您可以在配置了高可用性的 Edge 上配置安全 VNF 以提供冗余。
在以下情况下,您可以在 Edge 上配置具有 HA 的 VNF:
- 在独立 Edge 中,启用 HA 和 VNF。
- 在配置了 HA 模式的 Edge 中,启用 VNF。
将在 Edge 和 VNF 实例之间启用并使用以下接口:
- 到 VNF 的 LAN 接口
- 到 VNF 的 WAN 接口
- 管理接口 - VNF 与其 Manager 通信
- VNF 同步接口 - 在活动和备用 Edge 上部署的 VNF 之间同步信息
Edge 具有活动和备用 HA 角色。每个 Edge 上的 VNF 以活动-活动模式运行。活动和备用 Edge 通过 SNMP 发现 VNF 状态。VNF 守护进程每隔 1 秒在 Edge 上定期执行 SNMP 轮询。
VNF 在活动-活动模式下使用,并且仅将用户流量从处于活动模式的关联 Edge 转发到 VNF。在备用虚拟机(虚拟机中的 Edge 处于备用状态)上,VNF 仅具有到 VNF Manager 的流量,并与其他 VNF 实例同步数据。
以下示例说明了如何在独立 Edge 上配置 HA 和 VNF。
前提条件
确保您配置了:
- SASE Orchestrator 并激活了运行软件 4.0.0 或更高版本的 SD-WAN Edge。有关支持的 Edge 平台的更多信息,请参阅安全虚拟网络功能 中的支持列表。
- 配置了 Check Point 防火墙 VNF 管理服务。有关更多信息,请参阅配置 VNF 管理服务。
注: VMware 仅在具有 HA 的 Edge 上支持 Check Point 防火墙 VNF。
过程
结果
等到 Edge 担任活动角色,然后将备用 Edge 连接到活动 Edge 的同一接口。备用 Edge 从活动 Edge 接收所有配置详细信息,包括 VNF 设置。有关 HA 配置的更多信息,请参阅激活高可用性。
在活动 Edge 中的 VNF 关闭或没有响应时,备用 Edge 中的 VNF 将接管活动角色。
注: 如果要在配置了 VNF 的 Edge 中禁用 HA,请先禁用 VNF,然后再禁用 HA。
下一步做什么
如果要将多个流量分段重定向到 VNF,请定义分段和服务 VLAN 之间的映射。请参阅定义分段和服务 VLAN 之间的映射。
您可以将安全 VNF 插入到 VLAN 以及路由接口中,以将来自 VLAN 或路由接口的流量重定向到 VNF。请参阅为 VLAN 配置 VNF 插入。