Capa 3 alta disponibilidad con Failover óptimos tiempos mejores prácticas

• Al implementar un par de redes palo alto ( PAN ) HA en L3 hay algunas consideraciones que deben tenerse en cuenta para lograr el tiempo de conmutación por error más óptimo.

• La serie Palo Alto Firewall admite una configuración activa/pasiva de dos dispositivos.El dispositivo activo sincroniza continuamente su configuración e información de sesión con el dispositivo pasivo a través de dos interfaces dedicadas y, en caso de hardware una interrupción o software en el firewall activo, el pasivo se activa automáticamente firewall sin pérdida de servicio.El tiempo que tardan los dispositivos circundantes en comenzar a reenviar el tráfico a la nueva unidad activa es el cuello de botella para lograr tiempos óptimos de conmutación por error.

• Hay dos áreas de configuración que deben considerarse al intentar alcanzar el tiempo de conmutación por error más corto en una HA implementación L3: la configuración y la configuración adyacente del PAN HA Switch.

• PA-2000 Serie
• PA-4000 Serie

• Un hecho importante a considerar en el diseño de una HA arquitectura es que los links de control de tráfico en el dispositivo pasivo predeterminado a un estado descendente, y por lo tanto los dispositivos ascendentes y descendentes conectados al dispositivo pasivo no verán una trayectoria válida a menos que el pasivo PAN firewall se active. A la opción de configuración se agregó en PAN-OS la versión 2.0.x para forzar que las interfaces estén siempre activas en el dispositivo pasivo. Esta opción sólo tiene efecto si la interface o interfaces son L3. Esta capacidad permite que el dispositivo adyacente para no tener que pasar por una transición de puerto cuando se produce una conmutación por error. Esta configuración se configura en Configuración de > alta disponibilidad > elecciones. El estado de vínculo pasivo defectos cierre y debe ser establecida en auto, si se desea que el estado del enlace del dispositivo pasivo sea forzada hacia arriba.

Note: The other two considerations on the PAN firewall are the values configured for the Passive Hold Timer and the Hello interval. These two settings are configured on the HA Election settings page.

• El intervalo de saludo es el intervalo de tiempo entre los paquetes del latido del corazón que se envían para verificar que la oposición firewall es operativa. El valor mínimo para el intervalo de saludo es de 1000 milisegundos (1 segundo) en la PA-4000 serie y 8000 milisegundos en la PA-2000 serie. El valor mínimo se recomienda para alcanzar óptima failover veces. Cuando hay una pérdida de 3 mensajes de saludo, se declara que el adyacente firewall está abajo y el dispositivo pasivo se activará.

• La voz pasiva sujeción timer es la cantidad de tiempo que el dispositivo pasivo espera cuando el dispositivo activo es para estar abajo (ya sea debido a una pérdida de paquetes de latido del corazón o un enlace o ruta de monitoreo falla) antes de pasar a estado activo.Establecer este valor en 0 desencadenará un cambio inmediato cuando se detecte el error. La mejor práctica es establecer este valor a un valor nominal a introducir algo de retraso para que los dispositivos circundantes pueden estabilizar los cambios de estado. Recomendaciones: en PA-2000 serie, establezca el temporizador de retención pasiva en 2000 ms; en PA-4000 serie, establezca el tiempo de espera pasivo en 0. Se obtendrán así tiempo de failover óptima.

Note: In a L3 deployment the PAN device will issue a gratuitous ARP when a failover occurs; this will populate the surrounding devices forwarding tables so that traffic will be forwarded to the newly activated device.

• Ejecutar la supervisión del enlace también es una mejor práctica al tratar de optimizar los tiempos de conmutación por error. Cuando esto se configura la pérdida de un enlace físico desencadenarán un cambio de activo a pasivo. Si un dispositivo adyacente baja o hay un problema de conexión física, el HA cambio será inmediato.El tiempo que el dispositivo pasivo tarda en activarse dependerá del valor del temporizador de retención establecido como se mencionó anteriormente.

Consideraciones de configuración de switch

• Suponiendo que el PAN HA par esté conectado a un Switch layer2, hay una configuración basada en puertos que se debe considerar. Mayoría de Capa2 de interruptores tiene spanning tree habilitado de forma predeterminada; Esto es para evitar bucles de ocurrir debido a errores de cableado.

• Cuando el árbol de expansión está habilitado en un puerto del switch, no inmediatamente comenzará a enviar datos. En su lugar irá a través de una serie de Estados mientras que determina la topología de la red. Esto puede causar un retraso de hasta 30-50 segundos antes de tráfico comienza a enviarse. Esto se aplica al protocolo de árbol de expansión original ( STP ) definido por el IEEE 802.1D. (véase http://en.wikipedia.org/wiki/Spanning_tree_protocol para obtener más detalles sobre el protocolo y otras referencias)

• Algunos proveedores han implementado extensiones propietarias STP para minimizar el retraso cuando un puerto del Switch se activa. Los switches Cisco tienen una opción de configuración llamada PortFast.PortFast pasa inmediatamente el puerto al STP modo de reenvío después del link hacia arriba. El puerto todavía participa en STP . Así que si se determina que el puerto es una parte del loop, el puerto todavía pasará al STP modo de bloqueo. (http://www.cisco.com/en/ US /tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml#topic1) Hay un nuevo IEEE estándar (802.1w – Rapid Spanning Tree) que ahora incluye extensiones de protocolo como PortFast. Proveedores de interruptor que no sea Cisco tendrán una configuración similar, y se recomienda que se comunique con su fabricación de interruptor sobre cómo configurar el equivalente.

• Este es un ejemplo de configuración de un switch de Cisco 29xx con PortFast habilitado en un puerto:

1. Interface FastEthernet0/16
2. switchport access vlan 500
3. spanning-tree portfast

• La práctica recomendada es habilitar PortFast o el equivalente en todas las interfaces de conmutador que se conectan a los PAN firewalls en una HA configuración.