Configurer un FireCluster avec l'Assistant Setup Wizard
Pour configurer un FireCluster, vous disposez des options suivantes :
- Éxécuter l'assistant FireCluster Setup Wizard
- Configurer FireCluster manuellement
Cette rubrique décrit comment utiliser l'assistant. Pour voir comment utiliser FireCluster Setup Wizard pour configurer un cluster actif/passif, regardez le tutoriel vidéo FireCluster (154 minutes).
Pour plus d'informations sur la configuration manuelle d'un FireCluster, consultez Configurer FireCluster Manuellement.
Exigences de FireCluster
- Veillez à disposer de tous les éléments nécessaires à la configuration de FireCluster et à préparer vos paramètres de configuration au préalable.
Pour plus d'informations, consultez Avant de Configurer un FireCluster. - Assurez-vous que vous compreniez les limitations d'un FireCluster telles que décrites dans Fonctions Non Prises en Charge pour un FireCluster.
- Connectez les membres du FireCluster entre eux et au réseau, comme indiqué dans Connecter le Matériel FireCluster.
- Assurez-vous d'avoir compris comment configurer un FireCluster pour des modèles de Firebox M5600 et M4600.
Pour plus d'informations, consultez À propos de FireCluster avec Interfaces Modulaires - Assurez-vous d'avoir compris comment mettre en place un FireCluster actif/passif avec des périphériques FireboxV ou XTMv.
Pour plus d'informations, consultez Configurer un FireCluster sur VMware ESXi.
Configurer FireCluster
Pour configurer FireCluster :
- Dans WatchGuard System Manager, connectez-vous au Firebox possédant la configuration à utiliser pour le cluster. Une fois FireCluster activé, ce périphérique devient le maître du cluster à partir du premier enregistrement de la configuration.
- Cliquez sur .
Sinon, sélectionnez Outils > Policy Manager.
Policy Manager ouvre le fichier de configuration du périphérique sélectionné. - Sélectionnez FireCluster > Configurer.
L'assistant FireCluster Setup Wizard démarre.
- Cliquez sur Suivant.
- Sélectionnez le type de cluster à activer :
Cluster actif/passif
Active le cluster pour la haute disponibilité, sans répartition de charge. Si vous sélectionnez cette option, le cluster se composera d'un Firebox actif qui gère l'ensemble des connexions et d'un Firebox passif qui ne gère les connexions qu'en cas de basculement du premier périphérique.
Cluster actif/actif
Active le cluster pour la haute disponibilité et la répartition de charge. Si vous sélectionnez cette option, le cluster équilibre les demandes de connexion entrantes entre les deux périphériques du cluster.
Pour plus d'informations concernant les types de cluster, consultez Propriétés FireCluster.
- Sélectionnez l'ID du cluster.
Celui-ci identifie de façon unique le cluster lorsque vous configurez plusieurs clusters sur le même domaine de diffusion de couche 2. Si vous n'avez qu'un seul cluster, et que votre réseau ne possède pas de périphériques HSRP ou VRRP, vous pouvez utiliser la valeur par défaut.
Pour un cluster actif/passif, l'ID de Cluster détermine les adresses MAC virtuelles (VMAC) utilisées par les interfaces des périphériques en cluster. Si vous configurez plusieurs FireCluster actif/passif sur le même sous-réseau, il est important que vous sachiez définir l'ID du cluster pour éviter tout conflit d'adresse MAC virtuelle.
Pour plus d'informations sur l'ID de Cluster, consultez Propriétés FireCluster et ID de Cluster Actif/Passif et Adresse MAC virtuelle.
- Si vous avez opté pour un cluster actif/actif, sélectionnez la Méthode d'équilibrage de charge.
C'est la méthode utilisée pour équilibrer les connexions entre les membres actifs du cluster. Deux options sont possibles :
Connexion minimale
Si vous sélectionnez cette option, chaque nouvelle connexion est affectée au membre du cluster actif dont le nombre de connexions ouvertes est le plus bas. Cela est le paramètre par défaut.
Tourniquet
Si vous sélectionnez cette option, les nouvelles connexions sont réparties entre les membres du cluster actif selon un algorithme tourniquet. La première connexion est envoyée à un membre du cluster. la seconde à l'autre membre, et ainsi de suite.
Pour de plus amples informations concernant l'équilibrage de charge, consultez la section Propriétés FireCluster.
- Sélectionnez les interfaces cluster principale et de sauvegarde. Les interfaces cluster sont dédiées à la communication entre les membres du cluster ; elles ne servent pas à d'autres trafics réseau. Vous devez configurer l'interface principale. Pour la redondance, nous vous recommandons de configurer également une interface de sauvegarde.
