¿En un activo/pasivo HA par, son que las sesiones existentes Sync-ed cuando la pasiva es añadido/Rebooted?

34806

Created On 09/25/18 19:22 PM - Last Modified 06/07/23 06:35 AM

Resolution

Resumen

El ambiente tiene un solo cortafuegos capaz de ser configurados en alta disponibilidad (HA). ¿Cuando agregar un segundo firewall y configurar tanto para estar en el mismo grupo HA, a las sesiones actuales del servidor de seguridad existente se puede sincronizar al nuevo dispositivo pasivo?

Detalles

Cuando el segundo firewall está configurado para alta disponibilidad (HA) y agregado al grupo, comienzan en el estado inicial. Una vez que el dispositivo ha terminado de inicializar y se establecen vínculos de control HA, el firewall pasará a estado pasivo. Una vez que el firewall se encuentra en estado pasivo, comience a recibir información de sincronización de la sesión para * todas * las sesiones (excepto ICMP) en el dispositivo activo. Tenga en cuenta que esto ocurrirá sólo si no es una condición de falla que impide que el firewall quede funcional. El siguiente diagrama muestra las transiciones de estado posible de inicial para el segundo servidor de seguridad en el escenario anterior.

Si el firewall de las transiciones para el estado pasivo, recibe información de la sesión para las actuales sesiones en el cortafuegos activo, así como cualquier sesiones nuevas que se crean. Por ejemplo, la salida siguiente muestra las tablas de sesiones de los dos servidores de seguridad. Tenga en cuenta que mientras que el número de sesiones es el mismo, el ID de sesión individual para cada firewall será diferente.

Firewall existente (activo)	Segundo servidor de seguridad (pasivo)
admin@Firewall1(Active) > Mostrar sesión todos -------------------------------------------------------------------------------- ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port]) Vsys Dst [Dport] zona (traducido de IP[Port]) -------------------------------------------------------------------------------- 46743 dns NS flujo activo 192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659]) vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53]) ntp 46744 flujo activo 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123]) vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123]) 45039 navegación web activo flujo NS 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177]) vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80]) 192.168.83.138[1603]/L3-Trust/17 ldap 46565 flujo activo NS (10.30.6.83[27608]) vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389]) 45904 activo flujo de navegación por la web 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587]) vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80]) 46742 dns 192.168.83.250[64193]/V-Trust/17 FLOW activo (192.168.83.250[64193]) vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53]) 46745 ntp NS flujo activo 192.168.83.250[123]/L3-Trust/17 (10.30.6.83[57714]) vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123]) 45040 navegación web activo flujo NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599]) vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80]) 45906 NS de flujo activo de navegación web 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051]) vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80]) 46250 ldap flujo activo 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685]) vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389]) 192.168.83.250[49745]/V-Trust/6 46555 flujo activo de la ms-ds-smb (192.168.83.250[49745]) vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445])	Firewall2(Passive) > Mostrar sesión todos ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port]) Vsys Dst [Dport] zona (traducido de IP[Port]) -------------------------------------------------------------------------------- 17 dns NS flujo activo 192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659]) vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53]) ntp 18 flujo activo 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123]) vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123]) 1-navegación web NS flujo activo 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177]) vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80]) 192.168.83.138[1603]/L3-Trust/17 ldap 6 flujo activo NS (10.30.6.83[27608]) vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389]) 8 flujo activo de navegación por la web 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587]) vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80]) 16 dns 192.168.83.250[64193]/V-Trust/17 FLOW activo (192.168.83.250[64193]) vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53]) 192.168.83.250[123]/L3-Trust/17 ntp 19 flujo activo NS (10.30.6.83[57714]) vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123]) 10 navegación web activo flujo NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599]) vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80]) 11 navegación web activo flujo NS 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051]) vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80]) ldap 12 flujo activo 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685]) vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389]) FLUJO activo de 13 ms-ds-smb 192.168.83.250[49745]/V-Trust/6 (192.168.83.250[49745]) vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445])

Firewall existente (activo)

Segundo servidor de seguridad (pasivo)

admin@Firewall1(Active) > Mostrar sesión todos

--------------------------------------------------------------------------------

ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port])

Vsys Dst [Dport] zona (traducido de IP[Port])

--------------------------------------------------------------------------------

46743 dns NS flujo activo 192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659])

vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53])

ntp 46744 flujo activo 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123])

vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123])

45039 navegación web activo flujo NS 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

192.168.83.138[1603]/L3-Trust/17 ldap 46565 flujo activo NS (10.30.6.83[27608])

vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389])

45904 activo flujo de navegación por la web 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587])

vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80])

46742 dns 192.168.83.250[64193]/V-Trust/17 FLOW activo (192.168.83.250[64193])

vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53])

46745 ntp NS flujo activo 192.168.83.250[123]/L3-Trust/17 (10.30.6.83[57714])

vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123])

45040 navegación web activo flujo NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

45906 NS de flujo activo de navegación web 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051])

vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80])

46250 ldap flujo activo 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685])

vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389])

192.168.83.250[49745]/V-Trust/6 46555 flujo activo de la ms-ds-smb (192.168.83.250[49745])

vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445])

Firewall2(Passive) > Mostrar sesión todos

ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port])

Vsys Dst [Dport] zona (traducido de IP[Port])

--------------------------------------------------------------------------------

17 dns NS flujo activo 192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659])

vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53])

ntp 18 flujo activo 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123])

vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123])

1-navegación web NS flujo activo 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

192.168.83.138[1603]/L3-Trust/17 ldap 6 flujo activo NS (10.30.6.83[27608])

vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389])

8 flujo activo de navegación por la web 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587])

vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80])

16 dns 192.168.83.250[64193]/V-Trust/17 FLOW activo (192.168.83.250[64193])

vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53])

192.168.83.250[123]/L3-Trust/17 ntp 19 flujo activo NS (10.30.6.83[57714])

vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123])

10 navegación web activo flujo NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

11 navegación web activo flujo NS 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051])

vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80])

ldap 12 flujo activo 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685])

vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389])

FLUJO activo de 13 ms-ds-smb 192.168.83.250[49745]/V-Trust/6 (192.168.83.250[49745])

vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445])

Propietario: cstancill

¿En un activo/pasivo HA par, son que las sesiones existentes Sync-ed cuando la pasiva es añadido/Rebooted?

Resolution

Resumen

Detalles

Other users also viewed: