De acuerdo

Función Hot Standby en firewalls: Preguntas frecuentes sobre configuraciones

223 0 6 0 0

Hola a todos. En esta publicación les compartiré algunas preguntas frecuentes que recibimos con respecto a la función de Activo/En espera o Hot Standby para el caso de configuraciones que se han realizado.

 

¿Debo configurar una dirección IP física para la interfaz de enlace ascendente o descendente después de configurar la dirección IP virtual del grupo VRRP en la interfaz?

Si. Debe configurar una dirección IP física para la interfaz antes de configurar la dirección IP virtual del grupo VRRP en la interfaz. La dirección IP física y la dirección virtual del grupo IPv4 VRRP pueden residir en el mismo segmento de red o en diferentes segmentos de red. Pero la dirección IP física y la dirección virtual del grupo VRRP IPv6 deben residir en el mismo segmento de red.

 

¿Por qué el firewalls activo requiere un retraso de preferencia mayor que el del firewalls en espera?

La preferencia comienza después de que se recupera el firewall activo original. Si el retardo de preferencia o preemption delay del firewalls activo es demasiado más corto que el del firewalls en espera, el firewalls activo puede cambiar de estado antes de que las entradas de la sesión en el firewalls en espera estén completamente sincronizadas con el firewalls activo. Como resultado, algunos servicios pueden interrumpirse. Por lo tanto, el firewall activo requiere un retraso de preferencia más largo.

 

La preferencia no se inicia después de que se recupera el firewalls en espera. Por lo tanto, la demora de preferencia no tiene sentido para el firewall en espera y puede utilizar la demora de preferencia predeterminada.


¿Un retraso prolongado de preferencia para el firewalls activo afecta la velocidad de respuesta ante fallos?

No. Cuando falla el firewalls activo, los servicios se cambian inmediatamente al firewalls en espera. Una vez que se recupera el firewalls activo original, debe esperar la demora de preferencia o preemption delay antes de proceder. Durante el proceso, el firewalls en espera está funcionando. Por lo tanto, el largo retraso de preferencia del firewall activo no afecta la velocidad de respuesta ante fallas.

 

¿Cómo afecta el ajuste al intervalo de saludo de VGMP a la red?

Los paquetes VGMP hello se conocen como paquetes de Heartbeat y se utilizan para verificar el estado operativo de los firewalls activos y en espera. Si el grupo VGMP en espera no recibe ningún paquete de VGMP Hello del par dentro de cinco intervalos de hello consecutivos, el grupo VGMP en espera considera que el par falla y cambia al estado activo. Por lo tanto, un breve intervalo de saludo de VGMP mejora la velocidad de respuesta ante fallas del firewall.

 

Sin embargo, si el intervalo es demasiado corto, el estado de espera activa puede volverse inestable. Cuando la CPU está sobrecargada, la tarea de enviar paquetes VGMP Hello no se puede programar, lo que da como resultado un cambio falso. Por lo tanto, se recomienda el valor predeterminado, 1 segundo.

 

¿A qué debo prestar atención al configurar IPSec VPN en redes Hot Standby?

l  Las interfaces de servicio (incluidas las VLANIF) que conectan el firewall a los dispositivos ascendentes y descendentes deben funcionar en la Capa 3.

l  Antes de configurar IPSec VPN, debe establecer el estado de espera activa. La política IPSec configurada en el firewall activo se sincronizará automáticamente con el de espera. En el firewall en espera, solo necesita aplicar la política IPSec sincronizada a la interfaz saliente.

l  Si el firewalls actúa como iniciador del túnel IPSec, debe ejecutar el comando  tunnel local ip-address para especificar la dirección IP virtual del grupo VRRP como la dirección IP para la negociación IPSec.

l  Configure DPD para eliminar el túnel que se ha establecido en el firewall activo original después de un cambio activo / en espera para evitar la pérdida de paquetes.

 

Saludos.

 

FIN.


También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

Guía de dimensionamiento firewall USG6000 Series NGFW


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.