Vladimir PavlinićRecro-net d.o.o. MiroslavPapešMBU d.o.o.
Transcript of Vladimir PavlinićRecro-net d.o.o. MiroslavPapešMBU d.o.o.
Cisco Expo 2012
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11© 2012 Cisco and/or its affiliates. All rights reserved.
Vladimir Pavlinić Recro-net d.o.o.
Miroslav Papeš MBU d.o.o.
Cisco Expo 2012
• Osnove LoadBalancing-a (LB)
• Cisco ACE LB
• Primjer implementacije u poslovnom okruženju sa dva datacentrau Active/Active načinu rada
© 2012 Cisco and/or its affiliates. All rights reserved. 2
Cisco Expo 2012
• Server Load balancing
Raspodjela specifičnog IP/TCP/UDP prometa na više poslužitelja
• Content switching
Raspodjela prometa na poslužitelje ovisno o karakteru zahtjeva
© 2012 Cisco and/or its affiliates. All rights reserved. 3
Cisco Expo 2012
• Skalabilnost
• Dostupnost i redundancija
• Sigurnost
• Isplativost
© 2012 Cisco and/or its affiliates. All rights reserved. 4
Cisco Expo 2012
One Armed
LB nije inline
Direct server access
Source NAT ili PBR
Routed
© 2012 Cisco and/or its affiliates. All rights reserved. 5
LB inline za sav promet
Broadcast/Multicast/Routing ne radi
Moguć RHI
Bridged
LB inline za sav promet
Broadcast/Multicast/Routing radi
RHI
Cisco Expo 2012
© 2012 Cisco and/or its affiliates. All rights reserved. 6
• Particioniranje fizičkog LB-a u višestruke virtualne LB-e (kontekst)
• Svaki kontekst sadrži sučelja, pravila
• Kroz Admin kontekst definiramo resurse virtualnom kontekstu
Cisco Expo 2012
• Redundantne grupe konfigurirane na osnovu konteksta
• Oba ACE uređaja mogu biti aktivna istovremeno i backup-irat se međusobno
© 2012 Cisco and/or its affiliates. All rights reserved. 7
Cisco Expo 2012
• Stalni proces utvrđivanja mogućnosti procesiranja klijentskih zahtjeva od strane servera
• Vrsta probe: ICMP, TCP, HTTP/S, UDP, DNS, POP3, RADIUS, B..
• Inband monitoriranje
© 2012 Cisco and/or its affiliates. All rights reserved. 8
• Inband monitoriranje
Cisco Expo 2012
• Proaktivno monitoriranje TCP/UDP veza prema serveru
• Brza detekcija grešaka (< sekunde)
© 2012 Cisco and/or its affiliates. All rights reserved. 9
Cisco Expo 2012
• Algoritam raspodijele klijentskih zahtjeva
• Vrste:
Round Robin
Najmanje konekcija
Najmanje opterećen server
Najmanji iskorišteni bandwidth
© 2012 Cisco and/or its affiliates. All rights reserved. 10
Najmanji iskorišteni bandwidth
Hash on IP, content, cookie, header, URL
Application response
Cisco Expo 2012
• Jedinstveno identificiranje klijenta i prosljeđivanje na isti server
• Važno kod dinamičkih (e-commerce) aplikacija
• Vrste:
SA i/ili DA IP
L4 payload
© 2012 Cisco and/or its affiliates. All rights reserved. 11
L4 payload
HTTP content, cookie, header
RADIUS atributi
RTSP session header
SIP Call-ID
SSL Session-ID
Cisco Expo 2012
• Procesiranje (terminacija, inicijacija, end-to-end) SSL prometa u Hardware-u
• Centralizirani mgmt. Certifikata i ključeva
• Podrška za revokacijske liste (OSPC, CRL)
© 2012 Cisco and/or its affiliates. All rights reserved. 12
Cisco Expo 2012
• ACL
• DoS protection
• HTTP filtering
• Protocol inspection
© 2012 Cisco and/or its affiliates. All rights reserved. 13
Cisco Expo 2012
• 0,5, 1, 2, 4 Gbps
• 20 Virtualnih konteksta
• 1 Gbps SSL
• 7500 SSL TPS
© 2012 Cisco and/or its affiliates. All rights reserved. 14
• 1 M concurrent connections
Cisco Expo 2012
• Cisco 6500/7600
• 4, 8, 16 Gbps
• 250 Virtualnih konteksta
• 6 Gbps SSL
© 2012 Cisco and/or its affiliates. All rights reserved. 15
• 30K SSL TPS
• 4 M concurrent connections
Cisco Expo 2012
• Vodeći kartični procesor u regiji
• U vlasništvu Erste grupe
• Naše usluge kartičnog procesiranja koriste ukupno 28 banaka i financijskih institucija iz Hrvatske te banke Austrija, Slovačke, Srbije, Bosne i Hercegovine i Ukrajine
© 2012 Cisco and/or its affiliates. All rights reserved. 16
• Bankama korisnicama pružamo usluge izdavanja kartica, procesiranje i prihvat kartica na bankomatima, EFTPOS terminalima i internetu te ostale usluge u okviru kartičnog poslovanja
• Prvi kartični procesor u regiji s PCI-DSS standardom
• ISO 27001:2005
Cisco Expo 2012
• Povećanje dostupnosti usluga klijentima
• Jednostavnije održavanje sustava
• Sukladnost s PCI-DSS
• Smanjenje operativnih troškova
© 2012 Cisco and/or its affiliates. All rights reserved. 17
• Dva neovisna datacentra u active-active modu
• Klijenti ne trebaju raditi nikakve promjene na svojoj opremi
• U opsegu zahtjeva su FO (Front Office) funkcionalne veze (ATM, POS, Citrix)
Cisco Expo 2012
• Dva datacentra (Zagreb i Bjelovar)
• FrontOffice aplikacije rade u active-active modu
• Klijenti imaju pristup na oba datacentra putem T-com IPVPN-a
• IPSEC tuneli od opreme banke do ulaznih routera u MBU.
