High_Availability
A Alta disponibilidade (AD) permite que dois firewalls idênticos executando o SonicOS sejam configurados para fornecer uma conexão confiável e contínua à Internet pública. Este capítulo fornece informações conceituais e descreve como configurar a Alta disponibilidade (AD) no SonicOS. Este capítulo contém as seguintes seções principais:
• Visão geral da Alta disponibilidade
• Visão geral da Sincronização estável
• Visão geral de AD de DPI ativa/ativa
• Pré-requisitos de DPI ativa/em espera e ativa/ativa
• Alta disponibilidade > Status
• Alta disponibilidade > Configurações
• Alta disponibilidade > Avançado
• Alta disponibilidade > Monitoramento
Visão geral da Alta disponibilidade
As seções a seguir fornecem visões gerais de implementação de AD da Dell SonicWALL:
• Modos de Alta disponibilidade
• Visão geral de AD ativa/em espera
– Benefícios de AD ativa/em espera
– Como funciona a AD ativa/em espera?
• Visão geral da Sincronização estável
– Benefícios da Sincronização estável
– Como funciona a Sincronização estável?
• Visão geral de AD de DPI ativa/ativa
– Benefícios de AD de DPI ativa/ativa
• Pré-requisitos de DPI ativa/em espera e ativa/ativa
– Plataformas com suporte para AD
• Conectar fisicamente seus dispositivos
• Registrar e associar dispositivos no MySonicWALL
• Licenciar recursos de alta disponibilidade
A Alta disponibilidade tem quatro modos de operação.
• Ativo/em espera
• DPI ativa/ativa
• Clustering ativo/ativo
• Clustering de DPI ativa/ativa
Os quatro modos de operação de AD podem ser selecionados na página Alta disponibilidade > Configurações, na guia Geral, no menu suspenso:
Ativo/em espera – o modo Ativo/em espera fornece alta disponibilidade básica com a configuração de dois firewalls idênticos como um par de Alta disponibilidade. A unidade Ativa manipula todo o tráfego, enquanto a unidade Em espera compartilha suas configurações e pode assumir a qualquer momento para fornecer conectividade contínua de rede se a unidade Ativa parar de funcionar. Por padrão, o modo Ativo/em espera não tem estado, o que significa que as conexões de rede e os túneis de VPN devem ser novamente estabelecidos após um failover. Para evitar isso, a Sincronização estável pode ser licenciada e habilitada com o modo Ativo/em espera. Nesse modo de AD estável, o estado dinâmico é continuamente sincronizado entre as unidades Ativa e Em espera. Quando a unidade Ativa encontra uma condição de falha, ocorre o failover estável à medida que o firewall Em espera assume a função de Ativo sem interrupções para as conexões de rede existentes.
DPI ativa/ativa – o modo DPI (Deep Packet Inspection – Inspeção profunda de pacotes) ativa/ativa pode ser usado com o modo Ativo/em espera. Quando o modo DPI ativa/ativa estiver habilitado, os serviços de DPI intensivos do processador, como Prevenção de intrusão (IPS), Antivírus do gateway (GAV) e Anti-spyware, são processados no firewall de espera, enquanto outros serviços, como o firewall, NAT e outros tipos de tráfego, são processados no firewall Ativo simultaneamente.
Note DPI ativa/ativa não é compatível com NSA 3600 ou NSA 4600.
Clustering ativo/ativo – nesse modo, vários firewalls são agrupados como nós de cluster, com várias unidades Ativas processando tráfego (como vários gateways), fazendo DPI e compartilhando a carga de rede. Cada nó de cluster consiste em duas unidades atuando como um par de AD estável. O modo Clustering ativo/ativo fornece suporte de Failover estável além de compartilhamento de carga. Opcionalmente, cada nó de cluster pode também consistir em uma única unidade, caso em que os modos Failover estável e DPI ativa/ativa não estão disponíveis.
Note O modo Clustering ativo/ativo é suportado por padrão na série SM 9000. O modo Clustering ativo/ativo é compatível com o NSA 5600 e NSA 6600 somente com a aquisição de uma licença expandida do SonicOS. As licenças podem ser adquiridas em www.mysonicwall.com.
Clustering de DPI ativa/ativa – este modo permite a configuração de até quatro nós de cluster de AD de failover e compartilhamento de carga, em que a carga dos nós balanceia a aplicação de serviços de segurança de DPI para tráfego de rede. Esse modo pode ser habilitado para ganho de desempenho adicional, utilizando as unidades em espera em cada nó de cluster.
• Primária – descreve a unidade principal de hardware. O identificador "Primária" é uma designação manual e não está sujeito a alterações condicionais. Em condições operacionais normais, a unidade de hardware Primária opera em uma função de Ativo.
• Secundária – descreve a unidade de hardware subordinada. O identificador "Secundária" é uma designação relacional e é assumido por uma unidade quando combinado com uma unidade Primária. Em condições operacionais normais, a unidade Secundária opera no modo Em espera. Após a falha da unidade Primária, a unidade Secundária assumirá a função de Ativo.
• Ativo – descreve a condição operacional de uma unidade de hardware. O identificador "Ativo" é uma função lógica que pode ser assumida por uma unidade de hardware Primária ou Secundária.
• Em espera – descreve a condição passiva de uma unidade de hardware. O identificador Em espera é uma função lógica que pode ser assumida por uma unidade de hardware Primária ou Secundária. A unidade Em espera assume a função Ativa no caso de falha determinável da unidade Ativa.
• Failover – descreve o processo atual no qual a unidade de Em espera assume a função Ativa após uma falha qualificada da unidade Ativa. A qualificação de falha é obtida através de vários recursos de monitoramento físicos e lógicos configuráveis descritos na seção Lista de tarefas.
• Preempção – aplica-se a uma condição pós-failover em que a unidade Primária falhou e a unidade Secundária assumiu a função Ativa. A habilitação de Preempção fará com que a unidade Primária aproveite a função Ativa da Secundária após a Primária ser restaurada para um estado operacional verificado.
Detecção de falhas
O recurso de AD tem um mecanismo completo de autodiagnóstico para os firewalls Ativo e Em espera. O failover na unidade em espera ocorre quando os serviços essenciais são afetados, a falha de link físico (ou lógico) é detectada em interfaces monitoradas ou quando o SonicWALL perde a alimentação.
O mecanismo de verificação automática é gerenciado por diagnóstico de software, o qual verifica a integridade do sistema completo do dispositivo SonicWALL. O diagnóstico verifica o status do sistema interno, o status de processo do sistema e a conectividade de rede. Há um mecanismo de ponderação nos dois lados para decidir qual lado tem melhor conectividade, usado para evitar possíveis loops de failover.
Os processos de sistema interno essenciais, como NAT, VPN e DHCP (entre outros) são verificados em tempo real. O serviço com falha é isolado o mais cedo possível e o mecanismo de failover repara-o automaticamente.
O Endereço MAC virtual permite que o par de Alta disponibilidade compartilhe o mesmo endereço MAC, o que reduz drasticamente o tempo de convergência após um failover. O tempo de convergência é a quantidade de tempo que os dispositivos em uma rede demoram a adaptar suas tabelas de roteamento às alterações introduzidas por alta disponibilidade.
Sem o MAC virtual habilitado, cada dispositivo Ativo e Em espera tem seus próprios endereços MAC. Como os dispositivos estão usando o mesmo endereço IP, quando ocorre um failover o mapeamento é quebrado entre o endereço IP e o endereço MAC no cache de ARP de todos os clientes e recursos de rede. O dispositivo Secundário deve emitir uma solicitação ARP, anunciando o novo par de Endereço MAC/Endereço IP. Até essa solicitação ARP se propagar através da rede, o tráfego destinado ao endereço MAC do dispositivo Primário pode ser perdido.
O endereço MAC virtual simplifica consideravelmente esse processo usando o mesmo endereço MAC para os dispositivos Primário e Secundário. Quando ocorre um failover, todas as rotas para e do dispositivo Primário ainda são válidas para o dispositivo Secundário. Todos os clientes e sites remotos continuam a usar o mesmo endereço MAC virtual e o endereço IP sem interrupções.
Por padrão, esse endereço MAC virtual é fornecido pelo firmware SonicWALL e é diferente do endereço MAC físico de dispositivos Primários ou Secundários. Isso elimina a possibilidade de erros de configuração e garante a exclusividade do endereço MAC virtual, o que impede possíveis conflitos. Como alternativa, você pode configurar manualmente o endereço MAC virtual na página Alta disponibilidade > Monitoramento.
A configuração de MAC virtual está disponível mesmo que a Alta disponibilidade estável não esteja licenciada. Quando o MAC virtual estiver habilitado, ele sempre é usado mesmo se a Sincronização estável não estiver habilitada.
Na página Alta disponibilidade > Monitoramento, você pode configurar o monitoramento de interface física e lógica. Habilitando o monitoramento de interface física, você habilita a detecção de link para as interfaces de AD designadas. O link é detectado na camada física para determinar a viabilidade do link. O monitoramento lógico envolve a configuração do SonicWALL para monitorar um dispositivo confiável em uma ou mais redes conectadas. A falha de comunicação periódica com o dispositivo pela unidade Ativa no par de AD disparará um failover na unidade Em espera. Se nenhuma unidade no par de AD conseguir conectar-se ao dispositivo, nenhuma ação será executada.
Os endereços IP Primário e Secundário configurados na página Alta disponibilidade > Monitoramento podem ser configurados em interfaces de LAN ou WAN e são usados para diversos fins:
• Como endereços de gerenciamento independentes para cada unidade (suportados em todas as interfaces físicas)
• Para permitir a sincronização de licenças entre a unidade Em espera e o servidor de licenciamento SonicWALL
• Como endereços IP de origem para os pings de investigação enviados durante o monitoramento lógico
A configuração de endereços IP de gerenciamento exclusivos para as duas unidades no par de AD permite que você efetue logon em cada unidade de forma independente para fins de gerenciamento. Observe que o tráfego de não gerenciamento é ignorado se for enviado para um desses endereços IP. Os endereços IP da LAN exclusivos dos firewalls Primário e Secundário não podem atuar como um gateway ativo; todos os sistemas conectados à LAN interna precisarão usar o endereço IP de LAN virtual como gateway.
