• / 24
  • 下载费用:18 金币  

香港某大学防火墙课件-21-內進容錯機制 v6

关 键 词:
香港某大学防火墙课件-21-內進容錯機制 v6 香港 某大学 防火墙 课件 21 內進容錯機制
资源描述:
PowerStation 技術教育訓練 課程 21 : 進階功能- 內進容錯機制 www.hgiga.com 2 大綱 1. Inbound Fault Tolerance 運作原理 2. 服務的容錯機制說明 3.內進容錯機制設定 4. 其他系統 DDNS 設定方式 www.hgiga.com 3 內進容錯運作原理(1/3) PowerStation ISP A www.aaa.com www.aaa.com 100.1.1.1 www.aaa.com 130.2.2.2 www.aaa.com 210.3.3.3 DNS Server 168.95.1.1 查詢 www.aaa.com 130.2.2.2 www.aaa.com 100.1.1.1 www.aaa.com 210.3.3.3 DNS Server 168.95.192.1 查詢 ISP B www.aaa.com 210.3.3.3 www.aaa.com 130.2.2.2 www.aaa.com 1001.1.1 DNS Server 163.28.129.2 查詢 ISP C 100.1.1.1 130.2.2.2 210.3.3.3. www.aaa.com 分別對應到多組 DNS A Record www.hgiga.com 4 內進容錯運作原理(2/3) PowerStation ISP A www.aaa.com www.aaa.com 100.1.1.1 www.aaa.com 210.3.3.3 DNS Server 168.95.1.1 查詢 www.aaa.com 100.1.1.1 www.aaa.com 210.3.3.3 DNS Server 168.95.192.1 查詢 www.aaa.com 210.3.3.3 www.aaa.com 100.1.1.1 DNS Server 163.28.129.2 查詢 ISP C 100.1.1.1 210.3.3.3. ISP B 130.2.2.2 斷線 www.aaa.com 100.1.1.1 www.aaa.com 130.2.2.2 www.aaa.com 210.3.3.3 PS DNS 資料 當PS偵測到 ISP B 線路斷線時, 由於內進容錯機制會即時更新 DNS 資料 使用者下次查詢的DNS 資料 (更新的時間會依 TTL 時間而定) 當 ISP B 斷線時 www.hgiga.com 5 內進容錯運作原理(3/3) PowerStation ISP A www.aaa.com www.aaa.com 100.1.1.1 www.aaa.com 130.2.2.2 www.aaa.com 210.3.3.3 DNS Server 168.95.1.1 查詢 www.aaa.com 130.2.2.2 www.aaa.com 100.1.1.1 www.aaa.com 210.3.3.3 DNS Server 168.95.192.1 查詢 www.aaa.com 210.3.3.3 www.aaa.com 130.2.2.2 www.aaa.com 100.1.1.1 DNS Server 163.28.129.2 查詢 ISP C 100.1.1.1 210.3.3.3. ISP B 130.2.2.2 www.aaa.com 100.1.1.1 www.aaa.com 130.2.2.2 www.aaa.com 210.3.3.3 PS DNS 資料 當PS偵測到 ISP B 線路恢復時 會即時更新 DNS 資料 當 ISP B 恢復後 使用者下次查詢的DNS 資料( 更新的時間會依 TTL 時間而 定) www.hgiga.com 6 服務的容錯機制 1.DNS 服務 2.Mail 服務 3.Web 服務 www.hgiga.com 7 容錯機制-DNS (1/3) ns2.hgiga.com 註冊 DNS NS 210.243.241.197 註冊 DNS NS 210.241.239.222 註冊 DNS NS 202.168.199.162 查詢 ftp.hgiga.com 一般 DNS 服務本身就有容錯機制,只要該網域有向上層組織(如:TWNIC) 註 冊多組 DNS NS 紀錄即可達成 ns.hgiga.com www.hgiga.com 主機名稱IP www.hgiga.com202.168.199.163 ftp.hgiga.com202.168.199.14 smtp.hgiga.com210.243.241.197 查詢www.hgiga.com 查詢smtp.hgiga.com A B C www.hgiga.com 8 容錯機制-DNS (2/3) 當使用者 A 跟 ns.hgiga.com 主機查詢 TimeOut 時, DNS Server 會自動跟其 他二台查詢 ns2.hgiga.com 註冊 DNS NS 210.243.241.197 註冊 DNS NS 210.241.239.222 註冊 DNS NS 202.168.199.162 ns.hgiga.com www.hgiga.com 主機名稱IP www.hgiga.com202.168.199.163 ftp.hgiga.com202.168.199.14 smtp.hgiga.com210.243.241.197 查詢www.hgiga.com 查詢smtp.hgiga.com TimeOutSecond Request First Request (TimeOut) A B www.hgiga.com 9 容錯機制-DNS (3/3) server 168.95.1.1 Default Server: dns.hinet.net Address: 168.95.1.1 set type=ns hgiga.com. Server: