Puede configurar VNF de seguridad en las instancias de Edge configuradas con alta disponibilidad para proporcionar redundancia.

Puede configurar VNF con HA en las instancias de Edge de los siguientes escenarios:

  • En una instancia de Edge independiente, habilite HA y VNF.
  • En las instancias de Edge configuradas con el modo HA, habilite VNF.

Las siguientes interfaces están habilitadas y se utilizan entre la instancia de Edge y VNF:

  • Interfaz de LAN a VNF
  • Interfaz de WAN a VNF
  • Interfaz de administración: VNF se comunica con su administrador
  • Interfaz de sincronización de VNF (VNF Sync Interface): sincroniza la información entre instancias de VNF implementadas en las instancias de Edge activas (Active) y en espera (Standby).

Las instancias de Edge tienen las funciones de HA activas (Active) y en espera (Standby). Las instancias de VNF de cada instancia de Edge se ejecutan con el modo activo-activo (Active-Active). Las instancias de Edge activas (Active) y en espera (Standby) aprenden el estado de la instancia de VNF a través de SNMP. El sondeo de SNMP se realiza de forma periódica cada 1 segundo por el daemon de VNF en las instancias de Edge.

VNF se usa en el modo activo-activo (Active-Active) con el tráfico de usuario reenviado a una instancia de VNF únicamente desde la instancia de Edge asociada en modo activo (Active). En la máquina virtual en espera, donde la instancia de Edge de la máquina virtual está en espera, la instancia de VNF solo tendrá tráfico a VNF Manager y a la sincronización de datos con la otra instancia de VNF.

En el siguiente ejemplo, se muestra cómo configurar HA y VNF en una instancia de Edge independiente.

Requisitos previos

Asegúrese de tener lo siguiente:

  • SASE Orchestrator y SD-WAN Edge activado que ejecute la versión de software 4.0.0 o posterior. Para obtener más información sobre las plataformas de Edge compatibles, consulte la matriz de soporte en Funciones de red virtual.
  • El servicio de administración de VNF de Firewall de Check Point (Check Point Firewall) configurado. Para obtener más información, consulte Configurar el servicio de administración de VNF.
    Nota: VMware solo admite VNF de Firewall de Check Point (Check Point Firewall VNF) en instancias de Edge con HA.

Procedimiento

  1. En el servicio SD-WAN del portal de empresas, haga clic en Configurar (Configure) > Instancias de Edge (Edges).
  2. En la página Instancias de Edge (Edges), haga clic en el vínculo a la instancia de Edge que desea configurar o en el vínculo Vista (View) de la columna Dispositivo (Device) de la instancia de Edge. Las opciones de configuración de la instancia de Edge seleccionada se muestran en la pestaña Dispositivo (Device).
  3. Desplácese hasta la sección Alta disponibilidad (High Availability) y, en las opciones Seleccionar tipo (Select Type), elija el Par en modo Activo Espera (Active Standby Pair).
  4. Desplácese hasta la sección VNF de seguridad (Security VNF) y haga clic en + Configurar VNF de seguridad (+ Configure Security VNF). Se mostrará la ventana Configurar VNF de seguridad (Configure Security VNF).
  5. En la ventana Configurar VNF de seguridad (Configure Security VNF), seleccione la casilla de verificación Implementar (Deploy).
  6. En Configuración de máquina virtual (VM Configuration), defina los siguientes ajustes:
    1. VLAN: elija una VLAN que se utilizará para la administración de VNF en la lista desplegable.
    2. IP de máquina virtual-1 (VM-1 IP): introduzca la dirección IP de la máquina virtual y asegúrese de que la dirección IP esté en el rango de subredes de la VLAN elegida.
    3. Nombre de host de VM-1 (VM-1 Hostname): introduzca el nombre de host de la máquina virtual.
    4. Estado de implementación (Deployment State): elija una de las siguientes opciones:
      • Imagen descargada y encendida (Image Downloaded and Powered On): esta opción enciende la máquina virtual después de crear la instancia de VNF de firewall en la instancia de Edge. El tráfico solo transita por VNF cuando se selecciona esta opción, lo que requiere que se configure al menos una VLAN o interfaz enrutada para la inserción de VNF.
      • Imagen descargada y apagada (Image Downloaded and Powered Off): esta opción mantiene la máquina virtual apagada tras la creación de la instancia de VNF de firewall en la instancia de Edge. No seleccione esta opción si desea enviar tráfico a través de VNF.
  7. En VNF de seguridad (Security VNF), elija un servicio de administración de VNF de Firewall de Check Point (Check Point Firewall) predefinido en la lista desplegable. También puede hacer clic en Nuevo servicio VNF (New VNF Service) para crear un nuevo servicio de administración de VNF. Para obtener más información, consulte Configurar el servicio de administración de VNF.
  8. Haga clic en Actualizar (Update).

Resultados

En la sección VNF de seguridad (Security VNF), se muestran los detalles configurados para VNF de seguridad de firewall de Check Point.

Espere hasta que Edge asuma el rol activo y, a continuación, conecte la instancia de Edge en espera a la misma interfaz de la instancia de Edge activa. La instancia de Edge en espera recibe todos los detalles de configuración, incluida la configuración de VNF, desde la instancia de Edge activa. Para obtener más información sobre la configuración de HA, consulte Activar alta disponibilidad.

Cuando la instancia de VNF está inactiva o no responde en la instancia de Edge activa, la instancia de VNF en la instancia de Edge en espera asume la función activa.

Nota: Cuando desee desactivar la HA en una instancia de Edge configurada con VNF, desactive primero la instancia de VNF y, a continuación, desactive la HA.

Qué hacer a continuación

Si desea redireccionar varios segmentos de tráfico a la instancia de VNF, defina la asignación entre segmentos y las redes VLAN de servicio. Consulte Definir segmentos de asignación con redes VLAN de servicio.

Puede insertar la instancia de VNF de seguridad tanto en la VLAN como en la interfaz enrutada para redireccionar el tráfico de la VLAN o de la interfaz enrutada a la VNF. Consulte Configurar VLAN con inserción de VNF.