Se os endereços IP de monitoramento da WAN estiverem configurados, os endereços IP de monitoramento X0 não são necessários. Se os endereços IP de monitoramento de WAN não estiverem configurados, são necessários os endereços IP de monitoramento X0, uma vez que, em tal cenário, a unidade de Em espera usa o endereço IP de monitoramento X0 para se conectar ao servidor de licenciamento com todo o tráfego roteado através de unidade Ativa.
O endereço IP de gerenciamento da unidade Secundária/Em espera é usado para permitir a sincronização de licença com o servidor de licenciamento do Dell SonicWALL que lida com licenciamento em uma base por dispositivo (não por par de AD). Mesmo se a unidade Secundária já tiver sido registrada em MySonicWALL antes de criar a associação de AD, você deve usar o link na página Sistema > Licenças para se conectar ao servidor Dell SonicWALL ao acessar o dispositivo Secundário por meio de seu endereço IP de gerenciamento.
Ao usar o monitoramento lógico, o par de AD executará ping ao destino especificado do endereço IP de investigação lógico a partir da unidade Primária e também da unidade Secundária. O endereço IP definido no campo Endereço IP primário ou Endereço IP secundário é usado como o endereço IP de origem para o ping. Se as duas unidades conseguirem efetuar ping com êxito ao destino, não ocorrerá failover. Se não conseguirem efetuar ping com êxito ao destino, não ocorrerá failover, pois o SonicOS assumirá que o problema está relacionado com o destino e não com os dispositivos. Se um dispositivo conseguir efetuar ping ao destino, mas o outro não conseguir, ocorrerá failover do par de AD na unidade que consegue efetuar ping ao destino.
As tarefas de configuração na página Alta disponibilidade > Monitoramento são realizadas na unidade Primária e, em seguida, são sincronizadas automaticamente para a Secundária.
Visão geral de AD ativa/em espera
A AD permite que dois firewalls idênticos executados no SonicOS sejam configurados para fornecer uma conexão confiável e contínua à Internet pública. Um firewall é configurado como a unidade Primária e um firewall idêntico é configurado como a unidade Secundária. No caso de falha do firewall Primário, o firewall Secundário assume para proteger uma conexão confiável entre a rede protegida e a Internet. Os dois dispositivos configurados desta forma também são conhecidos como um Par de alta disponibilidade (Par de AD).
A AD permite compartilhar licenças entre dois firewalls quando um está atuando como um sistema de alta disponibilidade para o outro. Para usar este recurso, você deve registrar os dispositivos em MySonicWALL como produtos associados. Os dois dispositivos devem ser do mesmo modelo SonicWALL.
Benefícios de AD ativa/em espera
A AD ativa/em espera fornece os seguintes benefícios:
• Maior confiabilidade da rede – em uma configuração de alta disponibilidade, o dispositivo Secundário assume todas as responsabilidades de rede quando a unidade Primária falha, garantindo uma conexão confiável entre a rede protegida e a Internet.
• Rentabilidade – a alta disponibilidade é uma opção rentável para implementações que fornecem alta disponibilidade utilizando firewalls redundantes. Você não precisa comprar um segundo conjunto de licenças para a unidade Secundária em um Par de alta disponibilidade.
• MAC virtual para tempo de convergência reduzido após failover – a configuração de endereço MAC virtual permite que o par de AD compartilhe o mesmo endereço MAC, o que reduz drasticamente o tempo de convergência após um failover. O tempo de convergência é a quantidade de tempo que os dispositivos em uma rede demoram a adaptar suas tabelas de roteamento às alterações introduzidas por alta disponibilidade. Por padrão, o endereço MAC virtual é fornecido pelo firmware SonicWALL e é diferente do endereço MAC físico de dispositivos Primários ou Secundários.
Como funciona a AD ativa/em espera?
A AD requer um dispositivo SonicWALL configurado como o SonicWALL Primário e um dispositivo SonicWALL idêntico configurado como o SonicWALL Secundário. Durante a operação normal, o SonicWALL Primário está em um estado Ativo e o SonicWALL Secundário em um estado Em espera. Se o dispositivo Primário perder a conectividade, o SonicWALL Secundário faz a transição para o modo Ativo e assume a configuração e a função de Primário, incluindo os endereços IP de interface das interfaces configuradas.
A AD básica ativa/em espera fornece alta disponibilidade sem estado. Após um failover no dispositivo Secundário, todas as conexões de rede previamente existentes devem ser restabelecidas, incluindo os túneis de VPN que devem ser negociados novamente. A sincronização estável pode ser licenciada e habilitada separadamente. Para obter mais informações, consulte Visão geral da Sincronização estável.
O failover se aplica a perda de funcionalidade ou conectividade de camada de rede no SonicWALL Primário. O failover no SonicWALL Secundário ocorre quando os serviços essenciais são afetados, a falha de link físico (ou lógico) é detectada em interfaces monitoradas ou quando o SonicWALL Primário perde a alimentação. Os dispositivos SonicWALL Primário e Secundário atualmente só são capazes de realizar Alta disponibilidade ativa/em espera ou DPI ativa/ativa – não há suporte para Alta disponibilidade ativa/ativa no momento.
Existem dois tipos de sincronização de configurações para todas as definições de configuração: incremental e completa. Se os carimbos de data/hora estiverem sincronizados e for realizada uma alteração na unidade Ativa, uma sincronização incremental é enviada para a unidade Em espera. Se os carimbos de data/hora não estiverem sincronizados e a unidade Em espera estiver disponível, uma sincronização completa será enviada para a unidade Em espera. Quando a sincronização incremental falhar, é automaticamente tentada uma sincronização completa.
Visão geral da Sincronização estável
Esta seção fornece uma apresentação do recurso Sincronização estável. A Sincronização estável oferece desempenho de failover drasticamente aprimorado. Quando habilitada, as informações de conexões de rede e túnel de VPN são continuamente sincronizadas entre as duas unidades para que o dispositivo Secundário consiga perfeitamente assumir todas as responsabilidades de rede se o dispositivo Primário falhar, sem interrupções de conexões de rede existentes.
Esta seção contém as subseções seguintes:
• Benefícios da Sincronização estável
• Como funciona a Sincronização estável?
Benefícios da Sincronização estável
A Sincronização estável fornece os seguintes benefícios:
• Melhor confiabilidade – sincronizando informações de conexão de rede mais importantes, a Sincronização estável impede tempo de inatividade e conexões descartadas em caso de falha do dispositivo.
• Desempenho de failover mais rápido – mantendo uma sincronização contínua entre os dispositivos Primário e Secundário, a Sincronização estável habilita o dispositivo Secundário para assumir a sua função em caso de falha sem praticamente tempo de inatividade ou perda de conexões de rede.
• Impacto mínimo no desempenho da CPU – normalmente menos de 1% de uso.
• Impacto mínimo na largura de banda – a transmissão de dados de sincronização é estrangulada para não interferir com outros dados.
Como funciona a Sincronização estável?
Sincronização estável não significa balanceamento de carga. É uma configuração ativa/em espera em que o dispositivo Primário manipula todo o tráfego. Quando a Sincronização estável está habilitada, o dispositivo Primário ativamente se comunica com o Secundário para atualizar a maioria das informações de conexão de rede. Como o dispositivo Primário cria e atualiza informações de conexão de rede (túneis de VPN, usuários ativos, entradas de cache de conexão, etc.), ele informa o dispositivo Secundário imediatamente. Isso garante que o dispositivo Secundário sempre esteja pronto para fazer a transição para o estado Ativo sem descartar nenhuma conexão.
O tráfego de sincronização é estrangulado para garantir que ele não interfere com o tráfego de rede normal. Todas as alterações de configuração são executadas no dispositivo Primário e propagadas automaticamente para o dispositivo Secundário. O par de alta disponibilidade usa os mesmos endereços IP de LAN e WAN, independentemente do dispositivo que se encontra Ativo no momento.
Ao usar o SonicWALL Global Management System (GMS) para gerenciar os dispositivos, o GMS realiza o registro no endereço IP de WAN compartilhado. No caso de um failover, a administração do GMS continua sem interrupções e os administradores do GMS conectados ao dispositivo no momento não serão desconectado. Porém, os comandos Get e Post podem resultar em um tempo limite sem retorno de resposta.
A tabela a seguir lista as informações que estão sincronizadas e que não estão sincronizadas no momento pela Sincronização estável.
|
Exemplo de Sincronização estável
No caso de um failover, ocorre a seguinte sequência de eventos:
1. Um usuário de PC conecta-se à rede e o firewall Primário cria uma sessão para o usuário.
2. O dispositivo Primário sincroniza com o dispositivo Secundário. O Secundário agora possui todas as informações da sessão do usuário.
3. O administrador reinicia a unidade Primária.
4. A unidade Secundária detecta a reinicialização da unidade Primária e muda de Em espera para Ativo.
5. O dispositivo Secundário começa a enviar mensagens de ARP gratuitas para os switches de LAN e WAN usando o mesmo endereço MAC virtual e endereço IP como o dispositivo Primário. Não são necessárias atualizações de roteamento para dispositivos de rede downstream ou upstream.
6. Quando o usuário de PC tenta acessar uma página da Web, o dispositivo Secundário tem todas as informações de sessão do usuário e é capaz de continuar a sessão do usuário sem interrupções.
Visão geral de AD de DPI ativa/ativa
Com a opção DPI ativa/ativa habilitada em um par de AD estável, os serviços de inspeção profunda de pacotes são processados no firewall em espera de um par de AD simultaneamente com o processamento do firewall, NAT e outros módulos no firewall ativo. Os seguintes serviços de DPI são afetados:
• Intrusion Prevention Service (IPS)
• Antivírus do gateway (GAV)
• Anti-Spyware no gateway
• Controle de aplicativos
Para usar o recurso DPI ativa/ativa, o administrador deve configurar uma interface adicional como a Interface de DPI ativa/ativa. Por exemplo, se você optar por tornar X5 na Interface de DPI ativa/ativa, você deve conectar fisicamente X5 na unidade ativa a X5 na unidade em espera no par de AD. Determinados fluxos de pacote na unidade ativa são selecionados e descarregados para a unidade em espera na Interface de DPI ativa/ativa. A DPI é executada na unidade em espera e, em seguida, os resultados são retornados para a unidade ativa através da mesma interface. O processamento restante é realizado na unidade ativa.
