Puede configurar VNF de seguridad en las instancias de Edge configuradas con alta disponibilidad para proporcionar redundancia.

Puede configurar VNF con HA en las instancias de Edge de los siguientes escenarios:

  • En una instancia de Edge independiente, habilite HA y VNF.
  • En las instancias de Edge configuradas con el modo HA, habilite VNF.

Las siguientes interfaces están habilitadas y se utilizan entre la instancia de Edge y VNF:

  • Interfaz de LAN a VNF
  • Interfaz de WAN a VNF
  • Interfaz de administración: VNF se comunica con su administrador
  • Interfaz de sincronización de VNF (VNF Sync Interface): sincroniza la información entre instancias de VNF implementadas en las instancias de Edge activas (Active) y en espera (Standby).

Las instancias de Edge tienen las funciones de HA activas (Active) y en espera (Standby). Las instancias de VNF de cada instancia de Edge se ejecutan con el modo activo-activo (Active-Active). Las instancias de Edge activas (Active) y en espera (Standby) aprenden el estado de la instancia de VNF a través de SNMP. El sondeo de SNMP se realiza de forma periódica cada 1 segundo por el daemon de VNF en las instancias de Edge.

VNF se usa en el modo activo-activo (Active-Active) con el tráfico de usuario reenviado a una instancia de VNF únicamente desde la instancia de Edge asociada en modo activo (Active). En la máquina virtual en espera, donde la instancia de Edge de la máquina virtual está en espera, la instancia de VNF solo tendrá tráfico a VNF Manager y a la sincronización de datos con la otra instancia de VNF.

En el siguiente ejemplo, se muestra cómo configurar HA y VNF en una instancia de Edge independiente.

Requisitos previos

Asegúrese de tener lo siguiente:

  • SD-WAN Orchestrator y SD-WAN Edge activado que ejecute la versión de software 4.0.0 o posterior. Para obtener más información sobre las plataformas de Edge compatibles, consulte la matriz de soporte en Instancias de VNF de seguridad.
  • El servicio de administración de VNF de Firewall de Check Point (Check Point Firewall) configurado. Para obtener más información, consulte Configurar el servicio de administración de VNF.
    Nota: VMware solo admite VNF de Firewall de Check Point (Check Point Firewall) en instancias de Edge con HA.

Procedimiento

  1. En el portal de empresas, haga clic en Configurar (Configure) > Instancias de Edge (Edges).
  2. Haga clic en el icono del Dispositivo (Device) junto a una instancia de Edge o haga clic en el vínculo a la instancia de Edge y, a continuación, haga clic en la pestaña Dispositivo (Device).
  3. En la pestaña Dispositivo (Device), desplácese hasta la sección Alta disponibilidad (High Availability) y elija Par activo en espera (Active Standby Pair).
  4. Desplácese hasta la sección VNF de seguridad (Security VNF) y haga clic en Editar (Edit).
  5. En la página Configuración de VNF de Edge (Edge VNF Configuration), haga clic en Implementar (Deploy).
  6. Configure las siguientes opciones en Configuración de máquina virtual (VM Configuration):
    1. VLAN: elija una VLAN que se utilizará para la administración de VNF en la lista desplegable.
    2. IP de máquina virtual-1 e IP de máquina virtual-2 (VM-1 IP, VM-2 IP): Introduzca las direcciones IP de las máquinas virtuales 1 y 2. Asegúrese de que las direcciones IP estén en el rango de subredes de la VLAN elegida.
    3. Nombre de host de VM-1 y nombre de host de VM-2 (VM-1 Hostname, VM-2 Hostname): introduzca los nombres de los hosts de las máquinas virtuales.
    4. Estado de implementación (Deployment State): elija una de las siguientes opciones:
      • Imagen descargada y encendida (Image Downloaded and Powered On): esta opción enciende la máquina virtual después de crear la instancia de VNF de firewall en la instancia de Edge. El tráfico solo transita por VNF cuando se selecciona esta opción, lo que requiere que se configure al menos una VLAN o interfaz enrutada para la inserción de VNF.
      • Imagen descargada y apagada (Image Downloaded and Powered Off): esta opción mantiene la máquina virtual apagada tras la creación de la instancia de VNF de firewall en la instancia de Edge. No seleccione esta opción si desea enviar tráfico a través de VNF.
    5. VNF de seguridad (Security VNF): elija un servicio de administración de VNF de Firewall de Check Point (Check Point Firewall) predefinido en la lista desplegable. También puede hacer clic en Nuevo servicio VNF (New VNF Service) para crear un nuevo servicio de administración de VNF. Para obtener más información, consulte Configurar el servicio de administración de VNF.
    6. Haga clic en Actualizar (Update).

Resultados

La sección VNF de seguridad (Security VNF) muestra los detalles configurados:

Espere hasta que Edge asuma el rol activo y, a continuación, conecte la instancia de Edge en espera a la misma interfaz de la instancia de Edge activa. La instancia de Edge en espera recibe todos los detalles de configuración, incluida la configuración de VNF, desde la instancia de Edge activa. Para obtener más información sobre la configuración de HA, consulte Configurar HA.

Cuando la instancia de VNF está inactiva o no responde en la instancia de Edge activa, la instancia de VNF en la instancia de Edge en espera asume la función activa.

Nota: Cuando desee desactivar la HA en una instancia de Edge configurada con VNF, desactive primero la instancia de VNF y, a continuación, desactive la HA.

Qué hacer a continuación

Si desea redireccionar varios segmentos de tráfico a la instancia de VNF, defina la asignación entre segmentos y las redes VLAN de servicio. Consulte Definir segmentos de asignación con redes VLAN de servicio.

Puede insertar la instancia de VNF de seguridad tanto en la VLAN como en la interfaz enrutada para redireccionar el tráfico de la VLAN o de la interfaz enrutada a la VNF. Consulte Configurar VLAN con inserción de VNF.