De acuerdo

Precauciones para el uso de Hot Standby junto con otras funciones

229 0 6 0 0

Antes de utilizar funciones como IPSec, SSL VPN, NAT y el sistema virtual, lea las limitaciones y precauciones.

 

Limitaciones para el uso de Hot Standby con sistemas virtuales

l  Asegúrese de que los dispositivos activos y en espera utilicen el mismo nombre e ID de sistema virtual.

l  Las configuraciones de espera activa en el sistema público surten efecto en los sistemas virtuales. Solo se admite el modo de espera activo entre dos dispositivos físicos. No se admite el modo de espera activo entre sistemas virtuales. Por ejemplo, si una interfaz en el sistema virtual del dispositivo activo deja de funcionar, se realiza el cambio de dispositivo activo / en espera, no el cambio entre sistemas virtuales en los dispositivos.

 

Limitaciones para el uso de Hot Standby con el controlador ágil

En la red de espera activa sin duplicación, si un FW se reinicia, Agile Controller no puede entregar configuraciones al otro FW durante el reinicio para evitar inconsistencias en la configuración. En la red Hot Standby en modo de duplicación, para solucionar el problema, debe ejecutar el comando hrp base config enable en los dispositivos activos y en espera para que los dispositivos sincronicen automáticamente las configuraciones después del reinicio.

 

Limitaciones para el uso de Hot Standby con DHCP

En la implementación de Hot Standby para el balanceo de carga, el FW no puede servir como servidor DHCP.

 

En un escenario de Hot Standby, solo el dispositivo que está activo tanto en espera activa como en el grupo VRRP puede responder a las solicitudes de DHCP de los clientes y les asigna direcciones IP. Sin embargo, en las redes de balanceo de carga, es posible que dos dispositivos estén activos tanto en el grupo de espera activa como en el grupo VRRP. En este caso, ambos dispositivos responden a los paquetes de solicitud de los clientes DHCP. Sin embargo, estos dos dispositivos utilizan el mismo grupo de direcciones DHCP. Por lo tanto, es posible que se asigne una dirección IP a diferentes clientes DHCP, provocando conflictos de direcciones.

 

Limitaciones para el uso de Hot Standby con IPSec

l  En el escenario Hot Standby activa / en espera, ejecute el comando ipsec policy policy-name para aplicar el grupo de políticas de seguridad IPSec especificado en la interfaz especificada. Durante la copia de seguridad del comando, se realizará una copia de seguridad de este comando desde el dispositivo activo al dispositivo en espera. En el escenario Hot Standby de balanceo de carga, ejecute ipsec policy policy-name { alone | master | slave } para aplicar el grupo de políticas de seguridad IPSec especificado en la interfaz especificada. No se realiza una copia de seguridad de este comando durante la copia de seguridad del comando.

l  Si el FW inicia el establecimiento de un túnel IPSec, debe ejecutar el comando tunnel local ip-address  para especificar la dirección IP virtual VRRP como la dirección IP local para iniciar la negociación IPSec.

l  En la red de espera activa, si el dispositivo activo falla, se realiza un cambio de dispositivo activo / en espera y el dispositivo en espera se hace cargo de los servicios. Una vez que se reinicia el dispositivo activo original, las SA de IPSec se respaldan en lotes desde el dispositivo en espera original al dispositivo activo original. La copia de seguridad tarda un cierto tiempo. Si la función de preferencia está habilitada y hay muchas IPSec SA (más de 10000 IPSec SA), el dispositivo activo original puede adelantarse al estado activo antes de que se complete la copia de seguridad de IPSec SA. Como resultado, el servicio IPSec se vuelve anormal.

Por lo tanto, si hay muchas IPSec SA, se recomienda que desactive la función de preferencia o establezca un gran período de retención de preferencia. 

l  En escenarios de Hot Standby de IPSec, no debe ejecutar el comando hrp switch para cambiar manualmente el estado activo / en espera. Si lo hace, el dispositivo en espera se activa directamente sin realizar una copia de seguridad de la información del túnel IPSec del dispositivo activo, lo que provoca la interrupción del servicio IPSec.

l  En escenarios de LTE IPSec, se recomienda ejecutar el comando re-authentication interval interval  para establecer el tiempo de vencimiento de la negociación IKEv2 (intervalo para la reautenticación) un 15% mayor que el tiempo de vencimiento de eNodeB para evitar cambios activos / en espera al recibir la renegociación de paquetes durante la copia de seguridad activa / en espera. Si el dispositivo en espera no sincroniza completamente la configuración del dispositivo activo, los servicios IPSec pueden interrumpirse.