Benefícios de AD de DPI ativa/ativa
A opção DPI ativa/ativa se baseia nos ciclos da CPU não utilizados disponíveis na unidade em espera, mas o tráfego ainda chega e sai pela unidade ativa. A unidade em espera vê somente o tráfego de rede descarregado pela unidade ativa e o processamento de todos os módulos diferentes de serviços de DPI é restrito para a unidade ativa.
Pré-requisitos de DPI ativa/em espera e ativa/ativa
Esta seção lista as plataformas suportadas, fornece recomendações e requisitos para conectar fisicamente as unidades e descreve como registrar, associar e licenciar as unidades de Alta disponibilidade.
Plataformas com suporte para AD
A opção DPI ativa/ativa é suportada apenas pelos modelos Dell SonicWALL a seguir:
• SuperMassive 9600
• SuperMassive 9400
• SuperMassive 9200
• NSA 6600
• NSA 5600
Note A opção DPI ativa/ativa é compatível com NSA 5600 e NSA 6600 com a aquisição de uma licença expandida.
A opção DPI ativa/ativa não é suportada pelos seguintes modelos Dell SonicWALL:
• NSA 4600
• NSA 3600
Conectar fisicamente seus dispositivos
A Alta disponibilidade requer conexões físicas adicionais entre os dispositivos Dell SonicWALL afetados. Para todos os modos, você precisa de conexões para Controle de AD e Dados de AD. A opção DPI ativa/ativa requer uma conexão adicional.
Em qualquer implantação de Alta disponibilidade, você deve conectar fisicamente as portas LAN e WAN de todas as unidades aos switches apropriados.
É importante que as interfaces de X0 de todas as unidades estejam conectadas ao mesmo domínio de transmissão. Caso contrário, o failover de tráfego não funcionará. Além disso, X0 é a porta de AD redundante padrão. Caso o link de controle AD normal falhar, X0 é usado para comunicar as pulsações entre as unidades. Sem X0 no mesmo domínio de transmissão, ambas as unidades ficam ativas se o link de controle AD falhar.
Uma conexão de WAN com a Internet é útil para registrar seus dispositivos em MySonicWALL e para sincronizar as informações de licenciamento. A menos que a comunicação em tempo real com o servidor de licenciamento do SonicWALL não seja permitida devido à política de rede, a interface de WAN (X1) deverá ser conectada antes de o registro e o licenciamento serem executados.
Os dispositivos de segurança de rede Dell SonicWALL requerem as seguintes velocidades de link de interface para cada interface de AD designada:
• Interface de controle AD – pode ser uma interface de 1 GB ou 10 GB. Recomenda-se de 1 GB.
• Interface de dados AD – pode ser uma interface de 1 GB ou 10 GB. Recomenda-se de 10 GB.
A Interface de controle AD e a Interface de dados AD podem compartilhar a mesma interface única.
Se elas compartilharem uma única interface, é recomendável uma de 10 GB.
• Interface de DPI ativa/ativa – pode ser uma interface de 1 GB ou 10 GB.
Conectar as interfaces de DPI ativa/ativa para DPI ativa/ativa
Para DPI ativa/ativa, você deve conectar fisicamente pelo menos uma interface adicional, denominada Interface de DPI ativa/ativa, entre os dois dispositivos em cada par de AD ou Nó de cluster. As interfaces conectadas devem ter o mesmo número nos dois dispositivos e, inicialmente, devem aparecer como interfaces não utilizadas e não atribuídas na página Rede > Interfaces. Por exemplo, você pode conectar X5 na unidade Primária a X5 na Secundária se X5 for uma interface não atribuída. Após habilitar a DPI ativa/ativa, a interface conectada terá uma atribuição de zona de Link de dados AD.
Determinados fluxos de pacote na unidade ativa são selecionados e descarregados para a unidade em espera na Interface de DPI ativa/ativa. A DPI é executada na unidade em espera e, em seguida, os resultados são retornados para a unidade ativa através da mesma interface.
Opcionalmente, para redundância de portas com DPI ativa/ativa, você pode conectar fisicamente uma segunda interface de DPI ativa/ativa entre os dois dispositivos em cada par de AD. Essa interface assumirá a transferência de dados entre as duas unidades durante o processamento de DPI ativa/ativa se a primeira interface de DPI ativa/ativa tiver uma falha.
Para se conectar a interfaces de DPI ativa/ativa para DPI ativa/ativa:
1. Decida qual interface usar para a conexão adicional entre os dispositivos no par de AD. A mesma interface deve ser selecionada em cada dispositivo.
2. Na interface de gerenciamento do SonicOS, navegue até a página Rede > Interfaces e certifique-se de que a Zona está Não atribuída para a interface de DPI ativa/ativa pretendida.
3. Usando um cabo Ethernet padrão, conecte as duas interfaces diretamente uma à outra.
4. Opcionalmente, para redundância de portas com DPI ativa/ativa, conecte fisicamente uma segunda interface de DPI ativa/ativa entre os dois dispositivos em cada par de AD.
