È possibile configurare la VNF di sicurezza negli Edge configurati con alta disponibilità per fornire ridondanza.

È possibile configurare VNF con alta disponibilità negli Edge negli scenari seguenti:

  • In un Edge autonomo, abilitare l'alta disponibilità e VNF.
  • In Edge configurati con la modalità alta disponibilità, abilitare VNF.

Le seguenti interfacce sono abilitate e utilizzate tra l'Edge e l'istanza di VNF:

  • Interfaccia LAN per VNF
  • Interfaccia WAN per VNF
  • Interfaccia di gestione: VNF comunica con il proprio manager
  • Interfaccia di sincronizzazione VNF: sincronizza le informazioni tra VNF distribuite negli Edge attivo e di standby

I ruoli degli Edge per l'alta disponibilità sono Attivo e Standby. Le VNF in ogni Edge vengono eseguite con la modalità Attivo-Attivo. Gli Edge Attivo e Standby acquisiscono lo stato di VNF tramite SNMP. Il sondaggio SNMP viene eseguito periodicamente per ogni secondo dal daemon VNF negli Edge.

VNF viene utilizzata nella modalità Attivo-Attivo con il traffico dell'utente inoltrato a una VNF solo dall'Edge associato in modalità attiva. Nella macchina virtuale di standby, ovvero in cui l'Edge è in standby, la VNF avrà solo il traffico verso VNF Manager e la sincronizzazione dei dati con l'altra istanza di VNF.

Nell'esempio seguente viene illustrata la configurazione dell'alta disponibilità e di VNF in un Edge autonomo.

Prerequisiti

Assicurarsi di disporre di quanto segue:

  • SD-WAN Orchestrator e SD-WAN Edge attivato che esegua la versione del software 4.0.0 o successiva. Per ulteriori informazioni sulle piattaforme Edge supportate, fare riferimento alla matrice di supporto in VNF di sicurezza.
  • Servizio di gestione VNF del firewall Check Point configurato. Per ulteriori informazioni, vedere Configurazione del servizio di gestione VNF.
    Nota: VMware supporta la VNF del firewall Check Point solo negli Edge con alta disponibilità.

Procedura

  1. Nel portale dell'azienda, fare clic su Configura (Configure) > Edge (Edges).
  2. Fare clic sull'icona Dispositivo (Device) accanto a un Edge oppure fare clic sul link di un Edge e quindi fare clic sulla scheda Dispositivo (Device).
  3. Nella scheda Dispositivo (Device), passare alla sezione Alta disponibilità (High Availability) e scegliere Coppia attivo/standby (Active Standby Pair).
  4. Passare alla sezione VNF di sicurezza (Security VNF) e fare clic su Modifica (Edit).
  5. Nella pagina Configurazione VNF Edge (Edge VNF Configuration), fare clic su Distribuisci (Deploy).
  6. Configurare quanto segue in Configurazione macchina virtuale (VM Configuration):
    1. VLAN: nell'elenco a discesa scegliere una VLAN da utilizzare per la gestione di VNF.
    2. IP VM-1 (VM-1 IP), IP VM-2 (VM-2 IP): immettere gli indirizzi IP di VM1 e VM2. Assicurarsi che gli indirizzi IP siano nell'intervallo di subnet della VLAN scelta.
    3. Nome host VM-1 (VM-1 Hostname), Nome host VM-2 (VM-2 Hostname): immettere i nomi degli host delle macchine virtuali.
    4. Stato distribuzione (Deployment State): scegliere una delle seguenti opzioni:
      • Immagine scaricata e accesa (Image Downloaded and Powered On): questa opzione attiva la macchina virtuale dopo aver creato la VNF del firewall nell'Edge. Il traffico transita attraverso VNF solo quando viene scelta questa opzione, che richiede la configurazione di almeno una VLAN o un'interfaccia instradata per l'inserimento di VNF.
      • Immagine scaricata e spenta (Image Downloaded and Powered Off): questa opzione consente di mantenere la macchina virtuale spenta dopo aver creato il firewall VNF nell'Edge. Non selezionare questa opzione se si intende inviare il traffico tramite VNF.
    5. VNF di sicurezza (Security VNF): nell'elenco a discesa scegliere un servizio di gestione VNF del firewall Check Point predefinito. È inoltre possibile fare clic su Nuovo servizio VNF (New VNF Service) per creare un nuovo servizio di gestione VNF. Per ulteriori informazioni, vedere Configurazione del servizio di gestione VNF.
    6. Fare clic su Aggiorna (Update).

risultati

Nella sezione VNF di sicurezza (Security VNF) vengono visualizzati i dettagli configurati:

Attendere che l'Edge assuma il ruolo attivo e quindi connettere l'Edge di standby alla stessa interfaccia dell'Edge attivo. L'Edge di standby riceve tutti i dettagli di configurazione, incluse le impostazioni VNF, dall'Edge attivo. Per ulteriori informazioni sulla configurazione dell'alta disponibilità, vedere Configurazione dell'alta disponibilità (HA).

Quando la VNF è inattiva o non risponde nell'Edge attivo, la VNF nell'Edge di standby assume il ruolo attivo.

Nota: Se si desidera disattivare l'alta disponibilità in un Edge configurato con VNF, disabilitare innanzitutto VNF e quindi disabilitare l'alta disponibilità.

Operazioni successive

Se si desidera reindirizzare più segmenti di traffico alla VNF, definire la mappatura tra i segmenti e le VLAN del servizio. Vedere Definizione dei segmenti di mappatura con la VLAN del servizio.

È possibile inserire la VNF di sicurezza sia nella VLAN sia nell'interfaccia instradata per reindirizzare il traffico dalla VLAN o dall'interfaccia instradata alla VNF. Vedere Configurazione della VLAN con inserimento di VNF.