Conoce el modo Hot Standby de la función de High Availability para un firewall USG6000E II

35 0 0 0

Sean bienvenidos de nueva cuenta al foro. Continuamos con la descripción del modo de operación Hot Standby y en esta ocasión revisaremos el tema del Heartbeat link y los modos de operación. Pasemos a la información.


Heartbeat Link

En las redes Hot Standby, los heartbeat links se utilizan para intercambiar mensajes entre dos FW para conocer el estado de los pares y hacer una copia de seguridad de los comandos de configuración y varias entradas. Las interfaces en ambos extremos de un heartbeat link se denominan interfaces de heartbeat.


Los mensajes intercambiados a través de los heartbeat link incluyen:

Heartbeat Packets (Hello packets): los dos FW periódicamente (el intervalo predeterminado es 1s) se envían heartbeat packets entre sí para verificar si el dispositivo par está disponible.


VGMP Packets: los paquetes VGMP se utilizan para verificar el estado del grupo VGMP en el dispositivo par para determinar si el estado actual de los dispositivos locales y pares es estable y si se requiere una conmutación por error.


Configuración y paquetes de respaldo de entrada de tabla: dichos paquetes se utilizan para sincronizar comandos de configuración e información de estado entre dos FW.


Paquetes de detección de heartbeat link: dichos paquetes se utilizan para detectar si la interfaz de heartbeat  par puede recibir paquetes de la interfaz de heartbeat local para determinar si la interfaz de heartbeat par está disponible.


Paquetes de comprobación de congruencia de la configuración: dichos paquetes se utilizan para comprobar si las configuraciones clave, como las políticas de seguridad y NAT, de dos FW son las mismas.


Las políticas de seguridad del FW no se aplican a los tipos de paquetes anteriores. Por lo tanto, no necesita configurar políticas de seguridad para estos paquetes.


Sugerencias para configurar los heartbeat links y las interfaces

● Las heartbeat links se pueden conectar directamente o mediante un switch o router. Se recomienda instalar dos FW que formen un grupo de Hot Standby en el mismo bastidor o bastidores adyacentes y que las interfaces de heartbeat se conecten directamente a través de un cable de red o cable óptico.


● Para los modelos USG6680E y USG6712E / 6716E, use dos interfaces HA dedicadas como interfaces de heartbeat. Las dos interfaces HA se agregan a la interfaz Eth-Trunk 65535 de forma predeterminada y no se pueden eliminar de la interfaz Eth-Trunk 65535 como interfaces de servicio. Si el ancho de banda de las dos interfaces HA no cumple con el requisito, puede agregar otras interfaces Ethernet a la interfaz Eth-Trunk 65535 para aumentar el ancho de banda del canal de respaldo.


● Para otros modelos que no proporcionan una interfaz HA (High Availability) dedicada: se recomienda planificar una interfaz dedicada como la interfaz de heartbeat. Esta interfaz se usa solo para enviar paquetes de heartbeat y paquetes de respaldo relevantes para la función de espera activa. No desvíe los paquetes de servicio a esta interfaz. Se recomienda agregar múltiples interfaces Ethernet a una interfaz Eth-Trunk y utilizar la interfaz Eth-Trunk como interfaz de heartbeat. De esta manera, aumentan la fiabilidad y el ancho de banda del enlace de heartbeat.


● Las interfaces Heartbeat necesitan transmitir paquetes para hacer una copia de seguridad de las entradas de la tabla relacionadas con el servicio. Por lo tanto, el volumen de tráfico en las interfaces de heartbeat depende del volumen de tráfico del servicio. Se recomienda que el ancho de banda de la interfaz de heartbeat sea al menos el 30% del ancho de banda de la interfaz de servicio.


● Se recomienda configurar al menos dos interfaces de heartbeat, una como interfaz activa y la otra como interfaz de respaldo.


Precauciones al momento de configurar los heartbeat links y las interfaces

● La interface de mantenimiento (MEth0/0/0) no puede ser utilizada como interface de heartbeat.


● Las interfaces que tiene configurado el comando vrrp virtual-mac enable no pueden funcionar como una interface de heartbeat.


● Las interfaces de heartbeat en los dos FW deben ser del mismo tipo, ID y protocolo de enlace. Si las interfaces Eth-Trunk se utilizan como interfaces de heartbeat, las interfaces miembro de las interfaces Eth-Trunk también deben ser de los mismos tipos e ID. Si se utilizan interfaces VLAN (VLANIF) como interfaces de latido, las interfaces físicas de capa 2 que transmiten y reciben paquetes deben ser del mismo tipo e ID.


● Debe asignar las interfaces de heartbeat en los dos FW a la misma zona de seguridad.


● Una interfaz cuyo valor de MTU es menor que 1500 no se puede utilizar como interfaz de heartbeat.


hot_1


● Cuando las interfaces de heartbeat se conectan a través de un switch o router, la MTU de los puertos del switch o las interfaces del router que reenvían los heartbeat y los paquetes de respaldo no pueden ser inferiores a 1500.


● Si los sistemas virtuales están configurados en un FW, la interfaz heartbeat no puede ser una interfaz de un sistema virtual y debe ser la interfaz del sistema raíz. Los comandos de configuración y las entradas de la tabla de los sistemas virtuales también se pueden hacer copias de seguridad en el par a través de las interfaces de latido del sistema raíz.


Sin duda este tema es muy interesante y hay ciertas consideraciones que se deben revisar para llevar a cabo un buen diseño de las configuraciones de nuestros FW para que cumplan con la tarea asignada.


Te invito a entrar al siguiente enlace en donde encontraras la continuación de la explicación de este interesante tema:


Conoce el modo Hot Standby de la función de High Availability para un firewall USG6000E III


Gracias por leer esta publicación y sigan conectados de las próximas publicaciones sobre este interesante tema.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje