De acuerdo

Mejores practicas para implementar la funcion Hot Standby para un firewall de Huawei: Escenario 2

28 0 0 0

Hola a todos. En esta publicación les presentare una guía de las mejores prácticas para implementar la función de Hot Standby para un firewall. Iniciamos con el escenario 2 que propone: Interfaces de servicio que funcionan en la capa 3 con routers que funcionan como dispositivos para flujos de datos ascendentes y descendentes

 

Diagrama de red

Las interfaces de servicio en los dos firewalls funcionan en la Capa 3 y se conectan a routers en direcciones ascendentes y descendentes. OSPF se ejecuta entre los firewalls y routers, como se muestra en la Figura 1.

 

Figura 1 Interfaces de servicio que funcionan en la capa 3 con routers que funcionan como dispositivos para flujos de datos ascendentes y descendentes


a1

Dos firewalls anuncian rutas.

En modo active/standby, el costo (65500 por defecto) del anuncio de ruta del firewall en standby es mayor que el del firewall activo. El tráfico es reenviado por el firewall activo.

 

En el modo de equilibrio de carga o load balancing , los costos de los anuncios de ruta de los dos firewalls son los mismos. Configure rutas de igual costo en el router ascendente para garantizar que ambos firewalls reenvíen el tráfico.

 

Cambio de estado

HRP supervisa el estado de la interfaz. Si el enlace o la interfaz entre el firewall activo y un router falla, la prioridad de HRP disminuye. Si la prioridad HRP del firewall activo es menor que la del firewall en espera, los dos firewalls se conmutan.

 

Si el firewall activo tiene una falla o se reinicia y el firewall en espera no puede recibir paquetes de heartbeat en cinco intervalos para enviar paquetes de heartbeat, el firewall en espera considera que el firewall activo tiene una falla y cambia a activo.

 

Desvío de tráfico

Durante el cambio, los dos firewalls actualizan sus rutas y las anuncian.

 

En modo active/standby, el nuevo firewall en espera anuncia rutas con un costo mayor. Después de la convergencia de la ruta, el nuevo firewall activo reenvía todo el tráfico.

 

En el modo de equilibrio de carga o load balancing, todo el tráfico es reenviado por el firewall que se ejecuta correctamente después de la convergencia de la ruta.


Puntos clave de configuración

En modo activo / en espera:

 

l  Configure HRP para monitorear el estado de las interfaces ascendentes y descendentes del firewall (ejecutando el comando hrp track).

 

l  Ejecute OSPF entre los firewalls y los routers ascendentes y descendentes. Si es posible, asegúrese de que solo los firewalls y routers pertenezcan al área OSPF y no configure las interfaces de heartbeat en el área OSPF. Esto garantiza que las rutas puedan converger rápidamente y que las interfaces de heartbeta no reenvíen paquetes de servicio.

 

l  Ejecute el comando  hrp adjust ospf-cost enable para ajustar los costos de ruta de acuerdo con el estado de HRP para que los dos firewalls funcionen en modo active/standby y el firewall activo reenvíe el tráfico. Las configuraciones de este comando no se pueden guardar en un respaldo o backup de configuración. Por lo tanto, debe ejecutar este comando en los firewalls activos y en espera.

 

l  Se recomienda configurar el retraso de preferencia en 180 segundos.

 

l  Si los paquetes de reenvío y retorno pasan por diferentes rutas, se recomienda habilitar la función quick session backup. En este caso, se debe hacer una copia de seguridad de un gran volumen de datos. Para asegurarse de que los paquetes de heartbeat se envíen a tiempo, utilice una interfaz Eth-Trunk inter-NIC o inter-LPU como la interfaz de heartbeat.


En modo de equilibrio de carga:

 

l  Configure HRP para monitorear el estado de las interfaces ascendentes y descendentes del firewall (ejecutando el comando hrp track). Cada interfaz de servicio debe agregarse a dos grupos VRRP.

l  Ejecute OSPF entre los firewalls y los routers ascendentes y descendentes. Si es posible, asegúrese de que solo los firewalls y routers pertenezcan al área OSPF y no configure las interfaces de heartbeat en el área OSPF. Esto garantiza que las rutas puedan converger rápidamente y que las interfaces de heartbeat no reenvíen paquetes de servicio.

 

l  Se recomienda configurar el retraso de preferencia en 180 segundos.

l  Los paquetes salientes y entrantes pueden enrutarse a través de diferentes rutas. Por lo tanto, debe habilitar la función quick session backup. En este caso, se debe hacer una copia de seguridad de un gran volumen de datos. Para asegurarse de que los paquetes de latidos se envíen a tiempo, utilice una interfaz Eth-Trunk inter-NIC o inter-LPU como la interfaz de heartbeat.

 

La Tabla 1 describe las configuraciones clave en los modos active/standby y de equilibrio de carga o load balancing en esta red.

 

Tabla 1 Script de configuración para el escenario donde las interfaces de servicio funcionan en la Capa 3 con routers que funcionan como dispositivos ascendentes y descendentes


t1


 

Saludos.

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise

#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.