster selber. Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv. Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters.<br>Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing (also zum Beispiel das Standard Gateway, siehe Abb. 1.2). | ||
| | | The cluster uses '''unique IP and MAC addresses''' for the two members of the cluster and '''virtual IP addresses''' for the cluster itself. The virtual IP addresses are only active on the active member of the UTM cluster. If the active member of the cluster fails completely or partially, the virtual IP addresses change to the second member of the cluster.<br>For the clients and servers in a cluster configuration, the virtual IP address is the communication partner in the routing (e.g. the standard gateway, see Fig. 1.2). }} | ||
{{var | cluster-protokoll | {{var | cluster-protokoll | ||
| Das Cluster VRR Protokoll | | Das Cluster VRR Protokoll | ||
| | | The Cluster VRR Protocol }} | ||
{{var | cluster-protokoll--desc | {{var | cluster-protokoll--desc | ||
| <p>VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als {{hover|HA-|High-Availibility}}Schnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.</p><p>Mit Hilfe von '''tcpdump''' kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)</p><p>Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.</p> | | <p>VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als {{hover|HA-|High-Availibility}}Schnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.</p><p>Mit Hilfe von '''tcpdump''' kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)</p><p>Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.</p> | ||
| | | <p>VRRP (Virtual Router Redundancy Protocol) is the communication protocol of the cluster. It is only active on interfaces that are configured as {{hover|HA-|High-Availibility}} interfaces. The master of the UTM cluster sends data packets to the backup via this protocol. If the backup does not receive any data packets, it upgrades itself to the master.</p><p> Using '''tcpdump''' the protocol can be made visible on a HA interface (see figure)</p><p>No special firewall rules are required to enable communication with the VRR protocol.</p> }} | ||
{{var | Umschalten | {{var | Umschalten | ||
| Umschalten des Clusters | | Umschalten des Clusters | ||
| | | Switching the cluster }} | ||
{{var | Umschalten--desc | {{var | Umschalten--desc | ||
| Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus:* Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren.* Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr.* Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an.* Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.<br />Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master. | | Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus: | ||
| | * Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren. | ||
* Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr. | |||
* Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an. | |||
* Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.<br /> | |||
Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master. | |||
| The following states or events trigger a switchover within the cluster: | |||
* The active member of a cluster is restarted or shut down completely. | |||
* One or more HA interfaces no longer have a physical link. | |||
* The link of an HA interface is active, but due to a defective or incorrectly configured switch, the VRRP packets do not arrive at the cluster partner. | |||
* The cluster function is deactivated on the active cluster partner by the administrator.<br /> | |||
If more than two HA interfaces are activated, it is possible that a different number of HA interfaces may no longer be able to communicate in the event of an error. In this case, the UTM on which most interfaces have a link will become the active member as long as the UTMs still see each other via at least one HA interface. If the UTMs no longer see each other on any interface, both assume that the second member of the cluster no longer exists and both become the master. }} | |||
{{var | Umschalten--tabelle | {{var | Umschalten--tabelle | ||
| Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen: | | Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen: | ||
| | | Table, behavior in the cluster, example two HA interfaces: }} | ||
{{var | HA-Schnittstelle | {{var | HA-Schnittstelle | ||
| HA-Schnittstelle | | HA-Schnittstelle | ||
| | | HA interface }} | ||
{{var | Aktiv | {{var | Aktiv | ||
| Aktiv | | Aktiv | ||
| | | Active }} | ||
{{var | Passiv | {{var | Passiv | ||
| Passiv | | Passiv | ||
| | | Passive }} | ||
{{var | Umschalten--tabelle--desc | {{var | Umschalten--tabelle--desc | ||
| Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt. | | Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt. | ||
| | | Please note that UTM-1 has a higher priority than UTM-2. If the state in the table is active and marked as red, this means that the two members of the cluster no longer see each other and assume that the respective other partner is no longer present. Both members of the cluster are then active. However, network communication is then generally no longer possible because the problem is in the environment. }} | ||
{{var | Fallback | {{var | Fallback | ||
| Fallback im Cluster | | Fallback im Cluster | ||
| | | Fallback in a cluster }} | ||
{{var | Fallback--desc | {{var | Fallback--desc | ||
| Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die <i class="host utm">Spare</i> aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen <i class="host utm">Master</i> zurückgeben. <br>Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der <i class="host utm">Master</i> wird aktiv. | | Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die <i class="host utm">Spare</i> aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen <i class="host utm">Master</i> zurückgeben. <br>Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der <i class="host utm">Master</i> wird aktiv. |
Version vom 21. Februar 2020, 15:48 Uhr
}} ||
||
}} || insecure ||
| }}