Puede configurar VNF de seguridad en las instancias de Edge configuradas con alta disponibilidad para proporcionar redundancia.
Puede configurar VNF con HA en las instancias de Edge de los siguientes escenarios:
- En una instancia de Edge independiente, habilite HA y VNF.
- En las instancias de Edge configuradas con el modo HA, habilite VNF.
Las siguientes interfaces están habilitadas y se utilizan entre la instancia de Edge y VNF:
- Interfaz de LAN a VNF
- Interfaz de WAN a VNF
- Interfaz de administración: VNF se comunica con su administrador
- Interfaz de sincronización de VNF (VNF Sync Interface): sincroniza la información entre instancias de VNF implementadas en las instancias de Edge activas (Active) y en espera (Standby).
Las instancias de Edge tienen las funciones de HA activas (Active) y en espera (Standby). Las instancias de VNF de cada instancia de Edge se ejecutan con el modo activo-activo (Active-Active). Las instancias de Edge activas (Active) y en espera (Standby) aprenden el estado de la instancia de VNF a través de SNMP. El sondeo de SNMP se realiza de forma periódica cada 1 segundo por el daemon de VNF en las instancias de Edge.
VNF se usa en el modo activo-activo (Active-Active) con el tráfico de usuario reenviado a una instancia de VNF únicamente desde la instancia de Edge asociada en modo activo (Active). En la máquina virtual en espera, donde la instancia de Edge de la máquina virtual está en espera, la instancia de VNF solo tendrá tráfico a VNF Manager y a la sincronización de datos con la otra instancia de VNF.
En el siguiente ejemplo, se muestra cómo configurar HA y VNF en una instancia de Edge independiente.
Requisitos previos
Asegúrese de tener lo siguiente:
- SD-WAN Orchestrator y SD-WAN Edge activado que ejecute la versión de software 4.0.0 o posterior. Para obtener más información sobre las plataformas de Edge compatibles, consulte la matriz de soporte en Instancias de VNF de seguridad.
- El servicio de administración de VNF de Firewall de Check Point (Check Point Firewall) configurado. Para obtener más información, consulte Configurar el servicio de administración de VNF.
Nota: VMware solo admite VNF de Firewall de Check Point (Check Point Firewall) en instancias de Edge con HA.
Procedimiento
Resultados
Espere hasta que Edge asuma el rol activo y, a continuación, conecte la instancia de Edge en espera a la misma interfaz de la instancia de Edge activa. La instancia de Edge en espera recibe todos los detalles de configuración, incluida la configuración de VNF, desde la instancia de Edge activa. Para obtener más información sobre la configuración de HA, consulte Configurar alta disponibilidad (HA).
Cuando la instancia de VNF está inactiva o no responde en la instancia de Edge activa, la instancia de VNF en la instancia de Edge en espera asume la función activa.
Qué hacer a continuación
Si desea redireccionar varios segmentos de tráfico a la instancia de VNF, defina la asignación entre segmentos y las redes VLAN de servicio. Consulte Definir segmentos de asignación con redes VLAN de servicio.
Puede insertar la instancia de VNF de seguridad tanto en la VLAN como en la interfaz enrutada para redireccionar el tráfico de la VLAN o de la interfaz enrutada a la VNF. Consulte Configurar VLAN con inserción de VNF.