Este capítulo descreve como configurar e gerenciar o recurso Alta disponibilidade nos dispositivos de segurança Dell SonicWALL. Ela contém as seguintes seções:
• Benefícios da Alta disponibilidade
• Como funciona a Alta disponibilidade
• Visão geral da Alta disponibilidade estável
• Visão geral de DPI ativa/ativa
• Visão geral da sincronização da licença de Alta disponibilidade
• Pré-requisitos de Alta disponibilidade estável e não estável
• Associar dispositivos em MySonicWALL para Alta disponibilidade
• Configurar a Alta disponibilidade no SonicOS
• Aplicando licenças aos dispositivos de segurança Dell SonicWALL
• Verificar status de Alta disponibilidade
• Verificar a Configuração da DPI ativa/ativa
• Monitoramento de alta disponibilidade de IPv6
A Alta disponibilidade permite que dois dispositivos de segurança Dell SonicWALL executando o SonicOS Enhanced sejam configurados para fornecer uma conexão confiável e contínua à Internet pública. Um dispositivo Dell SonicWALL está configurado como a unidade Primária e um dispositivo Dell SonicWALL está configurado como unidade de Backup. No caso de falha do Dell SonicWALL Primário, o Dell SonicWALL de Backup assume para proteger uma conexão confiável entre a rede protegida e a Internet. Os dois dispositivos configurados desta forma também são conhecidos como um Par de alta disponibilidade (Par de AD).
A Alta disponibilidade permite compartilhar licenças Dell SonicWALL entre dois dispositivos de segurança Dell SonicWALL quando um está atuando como um sistema de alta disponibilidade para o outro. Para usar este recurso, você deve registrar os dispositivos Dell SonicWALL em MySonicWALL como produtos associados. Ambos os dispositivos devem ser do mesmo modelo Dell SonicWALL.
Benefícios da Alta disponibilidade
A Alta disponibilidade fornece os seguintes benefícios:
• Maior confiabilidade da rede – em uma configuração de alta disponibilidade, o dispositivo de Backup assume todas as responsabilidades de rede quando a unidade Primária falha, garantindo uma conexão confiável entre a rede protegida e a Internet.
• Rentabilidade – a alta disponibilidade é uma opção rentável para implementações que fornecem alta disponibilidade utilizando firewalls redundantes Dell SonicWALL de segurança. Você não precisa comprar um segundo conjunto de licenças para a unidade de Backup em um Par de alta disponibilidade.
• MAC virtual para tempo de convergência reduzido após failover – a configuração de endereço MAC virtual permite que o par de AD compartilhe o mesmo endereço MAC, o que reduz drasticamente o tempo de convergência após um failover. O tempo de convergência é a quantidade de tempo que os dispositivos em uma rede demoram a adaptar suas tabelas de roteamento às alterações introduzidas por alta disponibilidade. Por padrão, o endereço MAC virtual é fornecido pelo firmware Dell SonicWALL e é diferente do endereço MAC físico de dispositivos Primários ou de Backup.
Como funciona a Alta disponibilidade
A Alta disponibilidade requer um dispositivo Dell SonicWALL configurado como o Dell SonicWALL Primário e um dispositivo Dell SonicWALL idêntico configurado como o SonicWALL de Backup. Durante a operação normal, o Dell SonicWALL Primário está em um estado Ativo e o Dell SonicWALL Secundário em um estado Ocioso. Se o dispositivo Primário perder a conectividade, o Dell SonicWALL de Backup faz a transição para o modo Ativo e assume a configuração e a função de Primário, incluindo os endereços IP de interface das interfaces configuradas. Após um failover no dispositivo de Backup, todas as conexões de rede previamente existentes devem ser restabelecidas, incluindo os túneis de VPN que devem ser negociados novamente.
O failover se aplica a perda de funcionalidade ou conectividade de camada de rede no Dell SonicWALL Primário. O failover no Dell SonicWALL de Backup ocorre quando os serviços essenciais são afetados, a falha de link físico (ou lógico) é detectada em interfaces monitoradas ou quando o SonicWALL Primário perde a alimentação. Atualmente, os dispositivos Dell SonicWALL Primário e de Backup atualmente são capazes somente de realizar Alta disponibilidade ativa/ociosa ou DPI ativa/ativa – não existe suporte para Alta disponibilidade ativa/ativa no momento.
Para dispositivos Dell SonicWALL que suportam PortShield, a Alta disponibilidade necessita que o PortShield seja desabilitado em todas as interfaces tanto do dispositivo Primário como de Backup antes de configurar o par de AD. Além de desabilitar o PortShield, a configuração do aplicativo de segurança Dell SonicWALL é realizada somente no Dell SonicWALL Primário, sem necessidade de realizar qualquer configuração no Dell SonicWALL de Backup. O Dell SonicWALL de Backup mantém uma configuração espelhada em tempo real do Dell SonicWALL Primário via um link de Ethernet entre as portas de AD designadas dos aplicativos. Se a configuração de firmware ficar corrompida no Dell SoniWALL Primário, o Dell SonicWALL de Backup atualiza automaticamente o Dell SonicWALL Primário com a última cópia conhecida das preferências de configuração.
Existem dois tipos de sincronização de configurações para todas as definições de configuração: incremental e completa. Se os carimbos de data/hora estiverem sincronizados e for realizada uma alteração na unidade Ativa, uma sincronização incremental é enviada para a unidade em modo Ocioso. Se os carimbos de data/hora não estiverem sincronizados e a unidade em modo Ocioso estiver disponível, uma sincronização completa será enviada para a unidade em modo Ocioso. Quando a sincronização incremental falhar, é automaticamente tentada uma sincronização completa.
Terminologia de Alta disponibilidade
• Primária – descreve a unidade principal de hardware. O identificador "Primário" é uma designação manual e não está sujeito a alterações condicionais. Em condições operacionais normais, a unidade de hardware Primária opera em uma função de Ativo.
• Backup – descreve a unidade de hardware subordinada. O identificador "Backup" é uma designação relacional e é assumido por uma unidade quando combinado com uma unidade Primária. Em condições operacionais normais, a unidade de Backup opera no modo Ocioso. Após a falha da unidade Primária, a unidade de Backup assumirá a função de Ativo.
• Ativo – descreve a condição operacional de uma unidade de hardware. O identificador "Ativo" é uma função lógica que pode ser assumida por uma unidade de hardware Primária ou de Backup.
• Ocioso – descreve a condição passiva de uma unidade de hardware. O identificador "Ocioso" é uma função lógica que pode ser assumida por uma unidade de hardware Primária ou Secundária. A unidade Ociosa assume a função Ativa no caso de falha determinável da unidade Ativa.
• Failover – descreve o processo atual no qual a unidade de Em espera assume a função Ociosa após uma falha qualificada da unidade Ativa. A qualificação de falha é obtida através de vários recursos de monitoramento físicos e lógicos configuráveis descritos na seção Lista de tarefas.
• Preempção – aplica-se a uma condição pós-failover em que a unidade Primária falhou e a unidade de Backup assumiu a função Ativa. A habilitação de Preempção fará com que a unidade Primária aproveite a função Ativa de Backup após a Primária ser restaurada para um estado operacional verificado.
Endereço MAC virtual
O Endereço MAC virtual permite que o par de Alta disponibilidade compartilhe o mesmo endereço MAC, o que reduz drasticamente o tempo de convergência após um failover. O tempo de convergência é a quantidade de tempo que os dispositivos em uma rede demoram a adaptar suas tabelas de roteamento às alterações introduzidas por alta disponibilidade.
Sem o MAC virtual habilitado, cada dispositivo Ativo e Ocioso tem seus próprios endereços MAC. Como os dispositivos estão usando o mesmo endereço IP, quando ocorre um failover o mapeamento é quebrado entre o endereço IP e o endereço MAC no cache de ARP de todos os clientes e recursos de rede. O dispositivo de Backup deve emitir uma solicitação ARP, anunciando o novo par de Endereço MAC/Endereço IP. Até essa solicitação ARP se propagar através da rede, o tráfego destinado ao endereço MAC do dispositivo Primário pode ser perdido.
O endereço MAC virtual simplifica consideravelmente esse processo usando o mesmo endereço MAC para os dispositivos Primário e de Backup. Quando ocorre um failover, todas as rotas para e do dispositivo Primário ainda são válidas para o dispositivo de Backup. Todos os clientes e sites remotos continuam a usar o mesmo endereço MAC virtual e o endereço IP sem interrupções.
Por padrão, este endereço MAC virtual é fornecido pelo firmware SonicWALL e é diferente do endereço MAC físico de dispositivos Primários ou Secundários. Isso elimina a possibilidade de erros de configuração e garante a exclusividade do endereço MAC virtual, o que impede possíveis conflitos. Como alternativa, você pode configurar manualmente o endereço MAC virtual na página Alta disponibilidade > Monitoramento.
A configuração de MAC virtual está disponível mesmo que a Alta disponibilidade estável não esteja licenciada. Quando o MAC virtual estiver habilitado, ele sempre é usado mesmo se a Sincronização estável não estiver habilitada.
Detecção de falhas
O recurso Alta disponibilidade possui um mecanismo de autodiagnóstico tanto para o dispositivo de segurança Dell SonicWALL Primário como de Backup. O failover no SonicWALL Secundário ocorre quando os serviços essenciais são afetados, a detecção de link físico (ou lógico) é detectada em interfaces monitoradas ou quando o Dell SonicWALL perde a alimentação.
O mecanismo de verificação automática é gerenciado por diagnóstico de software, o qual verifica a integridade do sistema completo do dispositivo Dell SonicWALL. O diagnóstico verifica o status do sistema interno, o status de processo do sistema e a conectividade de rede. Há um mecanismo de ponderação nos dois lados para decidir qual lado tem melhor conectividade, usado para evitar possíveis loops de failover.
Os processos de sistema interno essenciais, como NAT, VPN e DHCP (entre outros) são verificados em tempo real. O serviço com falha é isolado o mais cedo possível e o mecanismo de failover repara-o automaticamente.
Visão geral da Alta disponibilidade estável
Esta seção fornece uma apresentação do recurso Alta disponibilidade estável. A Alta disponibilidade estável é suportada nos dispositivos Dell SonicWALL NSA, mas não nos dispositivos da série Dell SonicWALL TZ.
Esta seção contém as seguintes subseções:
• O que é a Alta disponibilidade estável?
• Como funciona a Alta disponibilidade estável?
O que é a Alta disponibilidade estável?
A versão original do SonicOS Enhanced forneceu um recurso básico de Alta disponibilidade, no qual o firewall de Backup assume os endereços IP da interface das interfaces configuradas quando a unidade Primária falha. Em caso de falha, as difusões da camada 2 são lançadas (ARP) para informar a rede de que os endereços IP agora pertencem à unidade de Backup. Todas as conexões de rede já existentes devem ser redefinidas. Por exemplo, as sessões Telnet e FTP devem ser restabelecidas e os túneis de VPN devem ser renegociados.