Registrar e associar dispositivos no MySonicWALL
Para usar a Alta disponibilidade, você deve registrar os dois dispositivos e associá-los a AD no MySonicWALL. Quando você clica no link de um dispositivo registrado na sua página do MySonicWALL, a página Gerenciamento de serviços relativa a esse dispositivo é exibida. Na parte inferior da página Gerenciamento de serviços, você pode clicar no link de AD Secundária, em Produtos associados. Em seguida, siga as instruções para selecionar e associar a outra unidade para seu par de AD.
Depois que os dispositivos estejam associados como um par de AD, eles podem compartilhar licenças. Além das licenças de Alta disponibilidade, isso inclui a licença do SonicOS, a assinatura de suporte e as licenças de serviços de segurança. As únicas licenças que não são compartilháveis são as de serviços de consultoria, como o SonicWALL GMS Preventive Maintenance Service.
Não é necessário que os dispositivos Primário e Secundário tenham os mesmos serviços de segurança habilitados. As configurações de serviços de segurança serão atualizadas automaticamente como parte da sincronização inicial de configurações. A sincronização de licenças é utilizada para que o dispositivo Secundário possa manter o mesmo nível de proteção de rede fornecido antes do failover.
O MySonicWALL fornece vários métodos de associação de dois dispositivos. Poderá começar por registrar um novo dispositivo e escolher uma unidade já registrada para realizar a associação. Alternativamente, é possível associar duas unidades que já estejam registradas. Também é possível iniciar o processo selecionando uma unidade registrada e adicionando um novo dispositivo para associar.
Note Mesmo que registre primeiro seus dispositivos em MySonicWALL, você deve registrar individualmente os dispositivos Primário e Secundário a partir da interface de gerenciamento do SonicOS enquanto estiver conectado ao endereço IP de gerenciamento individual de cada dispositivo. Isso permite que a unidade Secundária realize a sincronização com o servidor de licenças Dell SonicWALL e compartilhe licenças com o dispositivo Primário associado. Se o acesso à Internet for restringido, você poderá aplicar manualmente as licenças compartilhadas para ambos os dispositivos.
Para obter informações sobre como configurar e usar o endereço IP de gerenciamento individual de cada dispositivo, consulte Sobre Monitoramento de alta disponibilidade com ativo/clustering e Alta disponibilidade > Monitoramento.
Licenciar recursos de alta disponibilidade
As licenças de Clustering ativo/ativo, Alta disponibilidade estável e DPI ativa/ativa estão incluídas em firewalls registrados. Portanto, não é necessário adquirir licenças adicionais para usar esses recursos de Alta disponibilidade.
Note As licenças de Clustering ativo/ativo e Alta disponibilidade estável devem ser ativadas em cada dispositivo, registrando a unidade no MySonicWALL a partir da interface de gerenciamento do SonicOS ou aplicando o conjunto de chaves de licença a cada unidade se o acesso à Internet não estiver disponível.
Você pode visualizar licenças de sistema na página Sistema > Licenças da interface de gerenciamento. Essa página também fornece uma forma de efetuar logon no MySonicWALL.
Quando os firewalls no cluster ativo/ativo têm acesso à Internet, cada dispositivo no cluster deve ser registrado individualmente a partir da interface de gerenciamento do SonicOS enquanto o administrador está conectado ao endereço IP de gerenciamento individual de cada dispositivo. Isso permite que as unidades Secundárias realizem a sincronização com o servidor de licenciamento SonicWALL e compartilhem licenças com os dispositivos Primários associados em cada par de AD.
Também existe uma forma de sincronizar licenças para um par de AD cujos dispositivos não possuem acesso à Internet. Quando não é permitida a comunicação em tempo real com o servidor de licenciamento da SonicWALL devido à política de rede, você pode usar conjuntos de chaves de licença para aplicar manualmente as licenças de serviços de segurança nos seus dispositivos. Quando você registra um firewall em MySonicWALL, um conjunto de chaves de licença é gerado para o dispositivo. Se você adicionar uma nova licença de serviço de segurança, o conjunto de chaves será atualizado. No entanto, até que você aplique as licenças ao dispositivo, ele não poderá executar os serviços licenciados.
Note Na implantação de Alta disponibilidade sem conectividade com a Internet, você deve aplicar o conjunto de chaves de licença aos dois dispositivos no par de AD.
A tabela a seguir mostra as licenças de AD que estão incluídas na compra do dispositivo de segurança de rede Dell SonicWALL. Algumas plataformas necessitam de licenciamento adicional para usar os recursos Sincronização estável ou DPI ativa/ativa. As licenças expandidas do SonicOS ou as licenças de Alta disponibilidade podem ser adquiridas no MySonicWALL ou em um revendedor da Dell SonicWALL.
|
Você pode usar um dos procedimentos a seguir para aplicar licenças a um dispositivo:
• Ativar licenças na interface de usuário do SonicOS
• Copiar o conjunto de chaves de licença de MySonicWALL
Ativar licenças na interface de usuário do SonicOS
Siga o procedimento nesta seção para ativar licenças na interface de usuário do SonicOS. Execute o procedimento para cada um dos dispositivos em um Par de alta disponibilidade enquanto conectado ao seu endereço IP de gerenciamento de LAN individual.
