【FAQ】Vérification de la configuration NGFW Hot Standby

70 0 2 0

Après avoir configuré la mise en veille automatique, vous pouvez vérifier la configuration comme suit.

Procédure

  1. Vérifiez les invites de commande.

    Une fois la relation HRP active / veille établie, le NGFW dont l'invite de ligne de commande est HRP_A est le périphérique actif et NGFW dont l'invite de commande est HRP_S est le périphérique de secours.

  2. Vérifiez la configuration de la mise en veille à chaud basée sur le tableau 1.

    Tableau 1 Liste de contrôle de la vérification de la configuration de secours automatique

    Non.

    Obligatoire ou facultatif

    Article

    Méthode de vérification

    Résultat de la vérification
    Articles généraux

    1

    Obligatoire

    Les modèles et les versions logicielles des pare-feu actif et de secours sont les mêmes.

    <sysname> display version

    □ réussi

    □ non passé

    2

    Obligatoire

    Les types et les logements de cartes d'interface des pare-feu actif et de secours sont les mêmes.

    <sysname> display device

    □ réussi

    □ non passé

    3

    Obligatoire

    Les interfaces de service des pare-feu actifs et de secours sont les mêmes.

    <sysname> display hrp state

    □ réussi

    □ non passé

    4

    Obligatoire

    Les interfaces Heartbeat des pare-feu actif et de secours sont les mêmes.

    <sysname> display hrp interface

    □ réussi

    □ non passé

    4.a

    Optionnel

    Si Eth-Trunk est utilisé comme lien de pulsation, les interfaces membres des pare-feu actif et de secours sont les mêmes.

    <sysname> display eth-trunktrunk-id

    □ réussi

    □ non passé

    4.b

    Optionnel

    Si le lien de service est utilisé comme lien de pulsation, l'interface de pulsation et l'adresse IP de l'interface de pulsation homologue sont spécifiées.

    <sysname> display current-configuration | include hrp interface

    □ réussi

    □ non passé

    5

    Obligatoire

    Les interfaces des pare-feu actifs et de secours sont configurées dans la même zone de sécurité.

    <sysname> display zone

    □ réussi

    □ non passé

    6

    Optionnel

    Les interfaces de service des pare-feu actif et de secours sont configurées dans le même groupe de sauvegarde VRRP et partagent la même adresse IP virtuelle.

    • IPv4: <sysname> display vrrp interface type d'interface numéro d'interface
    • IPv6: <sysname> display vrrp6 interface type-interface numéro-interface

    □ réussi

    □ non passé

    7

    Optionnel

    Les interfaces de service des pare-feu actifs et de secours sont configurées dans différents groupes de gestion VRRP.

    <sysname> display hrp state

    □ réussi

    □ non passé

    8

    Obligatoire

    La fonction de préemption du pare-feu actif est désactivée ou le délai de préemption est défini sur 60 secondes.

    <sysname> display hrp group

    □ réussi

    □ non passé

    9

    Optionnel

    Si les paquets de retour et de retour empruntent des chemins différents, la fonction de sauvegarde de session rapide est activée.

    <sysname> display current-configuration | include hrp mirror

    □ réussi

    □ non passé

    Les interfaces de service fonctionnent au niveau 3

    dix

    Obligatoire

    Les interfaces de service en amont et en aval sont ajoutées au même VLAN.

    <sysname> display port vlan [ numéro d'interface du type d'interface ]

    □ réussi

    □ non passé

    11

    Obligatoire

    Les groupes de gestion VRRP sont configurés pour surveiller l'état des interfaces de service.

    <sysname> display hrp state

    □ réussi

    □ non passé

    12

    Optionnel

    Si les pare-feu sont connectés aux commutateurs en amont et en aval, ils fonctionnent en mode actif / veille.

    <sysname> display hrp group

    □ réussi

    □ non passé

    13

    Optionnel

    Si les pare-feu sont connectés aux routeurs en amont et en aval, ils fonctionnent en mode de bandage de charge.

    <sysname> display hrp group

    □ réussi

    □ non passé

    Les interfaces de service fonctionnent au niveau 3

    14

    Obligatoire

    Les adresses IP sont attribuées aux interfaces des pare-feu actifs et de secours.

    <sysname> display ip interface brief

    □ réussi

    □ non passé

    15

    Optionnel

    Si des pare-feu sont connectés à des commutateurs en amont et en aval, ceux-ci sont configurés pour considérer l'adresse IP virtuelle du groupe de sauvegarde VRRP comme leur prochain bond.

    Vérifiez les configurations de route statiques des périphériques en amont et en aval.

    □ réussi

    □ non passé

    16

    Optionnel

    Si les pare-feu sont connectés aux routeurs en amont et en aval, OSPF s'exécute entre les pare-feu et les interfaces de pulsation ne se trouvent pas dans la zone OSPF.

    <sysname> display ospf [ process-id ] brief

    □ réussi

    □ non passé

    17

    Optionnel

    Si les pare-feu sont connectés aux routeurs en amont et en aval et fonctionnent en mode actif / veille, les coûts de routage des pare-feu sont ajustés en fonction du statut de la sauvegarde à chaud double système.

    <sysname> display current-configuration | include hrp ospf-cost

    □ réussi

    □ non passé

    L'équilibrage de charge

    18

    Obligatoire

    La sauvegarde de session rapide est activée.

    <sysname> display current-configuration | include hrp mirror

    □ réussi

    □ non passé

    19

    Optionnel

    La plage de ports du pool d'adresses NAT est spécifiée.

    <sysname> display current-configuration | include hrp nat

    □ réussi

    □ non passé

  3. Dans la vue d'interface du périphérique actif, exécutez la commande shutdown pour vérifier si le basculement actif / en veille peut être implémenté.

    Une fois que vous avez exécuté la commande shutdown sur une interface de service du périphérique actif, l’interface s’éteint et les autres interfaces de service fonctionnent correctement. Si l'invite de commande sur le périphérique actif commence par HRP_S , l'invite de commande sur le périphérique en attente commence par HRP_A et si le trafic est correctement transféré, le basculement actif / en veille réussit.

    Une fois que vous avez exécuté la commande undo shutdown sur la même interface du périphérique actif, l'interface est activée. Une fois le délai de préemption écoulé , l' invocation de commande sur le périphérique actif commence par HRP_A , l'invite de commande sur le périphérique de secours commence par HRP_S et le trafic est correctement transféré.

  4. Dans la vue utilisateur du périphérique actif, exécutez la commande reboot pour vérifier si le basculement actif / en veille peut être implémenté.

    Une fois que vous avez exécuté la commande de redémarrage sur le périphérique actif, le basculement actif / veille est réussi si l'invite de commande sur le périphérique en attente commence par HRP_A et si les paquets sont correctement transférés.

    Le périphérique actif continue de fonctionner au redémarrage. Une fois le délai de préemption écoulé ,l'invocation de commande sur le périphérique actif commence par HRP_A , l'invite de commande sur le périphérique de secours commence par HRP_S et le trafic est correctement transféré.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier