Vous pouvez configurer la VNF de sécurité sur des dispositifs Edge configurés avec la haute disponibilité pour assurer la redondance.

Vous pouvez configurer VNF avec HA sur les dispositifs Edge dans les scénarios suivants :

  • Dans un dispositif Edge autonome, activez HA et VNF.
  • Dans les dispositifs Edge configurés avec le mode HA, activez VNF.

Les interfaces suivantes sont activées et utilisées entre les instances du dispositif Edge et de VNF :

  • Interface LAN vers VNF
  • Interface WAN vers VNF
  • Interface de gestion (Management Interface) : VNF communique avec son gestionnaire
  • Interface de synchronisation VNF (VNF Sync Interface) : synchronise les informations entre les VNF déployées sur les dispositifs Edge actifs et en veille

Les dispositifs Edge disposent des rôles HA actif et en veille. Les VNF sur chaque dispositif Edge s'exécutent en mode actif-actif. Les dispositifs Edge actifs et en veille apprennent l'état de la VNF via SNMP. L'interrogation SNMP est effectuée périodiquement toutes les 1 seconde par le démon VNF sur les dispositifs Edge.

VNF est utilisé en mode actif-actif avec le trafic utilisateur transféré vers une VNF uniquement à partir du dispositif Edge associé en mode actif. Sur la VM en veille, où le dispositif Edge de la VM est en veille, la VNF ne présente un trafic que vers VNF Manager et les données se synchronisent avec l'autre instance de VNF.

L'exemple suivant montre la configuration de HA et de VNF sur un dispositif Edge autonome.

Conditions préalables

Assurez-vous que vous disposez des éléments suivants :

  • SASE Orchestrator et le dispositif SD-WAN Edge activé exécutant le logiciel version 4.0.0 ou une version ultérieure. Pour plus d'informations sur les plates-formes de dispositifs Edge prises en charge, reportez-vous à la matrice de prise en charge dans Fonctions de réseau virtuel.
  • Configuration du service de gestion VNF du pare-feu Check Point. Pour plus d'informations, reportez-vous à la section Configurer le service de gestion VNF.
    Note : VMware prend uniquement en charge la VNF de pare-feu Check Point (Check Point Firewall VNF) sur les dispositifs Edge avec HA.

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sur la page Dispositifs Edge (Edges), cliquez sur le lien d'accès à un dispositif Edge que vous souhaitez configurer ou cliquez sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge. Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
  3. Faites défiler la page vers le bas jusqu'à la section Haute disponibilité (High Availability) et, dans les options Sélectionner le type (Select Type), choisissez Paire en actif passif (Active Standby Pair).
  4. Accédez à la section VNF de sécurité (Security VNF), puis cliquez sur + Configurer la VNF de sécurité (+ Configure Security VNF). La fenêtre + Configurer la VNF de sécurité (+ Configure Security VNF) s'ouvre.
  5. Dans la fenêtre + Configurer la VNF de sécurité (+ Configure Security VNF), cochez la case Déployer (Deploy).
  6. Sous Configuration de VM (VM Configuration), configurez les paramètres suivants :
    1. VLAN : choisissez un VLAN à utiliser pour la gestion VNF dans la liste déroulante.
    2. Adresse IP de VM-1 (VM-1 IP) : entrez l'adresse IP de la VM et assurez-vous que l'adresse IP se trouve dans la plage de sous-réseaux du VLAN choisi.
    3. Nom d'hôte de VM-1 (VM-1 Hostname) : entrez un nom pour l'hôte de la VM.
    4. État de déploiement (Deployment State) : choisissez l'une des options suivantes :
      • Image téléchargée et sous tension (Image Downloaded and Powered On) : cette option met sous tension la VM après avoir créé la VNF de pare-feu sur le dispositif Edge. Le trafic ne transite par la VNF que lorsque cette option est choisie, ce qui nécessite au moins un VLAN ou une interface routée configuré pour l'insertion de la VNF.
      • Image téléchargée et hors tension (Image Downloaded and Powered Off) : cette option maintient la VM hors tension après avoir créé la VNF de pare-feu sur le dispositif Edge. Ne sélectionnez pas cette option si vous prévoyez d'envoyer le trafic via la VNF.
  7. Sous VNF de sécurité (Security VNF), choisissez un service de gestion VNF de Pare-feu Check Point (Check Point Firewall) prédéfini dans la liste déroulante. Vous pouvez également cliquer sur Nouveau service VNF (New VNF Service) pour créer un service de gestion VNF. Pour plus d'informations, reportez-vous à la section Configurer le service de gestion VNF.
  8. Cliquez sur Mettre à jour (Update).

Résultats

La section VNF de sécurité (Security VNF) affiche les détails configurés pour la VNF de sécurité du pare-feu Check Point.

Attendez que le dispositif Edge assume le rôle actif, puis connectez le dispositif Edge en veille à la même interface du dispositif Edge actif. Le dispositif Edge en veille reçoit tous les détails de configuration, y compris les paramètres VNF, à partir du dispositif Edge actif. Pour plus d'informations sur la configuration HA, reportez-vous à la section Activer la haute disponibilité.

Lorsque la VNF est inactive ou ne répond pas dans le dispositif Edge actif, la VNF dans le dispositif Edge en veille prend le rôle actif.

Note : Lorsque vous souhaitez désactiver HA dans un dispositif Edge configuré avec la VNF, désactivez d'abord la VNF, puis désactivez HA.

Que faire ensuite

Si vous souhaitez rediriger plusieurs segments de trafic vers la VNF, définissez le mappage entre les segments et les VLAN de service. Reportez-vous à la section Définir des segments de mappage avec des VLAN de service

Vous pouvez insérer la VNF de sécurité dans le VLAN et l'interface routée pour rediriger le trafic du VLAN ou de l'interface routée vers la VNF. Reportez-vous à la section Configurer le VLAN avec insertion de la VNF.