De acuerdo
Comunidad Huawei Enterprise
Comunidad Foro Seguridad
HCIP Seguridad HA Link-Gr...

HCIP Seguridad HA Link-Group Descripción mecanismos y ejemplo

Última respuesta mzo. 02, 2022 16:47:33 493 2 1 0 1
Mostrar todos los comentarios 1#

Buenas tarde a todos.


Derivado del concepto HA (High Availability) se desglosa este interesante tema, que, a veces reulta intrinseco, hasta que ahonda en su uso y aplicación.


En el siguiente link encontrarás información útil que te permitirá conocer el contexto de lo que se habla en este post:

https://forum.huawei.com/enterprise/es/aportación-tema-alta-disponibilidad-ha/thread/553781-100233


MECANISMO DE LINK-GROUP


¿Qué es link-group?

Es usado para asociar el estado de múltiples interfaces físicas, formando un grupo lógico.


·        Si una de las interfaces del grupo cambia su estado de UP  a DOWN, el resto cambiará a DOWN también.

·        Después de que la interface o interfaces que están dentro del  grupo se recuperan, el resto de la interfaces no afectadas inicialmente cambia su estado a UP.


·        Link-Group tiene las siguientes funcionalidades:

§  Soporta la administración del estado de las interfaces en diferentes tableros

§  Soporta intercambio en caliente entre diferentes tableros.


ESCENARIO CON LINK-GROUP


·        Requerimientos de  la red.

§  Las interfaces en entrada y salida con relación al esquema active/standby deben ser consistentes, evitando reenvíos inconsistentes y caminos de retorno.

§  El router utiliza rutas estáticas para diversificar el tráfico. La ruta estática primaria apunta al firewall A, y la segunda ruta estática apunta al firewall B.

§  Si no se configura IP-LINK y la interface de entrada en el firewall está DOWN, se puede ejecutar un intercambio usando VRRP.

155734i2smdqq0ems8umz0.png?image.png

Figura 1: La imagen muestra el escenario descrito.



ANÁLISIS DE LA RED BASADO EN EL ESCENARIO.


§  Como se muestra en el figura, cuando el sistema active/standby de los firewall trabaja con normalidad, la ruta estática primaria del router apunta hacia el firewall A, la segunda apunta al firewall B, y el tráfico de salida es desviado hacia el firewall A. después de que VRRP es configurado en las interfaces de salida en los firewalls, el VRRP del firewall A está activo el del firewall B está en espera (standby). El tráfico de la interface de entrada es desviado hacia el firewall A, y los caminos de reenvío y regreso son consistentes.


§  Si ocurre un intercambio de estado (switchover) derivado de alguna falla en la unterface Gi1/0/1 en el firewall A, el tráfico de entrada es desviado al firewall B. Si las interfaces Ge1/0/1 y Ge1/0/02 en el firewall A son agregadas al mismo grupo de IP-LINK, después de que la GE1/0/1 esté en modo DOWN, la interface Ge1/0/0 también los estará. Si la ruta estática primaria en el router falla, la segunda ruta estática entra en función. El tráfico de salida es desviado hacia el firewall B, y los caminos de reenvío y regreso se vuelven consistentes.


§  Si las interfaces Ge1/0/1 y Ge1/0/0 en el firewall A no son agregadas al mismo grupo IP-LINK, si la interface Ge1/0/1 entra en modo DOWN, la interface Ge1/0/0 no entrará en modo DOWN dw manera simultánea. Por lo tanto, en el router, la primera riyta estática seguirá siendo válida y el tráfico es entonces desviado hacia el direwall A. aquí entonces, los caminos re reenvío y regreso se vuelven inconsistentes.


§  Si el firewall y el router no están directamente conectados, la función de comprobación de dirección IP REMOTA, puede ser por ejemplo BFD, necesita ser configurada en el router para detectar el estado de la interface en el firewall. Si una interface en el firewall presenta alguna falla y ninguna función de verificación como la ya mencionada con anterioridad está configurada, el router no podrá detectar la falla y no podrá realizar el intercambio entre la primera y la segunda ruta estática de manera correcta.




CONFIGURACIÓNES CLAVE.

1. AGREGAR LAS INTERFACES AL LINK-GROUP 1

193236jdxndjxlnsxsoony.png?image.png

193247a5krn3316qi3zq6p.png?image.png

Figura 2: Interfaces LINK-GROUP

2. VERIFICACIÓN DEL ESTADO DEL LINK-GROUP

193311cr0l6nr88srswsn6.png?image.png

Figura 3: Verificación de estado

·        Dependiendo del escenario, las interfaces pueden presentar los siguientes estados:

ü UP: indica que las interfaces están en modo UP


ü FAULT: indica que la interface fue forzada a colocarse en estado de falla debido a la falla de alguna otra interface dentro del mismo grupo.


ü NOT AVAILABLE: indica que la interface no está disponible, debido a que el tablero de las interfaces no está disponible.


ü INVÁLIDO: indica que una interface es inválida debido a un error de idexisación.


ü WAIT-UP: la interface está en proceso de cambio, de DOWN a UP.



Aquí finaliza el post, espero que sea de su entera satisfacción y que les sriva para aumentar su conocimiento en las tecnologías que HUAWEI provee, no olvides dejar tu ♥, compartir y comentar


HCIPSEGURIDADHALINK-GROUP
  • x
  • convención:

Me gusta (1) No me gusta (0) Favorito(1) Compartir Reporte
Previo: White o black list para un HG8045a
Próximo: HCIP Seguridad Implementación de Intelligent Uplink Selection
Gustavo.HdezF
Admin Publicado 2019-8-26 09:22:22
Hola @Marban en la actualidad garantizar la disponibilidad de la red es de suma importancia,con la utilización de esta tecnoliga nos permite cumplir con este objetivo. Adicionalmente este tema viene incluido en el primer examen de certificación HCIP-Security. Gracias por compartir en el foro. Saludos.
Ver más
  • x
  • convención:
AndresMoreno
Admin Publicado 2022-3-2 16:47:33

Te puede interesar:

Conoce los productos de firewall de IA de Huawei.

Detección de amenazas avanzadas por firewall con IA

Diferencias entre firewalls de IA y NGFW

¿Qué es un firewall de IA?
Ver más
  • x
  • convención:
Volver a la lista

Comentar

Editor Avanzado
B Color Image Link Quote Code Smilies
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión
Sitio web de Huawei Soporte Acerca de Huawei Privacidad Contrato de usuario Términos de uso Cookies Configuración de Cookies Capacitación y certificación

Póngase en contacto con nosotros: e_online@huawei.com Copyright © 2022 Huawei Technologies Co., Ltd. Todos los derechos reservados.

APP

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.