高可用性が設定された Edge でセキュリティ VNF を設定し、冗長性を提供できます。

次のシナリオでは、Edge 上で HA を備えた VNF を設定できます。

  • スタンドアローン Edge で、HA と VNF を有効にします。
  • HA モードで設定された Edge で、VNF を有効にします。

Edge と VNF インスタンスの間では、次のインターフェイスが有効になり、使用されます。

  • VNF への LAN インターフェイス
  • VNF への WAN インターフェイス
  • 管理インターフェイス:VNF はそのマネージャと通信します
  • VNF 同期インターフェイス:アクティブ Edge とスタンバイ Edge に展開された VNF 間で情報を同期します

Edge には、アクティブおよびスタンバイとしての HA ロールがあります。各 Edge の VNF は、アクティブ/アクティブ モードで実行されます。アクティブ Edge とスタンバイ Edge は、SNMP を介して VNF の状態を学習します。SNMP ポーリングは、Edge の VNF デーモンによって 1 秒ごとに定期的に実行されます。

VNF はアクティブ/アクティブ モードで使用され、ユーザー トラフィックはアクティブ モードの関連する Edge からのみ VNF に転送されます。仮想マシン内の Edge がスタンバイであるスタンバイ仮想マシンでは、VNF は VNF マネージャへのトラフィックのみを保持し、他の VNF インスタンスとデータが同期されます。

次の例は、スタンドアローン Edge での HA と VNF の設定を示しています。

前提条件

次の項目について確認してください。

  • SASE Orchestrator およびソフトウェア バージョン 4.0.0 以降を実行している有効化された SD-WAN Edge。サポート対象の Edge プラットフォームの詳細については、セキュリティ仮想ネットワーク機能 のサポート マトリックスを参照してください。
  • 設定済みの Check Point ファイアウォール VNF 管理サービス。詳細については、VNF 管理サービスの設定を参照してください。
    注: VMware は、HA を備えた Edge で [Check Point ファイアウォール VNF] のみをサポートします。

手順

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [Edge (Edges)] の順にクリックします。
  2. [Edge (Edges)] ページで、設定する Edge へのリンクをクリックするか、Edge の [デバイス (Device)] 列の [表示 (View)] リンクをクリックします。選択した Edge の設定オプションが [デバイス (Device)] タブに表示されます。
  3. [高可用性 (High Availability)] セクションまで下にスクロールし、[タイプの選択 (Select Type)] オプションから [アクティブ/スタンバイ ペア (Active Standby Pair)] を選択します。
  4. [セキュリティ VNF (Security VNF)] セクションに移動し、[+ セキュリティ VNF の設定 (+ Configure Security VNF)] をクリックします。[セキュリティ VNF の設定 (Configure Security VNF)] ウィンドウが表示されます。
  5. [セキュリティ VNF の設定 (Configure Security VNF)] ウィンドウで、[展開 (Deploy)] チェック ボックスをオンにします。
  6. [仮想マシンの設定 (VM Configuration)] で、次の設定を行います。
    1. [VLAN (VLAN)]:VNF 管理で使用する VLAN をドロップダウン リストから選択します。
    2. [VM-1 IP (VM-1 IP)]:仮想マシンの IP アドレスを入力し、IP アドレスが選択した VLAN のサブネット範囲内にあることを確認します。
    3. [VM-1 Hostname (VM-1 ホスト名)]:仮想マシン ホストの名前を入力します。
    4. [展開後の状態 (Deployment State)]:次のいずれかのオプションを選択します。
      • [[イメージをダウンロード済みでパワーオン (Image Downloaded and Powered On)]]:このオプションは、Edge 上でファイアウォール VNF を構築した後、仮想マシンをパワーオンします。トラフィックは、このオプションが選択されている場合にのみ VNF を転送します。この場合、VNF の挿入用に少なくとも 1 つの VLAN またはルーティング インターフェイスを設定する必要があります。
      • [[イメージをダウンロード済みでパワーオフ (Image Downloaded and Powered Off)]]:このオプションは、Edge 上でファイアウォール VNF を構築した後、仮想マシンをパワーオフのままにします。VNF を経由してトラフィックを送信する場合は、このオプションを選択しないでください。
  7. [セキュリティ VNF (Security VNF)] で、ドロップダウン リストから事前定義された [Check Point ファイアウォール] VNF 管理サービスを選択します。[新規 VNF サービス (New VNF Service)] をクリックして、新しい VNF 管理サービスを作成することもできます。詳細については、VNF 管理サービスの設定を参照してください。
  8. [更新 (Update)] をクリックします。

結果

[セキュリティ VNF (Security VNF)] セクションには、Check Point ファイアウォールのセキュリティ VNF の設定済みの詳細が表示されます。

Edge がアクティブ ロールを引き受けるまで待ってから、スタンバイ Edge をアクティブ Edge の同じインターフェイスに接続します。スタンバイ Edge は、アクティブ Edge から VNF の設定を含むすべての設定の詳細を受け取ります。HA 設定の詳細については、高可用性の有効化を参照してください。

アクティブ Edge で VNF がダウンしているか応答していない場合、スタンバイ Edge の VNF がアクティブ ロールを引き継ぎます。

注: VNF で設定された Edge で HA をオフにする場合は、最初に VNF をオフにしてから、HA をオフにします。

次のタスク

複数のトラフィック セグメントを VNF にリダイレクトする場合は、セグメントとサービス VLAN 間のマッピングを定義します。サービス VLAN を使用したマッピング セグメントの定義を参照してください。

セキュリティ VNF を VLAN とルーティング インターフェイスの両方に挿入して、トラフィックを VLAN またはルーティング インターフェイスから VNF にリダイレクトできます。VNF 挿入を使用した VLAN の設定を参照してください。