Consulte Alta disponibilidade > Monitoramento para obter informações sobre como configurar os endereços IP individuais.
1. Faça logon na interface de usuário do SonicOS usando o endereço IP de gerenciamento de LAN individual do dispositivo.
2. Na página Sistema > Licenças, em Gerenciar serviços de segurança online, clique no link Para ativar, fazer upgrade ou renovar serviços, clique aqui.
3. Na página Licenças > Gerenciamento de licenças, digite seu nome de usuário e sua senha MySonicWALL nas caixas de texto.
4. Clique em Enviar.
5. Na página Sistemas > Licenças, em Gerenciar serviços de segurança online, verifique os serviços listados na tabela Resumo de serviços de segurança.
6. Repita este procedimento para o outro dispositivo no par de AD.
Copiar o conjunto de chaves de licença de MySonicWALL
Você pode seguir o procedimento nesta seção para visualizar o conjunto de chaves de licença no MySonicWALL e copiá-lo para o firewall. Execute o procedimento para cada um dos dispositivos em um Par de alta disponibilidade enquanto conectado ao seu endereço IP de gerenciamento de LAN individual.
Consulte Alta disponibilidade > Monitoramento para obter informações sobre como configurar os endereços IP individuais.
1. Faça logon na sua conta MySonicWALL em https://www.mysonicwall.com.
2. No painel de navegação à esquerda, clique em Meus produtos.
3. Na página Meus produtos, em Produtos registrados, role para baixo para localizar o dispositivo para o qual você deseja copiar o conjunto de chaves de licença. Clique no nome do produto ou no número de série.
4. Na página Gerenciamento de serviços, clique em Visualizar conjunto de chaves de licença.
5. Na página Conjunto de chaves de licença, use o mouse para destacar todos os caracteres na caixa de texto.
6. Para copiar o conjunto de chaves de licença para a área de transferência, pressione Ctrl+C.
7. Faça logon na interface de usuário do SonicOS usando o endereço IP de gerenciamento de LAN individual.
8. Na página Sistemas > Licenças, em Atualização Manual, pressione Ctrl+V para colar o conjunto de chaves de licença na caixa de texto Ou inserir conjunto de chaves.
9. Clique em Enviar.
10. Repita este procedimento para o outro dispositivo no par de AD.
As seções seguintes descrevem a página Alta disponibilidade > Status:
• Status de alta disponibilidade ativa/em espera
• Status de alta disponibilidade ativa/ativa
Status de alta disponibilidade ativa/em espera
A tabela Status de alta disponibilidade na página Alta disponibilidade > Status exibe o status atual do par de AD. Se o SonicWALL Primário estiver Ativo, a primeira linha na tabela indica que o SonicWALL Primário está atualmente Ativo.
Também é possível verificar o status do SonicWALL Secundário efetuando logon no endereço IP de LAN exclusivo do SonicWALL Secundário. Se o SonicWALL Primário estiver funcionando normalmente, o status indica que o SonicWALL Secundário está atualmente Em espera. Se o Secundário assumiu a função do Primário, a tabela de status indica que o Secundário está Ativo no momento.
Em caso de falha no SonicWALL Primário, você pode acessar a interface de gerenciamento do SonicWALL Secundário no endereço IP de LAN virtual do SonicWALL Primário ou no endereço IP de LAN do SonicWALL Secundário. Quando o SonicWALL Primário é reiniciado após uma falha, ele fica acessível usando o endereço IP exclusivo criado na página Alta disponibilidade > Monitoramento. Se o modo de preempção estiver habilitado, o SonicWALL Primário se torna no firewall Ativo e o firewall Secundário retorna ao status Em espera.
A tabela exibe as seguintes informações:
Status de alta disponibilidade
• Status – indica o estado de AD do firewall Primário. Os valores possíveis são:
– Primário ativo – indica que o dispositivo de AD Primário está no estado ATIVO.
– Primário em espera – indica que este dispositivo está no estado em espera.
– Primário desabilitado – indica que a Alta disponibilidade não foi habilitada na interface de gerenciamento deste dispositivo.
– Primário não está em um estado estável – indica que a AD está habilitada e o dispositivo não está no estado ATIVO nem no estado em espera.
• Estado primário – indica o estado atual do dispositivo Primário como um membro de um par de AD. O campo Estado primário é exibido nos dispositivos Primário e Secundário. Os valores possíveis são:
– ATIVO – indica que a unidade Primária está manipulando todo o tráfego de rede, exceto o tráfego de gerenciamento/monitoramento/licenciamento destinado para a unidade em espera.
– em espera – indica que a unidade Primária é passiva e está pronta para assumir em um failover.
– SELEÇÃO – indica que as unidades Primária e Secundária estão negociando qual deve ser a unidade ATIVA.
– SINCRONIZAR – indica que a unidade Primária está sincronizando configurações ou firmware com a Secundária.
– ERRO – indica que a unidade Primária atingiu uma condição de erro.
– REINICIALIZAR – indica que a unidade Primária está sendo reinicializada.