 

Limitaciones para el uso de Hot Standby con SSL VPN

l  Cuando el hot standby funciona con SSL VPN, los certificados locales de las puertas de enlace virtuales para los dispositivos activos y en espera deben ser los mismos. De lo contrario, el servicio VPN SSL no se puede cambiar correctamente durante el cambio de dispositivo activo / en espera.

l  En la implementación de Hot standby para el balanceo de carga, el FW no es compatible con SSL VPN.

l  Después de un cambio activo / en espera, el servicio VPN SSL actual se interrumpe y debe reiniciar el acceso al servicio.

 

Limitaciones para el uso de Hot Standby con NAT

l  La red de espera activa no admite la detección de grupos de direcciones NAT.

l  En la implementación de Hot Standby en el modo de balanceo de carga, si NAT está en modo NAPT, debe ejecutar el comando hrp nat resource primary-group en un FW y ejecutar el comando hrp nat resource secondary-group en el otro FW para dividir los puertos para el direcciones en el grupo de direcciones en dos segmentos para evitar conflictos de puertos.

l  En la red de Hot Standby en modo de balanceo de carga, si NAT está en modo NAT NO-PAT, debe ejecutar el comando nat resource load-balance enable para permitir que un dispositivo realice la asignación de direcciones y puertos de modo que las direcciones y los puertos asignados a dos dispositivos no están en conflicto entre sí. Después de ejecutar este comando, el tráfico de la interfaz de heartbeat aumentará (el aumento del volumen de tráfico está sujeto al tamaño de los servicios de red en vivo, generalmente el tamaño del primer paquete). Debe verificar si el ancho de banda de la interfaz de Heartbeat es suficiente. 

l  En escenarios de Hot Standby, no se permite ninguna dirección IP de interfaz del dispositivo activo y en espera en el grupo de direcciones NAT. Si el grupo de direcciones NAT contiene direcciones IP de interfaz, los dispositivos activos y en espera responderán a la solicitud ARP enviada por el dispositivo ascendente para direcciones en el grupo de direcciones, lo que provocará un conflicto ARP. 

l  En un escenario de espera activa, las direcciones IP de origen o destino en la política NAT no pueden contener la dirección IP de la interfaz de latido. De lo contrario, se realiza NAT para los paquetes de Heartbeat, lo que provoca una excepción de comunicación de enlace de Heartbeat. 

l  En redes de Hot Standby en modo de balanceo de carga, el modo de grupo de direcciones puede ser PAT (incluida la asignación previa de puertos) o No-PAT y no puede ser triplete (incluido el mapeo estático). 

l  El escenario de espera activa sin duplicación no es compatible con easy-IP. Como easy-IP usa directamente la dirección IP pública de una interfaz como la dirección post-NAT, en el escenario de espera activa sin duplicación, si usa easy-IP, la dirección post-NAT si la dirección de la interfaz del dispositivo activo. Debido a que el dispositivo en espera no tiene la dirección de interfaz del dispositivo activo, las sesiones respaldadas desde el dispositivo activo al dispositivo en espera no están disponibles. Además, cuando los dispositivos ascendentes aprenden las entradas ARP, aprenden la dirección MAC del dispositivo activo pero no aprenden la dirección MAC del dispositivo en espera. Por lo tanto, no utilice easy-IP en escenarios de Hot Standby sin duplicación.


Limitaciones para el uso de Hot Standby con asignación previa de puertos

En las redes de Hot Standby con balanceo de carga, cuando se utiliza la asignación previa de puertos, el dispositivo activo asigna los recursos del puerto con una ID de grupo de direcciones par, y el dispositivo en espera asigna los recursos de puerto con una ID de grupo de direcciones impar. Los ID de grupo de direcciones deben configurarse tanto en dispositivos activos como en espera y no pueden ser todos números pares o impares. De lo contrario, los recursos de puerto que no están asignados por el dispositivo local deben solicitarse desde el dispositivo del mismo nivel a través de las interfaces de latido, lo que aumenta la carga sobre las interfaces de latido. Por ejemplo, no se recomienda configurar los ID del grupo de direcciones en los dispositivos activos y en espera en un número par (2, 4, 6 u 8) o un número impar (1, 3, 5 o 7).

 

Saludos.

 

FIN.


FIN.


También te puede interesar:

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

Guía de dimensionamiento firewall USG6000 Series NGFW

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.