A Alta disponibilidade estável (SHA) fornece um desempenho de failover drasticamente aprimorado. Os dispositivos Primário e de Backup são continuamente sincronizados para que o Backup consiga perfeitamente assumir todas as responsabilidades de rede se o dispositivo Primário falhar, sem interrupções de conexões de rede existentes.
A Alta disponibilidade estável fornece os seguintes benefícios:
• Melhor confiabilidade – sincronizando informações de conexão de rede mais importantes, a Alta disponibilidade estável impede tempo de inatividade e conexões descartadas em caso de falha do dispositivo.
• Desempenho de failover mais rápido – mantendo uma sincronização contínua entre os dispositivos Primário e de Backup, a Alta disponibilidade estável habilita o dispositivo de Backup para assumir a sua função em caso de falha sem praticamente tempo de inatividade ou perda de conexões de rede.
• Impacto mínimo no desempenho da CPU – normalmente menos de 1% de uso.
• Impacto mínimo na largura de banda – a transmissão de dados de sincronização é estrangulada para não interferir com outros dados.
Como funciona a Alta disponibilidade estável?
A Alta disponibilidade estável não significa balanceamento de carga. É uma configuração ativa/ociosa em que o dispositivo Primário manipula todo o tráfego. Quando a Alta disponibilidade estável está habilitada, o dispositivo Primário ativamente se comunica com o de Backup para atualizar a maioria das informações de conexão de rede. Como o dispositivo Primário cria e atualiza informações de conexão de rede (túneis de VPN, usuários ativos, entradas de cache de conexão, etc.), ele informa o dispositivo de Backup imediatamente. Isso garante que o dispositivo de Backup sempre esteja pronto para fazer a transição para o estado Ativo sem descartar nenhuma conexão.
O tráfego de sincronização é estrangulado para garantir que ele não interfere com o tráfego de rede normal. Todas as alterações de configuração são executadas no dispositivo Primário e propagadas automaticamente para o dispositivo de Backup. O par de alta disponibilidade usa os mesmos endereços IP de LAN e WAN, independentemente do dispositivo que se encontra Ativo no momento.
Ao usar o Dell SonicWALL Global Management System (GMS) para gerenciar os dispositivos, o GMS realiza o registro no endereço IP de WAN compartilhado. No caso de um failover, a administração do GMS continua sem interrupções e os administradores do GMS conectados ao dispositivo no momento não serão desconectado. Porém, os comandos Get e Post podem resultar em um tempo limite sem retorno de resposta.
A tabela a seguir lista as informações que estão sincronizadas e que não estão sincronizadas no momento pela Alta disponibilidade estável.
|
Serviços de segurança e Alta disponibilidade estável
Os pares de Alta disponibilidade compartilham um único conjunto de licenças de serviços de segurança e uma única licença de AD estável. Estas licenças são sincronizadas entre os dispositivos Ativo e Ocioso da mesma forma que todas as outras informações são sincronizadas entre os dois aplicativos. Para obter informações sobre a sincronização de licenças, consulte Visão geral da sincronização da licença de Alta disponibilidade e Aplicando licenças aos dispositivos de segurança Dell SonicWALL.
Exemplo de Alta disponibilidade estável
A imagem seguinte mostra uma amostra de rede de Alta disponibilidade estável.
No caso de um failover, ocorre a seguinte sequência de eventos:
1. Um usuário de PC conecta-se à rede e o dispositivo de segurança da Dell SonicWALL Primário cria uma sessão para o usuário.
2. O dispositivo Primário sincroniza com o dispositivo de Backup. O Backup agora possui todas as informações da sessão do usuário.
3. A energia é desligada do dispositivo Primário e este fica inativo.
4. A unidade de Backup não recebe mensagens de pulsação do dispositivo Primário e alterna do modo Ocioso para o modo Ativo.
5. O dispositivo de Backup começa a enviar mensagens de ARP gratuitas para os switches de LAN e WAN usando o mesmo endereço MAC virtual e endereço IP como o dispositivo Primário. Não são necessárias atualizações de roteamento para dispositivos de rede downstream ou upstream.
6. Quando o usuário de PC tenta acessar uma página da Web, o dispositivo Backup tem todas as informações de sessão do usuário e é capaz de continuar a sessão do usuário sem interrupções.
Visão geral de DPI ativa/ativa
Esta seção fornece uma apresentação do recurso DPI ativo/ativo. O DPO ativo/ativo requer uma Alta disponibilidade estável e é suportado nos dispositivos Dell SonicWALL E-Class NSA. Esta seção contém as seguintes subseções:
• O que é uma DPI ativa/ativa?
• Benefícios da DPI ativa/ativa
• Como funciona um DPI ativo/ativo?
O recurso Alta disponibilidade em versões do SonicOS Enhanced antes do 5.5 usa um modelo ativo-ocioso que necessita do firewall ativo para realizar todos os processos de DPI, firewall, NAT e outros, enquanto o firewall no modo ocioso não é usado até que o failover ocorra. Em um modelo ativo/ativo, ambos os firewalls compartilham o processo.
Como uma primeira etapa em direção a uma Alta disponibilidade ativa/ativa, os serviços de Pacote de inspeção profunda (DPI) são migrados para um modelo Ativo/Ativo, denominados DPI ativo/ativo. Os seguintes serviços de DPI são afetados:
• Antivírus do gateway (GAV)
• Anti-Spyware
• Proteção contra intrusões (IPS)
• Firewall do aplicativo
Quando a DPI ativa/ativa é habilitada em um par de AD estável, estes serviços DPI podem ser processados simultaneamente com o firewall, NAT e outros módulos em ambos os firewalls ativo e ocioso. Processamento de todos os módulos, exceto os serviços de DPI, são restritos à unidade ativa.
Os benefícios do recurso DPI ativo/ativo incluem o seguinte:
• Todos os firewalls no par de AD são usados para derivar velocidade de processamento máxima
• Os serviços GAV, IPS, Anti-Spyware e de firewall para aplicativos são os mais intensivos em termos de processador e em termos de processamento simultâneo destes serviços no firewall no modo ocioso enquanto o firewall ativo realiza outros processos, fornecendo um ganho superior em termos de velocidade de processamento
Como funciona um DPI ativo/ativo?
Para usar o recurso DPI ativa/ativa, o administrador deve configurar uma interface adicional como a Interface de AD de dados. Determinados fluxos de pacote na unidade ativa são selecionados e descarregados para a unidade ociosa na interface de dados de AD ativa/ativa. A DPI é processada na unidade ociosa e, em seguida, os resultados são retornados para a unidade ativa através da mesma interface. O processamento restante é realizado na unidade ativa.
Após configurar a Alta disponibilidade estável nos aplicativos no par de AD, conectar e configurar a interface de dados de AD é a única configuração adicional necessária para habilitar a DPI ativa/ativa.
Visão geral da sincronização da licença de Alta disponibilidade
Esta seção fornece uma apresentação do recurso de sincronização da licença Dell SonicWALL de Alta disponibilidade estável. Esta seção contém as seguintes subseções:
• O que é a Sincronização da licença de Alta disponibilidade?
O que é a Sincronização da licença de Alta disponibilidade?
A sincronização da licença de Alta disponibilidade permite compartilhar serviços de segurança Dell SonicWALL, Alta disponibilidade estável e outras licenças entre dois dispositivos de segurança Dell SonicWALL quando um está atuando como um sistema de alta disponibilidade para o outro. Para usar este recurso, você deve registrar os dispositivos Dell SonicWALL em mySonicWALL.com como produtos associados. Ambos os dispositivos devem ser do mesmo modelo Dell SonicWALL.
A sincronização da licença de alta disponibilidade permite o compartilhamento da licença do SonicOS Enhanced, a assinatura de suporte e as licenças de serviços de segurança presentes no dispositivo Dell SonicWALL Primário com o aplicativo de Backup associado. Todos os serviços de segurança que você vê na tela Serviços de segurança> Resumo são compartilháveis, incluindo serviços de avaliação gratuita. As únicas licenças que não são compartilháveis são as de serviços de consultoria, como o Dell SonicWALL GMS Preventive Maintenance Service. Quando ocorre uma falha no hardware, o dispositivo de Backup está licenciado e pronto para assumir as operações de segurança de rede.
No SonicOS Enhanced 4.0 e superior, a atualização de Alta disponibilidade estática é oferecida em modelos de aplicativos que suportam a mesma como um recurso licenciado opcional. MySonicWAL, somente a unidade Primária no par de AD necessita de ser licenciado. Com a Alta disponibilidade estável, a unidade Primária comunica ativamente com o Backup em um nível por conexão e VPN. Uma vez que o Primário cria e atualiza entradas de cache de conexão ou túneis de VPN, a unidade de Backup é informada de tais alterações. A unidade de Backup mantém-se continuamente em um estado sincronizado para que esta possa assumir as responsabilidades de rede em caso de falha da unidade Primária sem interrupção para as conexões de rede existentes.
A sincronização de licença de Alta disponibilidade é uma opção com custo reduzido para implementações que fornecem alta disponibilidade, utilizando dispositivos de segurança Dell SonicWALL redundantes. Você não precisa comprar um segundo conjunto de licenças para a unidade Ociosa em um par de Alta disponibilidade. Quando uma atualização de Alta disponibilidade estática é licenciada, a unidade de Backup é sempre sincronizada de forma que não exista interrupção para as conexões de rede existentes se a unidade Primária falhar.
Pré-requisitos de Alta disponibilidade estável e não estável
Seu ambiente de rede deve estar em conformidade com os seguintes pré-requisitos antes de configurar a Alta disponibilidade estável ou a Alta disponibilidade não estável:
• Os dispositivos Primário e de Backup devem possuir o mesmo modelo. A mistura e combinação de diferentes tipos de hardware da Dell SonicWALL não são suportadas no momento.
• É vivamente recomendado que os dispositivos Primário e de Backup executem a mesma versão do firmware SonicOS Enhanced; pode resultar instabilidade do sistema se as versões de firmware não estiverem sincronizadas e todos os recursos de Alta disponibilidade poderão não funcionar totalmente. A Alta disponibilidade é suportada somente nos dispositivos de segurança Dell SonicWALL que estiverem executando o SonicOS Enhanced. Não é suportada em qualquer outra versão do SonicOS Standard.
• Nos dispositivos Dell SonicWALL que suportam o recurso PortShield (séries Dell SonicWALL TZ e NSA 240), a Alta disponibilidade pode ser habilitada somente se o PortShield estiver desabilitado em todas as interfaces de ambos os dispositivos Primário e de Backup.
• Ambas as unidades necessitam de ser registradas e associadas como um par de Alta disponibilidade em MySonicWALL, antes destes serem fisicamente conectados.
• O endereço IP virtual de WAN e as interfaces devem usar endereços IP estáticos.
Note A Alta disponibilidade da SonicWALL não pode ser configurada usando a interface sem fio incorporada, nem pode ser configurada usando interfaces Dynamic WAN.
