TwitterLinkedInEmail
formats

SonicWall HA (high availability) Alta disponibilidad

Parece que como una moda un par de nuestros clientes nos han solicitado Firewalls en HA (1 NSA3600 de sonicwall y  2 TZ 400 de sonicwall )

la opción de Sonicwall HA (Licencia Extra de pago) Son dos firewalls conectados entres si con duplicidad de caminos en las conexiones para que en caso de caída de un firewall funciones otro

ha1

Los dos firewalls tienen que tener configuraciones “Gemelas”

LAS X0 (LAN) van al Switch corporativo

X1 WAN a internet

X2 Misma Wan de backup (si tenemos)

x3 si tenemos DMZ a un switch de DMZ etc…

X4 Configuración de HA podemos utilizar otro pero normalmente la gente utiliza la ultima

 

Configurando HA

Antes de empezar igualamos firmwares de los dos equipos 

High Availablity – Settingsha2

En el desplegable (este de un TZ400 encontramos las opciones

None – No hace nada

Active/Standby – Este modo realiza el “balanceo” de que si falla un Firewall empieza a funcionar el secundario que esta a la espera “standby”

Checks

  • Enable Virtual MAC (1 mac para los dos equipos)
  • Enable Preemt Mode (siempre tiene preferencia la maquina principal)
    • Si Firewall 1 falla se pasa al Firewall 2 si el Firewall 1 se arregla vuelve el trafico al Firewall 1

Muy interesante (aparece en el NSA3600 pero no en el TZ400)

ha3

  • Enable Stateful Synchonization (Coste añadido comparte caches de navegación entre  firewalls y en caso de caída no se nota el cambio de servicio entre firewalls en VPN o servicios de  Terminal Server)

HA Devices

colocamos los serials de los dos firewalls y definimos cual es el principal y el secundario.

ha4

Ha interfaces

Las patas por las que comunicamos los dos firewalls (en mi caso la x4 cable directo)

ha5

Advanced

ha6

intervalos de tiempo y comunicación de estado entre firewalls

Sincronizacion de settings -Para que la configuacion del firewall1 pase al firewall2

Synconizacion dirmware – Recomendable hacerlo manualmente.

Monitoring (importante para el correcto funcionamiento del HA)

ha7

En este apartado configuramos las pruebas que realizara el HA (Por interface) para diagnosticar el estado del firewall mas lejos del físico (conectado / desconectado) del mismo,

ejemplo conectividad X0 (lan)

ha8

  • Enable Physical/link (comprobación física de los dispositivos firewall HA)

Ip firewall principal y IP del Firewall Secundario

  • Allow Management on primary/Secundary IP Address (administración de los dispositivos.)
  • Logical/prove IPv4 Addres (Ip interna de un server siempre activo para testear la conectividad.)
    • En el momento de que una de las dos máquinas no responda PING a la ip del server se considera que está dañada.
    • En la zona de wan aconsejable hacerlo contra una IP externa (ejemplo 8.8.8.8 que es dificil falle).

 

Saludos Monster

 

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CyberChimps