高可用性が構成された Edge でセキュリティ VNF を構成し、冗長性を提供できます。

次のシナリオでは、Edge 上で HA を備えた VNF を構成できます。

  • スタンドアローン Edge で、HA と VNF を有効にします。
  • HA モードで構成された Edge で、VNF を有効にします。

Edge と VNF インスタンスの間では、次のインターフェイスが有効になり、使用されます。

  • VNF への LAN インターフェイス
  • VNF への WAN インターフェイス
  • 管理インターフェイス:VNF はそのマネージャと通信します
  • VNF 同期インターフェイス:アクティブ Edge とスタンバイ Edge に展開された VNF 間で情報を同期します

Edge には、アクティブおよびスタンバイとしての HA ロールがあります。各 Edge の VNF は、アクティブ/アクティブ モードで実行されます。アクティブ Edge とスタンバイ Edge は、SNMP を介して VNF の状態を学習します。SNMP ポーリングは、Edge の VNF デーモンによって 1 秒ごとに定期的に実行されます。

VNF はアクティブ/アクティブ モードで使用され、ユーザー トラフィックはアクティブ モードの関連する Edge からのみ VNF に転送されます。仮想マシン内の Edge がスタンバイであるスタンバイ仮想マシンでは、VNF は VNF マネージャへのトラフィックのみを保持し、他の VNF インスタンスとデータが同期されます。

次の例は、スタンドアローン Edge での HA と VNF の構成を示しています。

前提条件

次の項目について確認してください。

  • SD-WAN Orchestrator およびソフトウェア バージョン 4.0.0 以降を実行しているアクティブ化された SD-WAN Edge。サポート対象の Edge プラットフォームの詳細については、セキュリティ VNF のサポート マトリックスを参照してください。
  • 構成済みの Check Point ファイアウォール VNF 管理サービス。詳細については、VNF 管理サービスの設定を参照してください。
    注: VMware は、HA を備えた Edge で Check Point ファイアウォール VNF のみをサポートします。

手順

  1. エンタープライズ ポータルで、[構成 (Configure)] > [Edge (Edges)] をクリックします。
  2. Edge の横の [デバイス (Device)] アイコンをクリックするか、Edge へのリンクをクリックしてから [デバイス (Device)] タブをクリックします。
  3. [デバイス (Device)] タブで [高可用性 (High Availability)] セクションに移動し、[アクティブ/スタンバイ ペア (Active Standby Pair)] を選択します。
  4. [セキュリティ VNF (Security VNF)] セクションに移動し、[編集 (Edit)] をクリックします。
  5. [Edge VNF の構成 (Edge VNF Configuration)] ページで、[デプロイ (Deploy)] をクリックします。
  6. [仮想マシンの構成 (VM Configuration)] で、次のように構成します。
    1. [VLAN (VLAN)]:VNF 管理で使用する VLAN をドロップダウン リストから選択します。
    2. [VM-1 IP (VM-1 IP)、VM-2 IP (VM-2 IP)]:VM1 および VM2 の IP アドレスを入力します。IP アドレスが、選択した VLAN のサブネット範囲内にあることを確認します。
    3. [VM-1 ホスト名 (VM-1 Hostname)、VM-2 ホスト名 (VM-2 Hostname)]:仮想マシン ホストの名前を入力します。
    4. [デプロイの状態 (Deployment State)]:次のいずれかのオプションを選択します。
      • [[イメージをダウンロード済みでパワーオン (Image Downloaded and Powered On)]]:このオプションは、Edge 上でファイアウォール VNF を構築した後、仮想マシンをパワーオンします。トラフィックは、このオプションが選択されている場合にのみ VNF を転送します。この場合、VNF の挿入用に少なくとも 1 つの VLAN またはルーティング インターフェイスを構成する必要があります。
      • [[イメージをダウンロード済みでパワーオフ (Image Downloaded and Powered Off)]]:このオプションは、Edge 上でファイアウォール VNF を構築した後、仮想マシンをパワーオフのままにします。VNF を経由してトラフィックを送信する場合は、このオプションを選択しないでください。
    5. [セキュリティ VNF (Security VNF)]:ドロップダウン リストから事前定義された Check Point ファイアウォール VNF 管理サービスを選択します。[新規 VNF サービス (New VNF Service)] をクリックして、新しい VNF 管理サービスを作成することもできます。詳細については、VNF 管理サービスの設定を参照してください。
    6. [更新 (Update)] をクリックします。

結果

[セキュリティ VNF (Security VNF)] セクションには、構成された詳細が表示されます。

Edge がアクティブ ロールを引き受けるまで待ってから、スタンバイ Edge をアクティブ Edge の同じインターフェイスに接続します。スタンバイ Edge は、アクティブ Edge から VNF の設定を含むすべての構成の詳細を受け取ります。HA 構成の詳細については、HA の設定を参照してください。

アクティブ Edge で VNF が停止しているか応答していない場合、スタンバイ Edge の VNF がアクティブ ロールを引き継ぎます。

注: VNF で構成された Edge で HA を無効にする場合は、最初に VNF を無効にしてから、HA を無効にします。

次のタスク

複数のトラフィック セグメントを VNF にリダイレクトする場合は、セグメントとサービス VLAN 間のマッピングを定義します。サービス VLAN を使用したマッピング セグメントの定義を参照してください。

セキュリティ VNF を VLAN とルーティング インターフェイスの両方に挿入して、トラフィックを VLAN またはルーティング インターフェイスから VNF にリダイレクトできます。VNF 挿入を使用した VLAN の構成を参照してください。