Hola a todos. En esta publicación les presentare una guía de las mejores prácticas para implementar la función de Hot Standby para un firewall. Iniciamos con el escenario 2 que propone: Interfaces de servicio que funcionan en la capa 2 con switches que funcionan como dispositivos de flujo de tráfico ascendente y descendente
Diagrama de red
Las interfaces de servicio de los dos firewalls funcionan en la capa 2 y se conectan a los switches de la capa 2 en las direcciones ascendente y descendente. Las interfaces de servicio ascendente y descendente de los firewalls se agregan a la misma VLAN, como se muestra en la Figura 1.
Figura 1 Interfaces de servicio que funcionan en la capa 2 con switches que funcionan como dispositivos de flujo de tráfico ascendentes y descendentes
Si HRP en un firewall está en estado Activo, la función VLAN en este firewall está habilitada. Si el modo de espera activa funciona en modo active/standby, la función VLAN en el firewall en espera se desactiva y el firewall no puede reenviar el tráfico.
Cambio de estado
HRP supervisa el estado de la interfaz a través de la VLAN. Si el enlace o la interfaz entre el firewalls activo y el switch falla, la prioridad de HRP disminuye. Si la prioridad HRP del firewall activo es menor que la del firewall en espera, se produce una conmutación active/standby.
Si el firewall activo presenta una falla o se reinicia y el firewall en espera no puede recibir paquetes de heartbeat en cinco intervalos para enviar paquetes de heartbeat, el firewall en espera considera que el firewall activo tiene una falla y cambia a activo.
Desvío de tráfico
Durante la conmutación, se deshabilita la VLAN del firewall activo original y se habilita la del nuevo firewall activo. Además, las interfaces ascendentes y descendentes del firewall activo original se desactivan y luego se activan. Esto hace que los switches ascendentes y descendentes actualicen sus tablas de direcciones MAC. Debido a que la VLAN del firewall activo original está deshabilitada, el nuevo firewall activo reenvía el tráfico.
Puntos clave de configuración
l Agregue interfaces de servicio ascendentes y descendentes a la misma VLAN y use HRP para monitorear el estado de la VLAN de servicio (ejecutando el comando hrp track).
l Se recomienda configurar el retraso de preferencia en 180 segundos.
La Tabla 1 describe las configuraciones clave en modo activo / en espera en esta red.
Tabla 1 Script de configuración para el escenario donde las interfaces de servicio que funcionan en la capa 2 con switches que funcionan como dispositivos ascendentes y descendentes
Saludos.
FIN
Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums
#ComunidadEnterprise
#OneHuawei
