Na Edge nakonfigurovaných pro vysokou dostupnost můžete nakonfigurovat VNF zabezpečení, aby byla zajištěna redundance.

VNF s HA na Edge můžete nakonfigurovat v následujících scénářích:

  • Ve standalone Edge povolte HA a VNF.
  • U Edge nakonfigurovaných s režimem HA povolte VNF.

Mezi Edge a instancí VNF jsou povolena a používána tato rozhraní:

  • Rozhraní LAN na VNF
  • Rozhraní WAN na VNF
  • Rozhraní pro správu – VNF komunikuje se svým správcem
  • Rozhraní VNF Sync – Synchronizuje informace mezi VNF nasazenými v aktivních a pohotovostních Edge.

Edge mají role HA Aktivní (Active) a Pohotovostní (Standby). VNF na každém Edge běží v režimu Aktivní–Aktivní. Aktivní a pohotovostní Edge se naučí stav VNF přes SNMP. Cyklické dotazování SNMP se provádí pravidelně pro každou 1 sekundu prostřednictvím VNF daemon na Edge.

VNF se používá v režimu Aktivní–Aktivní s provozem uživatele předávaným do VNF pouze z přidruženého zařízení Edge v aktivním režimu. U VM v pohotovostním režimu (Standby), kde je Edge ve VM ve stavu pohotovostního režimu, bude mít VNF pouze provoz týkající se správce VNF a synchronizace dat s jinou instancí VNF.

Následující příklad ukazuje konfiguraci HA a VNF na standalone Edge.

Požadavky

Ujistěte se, že máte následující:

  • SASE Orchestrator a aktivovaný nástroj Zařízení SD-WAN Edge s verzí softwaru 4.0.0 nebo novější. Další informace o podporovaných platformách Edge najdete v matici podpory v tématu Bezpečnostní funkce virtuální sítě.
  • Nakonfigurovaná služba Správa VNF brány firewall Check Point (Check Point Firewall VNF Management). Další informace naleznete v tématu Konfigurace služby správy VNF.
    Poznámka: VMware podporuje správu VNF brány firewall Check Point (Check Point Firewall VNF) pouze na zařízeních Edge s HA.

Procedura

  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Zařízení Edge (Edges).
  2. Na stránce Zařízení Edge (Edges) klikněte buď na odkaz na zařízení Edge, které chcete nakonfigurovat, nebo klikněte na odkaz View (Zobrazit) ve sloupci Zařízení (Device) pro zařízení Edge. Možnosti konfigurace pro vybrané zařízení Edge jsou zobrazeny na kartě Zařízení (Device).
  3. Přejděte dolů do oddílu Vysoká dostupnost (High Availability) a z možností Vybrat typ (Select Type) vyberte Aktivní/pohotovostní režim (Active Standby Pair).
  4. Přejděte do sekce VNF zabezpečení (Security VNF) a klikněte na možnost + Konfigurovat VNF zabezpečení (+ Configure Security VNF). Zobrazí se okno Konfigurace VNF zabezpečení (Configure Security VNF).
  5. V okně Konfigurace VNF zabezpečení (Configure Security VNF) zaškrtněte pole Nasadit (Deploy).
  6. V části Konfigurace VM (VM Configuration) nakonfigurujte následující nastavení:
    1. VLAN – Z rozevíracího seznamu vyberte VLAN, která se má použít pro správu VNF.
    2. VM-1 IP – Zadejte IP adresu VM a ujistěte se, že IP adresa je v rozsahu podsítě vybrané VLAN.
    3. Název hostitele VM-1 (VM-1 Hostname) – Zadejte název hostitele VM.
    4. Stav zavádění (Deployment State) – Vyberte jednu z následujících možností:
      • Bitová kopie stažena a zařízení zapnuto (Image Downloaded and Powered On) – Tato možnost zapne VM po vytvoření VNF brány firewall na Edge. Provoz přenáší VNF pouze v případě, že je vybrána tato možnost, což vyžaduje, aby pro vložení VNF byla nakonfigurována alespoň jedna VLAN nebo směrované rozhraní.
      • Bitová kopie stažena a zařízení vypnuto (Image Downloaded and Powered Off) – Tato možnost ponechá VM po vytvoření VNF brány firewall na Edge vypnutý. Pokud máte v úmyslu odesílat data přes VNF, tuto možnost nevybírejte.
  7. V části VNF zabezpečení (Security VNF) z rozevíracího seznamu vyberte předdefinovanou službu Správa VNF brány firewall Check Point (Check Point Firewall VNF Management). Můžete také kliknout na možnost Nová služba VNF (New VNF Service) a vytvořit novou službu správy VNF. Další informace naleznete v tématu Konfigurace služby správy VNF.
  8. Klikněte na tlačítko Aktualizovat (Update).

Výsledek

V části VNF zabezpečení (Security VNF) se zobrazují nakonfigurované podrobnosti pro VNF zabezpečení brány firewall Check Point.

Vyčkejte, až Edge převezme aktivní roli, a poté připojte pohotovostní Edge ke stejnému rozhraní aktivního Edge. Pohotovostní Edge přejímá všechny podrobnosti konfigurace, včetně nastavení VNF, z aktivního Edge. Další informace o konfiguraci HA naleznete v tématu Aktivace vysoké dostupnosti.

Když je VNF na aktivním Edge nefunkční nebo neodpovídá, přebírá aktivní roli VNF na pohotovostní Edge.

Poznámka: Chcete-li vypnout HA v zařízení Edge nakonfigurovaném pomocí VNF, nejprve vypněte VNF a poté vypněte HA.

Jak pokračovat dále

Pokud chcete přesměrovat více provozních segmentů na VNF, definujte mapování mezi segmenty a službami VLAN. Viz téma Definování segmentů mapování pomocí služeb VLAN

VNF zabezpečení můžete vložit do VLAN i do směrovaného rozhraní, abyste přesměrovali provoz z VLAN nebo směrovaného rozhraní do VNF. Viz téma Konfigurace sítě VLAN s vložením VNF.