-
Products
-
SonicPlatform
SonicPlatform is the cybersecurity platform purpose-built for MSPs, making managing complex security environments among multiple tenants easy and streamlined.
Discover More
-
-
Solutions
-
Federal
Protect Federal Agencies and Networks with scalable, purpose-built cybersecurity solutions
Learn MoreFederalProtect Federal Agencies and Networks with scalable, purpose-built cybersecurity solutions
Learn More - Industries
- Use Cases
-
-
Partners
-
Partner Portal
Access to deal registration, MDF, sales and marketing tools, training and more
Learn MorePartner PortalAccess to deal registration, MDF, sales and marketing tools, training and more
Learn More - SonicWall Partners
- Partner Resources
-
-
Support
-
Support Portal
Find answers to your questions by searching across our knowledge base, community, technical documentation and video tutorials
Learn MoreSupport PortalFind answers to your questions by searching across our knowledge base, community, technical documentation and video tutorials
Learn More - Support
- Resources
- Capture Labs
-
- Company
- Contact Us
Was ist eine Stateful High Availability?
11/21/2022 
0 People found this article helpful
307,946 Views
Description
Die Original Version von SonicOS Enhanced bot eine grundlegende High Availability funktion, bei der eine Backup-Firewall die Interface-IP-Adressen der konfigurierten Interface annimmt, wenn die primäre Einheit ausfällt. . Beim Failover werden Layer-2-Broadcasts (ARP) ausgegeben, um das Netzwerk darüber zu informieren, dass die IP-Adressen jetzt der Backup-Einheit gehören. Alle bereits vorhandenen Netzwerkverbindungen müssen neu aufgebaut werden. Beispielsweise müssen Telnet- und FTP-Sitzungen neu eingerichtet und VPN-Tunnel neu ausgehandelt werden.
Stateful High Availability (SHA) bietet eine erheblich verbesserte Failoverleistung. Die primäre und die Backup-Appliance werden kontinuierlich synchronisiert, sodass das Backup nahtlos alle Netzwerkaufgaben übernehmen kann, wenn die primäre Appliance ausfällt, ohne dass bestehende Netzwerkverbindungen unterbrochen werden.
Benefits
Stateful High Availability bietet die folgenden Vorteile:
- Verbesserte Zuverlässigkeit – Durch die Synchronisierung der wichtigsten Netzwerkverbindungsinformationen verhindert Stateful High Availability Ausfallzeiten und Verbindungsabbrüche im Falle eines Geräteausfalls.
- Schnellere Failover-Leistung - Durch die Aufrechterhaltung der kontinuierlichen Synchronisierung zwischen der primären und der Backup-Appliance ermöglicht Stateful High Availability der Backup-Appliance, im Falle eines Ausfalls praktisch ohne Ausfallzeiten oder Verlust von Netzwerkverbindungen zu übernehmen.
- Minimale Auswirkungen auf die CPU-Leistung - In der Regel weniger als 1 % Auslastung.
- Minimale Auswirkungen auf die Bandbreite - Die Übertragung von Synchronisationsdaten wird gedrosselt, um andere Daten nicht zu stören.
Resolution
Wie funktioniert Stateful High Availability?
Stateful High Availability ist kein load-balancing. Es handelt sich um eine Aktiv-Leerlauf-Konfiguration, bei der die primäre Appliance den gesamten Datenverkehr verarbeitet. Wenn Stateful High Availability aktiviert ist, kommuniziert die primäre Appliance aktiv mit dem Backup, um die meisten Netzwerkverbindungsinformationen zu aktualisieren. Wenn die primäre Appliance Netzwerkverbindungsinformationen erstellt und aktualisiert (VPN-Tunnel, aktive Benutzer, Verbindungs-Cache-Einträge usw.), informiert sie sofort die Backup-Appliance. Dadurch wird sichergestellt, dass die Backup-Appliance immer bereit ist, in den aktiven Status überzugehen, ohne Verbindungen zu unterbrechen.
Der Synchronisierungsdatenverkehr wird gedrosselt, um sicherzustellen, dass er den regulären Netzwerkverkehr nicht beeinträchtigt. Alle Konfigurationsänderungen werden auf der primären Appliance durchgeführt und automatisch an die Backup-Appliance weitergegeben. Das High Availability verwendet dieselben LAN- und WAN-IP-Adressen – unabhängig davon, welche Appliance derzeit aktiv ist.
