Конфигурация отказаустойчивости в режиме Active\Passive. – BAKOTECH

Необходимые условия конфигурации отказоустойчивости в режиме Active\Passive.

Чтобы настроить отказоустойчивость в режиме Active\Passive на межсетевых экранах Palo Alto Networks, необходимо иметь пару межсетевых экранов, отвечающих следующим требованиям:

Одна и та же модель - оба брандмауэра в паре должны иметь одну и ту же аппаратную модель или модель виртуальной машины.
Одинаковая версия PAN-OS с актуальными версиями Динамических обновлений
Однотипные интерфейсы
Идентичность наборов лицензий

Чтобы настроить Active/Passive пару HA, сначала выполните следующие действия на первом брандмауэре, а затем повторите их на втором.

Шаг 1. Подключите порты HA, чтобы установить физическое соединение между межсетевыми экранами.

Для межсетевых экранов с выделенными портами HA используйте Ethernet-кабель для соединения выделенных портов HA1 и портов HA2. При прямом соединении используйте перекрестный кабель.

Для межсетевых экранов без выделенных портов HA выберите два интерфейса данных для канала HA2 и резервного канала HA1. Затем с помощью кабеля Ethernet соедините HA-интерфейсы на обоих брандмауэрах.

Используйте Management порт для HA1 и убедитесь, что Management порты могут подключаться друг к другу в сети.

Шаг 2. Разрешаем функцию Ping.

Включение функции ping позволяет Management портам обмениваться информацией посредством резервного сердцебиения.

Device->Setup->Management->Management Interface Settings
Ping как сервис, разрешенный на интерфейсе

Шаг 3. Подготавлием интерфейсы на стороне фаервола.

Переходим в интерфейсы на которые мы подключили физические кабеля
Выбираем Interface type-> HA

ha link.png

Так же мы повторяем на HA2 линке. В итоге мы получаем HA1 и HA2 линка.

Шаг 4. Основная настройка HA на фаерволе.

Переходим Setup->High Availability->General

Открываем Setup->Enable HA ставим галочку.
Group ID должен быть одинаков на обеих фаерволах.
В зависимости от настройки нашей отказоустойчивости выбираем Active\Passive (Active\Active)
В Peer HA1 IP Address мы указываем адресс второго фаервола, так как он будет являться peer-ом для нашего фаервола. (так же мы делаем Backup Peer HA1 address)
Passive Link State мы выбираем "Auto", что позволит нам уменьшить время перехода с одной ноды на другую.
Device Priority. При настройке, в нашем случае Active\Passive, на активной ноде мы выбираем меньшее число, чем на пассивной ноде (числа мы можем ставить любые)
По Device Priority будет работать функция Preemptive.

Шаг 5. Крайние настройки HA communication.

Setup->High Availability->HA communications

В данном шаге мы сконфигурируем вышеуказанные HA1, HA2, HA1 peer ip, HA2 peer ip. HA1 как мы знаем является Control link-ом в свою очередь HA2 же Data Link-ом.

control data link.png

HA1 и HA2 адресса мы можем задавать любые локальные IP адресса. Важное уточнение, мы выбираем для HA1 и HA2 IP адресса в разных подсетях. Пример (10.0.0.20\10.0.0.21 для HA1, 10.0.1.20\10.0.1.21 Для HA2)

Шаг 6. Добавление виджета для удобства мониторинга HA состояния.

Dashboard->Widgets->System->High Availability

ha dashboard.png

После всех вышеуказанных шагов мы сможем наблюдать корректную работу отказоустойчивой системы в режиме Active\Passive.

Device -> High Availability ->Operational Commands -> Suspend local device

После этого, наш фаерволл в режиме Active переходит в suspend режим. В это же время Passive фарволл перейдёт в режим Active без каких либо обрываний сессий.

Хотелось бы добавить что в фаерволах в режиме Active\Passive синхронизируются сессии, что позволяет нам переходить с одной ноды на другую без потери трафика.

При возникновении каких либо трудностей вы можете обратиться к нам https://panwsupport.bakotech.com и мы рады будем вам помочь в решении вашей проблемы.

Best Regards, Bakotech Team. Thank you for choosing us.

Необходимые условия конфигурации отказоустойчивости в режиме Active\Passive.

Related articles