dns.hinet.net Address: 168.95.1.1 Non-authoritative answer: hgiga.com nameserver = ns.hgiga.com hgiga.com nameserver = ns2.hgiga.com Hgiga.com nameserver = www.hgiga.com ns.hgiga.com internet address = 210.243.241.197 ns2.hgiga.com internet address = 210.241.239.222 www.hgiga.com internet adderss = 202.168.199.162 網域 hgiga.com 跟 上層組織 (.com 層級) 註冊 三組 DNS NS 及所屬 A 紀錄,資料如下: www.hgiga.com 10 容錯機制-Mail (1/3) PowerStation ISP A ns.hgiga.com ISP B ISP C 寄信給[email protected] ssl.hgiga.com smtp.hgiga.com 一般 Mail 服務的容錯機制是利用 DNS MX (Mail Exchanger) 的優先權順序 去做 Mail 服務的容錯 寄信給[email protected] 寄信給[email protected] 網域MX 優先權IP hgiga.comsmtp.hgiga.com10210.243.241.197 hgiga.comssl.hgiga.com100211.75.40.172 hgiga.comns.hgiga.com200210.243.241.198 www.hgiga.com 11 容錯機制-Mail (2/3) 當 ISP A 線路或 smtp.hgiga.com 主機服務中斷時,信件會往 MX 優先權次高 的主機 ssl.hgiga.com 傳送 PowerStation ISP A ns.hgiga.com ISP B ISP C 寄信給[email protected] ssl.hgiga.com smtp.hgiga.com 寄信給[email protected] 寄信給[email protected] 網域MX 優先權IP hgiga.comsmtp.hgiga.com10210.243.241.197 hgiga.comssl.hgiga.com100211.75.40.172 hgiga.comns.hgiga.com200210.243.241.198 線路中斷 服務中斷 www.hgiga.com 12 容錯機制-Mail (3/3) server 168.95.1.1 Default Server: dns.hinet.net Address: 168.95.1.1 set type=mx hgiga.com. Server: dns.hinet.net Address: 168.95.1.1 hgiga.com MX preference = 100, mail exchanger = ssl.hgiga.com hgiga.com MX preference = 200, mail exchanger = ns.hgiga.com hgiga.com MX preference = 10, mail exchanger = smtp.hgiga.com smtp.hgiga.com internet address = 210.243.241.198 ssl.hgiga.com internet address = 211.75.40.172 ns.hgiga.com internet address = 210.243.241.197 網域 hgiga.com MX 紀錄設定資料如下: www.hgiga.com 13 容錯機制-Web (1/2) PowerStation ISP A www.aaa.com www.aaa.com 100.1.1.1 www.aaa.com 130.2.2.2 www.aaa.com 210.3.3.3 DNS Server 168.95.1.1 查詢 www.aaa.com 130.2.2.2 www.aaa.com 100.1.1.1 www.aaa.com 210.3.3.3 DNS Server 168.95.192.1 查詢 ISP B www.aaa.com 210.3.3.3 www.aaa.com 130.2.2.2 www.aaa.com 100.1.1.1 DNS Server 163.28.129.2 查詢 ISP C 100.1.1.1 130.2.2.2 210.3.3.3. www.hgiga.com 14 容錯機制-Web (2/2) PowerStation ISP A www.aaa.com www.aaa.com 100.1.1.1 www.aaa.com 210.3.3.3 DNS Server 168.95.1.1 查詢 www.aaa.com 100.1.1.1 www.aaa.com 210.3.3.3 DNS Server 168.95.192.1 查詢 www.aaa.com 210.3.3.3 www.aaa.com 100.1.1.1 DNS Server 163.28.129.2 查詢 ISP C 100.1.1.1 210.3.3.3. ISP B 130.2.2.2 斷線 www.aaa.com 100.1.1.1 www.hgiga.com 130.2.2.2 www.aaa.com 210.3.3.3 PS DNS 資料 當PS偵測到 ISP B 線路斷線時, 由於內進容錯機制會即時更新 DNS 資料 使用者下次查詢的DNS 資料 (更新的時間會依 TTL 時間而定) 設定範例 www.hgiga.com 16 範例 1 (1/6) PowerStation ISP A ISP B ISP C 100.1.1.1 130.2.2.2 210.3.3.3. 