Sie können Sicherheits-VNF für mit Hochverfügbarkeit konfigurierte Edges konfigurieren, um für Redundanz zu sorgen.

Sie können VNF mit HA auf Edges in den folgenden Szenarien konfigurieren:

  • Auf einem eigenständigen Edge können Sie HA und VNF aktivieren.
  • Auf Edges, die mit HA-Modus aktiviert sind, können Sie VNF aktivieren.

Folgende Schnittstellen werden zwischen dem Edge und der VNF-Instanz aktiviert und verwendet:

  • LAN-Schnittstelle zu VNF
  • WAN-Schnittstelle zu VNF
  • Verwaltungsschnittstelle – VNF kommuniziert mit seinem Manager.
  • VNF-Synchronisierungsschnittstelle – Synchronisiert Informationen zwischen VNFs, die auf aktiven und Standby-Edges bereitgestellt werden.

Die Edges haben als HA-Rollen „Aktiv“ und „Standby“. Die VNFs auf jedem Edge werden im Aktiv-Aktiv-Modus ausgeführt. Die aktiven und die Standby-Edges lernen den VNF-Status über SNMP. Der SNMP-Abruf wird in regelmäßigen Abständen jede Sekunde durch den VNF-Daemon auf den Edges ausgeführt.

VNF wird im Aktiv-Aktiv-Modus verwendet, wobei der Benutzerverkehr nur von dem zugehörigen Edge im Aktiv-Modus an eine VNF weitergeleitet wird. Auf der Standby-VM, auf der sich der Edge in der VM im Standby-Modus befindet, hat die VNF nur Datenverkehr zum VNF-Manager und zur Datensynchronisierung mit der anderen VNF-Instanz.

Das folgende Beispiel zeigt die Konfiguration von HA und VNF auf einem eigenständigen Edge.

Voraussetzungen

Sie benötigen Folgendes:

  • SD-WAN Orchestrator und aktivierten SD-WAN Edge mit laufender Softwareversion 4.0.0 oder höher. Weitere Informationen zu den unterstützten Edge-Plattformen finden Sie in der Support-Matrix in Sicherheits-VNFs.
  • Konfigurierter VNF-Verwaltungsdienst für Check Point-Firewall. Weitere Informationen finden Sie unter Konfigurieren des VNF-Verwaltungsdiensts.
    Hinweis: VMware unterstützt Check Point-Firewall-VNF nur auf Edges mit HA.

Prozedur

  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Edges.
  2. Klicken Sie auf das Gerätesymbol neben einem Edge oder klicken Sie auf den Link zu einem Edge und dann auf die Registerkarte Gerät (Device).
  3. Wechseln Sie auf der Registerkarte Gerät (Device) zum Abschnitt Hochverfügbarkeit (High Availability) und wählen Sie das Aktiv/Standby-Paar (Active Standby Pair) aus.
  4. Navigieren Sie zum Abschnitt Sicherheits-VNF (Security VNF) und klicken Sie auf Bearbeiten (Edit).
  5. Klicken Sie auf der Seite Edge-VNF-Konfiguration (Edge VNF Configuration) auf Bereitstellen (Deploy).
  6. Konfigurieren Sie die folgenden Einstellungen in der VM-Konfiguration (VM Configuration):
    1. VLAN – Wählen Sie aus der Dropdown-Liste ein VLAN aus, das für die VNF-Verwaltung verwendet werden soll.
    2. IP-Adresse für VM-1 (VM-1 IP), IP-Adresse für VM-2 (VM-2 IP) – Geben Sie die IP-Adressen der VM1 und VM2 ein. Achten Sie darauf, dass sich die IP-Adressen im Subnetzbereich des ausgewählten VLAN befinden.
    3. VM-1-Hostname (VM-1 Hostname), VM-2-Hostname (VM-2 Hostname) – Geben Sie die Namen der VM-Hosts ein.
    4. Bereitstellungszustand (Deployment State) – Wählen Sie eine der folgenden Optionen aus:
      • Image heruntergeladen und eingeschaltet (Image Downloaded and Powered On) – Diese Option aktiviert die VM, nachdem die Firewall-VNF auf dem Edge erstellt wurde. Der Datenverkehr durchläuft die VNF nur, wenn diese Option ausgewählt ist. Dazu muss mindestens ein VLAN oder eine geroutete Schnittstelle für die VNF-Einfügung konfiguriert sein.
      • Image heruntergeladen und ausgeschaltet (Image Downloaded and Powered Off) – Bei dieser Option bleibt die VM ausgeschaltet, nachdem die Firewall-VNF auf dem Edge erstellt wurde. Wählen Sie diese Option nicht aus, wenn Sie den Datenverkehr über die VNF senden möchten.
    5. Sicherheits-VNF (Security VNF) – Wählen Sie einen vordefinierten VNF-Verwaltungsdienst für die Check Point-Firewall aus der Dropdown-Liste aus. Sie können auch auf Neuer VNF-Dienst (New VNF Service) klicken, um einen neuen VNF-Verwaltungsdienst zu erstellen. Weitere Informationen finden Sie unter Konfigurieren des VNF-Verwaltungsdiensts.
    6. Klicken Sie auf Aktualisieren (Update).

Ergebnisse

Im Abschnitt Sicherheits-VNF (Security VNF) werden die konfigurierten Einstellungen im Einzelnen angezeigt:

Warten Sie, bis der Edge die aktive Rolle übernimmt, und verbinden Sie dann den Standby-Edge mit derselben Schnittstelle wie der aktive Edge. Der Standby-Edge empfängt alle Konfigurationsdetails, einschließlich der VNF-Einstellungen, vom aktiven Edge. Weitere Informationen zur HA-Konfiguration finden Sie unter Konfigurieren von HA.

Wenn die VNF nicht verfügbar ist oder im aktiven Edge nicht antwortet, übernimmt die VNF auf dem Standby-Edge die aktive Rolle.

Hinweis: Wenn Sie die HA auf einem mit VNF konfigurierten Edge deaktivieren möchten, deaktivieren Sie zuerst die VNF und anschließend die HA.

Nächste Maßnahme

Wenn Sie mehrere Datenverkehrssegmente zur VNF umleiten möchten, definieren Sie die Zuordnung zwischen Segmenten und Dienst-VLANs. Weitere Informationen finden Sie unter Definieren von Zuordnungssegmenten mit Dienst-VLANs.

Sie können die Sicherheits-VNF sowohl in ein VLAN als auch in eine geroutete Schnittstelle einfügen, um den Datenverkehr vom VLAN oder der gerouteten Schnittstelle zur VNF umzuleiten. Weitere Informationen finden Sie unter Konfigurieren von VLAN mit VNF-Einfügung.