Configurazione dell’alta disponibilità su Palo Alto Networks VM-Series Firewall

Questo argomento descrive le fasi per configurare l’alta disponibilità attiva/attiva (HA) di Palo Alto Networks con ridondanza basata su rotte.

Palo Alto Networks fornisce la documentazione per VM-Series su VM-Series Tech Docs.

Passaggi di base

Questa sezione fornisce una panoramica dei passaggi di configurazione nel Megaport Portal e nel PAN-OS. Le procedure seguono questo sommario di passaggi di base.

I passaggi di base sono:

1. Crea un MVE di Palo Alto Networks.
   L’HA di Palo Alto Networks richiede tre interfacce HA dedicate (HA1, HA2, HA3) e le interfacce di gestione e del piano dati. Aggiungi vNIC aggiuntive per un totale di 5.

2. Crea un secondo MVE di Palo Alto Networks della stessa dimensione e versione, nella stessa metro. Palo Alto Networks richiede che i MVE siano della stessa dimensione e a meno di 20 millisecondi l’uno dall’altro. Per i dettagli dei prerequisiti dell’HA, consulta Prerequisites for Active/Active HA.

3. Crea i VXC per il traffico HA.
   vNIC 1 è per la gestione, vNIC 2 per il piano dati, e vNIC 3 fino a 5 per il traffico HA dedicato. Crea un VXC tra vNIC 3 (HA1) su ciascun MVE, entrambe le estremità dovrebbero essere non marcate (nessuna VLAN). Ripeti per i vNIC 4 (HA2) e 5 (HA3).
   Raccomandiamo che i VXC di HA1 e HA2 siano configurati a 1 Gbps, e il VXC di HA3 sia configurato con una velocità che consenta di trasportare il traffico totale previsto instradato attraverso il firewall.

4. Configura l’HA attivo/attivo nel software PAN‑OS di Palo Alto Networks.
   Per ulteriori informazioni, consulta la documentazione di Palo Alto Networks su Configure Active/Active HA.

Panoramica dell’HA

Quando si distribuiscono i firewall di nuova generazione (NGFW) di Palo Alto Networks on premises o in un data center, l’approccio comune consiste nel sfruttare la funzionalità di alta disponibilità (HA) incorporata. L’HA di PAN-OS è una soluzione solida che risolve diverse sfide con i firewall ridondanti, in particolare la sincronizzazione dello stato della sessione e della configurazione.

Storicamente, questa architettura è stata difficile da realizzare in ambienti cloud poiché si basa su funzionalità di rete specifiche che spesso non sono disponibili. Il supporto di Megaport per i firewall di Palo Alto Networks su Megaport Virtual Edge (MVE), e la funzionalità multi vNIC sulla piattaforma MVE, rende possibile questa architettura. Questa soluzione è particolarmente utile per i clienti che sfruttano MVE per un nucleo di rete virtualizzato e/o la connettività multicloudL’uso di più servizi di cloud computing in un’unica architettura eterogenea. Ad esempio, un’impresa potrebbe utilizzare più fornitori di cloud per i servizi di infrastruttura (IaaS) e software (SaaS). Una delle principali proposte di valore di Megaport è l’abilitazione della connettività multicloud.
.

I firewall di Palo Alto Networks distribuiti su MVE possono essere configurati con HA attivo/attivo, combinando i vantaggi del deployment on-demand come servizio, la connettività privata diretta a cloud e data center, l’utilizzo ottimale delle risorse, la sincronizzazione della sessione e della configurazione, e il failover orchestrato.

HA attivo/attivo

PAN-OS ha due modalità di HA:

• Attivo/attivo
• Attivo/passivo

L’HA attivo/passivo ha sempre un solo firewall attivo, con il firewall secondario che ha tutte le interfacce disabilitate e non passa traffico. Ciò ha senso quando si lavora con una coppia di dispositivi nella stessa posizione collegati agli stessi switch fisici, e ha il vantaggio che non aggiunge complessità in architetture semplici (come potresti trovare in un ufficio).

L’HA attivo/attivo permette a entrambi i firewall di essere attivi e di passare traffico allo stesso tempo, con tutto il traffico che viene reindirizzato al dispositivo rimanente se un firewall o un collegamento monitorato fallisce. Questo ha il vantaggio di permettere al resto della rete di essere a conoscenza dei percorsi disponibili, e di essere in grado di utilizzare la capacità di entrambi i firewall in uno stato normale.

L’HA attivo/attivo in PAN-OS utilizza il routing e/o il NAT per distribuire il traffico tra entrambi i firewall, mentre sincronizza le sessioni attive tra entrambi i dispositivi. Ogni firewall ha le sue proprie interfacce con le sue proprie sessioni BGP, e ECMP può essere utilizzato per bilanciare il traffico su entrambi i dispositivi. In caso di failover, le rotte vengono aggiornate, i flussi vengono reindirizzati e il firewall rimanente riprende le sessioni esistenti.

