Na Edge nakonfigurovaných pro vysokou dostupnost můžete nakonfigurovat VNF zabezpečení, aby byla zajištěna redundance.

VNF s HA na Edge můžete nakonfigurovat v následujících scénářích:

  • Ve standalone Edge povolte HA a VNF.
  • U Edge nakonfigurovaných s režimem HA povolte VNF.

Mezi Edge a instancí VNF jsou povolena a používána tato rozhraní:

  • Rozhraní LAN na VNF
  • Rozhraní WAN na VNF
  • Rozhraní pro správu – VNF komunikuje se svým správcem
  • Rozhraní VNF Sync – Synchronizuje informace mezi VNF nasazenými v aktivních a pohotovostních Edge.

Edge mají role HA Aktivní (Active) a Pohotovostní (Standby). VNF na každém Edge běží v režimu Aktivní–Aktivní. Aktivní a pohotovostní Edge se naučí stav VNF přes SNMP. Cyklické dotazování SNMP se provádí pravidelně pro každou 1 sekundu prostřednictvím VNF daemon na Edge.

VNF se používá v režimu Aktivní–Aktivní s provozem uživatele předávaným do VNF pouze z přidruženého zařízení Edge v aktivním režimu. U VM v pohotovostním režimu (Standby), kde je Edge ve VM ve stavu pohotovostního režimu, bude mít VNF pouze provoz týkající se správce VNF a synchronizace dat s jinou instancí VNF.

Následující příklad ukazuje konfiguraci HA a VNF na standalone Edge.

Požadavky

Ujistěte se, že máte následující:

  • SD-WAN Orchestrator a aktivovaný nástroj Zařízení SD-WAN Edge s verzí softwaru 4.0.0 nebo novější. Další informace o podporovaných platformách Edge najdete v matici podpory v tématu VNF zabezpečení.
  • Nakonfigurovaná služba Správa VNF brány firewall kontrolního bodu (Check Point Firewall VNF Management). Další informace naleznete v tématu Konfigurace služby správy VNF.
    Poznámka: VMware podporuje správu VNF brány firewall kontrolního bodu pouze na Edge s HA.

Procedura

  1. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Edge.
  2. Klikněte na ikonu Zařízení (Device) vedle Edge nebo na odkaz na Edge a poté klikněte na kartu Zařízení (Device).
  3. Na kartě Zařízení (Device) přejděte do části Vysoká dostupnost (High Availability) a vyberte možnost Aktivní/pohotovostní režim (Active Standby Pair).
  4. Přejděte do sekce VNF zabezpečení (Security VNF) a klikněte na možnost Upravit (Edit).
  5. Na stránce Konfigurace Edge VNF (Edge VNF Configuration) klikněte na možnost Nasadit (Deploy).
  6. V nabídce Konfigurace VM (VM Configuration) nakonfigurujte následující:
    1. VLAN – Z rozevíracího seznamu vyberte VLAN, která se má použít pro správu VNF.
    2. VM-1 IP, VM-2 IP – Zadejte IP adresy VM1 a VM2. Ujistěte se, že IP adresy jsou v rozsahu podsítě vybrané VLAN.
    3. Název hostitele VM-1, Název hostitele VM-2 (VM-1 Hostname, VM-2 Hostname) – Zadejte názvy hostitelů VM.
    4. Stav zavádění (Deployment State) – Vyberte jednu z následujících možností:
      • Bitová kopie stažena a zařízení zapnuto (Image Downloaded and Powered On) – Tato možnost zapne VM po vytvoření VNF brány firewall na Edge. Provoz přenáší VNF pouze v případě, že je vybrána tato možnost, což vyžaduje, aby pro vložení VNF byla nakonfigurována alespoň jedna VLAN nebo směrované rozhraní.
      • Bitová kopie stažena a zařízení vypnuto (Image Downloaded and Powered Off) – Tato možnost ponechá VM po vytvoření VNF brány firewall na Edge vypnutý. Pokud máte v úmyslu odesílat data přes VNF, tuto možnost nevybírejte.
    5. VNF zabezpečení (Security VNF) – Z rozevíracího seznamu vyberte předdefinovanou službu Správa VNF brány firewall kontrolního bodu (Check Point Firewall VNF Management). Můžete také kliknout na možnost Nová služba VNF (New VNF Service) a vytvořit novou službu správy VNF. Další informace naleznete v tématu Konfigurace služby správy VNF.
    6. Klikněte na tlačítko Aktualizovat (Update).

Výsledek

V části VNF zabezpečení (Security VNF) se zobrazují nakonfigurované podrobnosti:

Vyčkejte, až Edge převezme aktivní roli, a poté připojte pohotovostní Edge ke stejnému rozhraní aktivního Edge. Pohotovostní Edge přejímá všechny podrobnosti konfigurace, včetně nastavení VNF, z aktivního Edge. Další informace o konfiguraci HA naleznete v tématu Konfigurace vysoké dostupnosti (HA).

Když je VNF na aktivním Edge nefunkční nebo neodpovídá, přebírá aktivní roli VNF na pohotovostní Edge.

Poznámka: Chcete-li vypnout HA v zařízení Edge nakonfigurovaném pomocí VNF, nejprve vypněte VNF a poté vypněte HA.

Jak pokračovat dále

Pokud chcete přesměrovat více provozních segmentů na VNF, definujte mapování mezi segmenty a službami VLAN. Viz téma Definování segmentů mapování pomocí služeb VLAN

VNF zabezpečení můžete vložit do VLAN i do směrovaného rozhraní, abyste přesměrovali provoz z VLAN nebo směrovaného rozhraní do VNF. Viz téma Konfigurace sítě VLAN s vložením VNF.