De acuerdo

Requisitos para implementar la función Hot Standby entre dos firewall.

Última respuesta ag. 16, 2022 08:59:00 443 2 4 0 0

Requisitos para la implementación de la función Hot Standby entre dos firewall.


Requerimientos mínimos.

l  Los modelos, las versiones de software, las versiones de parches, los paquetes de componentes cargados dinámicamente y las versiones de bases de datos de firmas de los firewalls activos y en espera deben ser los mismos.

l  Los modelos, las ranuras y el número de tarjetas de interfaz de los firewalls activos y en espera deben ser los mismos.

 

l  Las interfaces de servicio y las interfaces de heartbeat de los firewalls activos y en espera deben ser las mismas.

 

l  Las licencias de los firewalls activos y en espera deben ser las mismas. La función de Hot Standby no requiere una licencia. Sin embargo, otras funciones, como IPS y antivirus, requieren una licencia, y los dos firewalls no pueden compartir las licencias en un grupo de Hot Standby y deben comprarse y cargarse en ambos firewalls. Las licencias en los dos firewalls deben tener los mismos elementos de control, cantidad de recursos y tiempo de vencimiento del servicio de actualización.


Configuración de datos.

l  Es aconsejable que mantenga las configuraciones de firewall predeterminadas para el modo Hot Standby.

 

l  Configure los datos en los dos firewalls en el siguiente orden: interfaces, zonas de seguridad, rutas y hot standby. Luego configure los servicios en el firewall activo. La configuración se puede sincronizar automáticamente con el firewall en espera.

 

l  Guarde los resultados de la configuración inmediatamente después de completar todas las configuraciones.

 

l  No todas las configuraciones de comandos se sincronizan automáticamente. Después de las configuraciones en el firewall activo, confirme si el firewall en espera tiene las mismas configuraciones. Si las configuraciones no existen en el firewall en espera y son obligatorias, ejecute manualmente los comandos correspondientes en el firewall en espera para evitar impactos adversos en los servicios después de la conmutación active/standby.


Verificación.

Después de completar las configuraciones, verifique las configuraciones para asegurarse de que el modo Hot Satndby funcione correctamente. Debe verificar el reenvío del servicio y el cambio active/Standby. Si ha configurado la función de preferencia, también debe rectificar la falla para verificar la función de preferencia.


El modo Hot Standby debe funcionar correctamente en los siguientes tres escenarios de activación de conmutación. El resultado esperado es que después de la conmutación active/ Standby, el tráfico se cambia al nuevo firewall activo sin interrupción del servicio.

 

l  La interfaz de servicio está deshabilitada.

l  El firewall activo está desconectado.

l  El firewall activo se reinicia (reiniciar después del apagado y el soft startup).


nota sobre hot standby


Si el modo Hot Standby funciona en la red en vivo, para evitar la interrupción del servicio causada por la verificación, seleccione una interfaz inactiva en el firewall activo y ejecute el comando hrp track en esta interfaz para disminuir la prioridad HRP del firewall activo para activar la conmutación. Por ejemplo:

<sysname> system-view
[sysname] hrp track interface GigabitEthernet 1/0/1


Alternativamente, puede ejecutar el comando hrp switch para realizar por la fuerza el cambio active/Standby. Puede realizar un cambio forzado active/Standby utilizando cualquiera de los siguientes métodos:

 

l  Ejecute el comando hrp switch standby en la vista del sistema del dispositivo activo

HRP_M<sysname> system-view
HRP_M[sysname] hrp switch standby


En este caso, la prioridad del grupo VGMP en el dispositivo activo disminuye en 1, que es menor que la prioridad del grupo VGMP en el dispositivo en espera. Como resultado, se activa una conmutación activa / en espera.


l  Ejecute el comando hrp switch active en la vista del sistema del dispositivo en espera

HRP_M<sysname> system-view
HRP_M[sysname] hrp switch active


En este caso, la prioridad del grupo VGMP en el dispositivo en espera aumenta en 1, que es más alta que la prioridad del grupo VGMP en el dispositivo activo. Como resultado, se activa una conmutación active/Standby.


Comprobación de la configuración.

Se recomienda utilizar herramientas de comparación de archivos, como Beyond Compare, para comparar los archivos de configuración de los firewalls activos y en espera. Excepto por los siguientes datos, las configuraciones de datos de los dos firewalls deben ser las mismas:

 

l  Nombres de dispositivos

l  ID de router y subredes anunciadas

l  Interfaz de direcciones IP

l  Estado VRRP de la interfaz

l  Preemption delays

l  Rangos de puertos NAT (solo en modo de balanceo de carga)

 

Eliminar configuraciones redundantes. Las configuraciones redundantes evitan la ubicación eficiente de fallas.

 

Saludos.

 

FIN


También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

Foro de Internet de las Cosas     

                                                         

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

                                                                                                           


  • x
  • Opciones:

Gustavo.HdezF
Admin Publicado 2021-10-21 10:53:54

 

También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

Ver más
  • x
  • Opciones:

Gustavo.HdezF
Admin Publicado Antes de ayer 08:59
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.