© 2012 Cisco and/or its affiliates. All rights reserved. 18
Cisco Expo 2012
• Zahtjevi:
Mogu se spojiti na bilo koji DC
Uvijek moraju dolaziti s istom IP adresom na bilo koji od servera
Promet se mora vraćati po istom linku prama banci kroz koji je i
© 2012 Cisco and/or its affiliates. All rights reserved. 19
linku prama banci kroz koji je i došao
• Pojavio se problem s prometom koji se vraća s hosta na drugoj lokaciji
Kroz ACE ne prolazi povratni promet i sesija puca.
Cisco Expo 2012
© 2012 Cisco and/or its affiliates. All rights reserved. 20
ACE rutira promet za koji nema definiranu VIP adresu
Promet prođe kroz uređaje na obje lokacije, ali se samo na prvoj radi loadbalancing (nat servera)
Povratni promet se vraća kroz drugi ace ali kako nema aktivne sesije on se samo routira.
Na izlaznom routeru provjera se PBR-om da li je odrađen nat servera, te ukoliko nije rutira se na drugi site
Cisco Expo 2012
Postavljena dva konteksta, jedan na ulazu u mrežu, i drugi ispred aplikacija
Radi se čisti balancing tcp sesija.
Potrebno je definirati sticky
© 2012 Cisco and/or its affiliates. All rights reserved. 21
Potrebno je definirati stickykonekcije vezane uz source ip.
Za svaku apliakciju prezentiranu kroz citrix potrebno je definirati posebnu VIP adresu na internom kontekstu
Cisco Expo 2012
POS uređaji spajaju se na PRA koncentratore koji uspostavljaju TCP sesiju prema autorizacijskom hostu
Balansiranje PRA linkova odrađuje T-com
© 2012 Cisco and/or its affiliates. All rights reserved. 22
odrađuje T-com
Cisco ACE tcp probama provjerava dostupnost servera, te distribuira transakcije najbližem aktivnom
Cisco Expo 2012
POS uređaji s ethernet ili GPRS modulom
Svaki POS je napunjen privatnim ključem i certifikatom potpisanim od nadležnom CA authority servera
Aplikacija se štiti SSL enkripcijom
Na ACE uređaju se generira privatni ključ s opcijom unexportable
© 2012 Cisco and/or its affiliates. All rights reserved. 23
Na ACE uređaju se generira privatni ključ s opcijom unexportable
Generira se CSR i napuni certifikatom
Potrebno odraditi na oba uređaja u failover paru.
Budući da privatni ključ nikad ne napušta uređaj zadovoljava PCI-DSS i ISO 27001:2005 standarde
Izuzetno pojednostavljenje svakodnevne administracije uređaja.
Cisco Expo 2012
• Po jedan failover par implementiran na obje lokacije
• Na svaku mrežnu zonu spojen s jednim trunk portom
• Za svaki mrežni segment kreiran zaseban context
© 2012 Cisco and/or its affiliates. All rights reserved. 24
• Smješteni u prostor sistem sale pod stalnim videonadzoromzadovoljavaju PCI-DSS i ISO 27001:2005
• Triger za failover podešen na pad porta, ili na nedostupnost gateway-a
Cisco Expo 2012
• S 4 fizička uređaja s osnovnom licencom osigurana visoka dostupnost sustava te smanjena potreba za administracijom
• Nakon nekoliko mjeseci pokazali se izuzetno stabilni u radu
• Pojednostavljene sigurnosne procedure
• Smanjen broj servera na obje lokacije
© 2012 Cisco and/or its affiliates. All rights reserved. 25
• Smanjen broj servera na obje lokacije
Cisco Expo 2012
© 2012 Cisco and/or its affiliates. All rights reserved. 26