WARNING A Alta disponibilidade Dell SonicWALL não suporta atribuição de endereço IP dinâmico a partir de seu ISP.
• São necessários três endereços IP LAN:
– Endereço IP virtual LAN – configurado na interface X0 da unida de Primária. Este é o gateway padrão para todos os dispositivos configurados na LAN. Acessar a interface de gerenciamento com este endereço IP iniciará sua sessão no aplicativo que se encontra Ativo, quer seja a unidade Primária ou a unidade de Backup.
– Endereço IP primário de gerenciamento de LAN – Configurado em Alta disponibilidade > Monitoramento. Este é o endereço IP usado para gerenciar a unidade Primária na interface de LAN, independentemente do status Ativo ou Ocioso da unidade.
– Endereço IP de backup de gerenciamento de LAN – Configurado em Alta disponibilidade > Monitoramento. Este é o endereço IP usado para gerenciar a unidade de Backup na interface de LAN, independentemente do status Ativo ou Ocioso da unidade.
• É necessário pelo menos um endereço IP WAN:
– Endereço IP virtual WAN – configurado na interface X1 da unidade Primária. Acessar a interface de gerenciamento com este endereço IP iniciará sua sessão no aplicativo que se encontra Ativo, quer seja a unidade Primária ou a unidade de Backup
– Endereço IP primário de gerenciamento de WAN (opcional) – Configurado em Alta disponibilidade > Monitoramento. Este é o endereço IP usado para gerenciar a unidade Primária na interface de WAN, independentemente do status Ativo ou Ocioso da unidade. Esta ação necessita que você possua um endereço IP roteável adicional disponível. Este é opcional, uma vez que pode sempre gerenciar a unidade Ativa com um endereço IP WAN estático.
– Endereço IP de Backup de gerenciamento WAN (opcional) – configurado em Alta disponibilidade > Monitoramento. Este é o endereço IP usado para gerenciar a unidade de Backup na interface de WAN, independentemente do status Ativo ou Ocioso da unidade. Esta ação necessita que você possua um endereço IP roteável adicional disponível. Este é opcional, uma vez que pode sempre gerenciar a unidade Ativa com um endereço IP WAN estático.
Se estiver usando somente um IP WAN único, observe que o dispositivo de Backup, quando se encontra no modo Ocioso, não poderá usar NTP para sincronizar seu relógio interno.
Note Quando os endereços IP de monitoramento/gerenciamento de AD são configurados apenas em interfaces de WAN, eles precisam ser configurados em todas as interfaces de WAN para as quais um endereço IP virtual foi configurado.
Se não estiver usando o endereço IP de gerenciamento WAN Primário /de Backup, certifique-se de que o campo de entrada está definido para "0.0.0.0" (na página Alta disponibilidade > Monitoramento) – a Dell SonicWALL reportará um erro se o campo for deixado em branco.
Note Se cada Dell SonicWALL possuir um endereço IP de gerenciamento WAN Primário/de Backup para gerenciamento remoto, os endereços IP WAN devem estar na mesma sub-rede. Se se alterar uma interface atribuída anteriormente para atuar como uma interface WAN única, certifique-se de que remove quaisquer políticas NAT personalizadas que estavam associadas à interface antes desta ser configurada.
A figura seguinte mostra um exemplo de como conectar dois dispositivos de segurança Dell SonicWALL para a Alta disponibilidade estável. As unidades estão conectadas a suas portas AD designadas.
As interfaces LAN (X0) são conectadas a um interruptor na rede LAN. As interfaces WAN (X1) são conectadas a outro interruptor, que é conectado à Internet. As interfaces designadas de alta disponibilidade são conectadas diretamente uma à outra usando um cabo transversal.
Note Se você estiver conectando os dispositivos Primário e de Backup a um interruptor de Ethernet que usa o Protocolo de árvore de verificação, observe que pode ser necessário ajustar a hora de ativação do link na porta do interruptor ao qual as interfaces Dell SonicWALL se conectam. Por exemplo, em um interruptor da série Cisco Catalyst, é necessário ativar a porta Fast de uma árvore de verificação para cada porta que se conecte às interfaces dos dispositivos de segurança Dell SonicWALL.
Configuração inicial de Alta disponibilidade
Antes de iniciar a configuração de Alta disponibilidade no dispositivo de segurança Dell SonicWALL Primário, realize o seguintes procedimentos de configuração iniciais seguintes.
• Registre e associe os dispositivos de segurança Dell SonicWALL Primário e de Backup como um par de Alta disponibilidade em MySonicWALL. Consulte Associar dispositivos em MySonicWALL para Alta disponibilidade.
• No verso do dispositivo de segurança Dell SonicWALL de Backup, procure o número de série e anote o número. Você necessita de inserir este número na página Alta disponibilidade > Configurações.
• Certifique-se de que estão sendo executados os dois dispositivos nas mesmas versões de SonicOS Enhanced.
• Certifique-se de que os dispositivos de segurança Dell SonicWALL Primário e Dell SonicWALL de Backup de LAN WAN e outras interfaces estão corretamente configurados para failover perfeito.
• Conecte os dispositivos Dell SonicWALL Primário e o Dell SonicWALL de Backup com um cabo transversal com a classificação CAT5 ou CAT6. Os dispositivos Dell SonicWALL Primário e Dell SonicWALL de Backup necessitam de uma conexão dedicada entre cada um deles para Alta disponibilidade. A Dell SonicWALL recomenda uma conexão transversal de ambos usando um cabo de Ethernet transversal CAT5/6, mas uma conexão usando um hub/interruptor dedicado de 100 Mbps também é aceitável. A tabela seguinte mostra que interface usar para as várias plataformas de dispositivos de segurança Dell SonicWALL.
|
• Ligue o dispositivo Primário e, em seguida, ligue o dispositivo de Backup.
• Não efetue qualquer configuração na interface de Alta disponibilidade Primária; a programação da Alta disponibilidade em uma etapa futura cuida desta questão. Consulte Configurar a Alta disponibilidade no SonicOS. Quando tiver concluído, desconecte a estação de trabalho.
Configuração inicial ativa/ativa
O recurso DPI ativo/ativo requer uma conexão física adicional entre os dois dispositivos em seu par de AD estável. A interface conectada é denominada Interface de dados de AD.
Execute as seguintes etapas:
1. Decida qual interface usar para a conexão adicional entre os dispositivos. A mesma interface deve ser selecionada em cada dispositivo. Por exemplo, é possível conectar X4 na unidade Primária à X4 na unidade de Backup, caso em que X4 deveria ser a Interface de dados de AD.
2. Na interface de gerenciamento do SonicOS, navegue até a página Rede > Interfaces e certifique-se de que a Zona está Não atribuída para a interface de Dados AD prevista.
3. Usando um cabo Ethernet padrão, conecte as duas interfaces diretamente uma à outra.
Associar dispositivos em MySonicWALL para Alta disponibilidade
Esta seção descreve a forma de associar dois dispositivos Dell SonicWALL como um Par de Alta disponibilidade em mySonicWALL.com e mostra um exemplo de configuração de alta disponibilidade no SonicOS Enhanced.
• Processos de configuração em MySonicWALL
É possível associar dois dispositivos de segurança Dell SonicWALL como Primário de AD e Secundário de AD em MySonicWALL. Observe que o dispositivo de Backup de seu Par de Alta disponibilidade é designado como a unidade Secundária de DA em MySonicWALL. Depois que os dispositivos estejam associados como um Par de AD, eles podem compartilhar licenças.
Você necessita de adquirir somente um único conjunto de licenças para o dispositivo Primário de AD. As licenças são compartilhadas com a unidade de Backup. Esta inclui a licença de SonicOS Enhanced, a subscrição de Suporte, a assinatura de suporte e as licenças de serviços de segurança. As únicas licenças que não são compartilháveis são as de serviços de consultoria, como o Dell SonicWALL GMS Preventive Maintenance Service.
Não é necessário que os dispositivos Primário e de Backup tenham os mesmos serviços de segurança habilitados. As configurações de serviços de segurança serão atualizadas automaticamente como parte da sincronização inicial de configurações. A sincronização de licenças é utilizada para que o dispositivo de Backup possa manter o mesmo nível de proteção de rede fornecido antes do failover.
Para usar Alta disponibilidade estável nos os dispositivos Dell SonicWALL NSA, é necessário adquirir uma licença de atualização de Alta disponibilidade estável para a unidade Primária. A Alta disponibilidade estável é um serviço licenciado que não deve ser ativado para o dispositivo Primário em mySonicWALL.com. A licença é compartilhada com a unidade de Backup.
A sincronização da licença é usada em uma implantação de alta disponibilidade, de forma que o dispositivo de Backup possa manter o mesmo nível de proteção de rede fornecido antes do failover. Para habilitar a alta disponibilidade, é possível usar a interface de gerenciamento SonicOS para configurar seus dois dispositivos como um par de Alta disponibilidade no modo Ativo/Ocioso.
O MySonicWALL fornece vários métodos de associação de dois dispositivos. Poderá começar por registrar um novo dispositivo e escolher uma unidade já registrada para realizar a associação. Alternativamente, é possível associar duas unidades que já estejam registradas. Ou também é possível iniciar o processo selecionando uma unidade registrada e adicionando um novo dispositivo para associar.
Note Mesmo que registre primeiro seus dispositivos em MySonicWALL, você deve registrar individualmente os dispositivos Primário e de Backup a partir da interface de gerenciamento do SonicOS enquanto estiver conectado ao endereço IP de gerenciamento individual de cada dispositivo. Isso permite que a unidade de backup realize a sincronização com o servidor de licenças Dell SonicWALL e compartilhe licenças com o dispositivo primário associado. Se o acesso à Internet for restringido, você poderá aplicar manualmente as licenças compartilhadas para ambos os dispositivos. Consulte Aplicando licenças aos dispositivos de segurança Dell SonicWALL para ambos os procedimentos.
Processos de configuração em MySonicWALL
É possível associar um dispositivo de segurança Dell SonicWALL a outro dispositivo do mesmo modelo assim que o registrar ou em qualquer momento após ambos os dispositivos já terem sido registrados em MySonicWALL. São fornecidos diferentes cenários nas seções seguintes:
• Associação de um dispositivo no primeiro registro
• Associação de dispositivos pré-registrados
• Associar uma nova unidade a um dispositivo pré-registrado
• Remover uma associação de AD
• Substituir um dispositivo de segurança Dell SonicWALL
Note Você pode remover um dispositivo de uma associação a qualquer momento.
Associação de um dispositivo no primeiro registro
Para registrar um novo dispositivo de segurança Dell SonicWALL e associá-lo como uma unidade de Backup a uma unidade Primária existente de forma que este possa usar a sincronização de licença de Alta disponibilidade, siga as seguintes etapas:
1. Efetue logon em MySonicWALL.
2. Na página principal, no painel esquerdo, na caixa de texto em Registro rápido, digite o número de série do aplicativo e, em seguida, pressione Enter ou clique na tecla de seta.
