Palo Alto | Configurar Failover en un HA Activo-Pasivo

 

En este post explicaremos como hacer failover en un HA "Activo-Pasivo" en Palo Alto

Para ello, proponemos dos escenarios para ello:

Escenario #1 - 1 linea de Internet (1 ISP)

Escenario #2 - 2 lineas de Internet (2 ISPs)

El objetivo de este Failover es lograr reemplazar el Activo por el Pasivo cuando ocurra lo siguiente:

- La linea de Internet primaria (ISP1) se caiga --> Aplica a Escenario #1 y #2

- Firewall primario se caiga ->Aplica a Escenario #1 y #2

- Switch primario se caiga --> Aplica a Escenario #2

NOTA: La configuración de HA solo lo he conseguido hacerlo en local ya que desde Panorama da muchos problemas. Leyendo en varios foros de Reddit parece ser que mucha gente decide configurar el HA en local antes de añadir los firewalls a Panorama. 

 Escenario #1 - 1 linea de Internet (1 ISP)

Topologia de red:

 

@PRIMARY PALOALTO (Configuración HA activo)

1. Configuramos interfaces ethernet1/7 y 1/8 como puertos HA


2. Configuramos HA (High Availability) 

High Availability > General

 

 

 High Availability > HA Communications

 

 High Availability > Link and Path Monitoring

 

Click en "Commit" para instalar la configuración el Firewall Primario:

 

@SECONDARY PALOALTO (Configuración HA passivo)

1. Configuramos interfaces ethernet1/7 y 1/8 como puertos HA


2. Configuramos HA (High Availability) 

High Availability > General

 

 

 High Availability > HA Communications


 

 High Availability > Link and Path Monitoring

 

Click en "Commit" para instalar la configuración el Firewall Secundario

Escenario #2 - 2 lineas de Internet (2 ISPs) ---> EN CONSTRUCCIÓN

Topologia de red:

Situaciones donde no es necesario hacer Failover al Palo Alto Secundario

1. Cuando la Linea de Internet primaria (ISP1) se caiga. Mientras haya una ruta por defecto (0.0.0.0/0) con una metrica mayor apuntando al gateway del ISP2 el Primary Palo Alto seguirá siendo el Activo.

 Situaciones donde haremos Failover al Palo Alto Secundario

1. Cuando el Palo Alto Primario se caiga (Ejempo: se estropea, se apaga, etc)

2. Cuando el puerto ethernet1/1 se desconecte (Ejemplo: Alguien desconecta el puerto eth1/1 por accidente)

3. Cuando el Primary Switch se caiga (Ejemplo: se estropea, se apaga, etc)

NOTA: Todo esto asumiendo que no tenemos el Preempt habilitado en el Firewall Primario


Comentarios

Publicar un comentario

Entradas populares de este blog

EVE-NG: Instalación de EVE-NG

Imagen
EVE-NG es un emulador de redes muy útil para crear topologias de redes de forma virtualizada. Os voy a explicar el proceso de instalación del software en base a mi experiencia Requisitos para hacer uso de EVE-NG: - Instalar VMware Workstation Player (Versión de uso personal) - Tener un buen ordenador (El mío tiene 8 GB de Ram, Intel i7 dual-core, Disco duro SSD, etc)  con suficiente espacio de almacenamiento.Yo tengo un Windows 10 professional - Tener conocimientos de Linux básicos (Crear carpetas, mover archivos, cambiar IP del sistema ,etc) - Instalar Filezilla en el PC para hacer transferencias de archivos locales hacia EVE-NG Paso 1  Descargar el OVF de EVE-NG desde la pagina oficial. Tener en cuenta que hay dos versiones: la profesional y la personal. Yo he utilizado la versión personal para ello. Paso 2 Abrir VMware workstation e abrir el archio OVF para instalar EVE-NG. Importante!!  El adaptador de red (Network adapter) esta en modo bridge. Por lo que he podido leer por INTERN
Leer más

Fortigate: Capturar paquetes (Packet capture/sniffer)

Para capturar paquetes de red en dispositivos Fortigate estos algunos de los comandos que utilizo: diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and icmp' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and tcp' 1
Leer más

Cisco ISE | Certificados SSL públicos para Guest Portal

Imagen
El otro día recibí un mensaje por parte de un usuario guest que se quejaba que no podía conectarse a nuestra red de Guest en una de nuestras oficinas debido a que se encontraba con un mensaje similar a este en su navegador Chrome:      Concretamente me comentaba que al hacer click al boton azul "Connect" no lograba conseguir la redirección. Para poneros en situación, esta red de Guest utiliza la solución de "Guest Portal" de Cisco ISE que simplificandolo funciona de la siguiente manera: - El cliente se connecta a la SSID de Guest (Ejemplo: Guest-ISE) - El cliente recibe una dirección IP del cliente DHCP y luego abre una pagina cualquiera en su navegador preferido donde redirecciona al Guest portal para registrar sus datos (Nombre, Apellidos, Mail, etc) - Una vez registrado, el Guest Portal proporcionara un usuario y contraseña para acceder a la red wifi de Guest (suele tener una duración temporal) - El usuario introduce las credenciales y puede navegar a INTERNET S
Leer más