Un failover può essere innescato sia da uno dei firewall che fallisce, da un percorso monitorato che diventa indisponibile, o da un guasto dei collegamenti HA tra i dispositivi. Se un percorso monitorato diventa indisponibile, il traffico viene inoltrato dal dispositivo interessato al dispositivo con il percorso disponibile tramite il collegamento HA3.

Consulta la documentazione di Palo Alto Networks per ulteriori informazioni sull’HA attivo/attivo di PAN-OS su Utilizzo: Configura l’HA attivo/attivo con ridondanza basata su rotte.

Capire l’architettura

L’architettura implementata in questo argomento è mostrata di seguito.

Ci sono due MVE che eseguono Palo Alto Networks PAN-OS, ciascuno con la propria interfaccia di gestione connessa a Internet. Tre VXC sono connessi tra i due MVE per i collegamenti HA, e i VXC del piano dati sono connessi a due ambienti cloud diversi, che sono collegati tra loro.

Panoramica dell’architettura

Questa immagine mostra un diagramma ad alto livello dell’architettura della soluzione HA attivo/attivo di Palo Alto Networks.

Dettagli dell’interfaccia

Questa immagine mostra i dettagli dell’interfaccia per la soluzione HA attivo/attivo di Palo Alto Networks.

Crea i MVE VM-Series di Palo Alto Networks nel Megaport Portal

Il primo passo è creare e distribuire due MVE nel Megaport Portal. L’HA di Palo Alto Networks richiede tre interfacce HA dedicate (HA1, HA2, HA3), così come le interfacce di gestione ed piano dati.

Per creare e distribuire i MVE di Palo Alto Networks

1. Nel Megaport Portal, vai alla pagina Servizi.

2. Crea un MVE di Palo Alto Networks come descritto in Creazione di un MVE VM-Series.

3. Nella schermata Dettagli del MVE, assicurati di creare cinque vNICs nel campo Interfacce virtuali (vNICs) per supportare le interfacce aggiuntive utilizzate per l’HA.

   

4. Crea un secondo MVE di Palo Alto Networks della stessa dimensione e versione, in un altro data center nella stessa metro. Palo Alto Networks richiede che i MVE siano della stessa dimensione e a meno di 20 millisecondi l’uno dall’altro. Questo MVE deve avere anche cinque vNICs aggiunte.

5. Per l’accesso alla gestione, crea una connessione Megaport Internet per l’interfaccia di gestione di ciascun MVE.
   Questo è l’approccio più comune durante il deployment iniziale, ma l’interfaccia di gestione può essere connessa a un VXC privato una volta che è configurato un percorso di gestione alternativo.

Una volta completato, dovrebbero essere distribuiti due MVE che sembrano entrambi così:

Crea i VXC per il traffico HA

Ora che i MVE sono stati creati, il passo successivo è creare tre VXC privati per il traffico HA tra i due dispositivi. Usa ethernet1/2, ethernet1/3 e ethernet1/4 per le interfacce HA, collegando ciascuna di esse alla stessa interfaccia sull’altro MVE, e configurando i VXC come non marcati.

Per HA1 e HA2, crea un VXC di 1 Gbps per ciascuno. Le esigenze di larghezza di banda per HA3 possono essere significative, specialmente durante un’interruzione del percorso, quindi crea un VXC di 10 Gbps per quel percorso.

Per creare un VXC tra MVE

1. Nel Megaport Portal, vai alla pagina Servizi.

2. Crea un VXC tra due MVE di Palo Alto Networks come descritto in Connessione delle MVE integrate con Palo Alto VM-Series.

   

3. Ripeti questo processo per creare VXC non marcati tra le tre interfacce su ciascun MVE utilizzato per l’HA. Ciascun MVE dovrebbe ora apparire simile all’immagine sottostante:

   

Configura l’HA attivo/attivo in PAN-OS

Ora che l’infrastruttura di base è stata creata e configurata nel Megaport Portal, i firewall devono essere configurati nel software PAN‑OS di Palo Alto Networks. L’interfaccia web di gestione per ogni firewall può essere accessibile sull’IP del VXC collegato all’interfaccia vNIC di gestione (vNIC0) (puoi trovare l’IP nella scheda Dettagli del VXC).

Questa sezione descrive la configurazione dell’HA attivo/attivo in PAN-OS basata sulla versione 10.2. Questo dovrebbe essere usato solo come esempio. Potrebbero essere necessarie modifiche alla configurazione nei firewall per il tuo ambiente e/o basate su aggiornamenti o modifiche rilasciate da Palo Alto Networks in futuro. In generale, dovresti fare riferimento alla documentazione di Palo Alto Networks per informazioni dettagliate sulle opzioni disponibili e le migliori pratiche in PAN-OS.

