Un actif/passif HA paire, sont que les Sessions existantes Sync-ed lorsque le dispositif passif est ajoutée/Rebooted ?
Resolution
Vue d’ensemble
L’environnement a un seul pare-feu pouvant être configurés dans High Availability (HA). Quand ajout un deuxième pare-feu et configuration pour être dans le même groupe HA, seront les sessions en cours sur le pare-feu existant se synchroniser à nouveau dispositif passif ?
Détails
Lorsque le deuxième pare-feu est configuré pour High Availability (HA) et ajouté au groupe, il commence à l’État INITIAL. Une fois que l’appareil a terminé l’initialisation et HA contrôle des liens sont établis, le pare-feu passera à l’état passif. Une fois que le pare-feu est dans l’état passif, il commence à recevoir des informations de synchronisation de session pour * tous * les séances (sauf ICMP) sur le périphérique actif. Notez que cela n’arrivera que si il n’est pas une condition d’échec qui empêche le pare-feu de devenir fonctionnels. Le diagramme ci-dessous montre les transitions d’état possible d’INITIAL pour le deuxième pare-feu dans le scénario ci-dessus.
Si le pare-feu passe à l’état passif, il reçoit les informations de session pour les sessions en cours sur le pare-feu actif, ainsi que les nouvelles sessions qui sont créées. Par exemple, la sortie suivante montre les tableaux de session des deux pare-feu. Notez que bien que le nombre de séances est le même, les ID de session individuelle de chaque pare-feu sera différents.
Pare-feu existant (actif) | Deuxième pare-feu (passive) |
---|---|
admin@Firewall1(active) > illustrent toutes les session -------------------------------------------------------------------------------- ID Application État Type drapeau Src [Sport] / Zone/Proto (traduit IP[Port]) VSys Dst [Dport] / Zone (traduit IP[Port]) -------------------------------------------------------------------------------- 46743 dns NS ACTIVE FLOW 192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659]) vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53]) 46744 ntp ACTIVE FLOW 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123]) vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123]) 45039 navigation web ACTIVE FLOW NS 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177]) vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80]) 46565 ldap ACTIVE FLOW NS 192.168.83.138[1603]/L3-Trust/17 (10.30.6.83[27608]) vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389]) 45904 navigation web ACTIVE FLOW 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587]) vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80]) 46742 dns ACTIVE FLOW 192.168.83.250[64193]/V-Trust/17 (192.168.83.250[64193]) vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53]) ntp 46745 ACTIVE FLOW NS 192.168.83.250[123]/L3-Trust/17 (10.30.6.83[57714]) vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123]) 45040 navigation web ACTIVE FLOW NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599]) vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80]) 45906 navigation web ACTIVE FLOW NS 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051]) vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80]) 46250 le ldap ACTIVE FLOW 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685]) vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389]) 192.168.83.250[49745]/V-Trust/6 46555 ms-ds-smb ACTIVE FLOW (192.168.83.250[49745]) vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445]) | Firewall2(passive) > illustrent toutes les session ID Application État Type drapeau Src [Sport] / Zone/Proto (traduit IP[Port]) VSys Dst [Dport] / Zone (traduit IP[Port]) -------------------------------------------------------------------------------- 17 dns NS ACTIVE FLOW 192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659]) vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53]) 18 ntp ACTIVE FLOW 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123]) vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123]) 1 navigation web ACTIVE FLOW NS 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177]) vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80]) 6 ldap ACTIVE FLOW NS 192.168.83.138[1603]/L3-Trust/17 (10.30.6.83[27608]) vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389]) 8 navigation web ACTIVE FLOW 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587]) vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80]) 16 dns ACTIVE FLOW 192.168.83.250[64193]/V-Trust/17 (192.168.83.250[64193]) vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53]) 192.168.83.250[123]/L3-Trust/17 19 ntp ACTIVE FLOW NS (10.30.6.83[57714]) vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123]) 10 navigation web ACTIVE FLOW NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599]) vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80]) 11 navigation sur le web ACTIVE FLOW NS 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051]) vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80]) 12 ldap ACTIVE FLOW 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685]) vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389]) 192.168.83.250[49745]/V-Trust/6 flux actif de 13 ms-ds-smb (192.168.83.250[49745]) vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445]) |
propriétaire : cstancill