+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Помогите с идеями: нужно создать кластер файрволов.

Помогите с идеями: нужно создать кластер файрволов., Аппаратное обеспечение

aweher

Guest

30.12.2009 11:59:00

Привет всем. Я работаю с отказоустойчивым межсетевым экраном с использованием RouterOS и 2 новых PowerRouter 732. В моей текущей сетевой конфигурации у меня есть 2 гигабитных Ethernet-соединения от каждого PowerRouter к каждому из 3 коммутаторов с использованием 802.3ad и VLAN-подсетей. EtherX} 802.3ad bonding} VLANa, VLANb, VLANc…VLANn EtherY} Таким образом, я использую VRRP в VLAN-подсетях для поддержки своего рода "активной/пассивной полусбалансированной услуги межсетевого экрана", назначая более высокие приоритеты VRRP в некоторых VLAN на каждом маршрутизаторе. Это работает, но я не могу понять, как синхронизировать правила межсетевого экрана между ними, чтобы мне не приходилось добавлять новые правила на оба маршрутизатора (на самом деле у меня уже более 2000 активных правил). Какие есть идеи? С уважением.

fewi Guest	#2 0 08.02.2010 17:21:00 К сожалению, встроенного решения для этого нет. Лучший способ - написать приложение, которое будет использовать API для решения этой задачи.

deaddawg Guest	#3 0 06.02.2010 04:42:00 Как дела с этим? Ты сделал то же самое, что и я собирался сделать… Есть ещё какие-нибудь способы решить эту проблему?

dssmiktik

Guest

09.02.2010 02:32:00

Хотя это и не совсем "синхронизация", можно настроить "основной" роутер, который содержит базовые правила файрвола. На этом роутере может работать скрипт, который периодически или при обнаружении изменений экспортирует правила файрвола в файл с помощью команды `/ip firewall filter export file=FirewallFilter`. На всех остальных "подчиненных" роутерах можно использовать команду `/tool fetch`, чтобы получить этот экспортированный файл с "основного" роутера, очистить текущие правила фильтра и затем импортировать их с помощью команды `/import FirewallFilter.rsc`, например. Это будет работать только в конфигурации "основной → подчиненный" роутер, и в случае сбоя "основного" роутера, все "подчиненные" роутеры, вероятно, получат правила файрвола с "основного". Я работаю над настоящей синхронизацией любых параметров в RouterOS. Она будет использовать файлы для обозначения "основной/подчиненный" статус и для хранения правил, необходимых для синхронизации. Поскольку используется работа с файлами, я добавил возможность использования "мета"-файлов и других метаданных, чтобы размер файлов никогда не превышал 4095 КБ. Я готов опубликовать свой код здесь, чтобы другие могли его просмотреть (и, конечно, доработать) при желании. Я упоминаю "доработать", потому что это должно быть очень универсальный механизм синхронизации для синхронизации любой области конфигурации RouterOS, а я всего лишь один человек! В любом случае, я думаю, что это будет ценным инструментом для RouterOS.

nz_monkey

Guest

09.02.2010 07:52:00

Хотя RouterOS — отличный продукт, в нем не хватает многих функций корпоративного уровня. Может быть, Mikrotik могла бы создать "корпоративную" лицензию, скажем, за дополнительно 50–100 долларов США, которая включала бы: Синхронизированную высокую доступность (Active Passive с бесплатным ARP при отказоустойчивости), Корпоративный IPSEC, например, поддержку виртуальных туннельных интерфейсов, Road Warrior (dialup) туннели, XAuth клиент/сервер. Уверена, выручка от корпоративной лицензии позволила бы финансировать разработку этих функций.

brotherdust Guest	#6 0 27.02.2010 03:46:00 Согласен с твоим утверждением. Технически это возможно. Было ли это сделано? Не знаю. Моё предложение, и, вероятно, за это меня накажут, — посмотреть в сторону pfSense; там есть все необходимые функции.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры