È possibile configurare la VNF di sicurezza negli Edge configurati con alta disponibilità per fornire ridondanza.

È possibile configurare VNF con alta disponibilità negli Edge negli scenari seguenti:

  • In un Edge autonomo, abilitare l'alta disponibilità e VNF.
  • In Edge configurati con la modalità alta disponibilità, abilitare VNF.

Le seguenti interfacce sono abilitate e utilizzate tra l'Edge e l'istanza di VNF:

  • Interfaccia LAN per VNF
  • Interfaccia WAN per VNF
  • Interfaccia di gestione: VNF comunica con il proprio manager
  • Interfaccia di sincronizzazione VNF: sincronizza le informazioni tra VNF distribuite negli Edge attivo e di standby

I ruoli degli Edge per l'alta disponibilità sono Attivo e Standby. Le VNF in ogni Edge vengono eseguite con la modalità Attivo-Attivo. Gli Edge Attivo e Standby acquisiscono lo stato di VNF tramite SNMP. Il sondaggio SNMP viene eseguito periodicamente per ogni secondo dal daemon VNF negli Edge.

VNF viene utilizzata nella modalità Attivo-Attivo con il traffico dell'utente inoltrato a una VNF solo dall'Edge associato in modalità attiva. Nella macchina virtuale di standby, ovvero in cui l'Edge è in standby, la VNF avrà solo il traffico verso VNF Manager e la sincronizzazione dei dati con l'altra istanza di VNF.

Nell'esempio seguente viene illustrata la configurazione dell'alta disponibilità e di VNF in un Edge autonomo.

Prerequisiti

Assicurarsi di disporre di quanto segue:

  • SASE Orchestrator e SD-WAN Edge attivato che esegua la versione del software 4.0.0 o successiva. Per ulteriori informazioni sulle piattaforme Edge supportate, fare riferimento alla matrice di supporto in Sicurezza funzioni di rete virtuale.
  • Servizio di gestione VNF del firewall Check Point configurato. Per ulteriori informazioni, vedere Configurazione del servizio di gestione VNF.
    Nota: VMware supporta la VNF del firewall Check Point solo negli Edge con alta disponibilità.

Procedura

  1. Nel servizio SD-WAN del portale dell'azienda, fare clic su Configura (Configure) > Edge (Edges).
  2. Nella pagina Edge (Edges), fare clic sul link a un Edge che si desidera configurare o fare clic sul link Visualizza (View) nella colonna Dispositivo (Device) dell'Edge. Le opzioni di configurazione per l'Edge selezionato vengono visualizzate nella scheda Dispositivo (Device).
  3. Scorrere verso il basso fino alla sezione Alta disponibilità (High Availability) e dalle opzioni Selezionare il tipo (Select Type) scegliere la Coppia attivo/standby (Active Standby Pair).
  4. Passare alla sezione VNF di sicurezza (Security VNF) e fare clic su +Configura VNF di sicurezza (Configure Security VNF). Viene visualizzata la finestra Configura VNF di sicurezza (Configure Security VNF).
  5. Nella finestra Configura VNF di sicurezza (Configure Security VNF) selezionare la casella di controllo Distribuisci (Deploy).
  6. In Configurazione macchina virtuale (VM Configuration) configurare le impostazioni seguenti:
    1. VLAN: nell'elenco a discesa scegliere una VLAN da utilizzare per la gestione di VNF.
    2. IP VM-1 (VM-1 IP): immettere l'indirizzo IP della macchina virtuale e verificare che l'indirizzo IP si trovi nell'intervallo di subnet della VLAN scelta.
    3. Nome host VM-1 (VM-1 Hostname): immettere un nome per l'host della macchina virtuale.
    4. Stato distribuzione (Deployment State): scegliere una delle seguenti opzioni:
      • Immagine scaricata e accesa (Image Downloaded and Powered On): questa opzione attiva la macchina virtuale dopo aver creato la VNF del firewall nell'Edge. Il traffico transita attraverso VNF solo quando viene scelta questa opzione, che richiede la configurazione di almeno una VLAN o un'interfaccia instradata per l'inserimento di VNF.
      • Immagine scaricata e spenta (Image Downloaded and Powered Off): questa opzione consente di mantenere la macchina virtuale spenta dopo aver creato il firewall VNF nell'Edge. Non selezionare questa opzione se si intende inviare il traffico tramite VNF.
  7. VNF di sicurezza (Security VNF): nell'elenco a discesa scegliere un servizio di gestione VNF del firewall Check Point predefinito. È inoltre possibile fare clic su Nuovo servizio VNF (New VNF Service) per creare un nuovo servizio di gestione VNF. Per ulteriori informazioni, vedere Configurazione del servizio di gestione VNF.
  8. Fare clic su Aggiorna (Update).

risultati

La sezione Sicurezza VNF (VNF Security) include i dettagli configurati per VNF di sicurezza del firewall Check Point.

Attendere che l'Edge assuma il ruolo attivo e quindi connettere l'Edge di standby alla stessa interfaccia dell'Edge attivo. L'Edge di standby riceve tutti i dettagli di configurazione, incluse le impostazioni VNF, dall'Edge attivo. Per ulteriori informazioni sulla configurazione dell'alta disponibilità, vedere Attivazione dell'alta disponibilità (HA).

Quando la VNF è inattiva o non risponde nell'Edge attivo, la VNF nell'Edge di standby assume il ruolo attivo.

Nota: Se si desidera disattivare l'alta disponibilità in un Edge configurato con VNF, disattivare innanzitutto VNF e quindi disattivare l'alta disponibilità.

Operazioni successive

Se si desidera reindirizzare più segmenti di traffico alla VNF, definire la mappatura tra i segmenti e le VLAN del servizio. Vedere Definizione dei segmenti di mappatura con la VLAN del servizio.

È possibile inserire la VNF di sicurezza sia nella VLAN sia nell'interfaccia instradata per reindirizzare il traffico dalla VLAN o dall'interfaccia instradata alla VNF. Vedere Configurazione della VLAN con inserimento di VNF.