HA mejores prácticas activas/pasivas

Conexión de HA1 y HA2 – A/P

• Utilice interfaces de ha dedicadas en las plataformas.
• Si los cortafuegos están en el mismo sitio/ubicación. Conecte los enlaces HA1 y HA2 de nuevo a atrás. Esto ayuda en la convergencia.
• Conectar siempre enlaces de copia de seguridad para HA1 y HA2
• La interfaz HA1 debe ser más rápida que ha2.
• Recomienda el respaldo de ha Heartbeat.

Configuración de configuraciones de ha-configuración de vínculos pasivos

• Establezca el estado de vínculo pasivo en "auto".  Ajuste automático traerá las interfaces en el Firewall pasivo para subir el estado físico, la interfaz no pasará ningún tráfico de datos.  Esto facilita tiempos de failover más rápidos.

Temporizadores de ha

• Se recomienda comenzar con el ajuste "recomendado" de temporizadores de ha. Si es necesario, vaya con el ajuste "agresivo".

HA para actuar sobre fallas de red: monitoreo de vínculos y paths

• Tenga activada la supervisión de vínculos y paths.
• Supervisión de vínculos: supervise todos los vínculos importantes para los que necesita que ocurra un failover cuando el vínculo se reduce..
• Monitoreo de paths: monitorea más de una ruta (prefijo). Simplemente no dependa de un solo camino.

Networking – mejores prácticas

• El reinicio agraciado (gr) está activado por defecto en BGP y OSPF. La funcionalidad del gr se debe habilitar en los enrutadores vecinos también para que funcione.

• GR ayuda a mantener las tablas de reenvío durante la conmutación y no las descarga. Este es un mecanismo de forma más rápida que dependiendo del Protocolo de enrutamiento para converger.

• Si se utilizan interfaces Ethernet agregadas (canales de puertos) con LACP, habilite la función de pre-negociación de LACP para acelerar la convergencia + estado de enlace pasivo a auto.

• La función de pre-negociación de LACP ayuda al enviar mensajes LACP en el canal de Puerto pasivo FW y llevar el enlace AE de antemano para ayudar en el failover rápido.