■이중화 테스트
- 위 절차로 A IDC와 B IDC 작업이 완료 되었다고 가정한다.
- B IDC를 먼저 작업하고 A IDC에서 설치 완료 후 이중화(FailOver) 테스트 진행
- 벤더사마다 VPN 이중화 방식과 특성들이 다르다. 여기서는 엑스게이트 방화벽 기준으로 기술 한다.
1. 이중화 테스트 과정
- 1번 포트 제거 -> 원복
- 2번 포트 제거 -> 원복
- 3번 포트 제거 -> 원복
- 4번 포트 제거 -> 원복
- 전체적인 서비스 테스트 후 철수
2. 여기서 A IDC의 구성특징을 다시 봐 보자.
3. 포트 단절 전(평상시)
- 터널은 총 4개가 맺어져 있다. (A01<>B01 / A01 <>B02 / A02 <> B01 / A02<>B02)
- 평상시 라우팅 메트릭값으로 조정하여 A01 <> B01 터널로만 통신 중이다
- 테스트는 172.1.1.201(A IDC Sever#1) -> 192.168.5.20(B IDC Sever) 로 ping 걸어 놓는다
4. 이중화 테스트 - 1번포트 제거
1) 터널상태
- A01 의 터널은 끊어 진다
- 남아있는 터널은 A02 <> B01, A02 <> B02 2개이다
- 라우팅 메트릭값 조정한 우선순위로 통신하는 터널은 A02 <> B01 일 것이다.
2) VIP
- WAN 구간은 vip가 없다. (터널은 rip로 맺는다)
- 감시포트는 vip설정하지 않은 WAN을 포함하여 WAN, LAN 인터페이스를 설정해야 한다
- WAN 포트를 감시포트로 설정하지 않을 경우 VIP가 넘어가지 않는다
- LAN 구간 VIP는 A02에 할당 된다.
3) B IDC Sever#1 에서 A IDC Server로 ping 을 날려보자 -> 실패했다
- 터널도 넘어갔고 내부 VIP로 넘어갔다.
- 확인을 위해 A02의 로그 확인해보니 허용로그도 찍혀 있다
- tcpdump를 A02 LAN 인터페이스에 찍어보니 192.168.5.40으로 NAT되지 않고 있다
- ping 을 끊었다가 잠시 뒤에 다시 시도해보니 ping 이 성공한다
- 잠시 뒤에 다시 시도해서 성공한다는 것은 세션 관련 이슈로 생각 된다
- 1호기와 2호기는 세션동기화를 하고있다
- 엑스게이트는 1호기에서 수행하던 NAT을 2호기에 넘겨받아 NAT하려면 세션 초기화해야 한다.
4) 세션 동기화 설정 OFF 후 ping 이중화 테스트 성공
댓글