您可以在配置了高可用性的 Edge 上配置安全 VNF 以提供冗余。

在以下情况下,您可以在 Edge 上配置具有 HA 的 VNF:

  • 在独立 Edge 中,启用 HA 和 VNF。
  • 在配置了 HA 模式的 Edge 中,启用 VNF。

将在 Edge 和 VNF 实例之间启用并使用以下接口:

  • 到 VNF 的 LAN 接口
  • 到 VNF 的 WAN 接口
  • 管理接口 - VNF 与其 Manager 通信
  • VNF 同步接口 - 在活动和备用 Edge 上部署的 VNF 之间同步信息

Edge 具有活动和备用 HA 角色。每个 Edge 上的 VNF 以活动-活动模式运行。活动和备用 Edge 通过 SNMP 发现 VNF 状态。VNF 守护进程每隔 1 秒在 Edge 上定期执行 SNMP 轮询。

VNF 在活动-活动模式下使用,并且仅将用户流量从处于活动模式的关联 Edge 转发到 VNF。在备用虚拟机(虚拟机中的 Edge 处于备用状态)上,VNF 仅具有到 VNF Manager 的流量,并与其他 VNF 实例同步数据。

以下示例说明了如何在独立 Edge 上配置 HA 和 VNF。

前提条件

确保您配置了:

  • SASE Orchestrator 并激活了运行软件 4.0.0 或更高版本的 SD-WAN Edge。有关支持的 Edge 平台的更多信息,请参阅安全虚拟网络功能 中的支持列表。
  • 配置了 Check Point 防火墙 VNF 管理服务。有关更多信息,请参阅配置 VNF 管理服务
    注: VMware 仅在具有 HA 的 Edge 上支持 Check Point 防火墙 VNF

过程

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)
  2. Edge (Edges) 页面中,单击指向要配置的 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  3. 向下滚动到高可用性 (High Availability) 部分,然后从选择类型 (Select Type) 选项中选择活动备用对 (Active Standby Pair)
  4. 导航到安全 VNF (Security VNF) 部分,然后单击 + 配置安全 VNF (+ Configure Security VNF)。此时将显示配置安全 VNF (Configure Security VNF) 窗口。
  5. 配置安全 VNF (Configure Security VNF) 窗口中,选中部署 (Deploy) 复选框。
  6. 虚拟机配置 (VM Configuration) 下,配置以下设置:
    1. VLAN - 从下拉列表中选择一个要用于 VNF 管理的 VLAN。
    2. VM-1 IP - 输入虚拟机的 IP 地址,并确保该 IP 地址位于所选 VLAN 的子网范围内。
    3. VM-1 主机名 (VM-1 Hostname) - 输入虚拟机主机的名称。
    4. 部署状态 (Deployment State) - 选择以下选项之一:
      • 已下载映像并打开电源 (Image Downloaded and Powered On) - 该选项在 Edge 上构建防火墙 VNF 后打开虚拟机电源。只有在选择该选项时,才会通过 VNF 传输流量,这需要为 VNF 插入配置至少一个 VLAN 或路由接口。
      • 已下载映像并关闭电源 (Image Downloaded and Powered Off) - 该选项在 Edge 上构建防火墙 VNF 后将虚拟机保持关闭电源状态。如果您打算通过 VNF 发送流量,请不要选择该选项。
  7. 安全 VNF (Security VNF) 下,从下拉列表中选择一个预定义的 Check Point 防火墙 (Check Point Firewall) VNF 管理服务。您也可以单击新建 VNF 服务 (New VNF Service) 以创建新的 VNF 管理服务。有关更多信息,请参阅配置 VNF 管理服务
  8. 单击更新 (Update)

结果

安全 VNF (Security VNF) 部分将显示配置的 Check Point 防火墙安全 VNF 的详细信息。

等到 Edge 担任活动角色,然后将备用 Edge 连接到活动 Edge 的同一接口。备用 Edge 从活动 Edge 接收所有配置详细信息,包括 VNF 设置。有关 HA 配置的更多信息,请参阅激活高可用性

在活动 Edge 中的 VNF 关闭或没有响应时,备用 Edge 中的 VNF 将接管活动角色。

注: 如果要在配置了 VNF 的 Edge 中禁用 HA,请先禁用 VNF,然后再禁用 HA。

下一步做什么

如果要将多个流量分段重定向到 VNF,请定义分段和服务 VLAN 之间的映射。请参阅定义分段和服务 VLAN 之间的映射

您可以将安全 VNF 插入到 VLAN 以及路由接口中,以将来自 VLAN 或路由接口的流量重定向到 VNF。请参阅为 VLAN 配置 VNF 插入