Principal
Il s'agit de l'interface du périphérique dédiée à la communication principale entre les membres du cluster. Sélectionnez le numéro d'interface que vous avez utilisé pour connecter les périphériques FireCluster entre eux.
Sauvegarde
Il s'agit de l'interface du périphérique que vous dédiez à la communication entre les membres du cluster en cas d'échec de l'interface principale. Sélectionnez le deuxième numéro d'interface que vous avez utilisé pour connecter les périphériques FireCluster entre eux, le cas échéant.
Pour de plus amples informations concernant les interfaces de cluster, consultez la section Interfaces FireCluster.
Les interfaces de cluster principales et de sauvegarde doivent être sur des sous-réseaux différents. Si vous utilisez un commutateur entre chaque membre pour les interfaces de cluster, ces dernières doivent être séparées logiquement entre elles sur des VLAN différents.
- Sélectionnez l'Interface pour l'Adresse IP de Gestion. Cette interface vous permet de vous connecter directement aux membres d'un FireCluster pour les opérations de maintenance. Ce n'est pas une interface dédiée. Elle est également utilisée pour d'autres trafics réseau. Vous ne pouvez pas sélectionner une interface externe qui utilise PPPoE comme Interface pour l'adresse IP de Gestion. Nous vous conseillons de sélectionner l'interface à laquelle l'ordinateur de gestion se connecte habituellement.
Pour de plus amples informations concernant l'interface de l'adresse IP de Gestion, consultez la section Interfaces FireCluster. - À l'invite de l'Assistant de configuration, ajoutez ces propriétés des membres de FireCluster à chaque périphérique :
Clé de Fonctionnalité
Pour chaque périphérique, importez ou téléchargez la clé de fonctionnalité permettant d'activer toutes les fonctionnalités du périphérique. Si vous avez précédemment importé la clé de fonctionnalité dans Policy Manager, l'assistant utilise automatiquement cette clé de fonctionnalité pour le premier périphérique du cluster.
Pour de plus amples informations concernant la clé de fonctionnalité, consultez la section Ajouter la clé de fonctionnalité pour un membre du cluster.
Nom du Membre
Il s'agit du nom qui identifie chaque périphérique dans la configuration de FireCluster.
Pour de plus amples informations concernant le nom du membre, consultez la section Ajouter l'ID et le nom du membre FireCluster.
Numéro de Série
Le numéro de série du Firebox. Le numéro de série sert d'ID de membre dans la boîte de dialogue Configuration FireCluster. L'assistant le détermine automatiquement lorsque vous importez ou téléchargez la clé de fonctionnalité du Firebox.
Pour de plus amples informations concernant le numéro de série, consultez la section Ajouter l'ID et le nom du membre FireCluster.
Adresse IP de l'interface cluster principale
L'Adresse IP utilisée par les membres du cluster pour communiquer entre eux sur l'interface cluster principale. L'adresse IP FireCluster principale de chaque membre du cluster doit être une adresse IPv4 et figurer sur le même sous-réseau.
Si les deux membres du cluster démarrent en même temps, le membre du cluster ayant la plus grande adresse IP attribuée à l'interface principale du cluster devient le maître.
Adresse IP de l'interface cluster de sauvegarde
Adresse IP utilisée par les membres du cluster pour communiquer entre eux sur l'interface cluster de sauvegarde. L'adresse IP FireCluster de sauvegarde de chaque membre du cluster doit être une adresse IPv4 et figurer sur le même sous-réseau.
Ne définissez pas l'adresse IP du cluster principal ou de sauvegarde sur l'adresse IP par défaut d'une interface dans le périphérique. Les adresses IP d'interface par défaut sont dans la plage 10.0.0.1–10.0.26.1. Les adresses IP du cluster Principal ou de Sauvegarde ne doivent pas être utilisées sur votre réseau à d'autres fins, comme les adresses IP virtuelles pour Mobile VPN ou les adresses IP utilisées par les réseaux Branch Office distants. Lors du basculement du cluster, un membre du cluster passe très brièvement en mode sans échec avant de prendre le relais. Si votre interface de cluster est configurée pour utiliser l'une des adresses IP d'interface par défaut, un conflit peut se produire pendant cette brève période, ce qui peut entraîner l'échec du basculement.
Adresse IP de gestion
Adresse IP unique qui vous permet de vous connecter à un Firebox individuel configuré en tant que membre d'un cluster. Vous devez spécifier une adresse IP de gestion différente pour chaque membre du cluster. Si le protocole IPv6 est activé sur l'interface que vous avez choisie comme Interface pour l'adresse IP de gestion, vous pouvez éventuellement configurer une adresse IP de gestion IPv6.
