De acuerdo

Mejores practicas para implementar la funcion Hot Standby para un firewall de Huawei: Escenario 5

25 0 0 0

Hola a todos. En esta publicación les presentare una guía de las mejores prácticas para implementar la función de Hot Standby para un firewall. Iniciamos con el escenario 2 que propone: Interfaces de servicio de capa 3 que se conectan a routers ascendentes y switches descendentes.

 

Diagrama de red

Las interfaces de servicio de los dos firewalls funcionan en la Capa 3, conectando respectivamente a un router ascendente y un switch descendente. OSPF se ejecuta entre los firewalls y routers, como se muestra en la Figura 1.

 

Figura 1 interfaces de servicio de capa 3 que se conectan a routers ascendentes y switches descendentes


b3


Cuando los firewalls activo y en espera funcionan correctamente, solo el firewalls activo responde a las solicitudes ARP de las direcciones IP virtuales. Los dos switches actualizan sus tablas de direcciones MAC aprendiendo los paquetes ARP gratuitos. De esta manera, el tráfico se desvía al firewall activo.

 

Al mismo tiempo, OSPF promociona el tráfico entre los firewalls y el router.

 

l  En modo active/standby, el costo (65500 por defecto) del anuncio de ruta del firewall en espera es mayor que el del firewall activo. El tráfico es reenviado por el firewall activo.

l  En el modo de equilibrio de carga, los costos de los anuncios de ruta de los dos firewalls son los mismos. Configure rutas de igual costo en el router ascendente para garantizar que ambos firewalls reenvíen el tráfico.


Cambio de estado

HRP supervisa el estado de la interfaz upstream. Si un enlace ascendente o interfaz del firewalls activo falla, la prioridad de HRP disminuye. Si la prioridad HRP del firewalls activo es menor que la del firewalls en espera, los dos firewalls se conmutan.

 

El grupo VRRP supervisa el estado de la interfaz descendente. Si un enlace o interfaz downstream del firewall activo falla, el estado VRRP de la interfaz downstream cambia a Initialize y la prioridad HRP del firewall activo disminuye. Si la prioridad HRP del firewall activo es menor que la del firewall en espera, los dos firewalls se conmutan.

 

Si el firewall activo tiene una falla o se reinicia y el firewall en espera no puede recibir paquetes de heartbeat en cinco intervalos para enviar paquetes de heartbeat, el firewall en espera considera que el firewall activo ha fallado y cambia a activo.

 

Desvío de tráfico

Durante el cambio, ambos firewalls actualizan sus rutas y anuncian las rutas, que se utilizan para desviar el tráfico downstream.

 

l  Si los dos firewalls funcionaban en modo active/standby, el nuevo firewall en espera anuncia rutas con un costo mayor. Después de la convergencia de la ruta, el nuevo firewall activo reenvía todo el tráfico.

l  Si los dos firewalls funcionaban en modo de balanceo de carga, el firewall reenvía todo el tráfico que se ejecuta correctamente después de la convergencia de rutas.

 

Al mismo tiempo, el nuevo firewall activo transmite paquetes ARP gratuitos que llevan la dirección IP virtual del grupo VRRP y la dirección MAC del firewall. Los switches actualizan sus tablas de direcciones MAC aprendiendo los paquetes ARP gratuitos. De esta manera, el tráfico cuyo próximo salto es esta dirección IP virtual se desvía al nuevo firewall activo.

 

Puntos clave de configuración

En modo activo / en espera:

 

l  Configure HRP para monitorear el estado de las interfaces de servicio upstream y el grupo VRRP para monitorear el estado de las interfaces de servicio downstream. Los dispositivos downstream del firewall consideran la dirección IP virtual del grupo VRRP como su próximo salto.

 

l  Todas las interfaces de servicio ascendentes y descendentes de un firewall se agregan al mismo grupo VRRP. Por ejemplo, si asigna las interfaces de servicio del firewall A al grupo VRRP Activo, entonces debe asignar las interfaces de servicio del firewall B al grupo VRRP En espera. Lo contrario también funciona.


l  Ejecute OSPF entre los firewalls y los routers ascendentes y descendentes. Si es posible, asegúrese de que solo los firewalls y routers pertenezcan al área OSPF y no configure las interfaces de heartbeat en el área OSPF. Esto garantiza que las rutas puedan converger rápidamente y que las interfaces de heartbeat no reenvíen paquetes de servicio.

 

l  Ejecute el comando hrp adjust ospf-cost enable  para ajustar los costos de ruta de acuerdo con el estado de HRP para que los dos firewalls funcionen en modo active/standby y el firewall activo reenvíe el tráfico.

 

l  Se recomienda configurar el retraso de preferencia en 180 segundos.

 

En modo de balanceo de carga:

 

l  Configure HRP para monitorear el estado de las interfaces de servicio upstream y el grupo VRRP para monitorear el estado de las interfaces de servicio downstream. Los dispositivos downstream del firewall consideran la dirección IP virtual del grupo VRRP como su próximo salto.

 

l  Ejecute OSPF entre los firewalls y los router ascendentes y descendentes. Si es posible, asegúrese de que solo los firewalls y router pertenezcan al área OSPF y no configure las interfaces de heartbeat en el área OSPF. Esto garantiza que las rutas puedan converger rápidamente y que las interfaces de heartbeat no reenvíen paquetes de servicio.

 

l  Se recomienda configurar el retraso de preferencia en 180 segundos.

 

l  Los paquetes salientes y entrantes pueden enrutarse a través de diferentes rutas. Por lo tanto, debe habilitar la función quick session backup En este caso, se debe hacer una copia de seguridad de un gran volumen de datos. Para asegurarse de que los paquetes de heartbeats se envíen a tiempo, utilice una interfaz Eth-Trunk inter-NIC o inter-LPU como la interfaz de heartbeat.

 

La Tabla 1 describe las configuraciones clave en los modos activo / en espera y de equilibrio de carga en esta red.

 

Tabla 1 Script de configuración: interfaces de servicio de capa 3 que se conectan a routers ascendentes y switches descendentes


b2


Saludos.


FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise

#OneHuawei


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.