Configurare gli indirizzi MAC assegnati dall’hypervisor

Per impostazione predefinita, PAN-OS utilizza indirizzi MAC autogenerati per le interfacce Ethernet. Questo impedisce la configurazione corretta dell’HA, poiché entrambi i firewall avranno gli stessi indirizzi MAC. Per evitare questo problema, abilita l’opzione per utilizzare gli indirizzi MAC assegnati dall’hypervisor. Questo farà sì che PAN-OS utilizzi il vero indirizzo MAC delle interfacce hardware sottostanti, che sarà diverso su ciascun MVE.

Per ulteriori informazioni, consulta la documentazione Palo Alto Networks in Hypervisor Assigned MAC Addresses.

Configurare IP statici per la gestione

Il design consigliato da Palo Alto Networks per l’HA su appliance VM-Series prevede l’utilizzo dell’interfaccia di gestione per HA1. Per essere utilizzata per l’HA, un’interfaccia deve avere un IP statico, poiché l’utilizzo del DHCP per l’HA non è supportato da PAN-OS. Per impostazione predefinita, l’interfaccia di gestione di un MVE utilizza il DHCP per acquisire il proprio indirizzo IP, quindi è necessario modificarla in IP statico. Quando l’interfaccia di gestione è configurata con un IP statico, è necessario configurare anche server DNS statici. Poiché i jumbo frame saranno abilitati, verifica che l’MTU dell’interfaccia di gestione sia impostato a 1500.

Se stai utilizzando la connessione Megaport Internet fornita per la gestione, anche se l’IP è fornito tramite DHCP per impostazione predefinita, si tratta di un indirizzo persistente che non cambierà finché la connessione Megaport Internet esiste. L’indirizzo IP, la subnet mask e il gateway possono essere trovati nella sezione Dettagli della connessione nel Megaport Portal. La configurazione di IPv6 è facoltativa.

Per ulteriori informazioni su come configurare le interfacce in PAN-OS, consulta la documentazione Palo Alto Networks in Configure Management Interface IP.

Abilitare i jumbo frame

Poiché il collegamento HA3 invia traffico incapsulato tra i firewall, è necessario un MTU superiore a 1500 byte. Per ottenere questo risultato, i jumbo frame devono essere abilitati a livello globale. Dopo che i jumbo frame sono stati abilitati globalmente, tutte le interfacce utilizzeranno per impostazione predefinita l’MTU maggiore. Se desideri che le interfacce del data plane rimangano con un MTU di 1500, è necessario specificare l’MTU per ciascuna interfaccia. I VXC di Megaport supportano un MTU fino a 9100.

Per ulteriori informazioni su come abilitare i jumbo frame, consulta la documentazione Palo Alto Networks in Enable Jumbo Frames on the VM-Series Firewall.

Creare un router virtuale

Il passaggio successivo su ciascun firewall consiste nel creare un router virtuale. Questo è necessario in PAN-OS, indipendentemente dal fatto che il dispositivo sia fisico o virtuale, standalone o in HA. Un router virtuale rappresenta una singola tabella di routing.

Per ulteriori informazioni sulla creazione di router virtuali, consulta la documentazione Palo Alto Networks in Configure Virtual Routers.

Creare una zona

Le interfacce Layer 3 devono essere aggiunte a delle zone prima di diventare operative.

Consulta la documentazione Palo Alto Networks per informazioni dettagliate sulle zone in Segment Your Network Using Interfaces and Zones.

Configurare i tipi di interfaccia

Successivamente, configura le interfacce con il tipo richiesto. L’interfaccia ethernet1/1 verrà configurata come Layer 3 (sarà utilizzata per connettersi ai workload), mentre le interfacce ethernet1/2, ethernet1/3 ed ethernet1/4 verranno configurate come HA.

Per ulteriori informazioni, consulta la documentazione Palo Alto Networks in Firewall Interfaces Panoramica.

Configurare l’HA

Ora che l’infrastruttura di base è stata predisposta, è possibile configurare la funzionalità HA.

Consulta la documentazione Palo Alto Networks per informazioni dettagliate sulla High Availability Active/Active in Configure Active/Active HA.

Creare connessioni data plane

Ora che i MVE sono stati predisposti e configurati in HA, crea dei VXC data plane per connetterti alle reti tra cui vuoi effettuare il routing. I VXC data plane verranno associati come sottointerfacce VLAN taggate di ethernet 1/1 e le sottointerfacce e i peer BGP corrispondenti verranno configurati all’interno dei firewall.

