Schicht 3 Hochverfügbarkeit mit optimalen Failover Mal Best Practices

• Bei der Bereitstellung eines Palo Alto Networks ( PAN HA )-Paares in L3 gibt es einige Überlegungen, die berücksichtigt werden sollten, um die optimale Failoverzeit zu erreichen.

• Die Palo Alto Firewall Serie unterstützt eine aktiv/passive Konfiguration von zwei Geräten.Das aktive Gerät synchronisiert seine Konfigurations- und Sitzungsinformationen kontinuierlich mit dem passiven Gerät über zwei dedizierte Schnittstellen, und im Falle einer hardware oder Softwareunterbrechung auf dem Aktiven firewall wird der Passive automatisch ohne firewall Serviceverlust aktiv.Die Zeit, die die umliegenden Geräte benötigt, um den Datenverkehr an die neue aktive Einheit weiterzuleiten, ist der Engpass, um optimale Failoverzeiten zu erreichen.

• Es gibt zwei Konfigurationsbereiche, die berücksichtigt werden müssen, wenn versucht wird, die kürzeste Failoverzeit in einer L3-Bereitstellung zu HA erreichen: die PAN HA Konfiguration und die benachbarte Switch-Konfiguration.

• PA-2000 serie
• PA-4000 serie

• Eine wichtige Tatsache beim Entwerfen einer HA Architektur ist, dass die Datenverkehrsbehandlungsverknüpfungen auf dem passiven Gerät standardmäßig in einen Abwärtszustand einfließen und daher vor- und nachgelagerte Geräte, die mit dem passiven Gerät verbunden sind, keinen gültigen Pfad sehen, es sei denn, das Passive PAN firewall wird aktiv. A Konfigurationsoption wurde in PAN-OS Version 2.0.x hinzugefügt, um zu erzwingen, dass die Schnittstellen immer auf dem passiven Gerät aktiv sind. Diese Option dauert nur beeinflussen, wenn die Schnittstelle(n) L3 sind. Diese Funktion ermöglicht es dem benachbarte Gerät, nicht auf einen Port Übergang durchlaufen, wenn ein Failover. Diese Einstellung ist unter Geräte> Hochverfügbarkeits- > Wahleinstellungen konfiguriert. Die passiv-Link-State standardmäßig Herunterfahren und sollte auf auto, gesetzt, wenn es gewünscht ist, den Verbindungsstatus auf passives Gerät sich gezwungen haben.

Note: The other two considerations on the PAN firewall are the values configured for the Passive Hold Timer and the Hello interval. These two settings are configured on the HA Election settings page.

• Das Hello-Intervall ist das Zeitintervall zwischen Heartbeat-Paketen, die gesendet werden, um zu überprüfen, ob der Gegner firewall betriebsbereit ist. Der Mindestwert für das Hallo-Intervall beträgt 1000 Millisekunden (1 Sekunde) für die PA-4000 Serie und 8000 Millisekunden in der PA-2000 Serie. Wenn des Werts auf ein Minimum wird empfohlen, um optimale Failoverzeiten zu erreichen. Wenn 3 Hallo-Nachrichten verloren gehen, wird der angrenzende Als firewall "down" deklariert und das passive Gerät wird aktiv.

• Die Passive halten Sie Timer ist die Menge an Zeit, die das passive Gerät wartet, wenn das aktive Gerät zum erklärt wird (entweder durch einen Verlust der Herzschlag Pakete oder einen Link oder ein Pfad Überwachung Fehler) vor der Umstellung auf Status "aktiv".Wenn Sie diesen Wert auf 0 setzen, wird eine sofortige Umschaltung ausgelöst, wenn der Fehler erkannt wird. Die bewährte Methode ist, legen Sie diesen Wert auf einen Nennwert einiger Verzögerung einzuführen, so dass die umliegenden Geräte ändert sich der Zustand stabilisieren können. Empfehlungen: setzen Sie bei PA-2000 Serien den passiven Halte-Timer auf 2000 ms; bei PA-4000 Der serie, passiv halten Sie die Zeit auf 0. Dadurch werden optimale Failover-Zeit erreichen.

Note: In a L3 deployment the PAN device will issue a gratuitous ARP when a failover occurs; this will populate the surrounding devices forwarding tables so that traffic will be forwarded to the newly activated device.

• Umsetzung, Überwachung der Link ist auch eine bewährte Methode, wenn Failoverzeiten zu optimieren. Wenn dies konfiguriert ist wird der Verlust einer physischen Verbindung eine Umschaltung von aktiv auf passiv ausgelöst. Wenn ein benachbartes Gerät ausfällt oder ein problemstehender physischer Verbindung vorliegt, erfolgt die HA Umschaltung sofort.Die Zeit, die das passive Gerät benötigt, um aktiv zu werden, hängt vom oben beschriebenen Haltezeitwert ab.

Switch-Konfiguration Überlegungen

• Unter der Annahme, dass das PAN HA Paar mit einem Layer2-Switch verbunden ist, sollte eine portbasierte Einstellung berücksichtigt werden. Die meisten Layer2-Schalter haben spanning Tree standardmäßig aktiviert; Damit soll Schleifen durch Verkabelung Fehler verhindern.

• Wenn Spannbaum auf einem Switch-Port aktiviert ist, wird es nicht sofort, Daten zu übermitteln. Es wird stattdessen durch eine Reihe von Staaten gehen, während sie die Topologie des Netzes bestimmt. Dadurch kann eine Verzögerung von bis zu 30-50 Sekunden, bevor Verkehr anfängt weitergeleitet werden. Dies gilt für das ursprüngliche Übergreifendebaumprotokoll ( STP ), das durch die IEEE 802.1D definiert ist. (siehe http://en.wikipedia.org/wiki/Spanning_tree_protocol für weitere Details zum Protokoll und anderen Referenzen)

• Einige Anbieter haben proprietäre Erweiterungen STP implementiert, um die Verzögerung zu minimieren, wenn ein Switch-Port aktiv wird. Cisco-Switches haben eine Konfigurationsoption PortFast genannt.PortFast übergibt den Port sofort nach dem Link-Up in den STP Weiterleitungsmodus. Der Hafen ist weiterhin an STP beteiligt. Wenn also der Port als Teil der Schleife bestimmt wird, wechselt der Port immer noch in den STP Blockierungsmodus. (http://www.cisco.com/en/ US /tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml-topic1) Es gibt einen neuen IEEE Standard (802.1w – Rapid Spanning Tree), der jetzt Protokollerweiterungen wie PortFast enthält. Als Cisco Switch-Anbieter müssen eine ähnliche Konfigurationseinstellung, und es empfiehlt sich die Kontaktaufnahme mit Ihrem Schalter Herstellung auf das Äquivalent zu konfigurieren.

• Hier ist ein Beispiel von einem Cisco 29xx Schalter mit PortFast auf einen Port aktiviert:

1. Interface FastEthernet0/16
2. Switchport Access Vlan 500
3. Spanning-Tree-portfast

• Die beste Methode besteht darin, PortFast oder das Äquivalent auf allen Switch-Schnittstellen zu aktivieren, die sich in einer Konfiguration mit den PAN Firewalls HA verbinden.