您可以在設定了高可用性的 Edge 上設定安全性 VNF,以提供備援。

在下列情況下,您可以在 Edge 上設定 VNF 搭配 HA:

  • 在獨立 Edge 中,啟用 HA 和 VNF。
  • 在設定了 HA 模式的 Edge 中,啟用 VNF。

Edge 與 VNF 執行個體之間已啟用並使用下列介面:

  • VNF 的 LAN 介面
  • VNF 的 WAN 介面
  • 管理介面 (Management Interface) – VNF 與其管理程式通訊
  • VNF 同步介面 (VNF Sync Interface) – 在作用中 (Active) 和待命 (Standby) Edge 上部署的 VNF 之間同步資訊

Edge 的 HA 角色為作用中 (Active) 和待命 (Standby)。每個 Edge 上的 VNF 會以作用中/作用中式模式執行。[作用中 (Active)] 和 [待命 (Standby)] Edge 會透過 SNMP 學習 VNF 的狀態。VNF 精靈會在 Edge 上每隔 1 秒定期執行 SNMP 輪詢。

VNF 會在作用中/作用中式模式中使用,且僅會在使用作用中模式的相關聯 Edge 中,將使用者流量轉送至 VNF。在待命虛擬機器上,當虛擬機器中的 Edge 處於待命狀態時,VNF 將僅具有 VNF Manager 的流量,以及與其他 VNF 執行個體同步的資料。

下列範例顯示在獨立 Edge 上設定 HA 和 VNF。

必要條件

確保您具有下列項目:

  • SASE Orchestrator 及已啟動並執行軟體版本 4.0.0 或更新版本的 SD-WAN Edge。如需有關受支援 Edge 平台的詳細資訊,請參閱安全虛擬網路功能中的支援對照表。
  • 已設定 Check Point 防火牆 VNF 管理服務。如需詳細資訊,請參閱設定 VNF 管理服務
    備註: VMware 僅支援具有 HA 之 Edge 上的 Check Point 防火牆 VNF

程序

  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > Edge
  2. Edge 頁面中,按一下指向您要設定的 Edge 的連結,或者按一下該 Edge 的裝置 (Device) 資料行中的檢視 (View) 連結。所選 Edge 的組態選項會顯示在裝置 (Device) 索引標籤中。
  3. 向下捲動到高可用性 (High Availability) 區段,然後從選取類型 (Select Type) 選項中,選擇作用中/待命配對 (Active Standby Pair)
  4. 導覽至安全性 VNF (Security VNF) 區段,然後按一下 + 設定安全性 VNF (+ Configure Security VNF)。此時將顯示設定安全性 VNF (Configure Security VNF) 視窗。
  5. 設定安全性 VNF (Configure Security VNF) 視窗中,選取部署 (Deploy) 核取方塊。
  6. 虛擬機器組態 (VM Configuration) 下,進行以下設定:
    1. VLAN – 從下拉式清單中選擇要用於 VNF 管理的 VLAN。
    2. VM-1 IP – 輸入虛擬機器的 IP 位址,並確保 IP 位址位於所選 VLAN 的子網路範圍內。
    3. VM-1 主機名稱 (VM-1 Hostname) – 輸入虛擬機器主機的名稱。
    4. 部署狀態 (Deployment State) – 選擇以下其中一個選項:
      • 映像已下載並開啟電源 (Image Downloaded and Powered On) – 此選項會在 Edge 上建置防火牆 VNF 後開啟虛擬機器的電源。只有在選擇此選項時,流量才會傳送 VNF,這需要至少為 VNF 插入設定一個 VLAN 或路由介面。
      • 映像已下載並關閉電源 (Image Downloaded and Powered Off) – 此選項會在 Edge 上建置防火牆 VNF 後保持虛擬機器的電源關閉。如果您想要透過 VNF 傳送流量,請勿選取此選項。
  7. 安全性 VNF (Security VNF) 之下,從下拉式清單中選擇預先定義的 Check Point 防火牆 (Check Point Firewall) VNF 管理服務。您也可以按一下新增 VNF 服務 (New VNF Service),以建立新的 VNF 管理服務。如需詳細資訊,請參閱設定 VNF 管理服務
  8. 按一下更新 (Update)

結果

安全性 VNF (Security VNF) 區段會顯示所設定的 Check Point 防火牆安全性 VNF 的詳細資料。

等待 Edge 假設作用中角色,然後將待命 Edge 連線至與作用中 Edge 相同的介面。待命 Edge 會從作用中 Edge 接收所有的組態詳細資料,包括 VNF 設定。如需 HA 組態的詳細資訊,請參閱啟用高可用性

當 VNF 在作用中 Edge 關閉或沒有回應時,待命 Edge 中的 VNF 會接管作用中角色。

備註: 當您想在設定了 VNF 的 Edge 中關閉 HA 時,請先關閉 VNF,然後關閉 HA。

下一步

如果您想要將多個流量區段重新導向至 VNF,請定義區段與服務 VLAN 之間的對應。請參閱使用服務 VLAN 定義對應區段

您可以將安全性 VNF 插入 VLAN 以及路由介面,以將流量從 VLAN 或路由介面重新導向至 VNF。請參閱設定含 VNF 插入的 VLAN