Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zum SCTP-Verhalten im Chassis-Cluster

In einem Chassis-Cluster-Konfigurationsmodus werden die SCTP-Konfiguration und die eingerichtete SCTP-Zuordnung mit dem Peer-Gerät synchronisiert. Das SCTP-Modul unterstützt sowohl den Aktiv-Aktiv- als auch den Aktiv-Passiv-Modus.

Die eingerichtete SCTP-Zuordnung sendet eine Erstellungs- oder Löschnachricht an den Peer, wenn eine Zuordnung auf dem aktiven Gerät erstellt oder gelöscht wird. Das sekundäre Gerät fügt eine Zuordnung hinzu bzw. löscht sie, wenn es die Nachricht von der eingerichteten SCTP-Zuordnung empfängt. Das SCTP-Modul registriert dann die entsprechende Callback-Funktion, um diese Nachricht zu empfangen und zu verarbeiten. Es gibt keine kontinuierliche Timersynchronisierung zwischen den beiden Zuordnungen.

Das SCTP-Modul registriert eine Kaltstart-Synchronisierungsfunktion, wenn ein sekundäres Gerät dem Cluster beitritt oder neu gestartet wird. Die SCTP-Kaltstartfunktion wird aufgerufen, um alle SCTP-Zuordnungen mit den Peer-Geräten gleichzeitig zu synchronisieren.

Nach der Umstellung bleiben die etablierten SCTP-Verbände funktionsfähig, aber die im Gründungsfortschritt befindlichen Verbände gehen verloren, und das Gründungsverfahren muss neu eingeleitet werden. Es ist auch möglich, dass die Assoziationen im Verlauf des Teardowns die Ack-Meldung übersehen und nicht etablierte SCTP-Assoziationen in der Firewall verbleiben. Diese Zuordnungen werden bereinigt, wenn der Timer abläuft (standardmäßig 5 Stunden), da keine Aktivität in der Zuordnung vorhanden ist.

  • Sie sollten alle Richtlinien für die erforderlichen SCTP-Sitzungen konfigurieren. Angenommen, Sie haben die Endpunkte A und B. Endpunkt A hat eine SCTP-Zuordnung mit x IPs (IP_a1, IP_a2, IP_a3... IP_ax). Endpunkt B hat eine SCTP-Zuordnung mit y IP-Adressen (IP_b1, IP_b2, IP_b3... IP_by.) Die Richtlinie auf dem Sicherheitsgerät sollte alle möglichen XY-Pfade in beide Richtungen zulassen.

  • Wenn eine SCTP-Zuordnung entfernt wird, sind die zugehörigen SCTP-Sitzungen weiterhin vorhanden, und es kommt zu einer Zeitüberschreitung.