De acuerdo

Función Hot Standby en firewalls: Preguntas frecuentes sobre mecanismos de operación.

211 0 6 0 0

Hola a todos. En esta publicación les compartiré algunas preguntas frecuentes que recibimos con respecto a la función de Activo/En espera o Hot Standby para el caso de configuraciones que se han realizado.

 

En una red Hot Standby, ¿qué significan el dispositivo activo designado y el dispositivo en espera designado?

En las redes de balanceo de carga, los dos FW están activos. Por lo tanto, si ambos FW sincronizan comandos entre sí, se pueden producir problemas de conflicto o sobrescritura de comandos. Para administrar de forma centralizada las configuraciones de los dos FW, debe configurar los dispositivos activos y en espera designados.

 

En las redes de balanceo de carga, el remitente del comando de respaldo de la configuración es el dispositivo activo designado (identificado por HRP_M) y el receptor es el dispositivo de reserva designado (identificado por HRP_S). Los comandos de configuración se pueden sincronizar solo desde el dispositivo activo designado al dispositivo de espera designado, y la información de estado se respalda mutuamente entre los dos dispositivos.

 

En redes de balanceo de carga, el FW con un carácter de código estándar americano para intercambio de información (ASCII) de nombre de sistema más pequeño es el dispositivo activo designado. Por ejemplo, cuando FW_A y FW_B comparten la carga, FW_A es el dispositivo activo designado. Si los nombres de dispositivo (sysname) son los mismos, el FW con un reloj más pequeño es el dispositivo activo designado y el FW con un reloj más grande es el dispositivo de espera designado cuando se ejecuta el comando hrp enable.

 

En una red Hot Standby, ¿qué paquetes utilizan los dispositivos de capa 2 ascendentes y descendentes para conocer el puerto de las direcciones MAC virtuales?

El firewall activo envía periódicamente mensajes publicitarios de VRRP. La dirección MAC de origen de estos paquetes es la dirección MAC virtual del grupo VRRP. Los dispositivos de capa 2 ascendente y descendente aprenden el puerto asignado a la dirección MAC virtual a través de los mensajes publicitarios de VRRP.

 

En una red Hot Standby, ¿qué paquetes utilizan los dispositivos de capa 3 ascendente y descendente para conocer la dirección MAC de una dirección IP virtual?

Para reenviar paquetes, los dispositivos de capa 3 ascendentes y descendentes buscan en la tabla de enrutamiento para el siguiente salto, es decir, la dirección IP virtual del grupo VRRP. Luego, los dispositivos buscan en la tabla ARP la dirección MAC de la dirección IP virtual. Si no se encuentra ninguna coincidencia, los dispositivos transmiten una solicitud ARP. Solo el firewall activo responde a las solicitudes de ARP.


En la respuesta ARP, la dirección MAC de origen en el encabezado de Ethernet es la dirección MAC virtual del grupo VRRP. Los dispositivos de capa 3 ascendentes y descendentes aprenden la dirección MAC virtual asignada a la dirección IP virtual a través de la respuesta ARP.

 

Upstream y downstream utilizan la dirección MAC virtual como dirección MAC de destino al enviar paquetes al firewall.

 

¿Cuáles son las diferencias entre la sincronización automática de hrp y la sincronización de hrp?

hrp auto-sync sincroniza automáticamente todas las configuraciones posteriores y las entradas de estado con el firewall en espera. La sincronización automática de hrp está habilitada de forma predeterminada. El comando no sincroniza las configuraciones existentes ni las entradas de estado.

 

hrp sync sincroniza inmediatamente las configuraciones existentes y las entradas de estado del firewall activo al firewall en espera. El comando entra en vigor inmediatamente y no afecta a las configuraciones posteriores ni a las entradas de estado.

 

Saludos.

 

FIN.

 

También te puede interesar:

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

Guía de dimensionamiento firewall USG6000 Series NGFW

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.