您可以在設定了高可用性的 Edge 上設定安全性 VNF,以提供備援。
在下列情況下,您可以在 Edge 上設定 VNF 搭配 HA:
- 在獨立 Edge 中,啟用 HA 和 VNF。
- 在設定了 HA 模式的 Edge 中,啟用 VNF。
Edge 與 VNF 執行個體之間已啟用並使用下列介面:
- VNF 的 LAN 介面
- VNF 的 WAN 介面
- 管理介面 (Management Interface) – VNF 與其管理程式通訊
- VNF 同步介面 (VNF Sync Interface) – 在作用中 (Active) 和待命 (Standby) Edge 上部署的 VNF 之間同步資訊
Edge 的 HA 角色為作用中 (Active) 和待命 (Standby)。每個 Edge 上的 VNF 會以作用中/作用中式模式執行。[作用中 (Active)] 和 [待命 (Standby)] Edge 會透過 SNMP 學習 VNF 的狀態。VNF 精靈會在 Edge 上每隔 1 秒定期執行 SNMP 輪詢。
VNF 會在作用中/作用中式模式中使用,且僅會在使用作用中模式的相關聯 Edge 中,將使用者流量轉送至 VNF。在待命虛擬機器上,當虛擬機器中的 Edge 處於待命狀態時,VNF 將僅具有 VNF Manager 的流量,以及與其他 VNF 執行個體同步的資料。
下列範例顯示在獨立 Edge 上設定 HA 和 VNF。
必要條件
確保您具有下列項目:
- SD-WAN Orchestrator 及已啟動並執行軟體版本 4.0.0 或更新版本的 SD-WAN Edge。如需有關受支援 Edge 平台的詳細資訊,請參閱安全性 VNF中的支援對照表。
- 已設定 Check Point 防火牆 VNF 管理服務。如需詳細資訊,請參閱設定 VNF 管理服務。
備註: VMware 僅支援具有 HA 之 Edge 上的 Check Point 防火牆 VNF。
程序
- 導覽至安全性 VNF (Security VNF) 區段,然後按一下編輯 (Edit)。
- 在虛擬機器組態 (VM Configuration) 中設定下列項目:
- VLAN – 從下拉式清單中選擇要用於 VNF 管理的 VLAN。
- VM-1 IP,VM-2 IP – 輸入 VM1 和 VM2 的 IP 位址。確保 IP 位址位於所選 VLAN 的子網路範圍內。
- VM-1 主機名稱,VM-2 主機名稱 (VM-1 Hostname, VM-2 Hostname) – 輸入虛擬機器主機的名稱。
- 部署狀態 (Deployment State) – 選擇以下其中一個選項:
- 映像已下載並開啟電源 (Image Downloaded and Powered On) – 此選項會在 Edge 上建置防火牆 VNF 後開啟虛擬機器的電源。只有在選擇此選項時,流量才會傳送 VNF,這需要至少為 VNF 插入設定一個 VLAN 或路由介面。
- 映像已下載並關閉電源 (Image Downloaded and Powered Off) – 此選項會在 Edge 上建置防火牆 VNF 後保持虛擬機器的電源關閉。如果您想要透過 VNF 傳送流量,請勿選取此選項。
- 安全性 VNF (Security VNF) – 從下拉式清單中選擇預先定義的 Check Point 防火牆 VNF 管理服務。您也可以按一下新增 VNF 服務 (New VNF Service),以建立新的 VNF 管理服務。如需詳細資訊,請參閱設定 VNF 管理服務。
- 按一下更新 (Update)。
結果
等待 Edge 假設作用中角色,然後將待命 Edge 連線至與作用中 Edge 相同的介面。待命 Edge 會從作用中 Edge 接收所有的組態詳細資料,包括 VNF 設定。如需 HA 組態的詳細資訊,請參閱設定高可用性 (HA)。
當 VNF 在作用中 Edge 關閉或沒有回應時,待命 Edge 中的 VNF 會接管作用中角色。
備註: 當您想在設定了 VNF 的 Edge 中關閉 HA 時,請先關閉 VNF,然後關閉 HA。
下一步
如果您想要將多個流量區段重新導向至 VNF,請定義區段與服務 VLAN 之間的對應。請參閱使用服務 VLAN 定義對應區段
您可以將安全性 VNF 插入 VLAN 以及路由介面,以將流量從 VLAN 或路由介面重新導向至 VNF。請參閱設定含 VNF 插入的 VLAN。