3. Na página Meus produtos, em Adicionar novo produto, digite o nome amigável para o dispositivo e o código de autenticação nas caixas de texto apropriadas e, em seguida, clique em Registrar.
4. Na página Product Survey (Pesquisa do produto), complete opcionalmente as informações solicitadas e de seguida clique em Continue (Continuar).
5. Na página Associação da criação, clique no botão de opção para o dispositivo Dell SonicWALL que deseja que atue como unidade pai, ou Primária, no par de Alta disponibilidade. Você pode pular esta etapa se quiser que seu novo dispositivo seja a própria unidade Primária.
A tela exibe somente unidades que já não são unidades de Backup para outros aplicativos.
Efetue uma das seguintes ações:
• Para tornar este aplicativo uma unidade Primária, clique em Continuar sem clicar em um botão de opção.
• Se estiver disponível um dispositivo como o produto pai (unidade Primária), clique no botão de opção para selecioná-lo e, em seguida, clique em Continuar.
• Se estiverem disponíveis vários dispositivos para o produto pai, clique no botão de opção para o dispositivo que desejar e, em seguida, clique em Continuar.
6. Se você tiver clicado em Continuar sem selecionar uma opção para Primária de AD na etapa anterior, clique no botão de opção em Tipo de produto filho para selecionar uma opção para Secundária de AD (unidade de Backup) e, em seguida, clique em Continuar. O novo dispositivo será a unidade principal AD para o dispositivo que você selecionar.
7. Na próxima tela, é possível verificar se seu produto foi registrado com êxito e se o dispositivo e o número de série para o pai estão corretos (ou filho, se você escolheu essa opção).
É possível clicar no link Número de série para o produto pai para exibir a página Gerenciamento de serviços – Produtos associados e verificar se o dispositivo recém-registrado se encontra listado como um produto filho associado a este pai.
É possível clicar em Secundária de AD para exibir a página Meu produto – Produtos associados para a unidade filha/secundária/de Backup. Observe que também é possível alterar o produto associado (pai) para este filho nesta página.
Associação de dispositivos pré-registrados
Para associar dois dispositivos de segurança Dell SonicWALL já registrados para que possam usar a sincronização de licença de Alta disponibilidade, siga as seguintes etapas:
1. Efetue logon em MySonicWALL.
2. Na página principal, em Produtos registrados mais recentemente, clique em Ver todos os produtos registrados.
3. Na página Meus produtos, em Produtos registrados, role para baixo para encontrar o dispositivo que deseja usar como unidade pai ou primária. Clique no nome ou número de série do produto.
4. Na página Gerenciamento de serviços – Produtos associados, role para baixo para a seção Produtos associados.
5. Em Produtos associados, clique em Secundária de AD.
6. Na página Meu produto – Produtos associados, nas caixas de texto em Associar novos produtos, digite o número de série e o nome amigável do aplicativo que deseja associar como a unidade filho/secundária/de Backup.
7. Clique em Registro.
Associar uma nova unidade a um dispositivo pré-registrado
Esta seção descreve como adicionar um novo dispositivo na página Meus produtos – Produtos associados a um dispositivo de segurança SonicWALL já registrado e associar os dois dispositivos para que possam usar a sincronização de licenças de Alta disponibilidade. Você pode adicionar uma nova unidade secundária (Backup) a uma unidade principal existente, ou adicionar uma nova unidade Primária a uma unidade secundária existente. Para usar esse método, execute as seguintes etapas:
1. Efetue logon em MySonicWALL.
2. Na página principal, em Produtos registrados mais recentemente, clique em Ver todos os produtos registrados.
3. Na página Meus produtos, em Produtos registrados, role para baixo para encontrar o dispositivo que deseja usar como unidade existente. Você pode escolher qualquer dispositivo que tenha suporte na lista, se já houver uma DA primária ou secundária ou nenhuma. Clique no nome ou número de série do produto.
4. Na página Gerenciamento de serviços – Produtos associados, role para baixo para a seção Produtos associados.
5. Em produtos associados, faça o seguinte:
• Se a unidade existente for uma unidade DA primária ou um dispositivo não associado, clique em DA secundária.
• Se a unidade existente for um dispositivo DA secundário, clique em AD primária.
6. Na página Meu produto – Produtos associados, nas caixas de texto em Associar novos produtos, digite número de série e o nome amigável do novo dispositivo que você deseja registrar como unidade associada.
7. Clique em Registro.
8. Na página Product Survey (Pesquisa do produto), complete opcionalmente as informações solicitadas e de seguida clique em Continue (Continuar).
9. Na página Criar associação, se forem exibidos vários dispositivos de qualificação, clique no botão de opção para selecionar a unidade à qual deseja associar a nova unidade. Se você selecionou uma unidade AD existente ou uma unidade não associada anteriormente em 3., as opções aqui serão todas AD primária. Se você tiver selecionado uma unidade AD secundária em 3., as seleções disponíveis aqui serão unidades AD secundárias.
10. Clique em Continuar.
11. Na página Gerenciamento de serviços – Produtos associados, confirme na parte superior se o registro foi bem-sucedido e, em seguida, role para baixo para verificar os Produtos associados e clique em AD primária ou AD secundária para exibir a(s) unidade(s) que agora se encontram associadas ao seu aplicativo recém-registrado.