模擬網路環境 客戶有三條 ISP 外線,分別各有一組 IP 對應到 www.aaa.com 並且要做 到內進容錯機制效果 User 上 www.aaa.com 網頁 www.aaa.com 10.4.1.230 主機名稱IP www.aaa.com100.1.1.1 www.aaa.com130.2.2.2 www.aaa.com210.3.3.3 www.hgiga.com 17 範例 1 (2/6) 1. 新增 DNS 網域 aaa.com 2. 在 網域 aaa.com 中新增三筆 A Record 新增網域 aaa.com www.hgiga.com 18 範例 1 (3/6) 線路IP 位址 eth0-line100.1.1.1 eth1-line130.2.2.2 eth3-line210.3.3.3 3. 設定 Inbound 政策規則 Web Server 內部IP 10.4.1.240 可用小眼睛查 看詳細資訊 www.hgiga.com 19 範例 1 (4/6) 新增動態 DNS A Record eth0-line www.aaa.com 100.1.1.1 eth2-line www.aaa.com 130.2.2.2 eth3-line www.aaa.com 210.3.3.3 分別新增有提供 Web 對外服務 線路的動態 DNS A Record 4. 設定動態 DNS 紀錄 設定三筆動態 DNS 紀錄 www.hgiga.com 20 範例 1 (5/6) 啟動 DDNS 服務 127.0.0.1 表示 PS 本 身當DNS Server 若 DNS 是在另一台 Linux 主機時,則需要輸入那 台主機所提供的 DDNS 更新授權金鑰 DNS Record 存活時間,預設為 30秒. •TTL 越長系統負載越低 •TTL 越短容錯效果越佳 5. 內進容錯機制參數設定 線路偵測要啟動,否則系統 無法判斷線路狀態 www.hgiga.com 21 範例 1 (6/6) 可以立即更新 DNS 紀錄,可查 看 DNS 紀錄是否有更新 6. 動態 DNS 紀錄更新說明 www.hgiga.com 22 其他系統 DDNS 設定方式-Linux (1/3) Linux Bind 8.12版以後就有提供 DDNS (Dynamic DNS) 服務 Primary DNS 允許 Client 去更新 DNS Record 方式有二種 第一種方式: 在 Primary DNS 中設定 allow-update,設定某些固定 IP 可以向 Primary DNS 更新資料 ,但是比較沒有彈性,預設是不允許任何 IP 更新的 第二種方式: 使用update-policy。 update-policy 在 BIND 9 才提供,不用指定某特定的 IP 才可以做 動態更新, 而是要憑 key 來決定更新權限。 產生認證用的 key [[email protected] ~]# mkdir -p /var/named/keys; cd /var/named/keys [[email protected] keys]# ls [[email protected] keys]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST web Kweb.+157+04180 查看所產生的 key 檔 [[email protected] /]# ls /var/named/keys/ Kweb.+157+04180.key Kweb.+157+04180.private www.hgiga.com 23 其他系統 DDNS 設定方式-Linux (2/3) 查看所產生的 key 值 [[email protected] keys]# cat Kweb.+157+04180.key web. IN KEY 512 3 157 ZU3F6rFUjj9iPnnNTB93vw== 設定 DDNS 主機上的 named.conf 檔案 將 Key 的資料登錄進去,再將要開放寫入的 zone 設定好 policy (規則) (略) key “web“ { algorithm hmac-md5; secret “ ZU3F6rFUjj9iPnnNTB93vw==“; }; zone “ks.hgiga.com“ { type master; file “named.ks.hgiga.com“; update-policy { grant web name web.ks.hgiga.com. A; }; }; (略) Primary DNS 所產生的 key 值 www.hgiga.com 24 其他系統 DDNS 設定方式-Linux (3/3) 輸入 外部 DNS Server IP 輸入Primary DNS Server 主機所提供的 DDNS 更新授權金鑰 ZU3F6rFUjj9iPnnNTB93vw== 在 PS 上 設定內進容錯機制參數設定說明
展开阅读全文
  麦档网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:香港某大学防火墙课件-21-內進容錯機制 v6
链接地址:https://www.maidoc.com/p-15918793.html

当前资源信息

夏天

编号: 20180901181248304327

类型: 共享资源

格式: PPT

大小: 3.12MB

上传时间: 2020-01-10

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2018-2020 maidoc.com版权所有  文库上传用户QQ群:3303921 

麦档网为“文档C2C模式”,即用户上传的文档所得金币直接给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的金币归上传人(含作者)所有。
备案号:蜀ICP备17040478号-3  
川公网安备:51019002001290号 


收起
展开