Pode configurar a VNF de segurança em Edges configurados com alta disponibilidade para fornecer redundância.

Pode configurar o VNF com HA em Edges nos seguintes cenários:

  • Num Edge autónomo, ative HA e VNF.
  • Nos Edges configurados com o modo HA, ative a VNF.

As seguintes interfaces estão ativadas e são utilizadas entre a instância Edge e VNF:

  • Interface LAN para VNF
  • Interface WAN para VNF
  • Interface de gestão – a VNF comunica com o respetivo gestor
  • Interface de sincronização da VNF – Sincroniza a informação entre VNF implementadas em Edges ativos e em espera

Os Edges têm as funções HA como Ativo (Active) e Espera (Standby). Os VNFs em cada Edge funcionam com o modo ativo-ativo. Os Edges ativos e em espera aprendem o estado da VNF através do SNMP. O inquérito do SNMP é realizado periodicamente a cada segundo pelo daemon VNF nos Edges.

A VNF é utilizada no modo ativo-ativo com o tráfego do utilizador encaminhado para um VNF apenas no Edge associado no modo ativo. Na VM em espera, onde o Edge na VM está em espera, a VNF terá apenas tráfego para o gestor VNF e sincronização de dados com a outra instância VNF.

O exemplo a seguir mostra a configuração de HA e VNF num Edge autónomo.

Pré-requisitos

Certifique-se de que tem o seguinte:

  • SASE Orchestrator e SD-WAN Edge ativado a executar a versão de software 4.0.0 ou posterior. Para obter mais informações sobre as plataformas Edge suportadas, consulte a matriz de suporte em Funções de rede virtual de segurança.
  • Serviço de gestão VNF da firewall do Check Point configurado. Para obter mais informações, consulte Configurar o serviço de gestão VNF.
    Nota: O VMware suporta apenas VNF de Firewall do Check Point em Edges com HA.

Procedimento

  1. No serviço SD-WAN do portal da empresa, clique em Configurar (Configure) > Edges.
  2. Na página Edges, clique na ligação para um Edge que deseja configurar ou clique na ligação Ver (View) na coluna Dispositivo (Device) do Edge. As opções de configuração do Edge selecionado são apresentadas no separador Dispositivo (Device).
  3. Desloque-se para baixo para a secção Alta disponibilidade (High Availability) e, nas opções Selecionar Tipo (Select Type), selecione Par standby ativo (Active Standby Pair).
  4. Navegue para a secção VNF de segurança (Security VNF) e clique em + Configurar VNF de segurança (+ Configure Security VNF). É apresentada a janela Configurar VNF de segurança (Configure Security VNF).
  5. Na janela Configurar VNF de segurança (Configure Security VNF) selecione a caixa de verificação Implementar (Deploy).
  6. Em Configuração da VM (VM Configuration), configure as seguintes definições:
    1. VLAN – Escolha uma VLAN, a ser utilizada para a gestão do VNF, na lista pendente.
    2. VM-1 IP – Introduza o endereço IP da VM e certifique-se de que o endereço IP está no intervalo de sub-redes da VLAN escolhida.
    3. VM-1 Nome de anfitrião (VM-1 Hostname) – Introduza um nome para o anfitrião da VM.
    4. Estado de implementação (Deployment State) – Escolha uma das seguintes opções:
      • Imagem transferida e ligada (Image Downloaded and Powered On) – Esta opção alimenta a VM depois de construir a firewall VNF no Edge. O tráfego apenas transita a VNF quando esta opção é escolhida, o que requer que, pelo menos, uma interface VLAN ou routed esteja configurada para a inserção VNF.
      • Imagem transferida e desligada (Image Downloaded and Powered Off) – Esta opção mantém a VM desligada depois de construir a firewall VNF no Edge. Não selecione esta opção se pretender enviar tráfego através da VNF.
  7. Em VNF de segurança (VNF Security), escolha um serviço de gestão VNF de Firewall do Check Point (Check Point Firewall) predefinido na lista pendente. Também pode clicar em Novo serviço VNF (New VNF Service) para criar um novo serviço de gestão VNF. Para obter mais informações, consulte Configurar o serviço de gestão VNF.
  8. Clique em Atualizar (Update).

Resultados

A secção VNF de segurança (Security VNF) apresenta os detalhes configurados para s VNF de segurança da Firewall do Check Point.

Aguarde até que o Edge assuma a função Ativo (Active) e, em seguida, ligue o Edge em espera à mesma interface do Edge ativo. O Edge em espera recebe todos os detalhes de configuração, incluindo as definições VNF, no Edge ativo. Para obter mais informações sobre as configurações do HA, consulte Ativar alta disponibilidade.

Quando a VNF está inativa ou não responde no Edge ativo, a VNF no Edge em espera assume o papel ativo.

Nota: Quando pretender desativar a HA num Edge configurado com VNF, desative primeiro a VNF e, em seguida, desative a HA.

Como proceder a seguir

Se pretender redirecionar vários segmentos de tráfego para a VNF, defina o mapeamento entre segmentos e VLANs de serviço. Consulte Definir os segmentos de mapeamento com as VLANs de serviço

Pode inserir a VNF de segurança tanto na VLAN como na interface routed para redirecionar o tráfego da VLAN ou da interface routed para o VNF. Consulte Configurar a VLAN com a inserção VNF.