De acuerdo

Mejores practicas para implementar la funcion Hot Standby para un firewall de Huawei: Escenario 1

224 0 0 0

Hola a todos. En esta publicación les presentare una guía de las mejores prácticas para implementar la función de Hot Standby para un firewall. Iniciamos con el escenario 1 que propone: Interfaces de servicio que funcionan en la capa 3 con switches que funcionan como dispositivos de flujo de tráfico ascendente y descendente.

 

Diagrama de red

En la red que se muestra en la Figura 1, las interfaces de servicio de dos firewalls funcionan en la Capa 3 y están conectadas directamente a los switches de la Capa 2 en las direcciones de flujo de datos ascendentes y descendentes.

 

Figura 1 Interfaces de servicio que funcionan en la capa 3 con switches que funcionan como dispositivos de tráfico ascendentes y descendentes.


b2


En casos normales, solo el firewall activo responde a la solicitud ARP de la dirección IP virtual. Los switches actualizan sus tablas ARP aprendiendo paquetes ARP gratuitos.


Cambio de estado

El grupo VRRP supervisa el estado de la interfaz. Cuando el enlace o la interfaz entre el firewall activo y un switch presentan una falla, el estado VRRP de la interfaz correspondiente se convierte en Initialize y la prioridad HRP del firewall activo disminuye. Si la prioridad HRP del firewall activo es menor que la del firewall en espera, los dos firewalls se conmutan.

 

Si el firewall activo presenta una falla o se reinicia y el firewall en espera no puede recibir paquetes de heartbeat en cinco intervalos para enviar paquetes de heartbeat, el firewall en espera considera que el firewall activo tiene una falla y cambia a activo.

 

Desvío de tráfico

Durante la conmutación, el nuevo firewall activo transmite paquetes ARP gratuitos que llevan la dirección IP virtual del grupo VRRP y la dirección MAC del firewall. El switch actualiza la tabla ARP aprendiendo paquetes ARP gratuitos. De esta manera, el tráfico cuyo próximo salto es esta dirección IP virtual se desvía al nuevo firewall activo.

 

Puntos clave de configuración

En modo active/standby:

l  Se agregan dos interfaces de servicio en los dos firewalls al mismo grupo VRRP y comparten una dirección IP virtual. Los dispositivos ascendentes y descendentes consideran la dirección IP virtual del grupo VRRP como el próximo salto.

l  Todas las interfaces de servicio ascendentes y descendentes de un firewall se agregan a un grupo VRRP. Por ejemplo, si asigna las interfaces de servicio del firewall A al grupo VRRP Active, entonces debe asignar las interfaces de servicio del firewall B al grupo VRRP En Standby.

l  Se recomienda configurar el retraso de preferencia en 180 segundos.

l  Si los paquetes de reenvío y retorno pasan por diferentes rutas, se recomienda habilitar la función quick session backup. En este caso, se debe hacer una copia de seguridad de un gran volumen de datos. Para asegurarse de que los paquetes de heartbeat se envíen a tiempo, utilice una interfaz Eth-Trunk inter-NIC o inter-LPU como la interfaz de heartbeat.

 

En modo de equilibrio de carga o load balancing:


l  Se agregan dos interfaces de servicio en los dos firewalls al mismo grupo VRRP y comparten una dirección IP virtual. Los dispositivos ascendentes y descendentes del switch consideran la dirección IP virtual del grupo VRRP como el próximo salto.

l  Agregue todas las interfaces de servicio ascendentes y descendentes de un firewall a dos grupos VRRP.

l  Se recomienda configurar el retraso de preferencia en 180 segundos.

l  Los paquetes de reenvío y envío pueden encaminarse a través de diferentes rutas. Por lo tanto, debe habilitar la función de quick session backup. En este caso, se debe hacer una copia de seguridad de un gran volumen de datos. Para asegurarse de que los paquetes de latidos se envíen a tiempo, utilice una interfaz Eth-Trunk inter-NIC o inter-LPU como la interfaz de heartbeat.


La Tabla 1 describe las configuraciones clave en los modos active/Standby y de equilibrio de carga en esta red.

 

Tabla 1 Script de configuración para el escenario donde las interfaces de servicio funcionan en la Capa 3 con switches que funcionan como dispositivos ascendentes y descendentes

 

b1


Saludos.

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.