Sie können Sicherheits-VNF für mit Hochverfügbarkeit konfigurierte Edges konfigurieren, um für Redundanz zu sorgen.

Sie können VNF mit HA auf Edges in den folgenden Szenarien konfigurieren:

  • Auf einem eigenständigen Edge können Sie HA und VNF aktivieren.
  • Auf Edges, die mit HA-Modus aktiviert sind, können Sie VNF aktivieren.

Folgende Schnittstellen werden zwischen dem Edge und der VNF-Instanz aktiviert und verwendet:

  • LAN-Schnittstelle zu VNF
  • WAN-Schnittstelle zu VNF
  • Verwaltungsschnittstelle – VNF kommuniziert mit seinem Manager.
  • VNF-Synchronisierungsschnittstelle – Synchronisiert Informationen zwischen VNFs, die auf aktiven und Standby-Edges bereitgestellt werden.

Die Edges haben als HA-Rollen „Aktiv“ und „Standby“. Die VNFs auf jedem Edge werden im Aktiv-Aktiv-Modus ausgeführt. Die aktiven und die Standby-Edges lernen den VNF-Status über SNMP. Der SNMP-Abruf wird in regelmäßigen Abständen jede Sekunde durch den VNF-Daemon auf den Edges ausgeführt.

VNF wird im Aktiv-Aktiv-Modus verwendet, wobei der Benutzerverkehr nur von dem zugehörigen Edge im Aktiv-Modus an eine VNF weitergeleitet wird. Auf der Standby-VM, auf der sich der Edge in der VM im Standby-Modus befindet, hat die VNF nur Datenverkehr zum VNF-Manager und zur Datensynchronisierung mit der anderen VNF-Instanz.

Das folgende Beispiel zeigt die Konfiguration von HA und VNF auf einem eigenständigen Edge.

Voraussetzungen

Sie benötigen Folgendes:

  • SASE Orchestrator und aktivierten SD-WAN Edge mit laufender Softwareversion 4.0.0 oder höher. Weitere Informationen zu den unterstützten Edge-Plattformen finden Sie in der Support-Matrix in Sicherheits-VNFs.
  • Konfigurierter VNF-Verwaltungsdienst für Check Point-Firewall. Weitere Informationen finden Sie unter Konfigurieren des VNF-Verwaltungsdiensts.
    Hinweis: VMware unterstützt Check Point-Firewall-VNF (Check Point Firewall VNF) nur auf Edges mit HA.

Prozedur

  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Edges.
  2. Klicken Sie auf der Seite Edges entweder auf den Link zu einem Edge, den Sie konfigurieren möchten, oder klicken Sie auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Edge. Die Konfigurationsoptionen für den ausgewählten Edge werden auf der Registerkarte Gerät (Device) angezeigt.
  3. Scrollen Sie nach unten zum Abschnitt Hochverfügbarkeit (High Availability) und wählen Sie aus den Optionen Typ auswählen (Select Type) das Aktiv/Standby-Paar (Active Standby Pair) aus.
  4. Navigieren Sie zum Abschnitt Sicherheits-VNF (Security VNF) und klicken Sie auf + Sicherheits-VNF konfigurieren (+ Configure Security VNF). Das Fenster Sicherheits-VNF konfigurieren (Configure Security VNF) wird angezeigt.
  5. Aktivieren Sie im Fenster Sicherheits-VNF konfigurieren (Configure Security VNF) das Kontrollkästchen Bereitstellen (Deploy).
  6. Konfigurieren Sie unter VM-Konfiguration (VM Configuration) die folgenden Einstellungen:
    1. VLAN – Wählen Sie aus der Dropdown-Liste ein VLAN aus, das für die VNF-Verwaltung verwendet werden soll.
    2. IP-Adresse für VM-1 (VM-1 IP) – Geben Sie die IP-Adresse der VM ein und stellen Sie sicher, dass sich die IP-Adresse im Subnetzbereich des ausgewählten VLAN befindet.
    3. VM-1-Hostname (VM-1 Hostname) – Geben Sie einen Namen für den VM-Host ein.
    4. Bereitstellungszustand (Deployment State) – Wählen Sie eine der folgenden Optionen aus:
      • Image heruntergeladen und eingeschaltet (Image Downloaded and Powered On) – Diese Option aktiviert die VM, nachdem die Firewall-VNF auf dem Edge erstellt wurde. Der Datenverkehr durchläuft die VNF nur, wenn diese Option ausgewählt ist. Dazu muss mindestens ein VLAN oder eine geroutete Schnittstelle für die VNF-Einfügung konfiguriert sein.
      • Image heruntergeladen und ausgeschaltet (Image Downloaded and Powered Off) – Bei dieser Option bleibt die VM ausgeschaltet, nachdem die Firewall-VNF auf dem Edge erstellt wurde. Wählen Sie diese Option nicht aus, wenn Sie den Datenverkehr über die VNF senden möchten.
  7. Wählen Sie unter Sicherheits-VNF (Security VNF) einen vordefinierten VNF-Verwaltungsdienst für die Check Point-Firewall (Check Point Firewall) aus der Dropdown-Liste aus. Sie können auch auf Neuer VNF-Dienst (New VNF Service) klicken, um einen neuen VNF-Verwaltungsdienst zu erstellen. Weitere Informationen finden Sie unter Konfigurieren des VNF-Verwaltungsdiensts.
  8. Klicken Sie auf Aktualisieren (Update).

Ergebnisse

Im Abschnitt Sicherheits-VNF (Security VNF) werden die konfigurierten Details für die Sicherheits-VNF der Check Point-Firewall angezeigt.

Warten Sie, bis der Edge die aktive Rolle übernimmt, und verbinden Sie dann den Standby-Edge mit derselben Schnittstelle wie der aktive Edge. Der Standby-Edge empfängt alle Konfigurationsdetails, einschließlich der VNF-Einstellungen, vom aktiven Edge. Weitere Informationen zur HA-Konfiguration finden Sie unter Aktivieren von Hochverfügbarkeit.

Wenn die VNF nicht verfügbar ist oder im aktiven Edge nicht antwortet, übernimmt die VNF auf dem Standby-Edge die aktive Rolle.

Hinweis: Wenn Sie die HA in einem mit VNF konfigurierten Edge ausschalten möchten, schalten Sie zuerst den VNF und dann die HA aus.

Nächste Maßnahme

Wenn Sie mehrere Datenverkehrssegmente zur VNF umleiten möchten, definieren Sie die Zuordnung zwischen Segmenten und Dienst-VLANs. Weitere Informationen finden Sie unter Definieren von Zuordnungssegmenten mit Dienst-VLANs.

Sie können die Sicherheits-VNF sowohl in ein VLAN als auch in eine geroutete Schnittstelle einfügen, um den Datenverkehr vom VLAN oder der gerouteten Schnittstelle zur VNF umzuleiten. Weitere Informationen finden Sie unter Konfigurieren von VLAN mit VNF-Einfügung.