Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zum SCTP-Verhalten im Chassis-Cluster

In einem Chassis-Cluster-Konfigurationsmodus werden die SCTP-Konfiguration und die eingerichtete SCTP-Zuordnung mit dem Peer-Gerät synchronisiert. Das SCTP-Modul unterstützt sowohl Aktiv-Aktiv- als auch Aktiv-Passiv-Modi.

Die eingerichtete SCTP-Verbindung sendet eine Erstellungs- oder Löschnachricht an den Peer, wenn eine Verbindung auf dem aktiven Gerät erstellt oder gelöscht wird. Das sekundäre Gerät fügt eine Zuordnung hinzu oder löscht sie, wenn es die Nachricht von der eingerichteten SCTP-Verbindung empfängt. Das SCTP-Modul registriert dann die entsprechende Callback-Funktion, um diese Nachricht zu empfangen und zu verarbeiten. Es gibt keine kontinuierliche Timer-Synchronisierung zwischen den beiden Zuordnungen.

Das SCTP-Modul registriert eine Kaltstart-Synchronisierungsfunktion, wenn ein sekundäres Gerät dem Cluster beitritt oder neu gestartet wird. Die SCTP-Kaltstartfunktion wird aufgerufen, um alle SCTP-Zuordnungen gleichzeitig mit den Peer-Geräten zu synchronisieren.

Nach der Umstellung bleiben die etablierten SCTP-Verbände funktionsfähig, aber die Verbände, die sich im Gründungsprozess befinden, gehen verloren, und das Gründungsverfahren muss neu eingeleitet werden. Es ist auch möglich, dass die Zuordnungen, die sich während des Entfernens befinden, die Bestätigungsmeldung übersehen und nicht etablierte SCTP-Zuordnungen in der Firewall hinterlassen. Diese Zuordnungen werden bereinigt, wenn der Timer abläuft (standardmäßig 5 Stunden), da keine Aktivität in der Zuordnung vorhanden ist.

  • Sie sollten alle Richtlinien für Ihre erforderlichen SCTP-Sitzungen konfigurieren. Angenommen, Sie haben die Endpunkte A und B. Endpunkt A hat eine SCTP-Zuordnung mit x IPs (IP_a1, IP_a2, IP_a3... IP_ax). Endpunkt B hat eine SCTP-Zuordnung mit y IP-Adressen (IP_b1, IP_b2, IP_b3 ... IP_by.) Die Richtlinie auf dem Sicherheitsgerät sollte alle möglichen x*y-Pfade in beide Richtungen zulassen.

  • Wenn eine SCTP-Zuordnung entfernt wird, sind die zugehörigen SCTP-Sitzungen weiterhin vorhanden und führen eine Zeitüberschreitung durch.