Vous pouvez configurer la VNF de sécurité sur des dispositifs Edge configurés avec la haute disponibilité pour assurer la redondance.

Vous pouvez configurer VNF avec HA sur les dispositifs Edge dans les scénarios suivants :

  • Dans un dispositif Edge autonome, activez HA et VNF.
  • Dans les dispositifs Edge configurés avec le mode HA, activez VNF.

Les interfaces suivantes sont activées et utilisées entre les instances du dispositif Edge et de VNF :

  • Interface LAN vers VNF
  • Interface WAN vers VNF
  • Interface de gestion (Management Interface) : VNF communique avec son gestionnaire
  • Interface de synchronisation VNF (VNF Sync Interface) : synchronise les informations entre les VNF déployées sur les dispositifs Edge actifs et en veille

Les dispositifs Edge disposent des rôles HA actif et en veille. Les VNF sur chaque dispositif Edge s'exécutent en mode actif-actif. Les dispositifs Edge actifs et en veille apprennent l'état de la VNF via SNMP. L'interrogation SNMP est effectuée périodiquement toutes les 1 seconde par le démon VNF sur les dispositifs Edge.

VNF est utilisé en mode actif-actif avec le trafic utilisateur transféré vers une VNF uniquement à partir du dispositif Edge associé en mode actif. Sur la VM en veille, où le dispositif Edge de la VM est en veille, la VNF ne présente un trafic que vers VNF Manager et les données se synchronisent avec l'autre instance de VNF.

L'exemple suivant montre la configuration de HA et de VNF sur un dispositif Edge autonome.

Conditions préalables

Assurez-vous que vous disposez des éléments suivants :

  • SD-WAN Orchestrator et le dispositif SD-WAN Edge activé exécutant le logiciel version 4.0.0 ou une version ultérieure. Pour plus d'informations sur les plates-formes de dispositifs Edge prises en charge, reportez-vous à la matrice de prise en charge dans VNF de sécurité.
  • Configuration du service de gestion VNF du pare-feu Check Point. Pour plus d'informations, reportez-vous à la section Configurer le service de gestion VNF.
    Note : VMware prend uniquement en charge la VNF de pare-feu Check Point sur les dispositifs Edge avec HA.

Procédure

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou cliquez sur le lien d'accès à un dispositif Edge, puis cliquez sur l'onglet Périphérique (Device).
  3. Dans l'onglet Périphérique (Device), accédez à la section Haute disponibilité (High Availability) et choisissez Paire en actif passif (Active Standby Pair).
  4. Accédez à VNF de sécurité (Security VNF) et cliquez sur Modifier (Edit).
  5. Sur la page Configuration de la VNF d'Edge (Edge VNF Configuration), cliquez sur Déployer (Deploy).
  6. Configurez les éléments suivants dans Configuration de la machine virtuelle (VM Configuration) :
    1. VLAN : choisissez un VLAN à utiliser pour la gestion VNF dans la liste déroulante.
    2. Adresse IP de VM-1 (VM-1 IP), Adresse IP de VM-2 (VM-2 IP) : entrez les adresses IP de VM1 et de VM2. Assurez-vous que les adresses IP se trouvent dans la plage de sous-réseaux du VLAN choisi.
    3. Nom d'hôte de VM-1 (VM-1 Hostname), Nom d'hôte de VM-2 (VM-2 Hostname) : entrez les noms d'hôte des VM.
    4. État de déploiement (Deployment State) : choisissez l'une des options suivantes :
      • Image téléchargée et sous tension (Image Downloaded and Powered On) : cette option met sous tension la VM après avoir créé la VNF de pare-feu sur le dispositif Edge. Le trafic ne transite par la VNF que lorsque cette option est choisie, ce qui nécessite au moins un VLAN ou une interface routée configuré pour l'insertion de la VNF.
      • Image téléchargée et hors tension (Image Downloaded and Powered Off) : cette option maintient la VM hors tension après avoir créé la VNF de pare-feu sur le dispositif Edge. Ne sélectionnez pas cette option si vous prévoyez d'envoyer le trafic via la VNF.
    5. VNF de sécurité (Security VNF) : choisissez un service de gestion VNF de pare-feu Check Point prédéfini dans la liste déroulante. Vous pouvez également cliquer sur Nouveau service VNF (New VNF Service) pour créer un service de gestion VNF. Pour plus d'informations, reportez-vous à la section Configurer le service de gestion VNF.
    6. Cliquez sur Mettre à jour (Update).

Résultats

La section VNF de sécurité (Security VNF) affiche les détails configurés :

Attendez que le dispositif Edge assume le rôle actif, puis connectez le dispositif Edge en veille à la même interface du dispositif Edge actif. Le dispositif Edge en veille reçoit tous les détails de configuration, y compris les paramètres VNF, à partir du dispositif Edge actif. Pour plus d'informations sur la configuration HA, reportez-vous à la section Configurer la haute disponibilité (HA).

Lorsque la VNF est inactive ou ne répond pas dans le dispositif Edge actif, la VNF dans le dispositif Edge en veille prend le rôle actif.

Note : Lorsque vous souhaitez désactiver HA dans un dispositif Edge configuré avec la VNF, désactivez d'abord la VNF, puis désactivez HA.

Que faire ensuite

Si vous souhaitez rediriger plusieurs segments de trafic vers la VNF, définissez le mappage entre les segments et les VLAN de service. Reportez-vous à la section Définir des segments de mappage avec des VLAN de service

Vous pouvez insérer la VNF de sécurité dans le VLAN et l'interface routée pour rediriger le trafic du VLAN ou de l'interface routée vers la VNF. Reportez-vous à la section Configurer le VLAN avec insertion de la VNF.