– NENHUM – quando visualizado na unidade Primária, NENHUM indica que a AD não está habilitada na Primária. Quando visualizado na unidade Secundária, NENHUM indica que a unidade Secundária não está recebendo pulsações da unidade Primária.
• Estado secundário – indica o estado atual do dispositivo Secundário como membro de um par de AD. O campo Estado secundário é exibido nos dispositivos Primário e Secundário. Os valores possíveis são:
– ATIVO – indica que a unidade Secundária está manipulando todo o tráfego de rede, exceto o tráfego de gerenciamento/monitoramento/licenciamento destinado à unidade em espera.
– em espera – indica que a unidade Secundária é passiva e está pronta para assumir em um failover.
– SELEÇÃO – indica que as unidades Secundária e Primária estão negociando qual deve ser a unidade ATIVA.
– SINCRONIZAR – indica que a unidade Secundária está sincronizando configurações ou firmware com a Primária.
– ERRO – indica que a unidade Secundária atingiu uma condição de erro.
– REINICIALIZAR – indica que a unidade Secundária está sendo reinicializada.
– NENHUM – quando visualizado na unidade Secundária, NENHUM indica que a AD não está habilitada na Secundária. Quando visualizado na unidade Primária, NENHUM indica que a unidade Primária não está recebendo pulsações da unidade Secundária.
• Tempo de ativação – indica quanto tempo o firewall Ativo atual esteve Ativo desde a última vez que ficou Ativo. Esta linha é exibida apenas quando a Alta disponibilidade está habilitada. Se ocorrer falha do SonicWALL Primário, o SonicWALL Secundário assume os endereços IP de WAN e LAN do SonicWALL Primário. Existem três métodos principais para verificar o status do Par de alta disponibilidade: a janela Status de alta disponibilidade, alertas de e-mail e o log de visualização. Esses métodos estão descritos nas seções a seguir.
• Status do nó – indica se o Clustering ativo/ativo está habilitado ou não está habilitado.
• Par encontrado – indica se a unidade Primária descobriu a unidade Secundária. Os valores possíveis são Sim e Não.
• Configurações sincronizadas – indica se as configurações de AD estão sincronizadas entre as unidades Primária e Secundária. Os valores possíveis são Sim e Não.
• AD estável sincronizada – indica se as configurações de sincronização estável estão sincronizadas entre as unidades Primária e Secundária. Os valores possíveis são Sim e Não.
Configuração de alta disponibilidade
• Modo AD – um método para determinar qual SonicWALL está Ativo é verificar o indicador de Status de configurações de AD na página Alta disponibilidade > Configurações. Se o SonicWALL Primário estiver Ativo, a primeira linha na página indica que o SonicWALL Primário está atualmente Ativo. Também é possível verificar o status do SonicWALL Secundário efetuando logon no endereço IP da LAN do SonicWALL Secundário. Se o SonicWALL Primário estiver funcionando normalmente, o status indica que o SonicWALL Secundário está atualmente Em espera. Se o Secundário assumiu a função do Primário, o status indica que o Secundário está Ativo no momento. Em caso de falha no SonicWALL Primário, você pode acessar a interface de gerenciamento do SonicWALL Secundário no endereço IP de LAN do SonicWALL Primário ou no endereço IP de LAN do SonicWALL Secundário. Quando o SonicWALL Primário reinicia após uma falha, ele é acessível usando o terceiro endereço IP criado durante a configuração. Se o modo de preempção estiver habilitado, o SonicWALL Primário se torna no firewall Ativo e o firewall Secundário retorna ao status Em espera.
• Link de controle AD – indica a porta, a velocidade e as configurações de duplex do link de AD, como AD 1000 Mbps full-duplex, quando os dois firewalls são conectados através de suas interfaces AD especificadas. Quando a Alta disponibilidade não estiver habilitada, o campo exibe Desabilitada.
• Link de dados AD – indica a porta, a velocidade e as configurações de duplex do link de AD, como AD 1000 Mbps full-duplex, quando os dois firewalls são conectados através de suas interfaces de AD especificadas. Quando a Alta disponibilidade não estiver habilitada, o campo exibe Desabilitada.
Licenças de alta disponibilidade
• AD estável primária licenciada – indica se o dispositivo Primário tem uma licença de AD estável. Os valores possíveis são Sim ou Não.
• AD estável secundária licenciada – indica se o dispositivo Secundário tem uma licença de AD estável. Os valores possíveis são Sim ou Não. Observe que a licença de AD estável é compartilhada com o Primário, mas você deve acessar mysonicwall.com enquanto estiver conectado ao endereço IP de gerenciamento de LAN da unidade Secundária para realizar a sincronização com o servidor de licenciamento do SonicWALL.
• Ativo/ativo primário licenciado – indica se o dispositivo Primário tem uma licença ativa/ativa. Os valores possíveis são Sim ou Não.
Status de alta disponibilidade ativa/ativa
A página Alta disponibilidade > Status fornece o status de todo o Cluster ativo/ativo e de cada Nó de cluster na implantação. O status do Cluster ativo/ativo é exibido na tabela superior e o status de cada Nó de cluster será exibido na tabela inferior.
Para obter informações adicionais sobre o status de Alta disponibilidade e verificar a configuração, consulte Verificar a configuração de Clustering ativo/ativo