Por exemplo, continuando o exemplo mostrado acima, veria o seguinte:
É possível remover a associação entre dois dispositivos de segurança Dell SonicWALL em MySonicWALL a qualquer momento. Talvez você precise remover uma associação AD existente, se substituir um dispositivo ou reconfigurar sua rede. Por exemplo, se um de seus aplicativos de segurança Dell SonicWALL falhar, você necessitará de substituí-lo. Ou poderá precisar alternar o dispositivo de AD primária com a unidade de Backup ou DA secundária após a reconfiguração da rede. Neste caso, você deve primeiro remover a associação DA existente e criar uma nova associação que usa um dispositivo novo ou muda a relação pai-filho das duas unidades.
Consulte Substituir um dispositivo de segurança Dell SonicWALL. Para remover a associação entre os dois dispositivos de segurança Dell SonicWALL registrados, execute as seguintes etapas:
1. Efetue logon em MySonicWALL.
2. Na barra de navegação à esquerda, clique em Meus produtos.
3. Na página Meus produtos, em Produtos registrados, role para baixo para localizar o dispositivo secundário do qual você deseja remover associações. Clique no nome ou número de série do produto.
4. Na página Gerenciamento de serviços – Produtos associados, role para baixo para a seção Produto pai, logo acima da seção Produtos associados.
5. Em Produto pai, para remover a associação deste aplicativo, clique em Remover, aguarde que a página recarregue, role para baixo e, em seguida, clique novamente em Remover.
Substituir um dispositivo de segurança Dell SonicWALL
Se seu dispositivo de segurança Dell SonicWALL tiver uma falha de hardware, enquanto ainda estiver na garantia, a Dell SonicWALL vai substituí-lo. Neste caso, você necessita de remover a associação AD que contém o dispositivo que falhou em MySonicWALL e incluir uma nova associação de DA que inclua a substituição. Se você entrar em contato com o suporte técnico da Dell SonicWALL para providenciar a substituição (conhecida como RMA), o suporte cuidará disto para você.
Após substituir o dispositivo com falha em seu rack de equipamento com a nova unidade, você pode atualizar MySonicWALL e sua configuração SonicOS.
Substituir uma unidade DA primária com falha é um pouco diferente que substituir uma unidade DA secundária. Ambos os métodos são fornecidos nas seções seguintes:
• Substituir uma unidade DA principal
• Substituindo uma unidade AD primária
Substituir uma unidade DA principal
Para substituir uma unidade de DA primária, execute as seguintes etapas:
1. Na interface de gerenciamento SonicOS do dispositivo de segurança Dell SonicWALL restante (a unidade de Backup), na tela Alta disponibilidade, desmarcar Habilitar alta disponibilidade para desativá-la.
2. Desmarque a caixa de texto Número de série Dell SonicWALL de Backup.
3. Verifique Habilitar Alta disponibilidade.
A antiga unidade de Backup agora se torna a unidade Primária. Seu número de série é exibido automaticamente na caixa de texto do número de série Dell SonicWALL Primário.
4. Digite o número de série para a unidade de substituição na caixa de texto Número de série Dell SonicWALL de Backup.
5. Clique em Sincronizar configurações.
6. Em MySonicWALL, remova a antiga associação antiga de DA. Consulte Remover uma associação de AD.
7. Em MySonicWALL, registre o dispositivo de segurança Dell SonicWALL substituído e crie uma associação AD com o novo principal (backup original) como a AD principal e da unidade substituída como a AD secundária. Consulte Associação de um dispositivo no primeiro registro.
8. Entre em contato com o Suporte técnico da Dell SonicWALL para transferir as licenças dos serviços de segurança do par anterior para o novo par de AD.
Essa etapa é necessária quando a unidade AD primária falha, porque as licenças são vinculadas à unidade Primária em um par AD.
Substituindo uma unidade AD primária
Para substituir uma unidade de AD secundária, execute as seguintes etapas:
1. Em mySonicWALL.com, remova a antiga associação AD. Consulte Remover uma associação de AD.
2. Em MySonicWALL, registre o dispositivo de segurança substituição Dell SonicWALL e crie uma associação AD com a unidade AD primária original, usando a unidade de substituição como a AD secundária. Consulte Associação de um dispositivo no primeiro registro.
Configurar a Alta disponibilidade no SonicOS
Para configurar a Alta disponibilidade, você deve configurar a Alta disponibilidade na interface de gerenciamento do SonicOS usando os dois dispositivos Dell SonicWALL associados em MySonicWALL. Para obter informações sobre a associação de dois dispositivos, consulte Associar dispositivos em MySonicWALL para Alta disponibilidade.
Antes de configurar a DPI ativa/ativa, você necessita de configurar dois dispositivos de segurança Dell SonicWALL como um par de Alta disponibilidade estável e habilitar a Sincronização estável na interface de gerenciamento do SonicOS.
Alta disponibilidade > Configurações
As tarefas de configuração na página Alta disponibilidade > Configurações são realizadas na unidade Primária e, em seguida, são sincronizadas automaticamente para a de Backup.
Para definir as configurações na página Alta disponibilidade > Configurações:
1. Faça logon como administrador na interface de usuário do SonicOS no Dell SonicWALL Primário.
2. Consulte Verificar status de Alta disponibilidade para obter uma descrição dos campos listados na tabela Status de Alta disponibilidade.
No painel de navegação à esquerda, navegue até Alta disponibilidade > Configurações.
Clique na guia Dispositivos AD.
5. Insira o número de série para o Dispositivo secundário.
O número de série para o Dispositivo primário é preenchido automaticamente. É possível encontrar o número de série no verso do aplicativo de segurança Dell SonicWALL ou na tela Sistema > Status da unidade de Backup.
6. Clique em Aplicar.