Wenn Sie SonicWall Global Management System (GMS) zur Verwaltung der Appliances verwenden, meldet sich GMS bei der freigegebenen WAN-IP-Adresse an. Im Falle eines Failovers wird die GMS-Verwaltung nahtlos fortgesetzt, und GMS-Administratoren, die derzeit bei der Appliance angemeldet sind, werden nicht abgemeldet. Die Befehle Get und Post können jedoch zu einem Timeout führen, bei dem keine Antwort zurückgegeben wird.
In der folgenden Tabelle sind die Informationen aufgeführt, die synchronisiert werden, und Informationen, die derzeit nicht von Stateful High Availability synchronisiert werden.
Information that is Synchronized | Information that is not Synchronized |
VPN information (IPSec, Global VPN Client) | Dynamic WAN clients (L2TP, PPPoE, PPTP and SSL VPN Client) |
Basic connection cache | Deep Packet Inspection (GAV, IPS, and Anti Spyware) |
FTP | IPHelper bindings (such as NetBIOS and DHCP) |
Oracle SQL*NET | SYNFlood protection information |
Real Audio | VoIP protocols |
GVC information | Dynamic ARP entries and ARP cache timeouts |
Dynamic Address Objects | Active wireless client information |
DHCP server information | wireless client packet statistics |
Multicast and IGMP | Rogue AP list |
Active users | |
ARP | |
SonicPoint status | |
Wireless guest status | |
RIP and OSPF information | |
License information | |
Weighted Load Balancing information |
Security Services und Stateful High Availability
High Availability paare teilen sich einen einzelnen Satz von Sicherheitsdienstlizenzen und eine einzelne Stateful HA-Lizenz. Diese Lizenzen werden zwischen der aktiven und der inaktiven Appliance auf die gleiche Weise synchronisiert wie alle anderen Informationen zwischen den beiden Appliances. Fuer Informationen zur Lizenzsynchronisierung finden Sie unter “ High Availability License Synchronization Overview ” und “ Applying Licenses to SonicWall Security Appliances ” .
Stateful High Availability Example
Die folgende Abbildung zeigt ein Beispiel für ein Stateful High Availability-Netzwerk. Im Falle eines Failovers tritt die folgende Abfolge von Ereignissen auf:
- Ein PC-Benutzer stellt eine Verbindung zum Netzwerk her, und die primäre SonicWall-Sicherheits-Appliance erstellt eine Sitzung für den Benutzer.
- Die primäre Appliance wird mit der Backup-Appliance synchronisiert. Das Backup enthält jetzt alle Sitzungsinformationen des Benutzers.
- Die Stromversorgung wird von der primären Appliance getrennt und fällt aus.
- Die Backup-Einheit empfängt keine Heartbeat-Meldungen von der primären Appliance und wechselt vom Idle- zu den Aktivmodus.
- Die Backup-Appliance beginnt, kostenlose ARP-Nachrichten an die LAN- und WAN-Switches zu senden, wobei dieselbe virtuelle MAC-Adresse und IP-Adresse wie die primäre Appliance verwendet wird. Für Downstream- oder Upstream-Netzwerkgeräte sind keine Routing-Updates erforderlich.
- Wenn der PC-Benutzer versucht, auf eine Webseite zuzugreifen, verfügt die Backup-Appliance über alle Sitzungsinformationen des Benutzers und kann die Sitzung des Benutzers ohne Unterbrechung fortsetzen.
Related Articles
- Die Tabelle „sonicwallSensorTable“ zeigt bei der Überprüfung per SNMP-MIB-Browsertool keine Werte.
- Verbindungsstatusänderungen(Link flapping) zwischen einem SonicWall UTM-Gerät und einem Fritzbox-Modem/Router
- SFTP funktioniert nicht mit DPI-SSH
Categories
- Firewalls > SonicWall NSA Series > High Availability
- Firewalls > TZ Series > High Availability
- Firewalls > SonicWall SuperMassive 9000 Series > High Availability
YES
NO