Couche 3 haute disponibilité avec basculement Optimal fois meilleures pratiques

• Lors du déploiement d’une paire Palo Alto Networks PAN () HA en L3, certaines considérations doivent être prises en compte pour atteindre le temps d’échec le plus optimal.

• La série Palo Firewall Alto prend en charge une configuration active/passive de deux appareils.L’appareil actif synchronise en permanence ses informations de configuration et de session avec l’appareil passif sur deux interfaces dédiées et, en cas de hardware perturbation ou de perturbation logicielle sur l’actif, le passif devient actif automatiquement sans perte de firewall firewall service.Le temps qu’il faut aux périphériques environnants pour commencer à adirir le trafic vers la nouvelle unité active est le goulot d’étranglement pour atteindre des temps d’échec optimaux.

• Il y a deux zones de configuration qui doivent être prises en compte lorsque vous essayez d’atteindre le temps d’échec le plus court dans un déploiement L3 HA : la configuration et la configuration de commutateur PAN HA adjacente.

• PA-2000 série
• PA-4000 série

• Un fait important à considérer dans la conception HA d’une architecture est que les liens de gestion du trafic sur l’appareil passif par défaut à un état vers le bas, et donc les périphériques en amont et en aval connectés à l’appareil passif ne verront pas un chemin valide à moins que le passif PAN firewall devient actif. A l’option de configuration a PAN-OS été ajoutée dans la version 2.0.x pour forcer les interfaces à toujours être actives sur l’appareil passif. Cette option ne prend effet que si les interfaces sont L3. Cette capacité permet au périphérique adjacent de ne pas avoir à passer par une transition du port lorsqu’il y a un basculement. Ce paramètre est configuré sous les paramètres d'> haute disponibilité et >'élection. L’état passif de la liaison par défaut à l’arrêt et doit être réglée sur auto, si l'on veut avoir le statut de lien sur le dispositif passif pour être forcé vers le haut.

Note: The other two considerations on the PAN firewall are the values configured for the Passive Hold Timer and the Hello interval. These two settings are configured on the HA Election settings page.

• L’intervalle Hello est l’intervalle de temps entre les paquets de battements cardiaques qui sont envoyés pour vérifier que firewall l’opposition est opérationnelle. La valeur minimale pour l’intervalle bonjour est de 1000 millisecondes (1 seconde) sur PA-4000 la série, et 8000 millisecondes sur la PA-2000 série. Si la valeur du minimum est recommandé pour atteindre les temps de basculement optimales. Lorsqu’il y a une perte de 3 messages bonjour, le adjacent firewall est déclaré en panne et l’appareil passif devient actif.

• Le passif maintenez la touche de minuterie est le laps de temps l’appareil passif attend lorsque le périphérique actif est déclaré être en panne (que ce soit à cause d’une perte de paquets de pulsation ou un lien ou un chemin d’accès, surveillance de défaillance) avant de passer à l’état actif.Le réglage de cette valeur à 0 déclenchera un basculement immédiat lorsque la panne est détectée. La meilleure pratique consiste à définir cette valeur à une valeur nominale d’introduire quelque retard afin que les appareils environnants peuvent stabiliser les changements d’État. Recommandations: sur PA-2000 les séries, réglez passive tenir la mise en baisse de la mise à 2000 ms; sur PA-4000 la série, définir passive tenir le temps d’attente à 0. Cela permettra d’atteindre temps de basculement optimales.

Note: In a L3 deployment the PAN device will issue a gratuitous ARP when a failover occurs; this will populate the surrounding devices forwarding tables so that traffic will be forwarded to the newly activated device.

• Application de suivi de lien est également une pratique exemplaire en essayant d’optimiser les temps de basculement. Lorsque ce paramètre est configuré la perte d’un lien physique va déclencher un basculement actif passif. Si un périphérique adjacent s’éteint ou s’il y a un problème de connexion HA physique, le passage sera immédiat.Le temps que prend l’appareil passif pour devenir actif dépendra de la valeur de la mise en attente de la mise à l’heure, comme nous l’avons vu ci-dessus.

Considérations de configuration de commutateur

• En PAN HA supposant que la paire soit connectée à un commutateur Layer2, il y a un paramètre basé sur le port qui doit être considéré. La plupart des commutateurs Layer2 ont protocoles spanning tree activé par défaut ; Il s’agit d’empêcher les boucles ne se produise en raison d’erreurs de câblage.

• Arbre couvrant de poids est activé sur un port de commutateur, il ne démarre pas immédiatement de transmettre des données. Il ira à la place un certain nombre d’États pendant qu’il détermine la topologie du réseau. Cela peut entraîner un retard de 30 à 50 secondes avant que le trafic commence à transmettre. Cela s’applique au protocole d’arbre STP s’étendant sur l’origine ( ) défini IEEE par le 802.1D. (voir http://en.wikipedia.org/wiki/Spanning_tree_protocol plus de détails sur le protocole et d’autres références)

• Certains fournisseurs ont implémenté des extensions propriétaires STP afin de minimiser le retard lorsqu’un port d’aiguillage devient actif. Commutateurs Cisco ont une option de configuration appelée PortFast.PortFast fait immédiatement la transition du port en STP mode de forwarding lors de la liaison vers le haut. Le port participe toujours à STP . Ainsi, si le port est déterminé à faire partie de la boucle, le port sera toujours transitions en STP mode de blocage. (http://www.cisco.com/en/ US /tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml#topic1) Il existe une IEEE nouvelle norme (802.1w – Rapid Spanning Tree) qui inclut maintenant des extensions de protocole telles que PortFast. Commutateur de vendeurs autres que Cisco auront une configuration similaire, et il est recommandé que vous contactiez votre fabrique de commutateur sur la façon de configurer l’équivalent.

• Voici un exemple de configuration d’un switch Cisco de 29xx avec PortFast activé sur un port :

1. interface FastEthernet0/16
2. switchport accès vlan 500
3. spanning tree portfast

• La meilleure pratique est d’activer PortFast ou l’équivalent sur toutes les interfaces de commutateur qui se connectent PAN aux pare-feu dans une HA configuration.