De acuerdo

Requisitos para la implementación de la función Hot Standby entre dos firewall.

156 0 0 0 0

Requerimientos mínimos

l  Los modelos, las versiones de software, las versiones de parches, los paquetes de componentes cargados dinámicamente y las versiones de bases de datos de firmas de los firewalls activos y en espera deben ser los mismos.

l  Los modelos, las ranuras y el número de tarjetas de interfaz de los firewalls activos y en espera deben ser los mismos.

 

l  Las interfaces de servicio y las interfaces de heartbeat de los firewalls activos y en espera deben ser las mismas.

 

l  Las licencias de los firewalls activos y en espera deben ser las mismas. La función de Hot Standby no requiere una licencia. Sin embargo, otras funciones, como IPS y antivirus, requieren una licencia, y los dos firewalls no pueden compartir las licencias en un grupo de Hot Standby y deben comprarse y cargarse en ambos firewalls. Las licencias en los dos firewalls deben tener los mismos elementos de control, cantidad de recursos y tiempo de vencimiento del servicio de actualización.


Configuración de datos

l  Es aconsejable que mantenga las configuraciones de firewall predeterminadas para el modo Hot Standby.

 

l  Configure los datos en los dos firewalls en el siguiente orden: interfaces, zonas de seguridad, rutas y hot standby. Luego configure los servicios en el firewall activo. La configuración se puede sincronizar automáticamente con el firewall en espera.

 

l  Guarde los resultados de la configuración inmediatamente después de completar todas las configuraciones.

 

l  No todas las configuraciones de comandos se sincronizan automáticamente. Después de las configuraciones en el firewall activo, confirme si el firewall en espera tiene las mismas configuraciones. Si las configuraciones no existen en el firewall en espera y son obligatorias, ejecute manualmente los comandos correspondientes en el firewall en espera para evitar impactos adversos en los servicios después de la conmutación active/standby.


Verificación

Después de completar las configuraciones, verifique las configuraciones para asegurarse de que el modo Hot Satndby funcione correctamente. Debe verificar el reenvío del servicio y el cambio active/Standby. Si ha configurado la función de preferencia, también debe rectificar la falla para verificar la función de preferencia.


El modo Hot Standby debe funcionar correctamente en los siguientes tres escenarios de activación de conmutación. El resultado esperado es que después de la conmutación active/ Standby, el tráfico se cambia al nuevo firewall activo sin interrupción del servicio.

 

l  La interfaz de servicio está deshabilitada.

l  El firewall activo está desconectado.

l  El firewall activo se reinicia (reiniciar después del apagado y el soft startup).


b6


Si el modo Hot Standby funciona en la red en vivo, para evitar la interrupción del servicio causada por la verificación, seleccione una interfaz inactiva en el firewall activo y ejecute el comando hrp track en esta interfaz para disminuir la prioridad HRP del firewall activo para activar la conmutación. Por ejemplo:

b7


Alternativamente, puede ejecutar el comando hrp switch para realizar por la fuerza el cambio active/Standby. Puede realizar un cambio forzado active/Standby utilizando cualquiera de los siguientes métodos:

 

l  Ejecute el comando hrp switch standby en la vista del sistema del dispositivo activo

        b8


En este caso, la prioridad del grupo VGMP en el dispositivo activo disminuye en 1, que es menor que la prioridad del grupo VGMP en el dispositivo en espera. Como resultado, se activa una conmutación activa / en espera.


l  Ejecute el comando hrp switch active en la vista del sistema del dispositivo en espera

         b8


En este caso, la prioridad del grupo VGMP en el dispositivo en espera aumenta en 1, que es más alta que la prioridad del grupo VGMP en el dispositivo activo. Como resultado, se activa una conmutación active/Standby.


Comprobación de la configuración

Se recomienda utilizar herramientas de comparación de archivos, como Beyond Compare, para comparar los archivos de configuración de los firewalls activos y en espera. Excepto por los siguientes datos, las configuraciones de datos de los dos firewalls deben ser las mismas:

 

l  Nombres de dispositivos

l  ID de router y subredes anunciadas

l  Interfaz de direcciones IP

l  Estado VRRP de la interfaz

l  Preemption delays

l  Rangos de puertos NAT (solo en modo de balanceo de carga)

 

Eliminar configuraciones redundantes. Las configuraciones redundantes evitan la ubicación eficiente de fallas.

 

Saludos.

 

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

 


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.