De acuerdo

Mejores practicas para implementar la funcion Hot Standby para un firewall de Huawei: Escenario 4

19 0 0 0

Hola a todos. En esta publicación les presentare una guía de las mejores prácticas para implementar la función de Hot Standby para un firewall. Iniciamos con el escenario 2 que propone: Interfaces de servicio que funcionan en la capa 2 con routers que funcionan como dispositivos de flujo de ascendentes y descendentes

 

Diagrama de red

Las interfaces de servicio de los dos firewalls funcionan en la capa 2, conectando routers en sentido ascendente y descendente. OSPF se ejecuta entre los routers ascendentes y descendentes. Los firewalls reenvían los paquetes OSPF de forma transparente y no participan en el cálculo del protocolo de enrutamiento, como se muestra en la Figura 1.

 

Figura 1 Interfaces de servicio que funcionan en la capa 2 con routers que funcionan como dispositivos ascendentes y descendentes


a1


Se recomienda utilizar hot standby en el modo de balanceo de carga en esta red, en la que debe configurar rutas OSPF con los mismos costos en los routers ascendentes y descendentes.


a2


Cambio de estado

El grupo VRRP supervisa el estado de la interfaz a través de la VLAN. Si el enlace o la interfaz entre el firewall activo y un router falla, la prioridad de HRP disminuye. Si la prioridad HRP del firewall activo es menor que la del firewall en espera, se produce una conmutación active/standby.

 

Si el firewall activo presenta una falla o se reinicia y el firewall en espera no puede recibir paquetes de heartbeat en cinco intervalos para enviar paquetes de heartbeat, el firewall en espera considera que el firewall activo tiene una falla y cambia a activo.

 

Desvío de tráfico

Si una interfaz del firewall o el firewall mismo falla, los routers upstream y downstream  vuelven a calcular las rutas. En este caso, todo el tráfico es reenviado por el firewall que se ejecuta correctamente.

 

En el modo de balanceo de carga, si una interfaz o enlace falla y se produce una conmutación active/standby, la VLAN del firewall activo original se desactiva. Al mismo tiempo, las interfaces ascendentes y descendentes del firewall activo original se desactivan y luego se activan. Esto hace que los routers ascendentes y descendentes vuelvan a calcular las rutas. Debido a que la VLAN del firewall activo original está deshabilitada y el costo del enlace aumenta, el nuevo firewall activo reenvía el tráfico.

 

Si el firewall activo falla o se reinicia, el costo del enlace aumenta y todo el tráfico es reenviado por el nuevo firewall.


Puntos clave de configuración

En modo de balanceo de carga:

 

l  Agregue interfaces de servicio ascendentes y descendentes a la misma VLAN y use HRP para monitorear el estado de la VLAN de servicio (ejecutando el comando de hrp track).

l  OSPF se ejecuta entre los routers ascendentes y descendentes, y los firewalls no participan en el cálculo de la ruta.

l  Los paquetes salientes y entrantes pueden enrutarse a través de diferentes rutas. Por lo tanto, debe habilitar la función de quick session backup. En este caso, se debe hacer una copia de seguridad de un gran volumen de datos. Para asegurarse de que los paquetes de heartbeat se envíen a tiempo, utilice una interfaz Eth-Trunk inter-NIC o inter-LPU como la interfaz de heartbeat.

 

La Tabla 1 describe las configuraciones clave en los modos activo / en espera y de equilibrio de carga en esta red.

 

Tabla 1 Script de configuración para el escenario donde las interfaces de servicio funcionan en la Capa 2 con enrutadores que funcionan como dispositivos ascendentes y descendentes


a3


Saludos.

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise

#OneHuawei


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.