In questo esempio collegheremo AWS e Azure, ma lo stesso processo può essere utilizzato per connettere qualsiasi rete raggiungibile tramite un VXC. Alcune attività vengono eseguite nel Megaport Portal, altre in PAN-OS.

Crea VXC

I VXC sono creati nel Megaport Portal utilizzando il processo standard come descritto in Panoramica delle connessioni, specificando vNIC-1 ethernet1/1 per il vNIC A-End e configurando il VXC per essere consegnato come VLAN taggata.

Le connessioni alla stessa destinazione dovrebbero essere create su entrambi i MVE e consegnate come la stessa VLAN. In questo esempio, il Cloud1 VXC (ad AWS) sarà configurato come VLAN 100 su entrambi i MVE, e il Cloud2 VXC (ad Azure) sarà configurato come VLAN 200.

Dopo che i VXC sono stati creati, entrambi i MVE dovrebbero apparire simili all’immagine sottostante.

Configura le interfacce

Ora configura le interfacce del piano dati per le VLAN 100 e 200 in PAN-OS. Le sottointerfacce per ogni VLAN saranno create sotto ethernet1/1.

Consulta la documentazione di Palo Alto Networks per informazioni dettagliate sulla configurazione delle interfacce su Configura interfacce.

Configura BGP

BGP sarà utilizzato per distribuire e gestire automaticamente le rotte, incluso il bilanciamento del carico e la gestione del failover del traffico da un firewall all’altro durante un’interruzione. Sebbene BGP gestirà il reindirizzamento del traffico, le sessioni esistenti saranno mantenute poiché la funzionalità HA manterrà lo stato della sessione sincronizzato tra entrambi i firewall.

Poiché ogni firewall utilizzerà indirizzi peer diversi e potrebbe utilizzare impostazioni BGP diverse per l’ingegneria del traffico, le impostazioni del router virtuale non sono sincronizzate tra i dispositivi e devono essere configurate su entrambi.

Consulta la documentazione di Palo Alto Networks per informazioni dettagliate sulla configurazione di BGP su Configura BGP.

Nella maggior parte dei casi, consigliamo anche di abilitare il rilevamento del forwarding bidirezionale (BFD) per migliorare il tempo di recupero dal failover. Per ulteriori informazioni su BFD, consulta Panoramica di BFD.

Configura le condizioni di failover

Sebbene ciò che è stato configurato già sincronizzerà le sessioni tra i dispositivi, e i peer esterni indirizzeranno il traffico al dispositivo rimanente in caso di interruzione, dobbiamo ancora dire a ogni firewall quando considerarsi inattivo e al firewall rimanente di riprendere le sessioni che sono state sincronizzate su di esso.

Ciò si ottiene configurando il monitoraggio del percorso del router virtuale. Ogni firewall è configurato per monitorare i percorsi rilevanti, e quando questi percorsi cadono, per inoltrare il traffico tramite l’altro dispositivo attraverso il collegamento HA3.

Consulta la documentazione di Palo Alto Networks per informazioni dettagliate sulla configurazione delle condizioni di failover a Definisci le condizioni di failover di HA.

Revisione dello stato della configurazione

Ora che tutto è in atto e configurato, ci sono alcune modalità con cui puoi confermare che tutto funziona come previsto.

• Entrambi i MVE e tutti i VXC nel Megaport Portal dovrebbero essere verdi.

• Tutti gli indicatori sul widget HA nella scheda Dashboard di entrambi i firewall dovrebbero essere verdi.

• Entrambe le sessioni BGP su entrambi i firewall dovrebbero essere Stabilite.

  • Network > Router virtuali > Altre statistiche runtime > BGP > Peer

• Le rotte per le tue reti dovrebbero essere ricevute da entrambi i peer su entrambi i firewall.

  • Network > Router virtuali > Altre statistiche runtime > BGP > Local RIB

• Se BFD è stato configurato, entrambi i peer su entrambi i firewall dovrebbero essere attivi.

  • Network > Router virtuali > Altre statistiche runtime > Informazioni riassuntive BFD

• Le rotte per le tue reti dovrebbero essere nella tabella delle rotte su entrambi i firewall.

  • Network > Router virtuali > Altre statistiche runtime > Routing > Tabella delle rotte

• Le sessioni di entrambi i firewall dovrebbero apparire nel browser delle sessioni su entrambi i dispositivi, con le sessioni sincronizzate contrassegnate come Sessione da HA: True.

  • Monitor > Browser di sessioni

• Ogni firewall dovrebbe entrare in modalità Tentativo (Percorso inattivo) se uno qualsiasi dei percorsi monitorati su quel dispositivo fallisce.

  • Dashboard > Widget di Alta Disponibilità