L'adresse IP de gestion IPv4 doit être une adresse IP inutilisée. Nous vous recommandons d'utiliser une adresse IP qui figure sur le même sous-réseau que l'interface sélectionnée comme Interface pour l'adresse IP de gestion. afin que l'adresse soit routable. L'adresse IP de gestion doit se trouver sur le même sous-réseau que les serveurs WatchGuard Log Server ou syslog auxquels votre FireCluster envoie des messages de journal.
L'adresse IP de gestion IPv6 doit être une adresse IP inutilisée. Nous vous recommandons d'utiliser une adresse IP IPv6 avec le même préfixe qu'une adresse IPv6 attribuée à l'interface sélectionnée comme Interface pour l'adresse IP de gestion. Cette étape a pour but de confirmer que l'adresse IPv6 est routable.
Pour plus d'informations, consultez À Propos des Adresses IP de Gestion de FireCluster.
- Relisez le résumé de la configuration sur l'écran final de l'assistant FireCluster Setup Wizard. Le résumé de la configuration comprend les options que vous avez sélectionnées et les interfaces que vous analysez pour connaître l'état des liaisons.
- Cliquez sur Terminer.
La boîte de dialogue Configuration FireCluster s'affiche.
- Dans la section Paramètres d'interface, vérifiez la liste des interfaces analysées.
La liste des interfaces analysées ne comprend pas les interfaces que vous avez configurées en tant qu'interfaces cluster principales et de sauvegarde. Par défaut, FireCluster surveille l'état des liaisons de toutes les interfaces activées. Si le maître du cluster détecte une perte de liaison sur une interface surveillée, il déclenche le basculement de ce périphérique.
Pour un cluster actif/passif, vous pouvez sélectionner les interfaces actives à surveiller. Si vous ne souhaitez pas surveiller l'état des liaisons d'une interface active comme critère de basculement, décochez la case pour cette interface dans la colonne Surveiller les Liaisons.
Nous vous recommandons de configurer le FireCluster pour surveiller l'état des liaisons de toutes les interfaces actives.
Pour un FireCluster actif/actif, vous devez désactiver les interfaces qui ne sont pas connectées à votre réseau avant d'enregistrer la configuration FireCluster dans Firebox. Pour désactiver une interface :
- Dans Policy Manager, sélectionnez Réseau > Configuration.
- Double-cliquez sur l'interface à désactiver, puis réglez Type d'interface sur Désactivé.
Si vous voulez que le second périphérique soit automatiquement découvert et ajouté au cluster, n'enregistrez pas le fichier de configuration jusqu'à ce que vous ayez démarré le second périphérique en mode sans échec.
- Lancez le second Firebox avec les paramètres usine par défaut.
Utilisez les instructions de réinitialisation pour votre modèle de Firebox. Pour plus d'informations, consultez Réinitialiser un Firebox.
Pour tout périphérique XTM possédant un affichage LCD, démarrez celui-ci en mode sans échec
Pour démarrer en mode sans échec, maintenez enfoncé le bouton fléché vers le bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique sous tension. Continuez à maintenir le bouton enfoncé jusqu'à ce que le message Démarrage en mode sans échec... apparaisse sur l'écran LCD. Lorsque le périphérique est en mode sans échec, l'écran indique le numéro de modèle, suivi du mot safe (sans échec).
Si vous utilisez l'interface de ligne de commande (CLI), vous pouvez utiliser la commande restore factory-default pour réinitialiser rapidement le deuxième périphérique aux paramètres d'usine par défaut sans redémarrage.
- Enregistrez la configuration dans le maître du cluster.
Le cluster est activé. Le maître du cluster découvre automatiquement l'autre périphérique grâce au numéro de série qui correspond à celui inscrit dans la clé de fonctionnalité que vous avez ajoutée dans la configuration du cluster.
Une fois le cluster actif, vous pouvez analyser l'état des membres du cluster sous l'onglet Panneau avant de Firebox System Manager.
Pour plus d'informations, consultez Surveiller et Contrôler les Membres FireCluster.
Si vous enregistrez la configuration sur le maître du cluster avant de démarrer le second périphérique en mode sans échec, le maître du cluster ne découvre pas automatiquement le second périphérique. Si le deuxième périphérique n'est pas découvert automatiquement, vous pouvez utiliser Firebox System Manager pour déclencher manuellement la découverte de périphériques, comme indiqué dans Découvrir un Membre du Cluster.