层 3 实现高可用性和优化故障转移时间的最佳做法

层 3 实现高可用性和优化故障转移时间的最佳做法

74986
Created On 09/25/18 17:41 PM - Last Modified 03/26/21 16:26 PM


Symptom


  • 在 L3 中部署帕洛阿尔托网络 PAN () HA 对时,应考虑一些因素,以实现最佳故障转移时间。
 
  • 帕洛阿尔托 Firewall 系列支持两台设备的主动/被动配置。主动设备通过两个专用接口与被动设备持续同步其配置和会话信息,一旦 hardware 主动设备或软件中断 firewall ,被动设备 firewall 会自动变为主动,而不会丢失服务。周围设备开始将流量转发到新活动单元所需的时间是实现最佳故障转移时间的瓶颈。

 

  • 在尝试在 L3 部署中实现最短的故障转移时间时,需要考虑两个配置领域 HA : PAN HA 配置和相邻的开关配置。

Environment


  • PA-2000 系列
  • PA-4000 系列

Cause


PAN HA 配置考虑
  • 在设计架构时需要考虑的一个重要事实是 HA ,被动设备上的流量处理链路默认为向下状态,因此连接到被动设备的上下游设备将看不到有效的路径,除非被动 PAN firewall 设备变为主动。 A 在 PAN-OS 2.0.x 版本中添加了配置选项,以迫使接口始终处于被动设备上的主动状态。 如果接口是 L3,此选项只需影响。 此功能允许相邻的设备不一定要通过端口过渡时故障转移。 此设置在 "设备>高可用性>选举 设置下进行配置。 被动链接状态默认为关闭,并应设置为自动,如果它想要有被动设备被迫起来上的链路状态。

 

Note: The other two considerations on the PAN firewall are the values configured for the Passive Hold Timer and the Hello interval. These two settings are configured on the HA Election settings page.
 

 

  • Hello 间歇是发送以验证对方是否正常工作的心跳数据包之间的时间间隔 firewall 。 你好间隔的最低值是1000毫秒(1秒) PA-4000 的系列,和8000毫秒的 PA-2000 系列。 为实现最优故障转移时间,建议将该值设置为最小值。 当丢失 3 条你好消息时,相邻 firewall 消息被宣布为已关闭,被动设备将变得为活动状态。

 

  • 被动语态按住计时器是无源器件等待活动设备声明要下来 (或者是因为损失心跳数据包或链接或路径监测失败) 之前切换到活动状态时的时间量。当检测到故障时,将此值设置为 0 将触发立即切换。 最佳做法是将此值设置为标称值,引入一定的延迟,使周边设备可以稳定状态变化。 建议:在 PA-2000 系列上,将被动按住定时器设置为2000毫秒;在 PA-4000 系列上,将被动按住时间设置为0。 这将实现最优故障转移时间。

 

Note: In a L3 deployment the PAN device will issue a gratuitous ARP when a failover occurs; this will populate the surrounding devices forwarding tables so that traffic will be forwarded to the newly activated device.
 

 

  • 实施链路监测也是一种最佳做法时试图优化故障转移时间。 这配置时损失的物理链接将触发了从主动到被动转换。 如果相邻设备发生故障或物理连接问题, HA 则切换将立即发生。被动设备成为活动器所需的时间将取决于上面讨论的按下定时器值设置。
 

交换机配置注意事项

  • 假设 PAN HA 对连接到第 2 层开关,则应考虑一个基于端口的设置。 大多数的 2 层交换机有生成树启用默认情况下;这是为了防止循环从发生由于缆线连接错误。

 

  • 当在一个交换机端口上启用生成树,则它将不立即开始转发数据。 它反而会通过一些国家虽然它确定网络的拓扑结构。 这可以导致的延迟达 30-50 秒前交通开始被转发。 这适用于 STP IEEE 802.1D 定义的原始跨树协议 ()。 (有关协议和其他引用的更多详细信息,请参阅http://en.wikipedia.org/wiki/Spanning_tree_protocol)

 

  • 一些供应商已实施专有扩展 STP ,以最大限度地减少开关端口激活时的延迟。 Cisco 交换机有一个称为 PortFast 的配置选项。端口在连接后立即将端口转换为 STP 转发模式。 港口仍然参与 STP 。 因此,如果端口被确定为循环的一部分,则端口仍将过渡到 STP 阻塞模式。 US (http://www.cisco.com/en//技术/tk389/tk621/technologies_tech_note09186a008009482f.shtml#topic1)有一个新的 IEEE 标准(802.1w – 快速跨度树),现在包括协议扩展,如波特法斯特。 除了 Cisco 交换机供应商将有一个类似的配置设置,并建议您联系您如何配置相当的开关制造。

 

  • 这里是从与 PortFast 在一个端口上启用 Cisco 29xx 交换机的配置示例:
  1. 接口 FastEthernet0/16
  2. 交换机端口访问 vlan 500
  3. 生成树 portfast

 

  • 最佳做法是启用在配置中连接到防火墙的所有开关接口上的 PortFast 或等效 PAN HA 设备。

Resolution


实现 L3 对的最佳故障转移时间的最佳做法 PAN HA 如下:

  • 将按时器设置为 0 毫秒 PA-4000 ,2000 毫秒开 PA-2000 启(在 HA 选举设置下)
  • 设置你好间隔到1000毫秒 PA-4000 ,8000毫秒 PA-2000 (在 HA 选举设置下)
  • 配置链接监控( HA 接口配置下)
  • 在连接到的相邻 L2 开关端口上配置"端口快"或等效 PAN firewall 端口。

 

所有者: jnguyen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHnCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language